跨三国破获“暗夜攻击者”，腾讯“守护者计划”协助网警守护安全

跨越老挝、泰国、柬埔寨等东南亚多国，在国内外共抓获数十名犯罪嫌疑人、摧毁针对网络云服务进行大规模DDoS攻击的“暗夜攻击者”犯罪团伙----这看起来是不是有点像大片《湄公河行动》里的情节？然而这并不是电影桥段，而是不久前才发生的真实事件！这是在2018年1月14日腾讯公司主办的“2018年守护者计划大会”上，深圳市公安局网警支队副支队长宗成鹍亲口向与会者讲述的真实案件侦破过程。在这次大会上深圳网警表示，这类网络案件的侦破，有赖于全社会的积极参与，需要政府企业间的密切合作。而腾讯公司发起的“守护者计划”是企业践行社会责任、以技术赋能协助警方打击网络黑产威胁源的典范。

这个“暗夜攻击者”是何方势力？他们从事的DDoS网络攻击到底是怎么回事？而腾讯发起的“守护者计划”又是如何协助社会各界一起揭露与打击网络黑产的？我们把时间回溯到2017年2月份。据深圳警方介绍，当时他们接到“守护者计划”安全团队的网络监测报告，指出有不法分子正在对网络云服务进行大流量、高峰值的DDoS攻击。深圳网警接案后立刻上报，中央及公安部很快就指示深圳市局成立专案组进行侦破。

在“守护者计划”的积极配合、以及国家计算机网络应急技术处理协调中心广东分中心的强力支持下，深圳警方迅速查明了案情。原来这些攻击都是由一个被称为“暗夜攻击者”的团伙发起的。该团伙由原某辉等人组织，从2015年开始流窜东南亚多国、以较为严密的架构、专门针对国内各类游戏、第三方支付、直播平台的云服务系统进行“DDoS（分布式拒绝攻击）”的网络黑产团伙。这个团伙的犯罪行为，主要形式就是向各类网络服务商的竞争对手收取费用，然后以网络黑产为依托，向“客户”指定的目标企业发起攻击影响其服务质量，从而达到打压竞争的目的。

该团伙组织较为严密，其黑产链条有着多层上下游环节，并且雇佣了多名掌握较高网络技术水平的骨干成员，他们不但有能力配置专属服务器获取流量，而且还懂得利用后门程序控制大量无辜企业和市民的电脑，植入木马使其成为团伙利用来实施DDoS攻击的“肉鸡”。他们犯罪手段高明、具备很强的反侦察能力。网警部门指出，“暗夜攻击者”这样的团伙，是近年来网络犯罪呈现出技术化、产业化、专业化趋势，并且隐蔽性增强的典型例子。网络黑产链条的这种发展趋势，给警方的侦破增加了难度。

正因为如此，深圳网警高度评价以“守护者计划”为代表的全社会合作、以及企业以技术赋能协助维护网络安全的努力。以这次破获“暗夜攻击小组”黑产团伙的过程为例，“守护者计划”的积极参与者—腾讯安全联合实验室旗下的云鼎实验室，就是第一个监测到“暗夜攻击者”DDoS攻击行为的机构。其后，“守护者计划”与政府部门、警方密切配合，以强大的网络与大数据分析能力，在发现犯罪线索、对团伙成员进行定位分析、对黑产链条进行行为模式研究、帮助警方固定犯罪证据等方面都做出了很大的贡献。最终在政企合作、警民协作之下，终于完成对“暗夜攻击者”犯罪团伙的收网抓捕，不但在东南亚多国抓获十几名主要犯罪嫌疑人，而且连带破获了国内一批相关的DDoS网络攻击黑产链条，在广州、成都、黄石、青岛等地抓获四十多名犯罪嫌疑人。

这次破获的“暗夜攻击者”团伙，曾经在DDoS黑产圈中占据了高达50%的份额。“守护者计划”协助警方铲除掉这个黑产团伙后，当月DDoS攻击频次立刻出现了环比下降86%的显著改观。今后，“守护者计划”将继续以全面的技术赋能为着力点，积极促进与参与全社会合作，协助遏制网络攻击黑产威胁源，为网络空间安全作出应有的努力。