审理法院:南平市建阳区人民法院
案号:(2018)闽0703刑初162号
案件类型:刑事
案由:非法获取计算机信息系统数据、非法控制计算机信息系统罪
裁判日期:2019-06-14
备注:《刑法》483条罪名的最新的刑法理论和量刑标准,苏义飞律师均做了注释讲解,需要了解本罪的详细讲解内容请点击非法控制计算机信息系统罪。
审理经过
被告人张某某被控犯非法控制计算机信息系统罪一案,福建省南平市建阳区人民检察院于2018年6月11日以潭检公刑诉[2018]145号起诉书向本院提起公诉并建议适用简易程序。本院于同日立案,依法适用简易程序并组成合议庭,后于2018年7月26日决定对本案适用普通程序,于同年10月18日召开庭前会议,于2019年2月21日公开开庭审理了本案,福建省南平市建阳区人民检察院指派检察员谢家兴出庭支持公诉,被告人张某某及其辩护人邱本斌、杨望兴到庭参加了诉讼。期间,福建省南平市建阳区人民检察院以案件需要补充侦查为由申请延期审理二次,后于2019年3月22日恢复法庭审理。现已审理终结。
一审请求情况
公诉机关指控:2017年3月至9月间,被告人张某某为谋取私利,租用IP地址为101.53.103.248的控制端服务器,并在服务器上先后安装名为“25000”、“zk241”的控制端软件,以通过破解账号密码等技术手段植入木马程序并反向连接到控制端软件的方式,非法侵入并远程控制他人的服务器共计21台,同时将控制端软件端口提供给“阿布小组”以出售流量,非法获利共计人民币190440元。
2017年9月18日,被告人张某某在其住所被民警抓获,并如实供述其犯罪事实。
针对上述指控,公诉机关当庭宣读出示了相关证据。公诉机关认为,被告人张某某违反国家规定,非法控制他人的计算机信息系统,情节特别严重,其行为触犯了《中华人民共和国刑法》第二百八十五条第二款,应当以非法控制计算机信息系统罪追究其刑事责任。张某某在缓刑考验期内犯新罪,根据《中华人民共和国刑法》第七十九条、第六十九条之规定,应当撤销缓刑,并与前罪数罪并罚。提请本院依法判处。
一审答辩情况
被告人张某某辩称:1、指控其控制21台计算机不准确,这21台中有9台是自己租用的。2、对指控的获利数额不认可,该款和控制的服务器没有关联,其表面上是出售流量,但其通过技术手段,实际是没有流量交付的。
辩护人邱本斌提出的辩护意见是:1、公诉机关根据控制端出现21台服务器明细,即指控被告人张某某非法控制他人服务器21台,但侦查机关仅对其中5台服务器进行查找,并确认了5台服务器的真实性,但以推定的方式认定其余16台均属真实,不能达到证据充分、确实的标准,被告人张某某亦供述其中有9台系其购买,同时服务器还存在自我添加的可能性,因此,公诉机关指控存疑,应作出有利于被告人的认定。2、被告人张某某明确陈述其提供给阿布组织的是虚拟端口,并未将控制的服务器提供给阿布组织,仅仅是利用阿布组织不检测是否存在真实流量的漏洞,从阿布组织获得报酬,给张某某打款的这一些公司来源不清,款项性质无法认定,因此,被告人张某某因此获利与公诉机关指控通过出售流量非法获利没有关联性,不能认定张某某构成指控的犯罪。
辩护人杨望兴提出的辩护意见是:1、被告人张某某庭审供述21台服务器其中有9台系其出于研究的目的而购买,不属于非法控制,其主观无犯罪故意。2、被告人张某某明确陈述其并未将控制的服务器提供给阿布组织,只是在同一服务器上开个虚拟端口,将虚拟流量提供给阿布组织,利用阿布组织未核实真实流量的漏洞获得报酬,并未侵犯非法控制计算机信息系统罪的客体,即计算机信息系统的完整性、保密性。3、公诉机关根据控制端出现21台服务器明细来指控被告人张某某非法控制他人服务器21台,但侦查机关仅确认了5台服务器的真实性,却以推定的方式认定其余16台均属真实,该指控不能成立,被告人非法控制他人服务器未达20台,不构成犯罪。
本院查明
经审理查明,2017年3月至9月间,被告人张某某为谋取私利,租用IP地址为101.53.103.248的控制端服务器,并在服务器上先后安装名为“25000”、“zk241”的控制端软件,以通过破解账号密码等技术手段植入木马程序并反向连接到控制端软件的方式,非法侵入并远程控制他人的服务器共计21台,同时将控制端软件端口提供给“阿布小组”以出售流量,非法获利共计人民币190440元。
2017年9月18日,被告人张某某在其住所被民警抓获,并如实供述其犯罪事实。
另查明,被告人张某某于2016年12月26日因犯帮助信息网络犯罪活动罪被江苏省无锡市惠山区人民法院判处有期徒刑一年,缓刑一年,其因该案于2016年8月5日被抓获,2016年8月8日被取保候审。本起案发期间,被告人张某某尚处于缓刑考验期内。
上述事实,有公诉机关提供并经庭审举证、质证的下列证据证实,本院予以确认:
第一组证据(综合证据)
1、受案登记表,证明:南平市建阳区公安局民警于2017年9月15日在工作中发现本案。
2、户籍证明,证明:张某某于1991年2月23日出生,犯案时已达到刑事责任年龄。
3、前科查询记录单、刑事判决书,证明:张某某于2016年12月26日因犯帮助信息网络犯罪活动罪被江苏省无锡市惠山区人民法院判处有期徒刑一年,缓刑一年。其因该案于2016年8月5日被抓获,2016年8月8日被取保候审。作案期间,被告人张某某尚处于缓刑考验期内。
4、抓获经过、发立破案经过,证明:南平市建阳区公安局民警于2017年9月18日在张某某位于南平市建阳区中山路163号1号楼1单元502室住所将张某某抓获。
第二组证据(张某某非法控制计算机系统的证据)
(一)证明张某某实施控制他人服务器行为的证据
1、搜查笔录、扣押笔录、扣押清单及照片,证明:南平市建阳区公安局民警于2017年9月18日对位于南平市建阳区人民路163号1号楼1单元张某某住所进行搜查,并对搜查到的张某某手机2台(FENTO手机、苹果6S手机)、台式机箱2台、笔记本电脑1台、黄某手机1台(苹果6S手机)予以扣押。
2、关于本案服务器查询情况说明,证明:本案所涉及的21台服务器,其中2台在德国,其余19台在国内,分属不同IP,对应21台服务器。
3、被告人张某某的供述与辩解,证明:2016年5、6月份时,张某某研究用木马软件控制Linux操作系统的服务器,并通过QQ找人以每个20元的价格买了15个Linux操作系统的服务器IP,但发现只有9个能用。之后张某某以每月五六百元的价格月租了一个正规的服务器,并从网上下载了“批量扫描端口软件”、“纯真IP数据库”、“X-SCAN”、“25000集群”四个软件。之后张某某运行“批量扫描端口软件”扫描出互联网中活的IP地址,并通过“X-SCAN”软件扫描存活IP服务器的漏洞和端口,并利用漏洞使用其技术获取被入侵的Linux服务器的管理员权限,之后在该被入侵的服务器内拷入“25000集群”配套的木马生成器生成的控制端木马文件,对于之前购买的9个服务器,张某某则通过登录账号密码将木马文件直接拷入这些服务器中。运行这些木马文件后,张某某即可在“25000集群”控制端看到被控制的Linux服务器的IP上线,并可控制。张某某使用此方法,最高峰时候有控制过27-28台服务器,从2016年5、6月以来控制了21台服务器,其中有几台不知道是什么原因出现在了其控制端上,因为控制端自带一些功能,所以张某某可以对这些服务器进行控制,但无法进行DDOS攻击。此前买来的9个服务器IP在购买后20多天无法登陆,故后期也是通过“25000集群”来对这些服务器进行控制。到了2017年9月时,因“25000集群”软件无法使用,张某某遂向“阿布”组织索要了“zk241[v2.41]”(“25000集群”的正版软件)来用,并通过HFS下载路径,将“25000集群”中控制的服务器转移到“zk241”软件中,并使用“zk241”软件继续控制。
4、现场勘验笔录、现场照片、现场平面图,证明:南平市建阳区公安局民警于2017年9月18日在南平市建阳区中山路广电宿舍1号楼1单元502室客厅桌子上发现两台台式电脑,一台笔记本电脑,现场未发现其他有价值线索。
5、远程勘验工作记录及南平市建阳区公安局情况说明,证明:南平市建阳区公安局民警于2017年9月19日对张某某使用的虚拟服务器(VPS)(IP:101.53.103.248)进行远程勘验,发现一名为“zk241[v2.41]”运行程序正在运行,该程序内显示控制21台服务器(主机一列显示有21个IP)
6、电子数据检查工作记录,证明:南平市建阳区公安局民警于2017年9月20日对从张某某、黄某处扣押的3台电脑、3台手机内的电子证据进行检查。从张某某手机内提取到“阿布小组”、“DDOS攻击”等信息;从张某某电脑内提取到2016年通过skype软件与阿布组织进行联系,以及“25000集群”木马软件存放记录。
(二)证明张某某使用的软件具有控制他人服务器功能的证据
1、南平市建阳区公安局情况说明,证明:因张某某所使用的“zk241[v2.41]”软件使用了绑定电脑机械码的功能,即只能在张某某租用的VPS服务器上运行,无法在其他电脑上运行,而张某某租用的VPS服务器在案发几天后租约到期关闭,故无法重新运行。因该软件无法运行,故无法通过该软件验证“L24-6677反向”文件。
2、被告人张某某的供述与辩解,证明:“zk241[v2.41]软件的功能与“25000集群”软件的功能是一致的,二者只是正版和破解版的区别,没有其他方面的不同。两个软件上均有多个模块,其中“主机数”显示的是控制的服务器数量,“小工具监听”是阿布组织通过该端口使用软件控制服务器,“任务”是配置需要攻击的目标服务器IP和端口,“反向”显示的是被软件控制的所有服务器信息,软件上主机列表显示的IP就对应着一个服务器。
“25000集群”和“zk241[v2.41],可以发动DDOS攻击(分布式拒绝服务攻击),就是利用控制的服务器向目标服务器发送数据包,使其网络堵塞,从而无法运行,即只要在软件中的配置模块中的“任务”功能内进行相关设置即可攻击目标服务器。张某某只要将软件的“小工具监听”模块内的端口号提供给阿布组织,阿布组织即可用被控制的服务器去做DDOS攻击。
“zk241[v2.41]”绑定了张某某租用的服务器的机器码,因此不能在其他电脑上运行,而“25000集群”软件可以在任何电脑上运行。
3、福建中证司法鉴定中心司法鉴定意见书,证明:福建中证司法鉴定中心对南平市建阳区公安局民警从张某某使用的虚拟服务器中的“25000”软件进行鉴定,将该软件生成的两个执行文件在1个特定主机上运行时,可以通过“25000”软件的“反向监听”端口查到到该主机上线,即显示该主机的IP,软件内的“主机数”中的“反向在线”显示为1。后通过该“25000”软件可控制特定主机向其他目标主机发送数据,造成目标主机网络资源和CPU资源被大量占用。综上,该“25000”软件生成的被控端文件在远程主机上被执行后,“25000”软件可获得被控主机上线信息,可向被控的主机发送任务。即“25000”软件具有未经授杈对受控主机实施控制,向目标主机发送大量数据包的功能。
(三)证明存在服务器被控制的证据
1、金华某网络科技有限公司证明,证明:183.131.205.58;183.131.205.66;183.131.205.67;183.131.205.68;183.131.205.129系该公司于2017年5月向中国电信(金华分公司)申请的IP,每个IP对应该公司一台云服务器,并于2017年6月投入使用。
2、证人庄某的证言,证明:庄某系金华某网络科技有限公司IT部副经理,负责IT部机房。2017年12月12日,建阳区公安局民警通知庄某称其公司服务器内可能存在木马病毒,庄某安排管理员进行检查发现IP为183.131.205.58;183.131.205.129;183.131.205.68;183.131.205.66;183.131.205.67所属的服务器都有名为“6677”的非正常进程文件,该文件并非公司服务器的程序文件,上述IP系公司于2017年5月向电信部门申请的,提供给公司云服务器使用,IP所对应的服务器使用Linux系统,每个IP对应一台服务器。服务器的最高权限密码(root密码)由两名在其他城市的管理员掌握,每个管理员的密码不同且互不告知,需要使用时才将密码告诉对方,且使用后立即更改密码,公司高层也不知道密码,以确保账号的安全性。
3、被告人张某某的供述与辩解,证明:“zk241[v2.41]”所生成的木马文件名为“L24_6677反向”、”L26_6677反向”、win_6677_反向.exe”。
4、电子证据检查工作记录、远程勘验检查工作记录,证明:南平市建阳区公安局民警于2017年12月12日对位于浙江省金华市的金华某网络科技有限公司5个服务器(IP分别为:183.131.205.58;183.131.205.129;183.131.205.68;183.131.205.66;183.131.205.67等5个IP系张某某使用的虚拟服务器中显示控制的21个IP中的5个)进行勘验,从5个服务器中均发现一个名为“6677”的可疑进程,5个服务器中的“6677”进程的MD5值均为“7ddaad40c701ce79970eba0cb623ef70”,生成时间均为9月12日1时44分。南平市建阳区公安局民警于2018年4月12日对远程勘验张某某的VPS服务器所形成的“远勘提取文件.rar”压缩文件中的“L24_6677反向”和“L26_6677反向”文件进行MD5值校验,“L24_6677反向”的修改时间为2017年9月11日23时49分,MD5值为“7ddaad40c701ce79970eba0cb623ef70”。即从金华公司5个服务器提取的“6677”进程与张某某租用的VPS服务器文件中的“L24_6677反向”的MD5值一致,金华公司服务器内的生成时间在张某某服务器内的生成时间之后,系同一文件。
第三组证据(张某某非法获利的证据)
1、建阳区公安局情况说明,证明:南平市建阳区公安局民警对向张某某妻子黄某支付宝转账的深圳某科技有限公司、深圳某科技有限公司进行调查,发现深圳某科技有限公司住所无任何物品、人员,经了解该地点已两年无人租用;深圳某科技有限公司住所已拆迁,向当地派出所了解,辖区内无该公司存在的记录,无公司登记股东暂住记录。
2、证人黄某的证言,证明:张某某妻子黄某的支付宝系其个人在使用,每个月都有深圳市某科技有限公司、贵州某商贸有限公司、郑州某商贸有限公司、贵州某传媒有限公司、长春市某有限公司等公司固定转账到黄某的支付宝,张某某告诉黄某是玩六合彩和网络赌博赢来的钱。
3、被告人张某某的供述与辩解,证明:张某某通过控制服务器让这些服务器跑流量,并以100元每G的价格出租“SYN流量”给阿布组织,阿布组织将钱打到张某某妻子黄某的支付宝账户中,但张某某通过技术手段让阿布组织无法获得SYN流量,仅让阿布组织知道连接的端口是开的,所以阿布组织会给张某某打钱。张某某是提供了其妻子黄某的支付宝账号给阿布组织,转账的账号显示的是一些公司的名字,但张某某不知道这些公司,也没有业务往来,总共收到阿布组织转的10多万元。
4、调取证据清单及光盘,证明:南平市建阳区公安局于2017年10月12日向支付宝(中国)网络技术有限公司调取黄某支付宝的交易记录。
2017年3月1日至2017年9月18日期间,黄某支付宝账号均有来自7个公司账户共202笔(每天一笔)转账收入,转账数额在630元至1350元之间(其中630元4笔、720元23笔、810元20笔、900元94笔、990元15笔、1080元13笔、1260元32笔、1350元1笔),总数额为190440元。具体为:
①深圳市某科技有限公司(1350元1笔、1260元25笔、810元2笔、900元3笔,金额37170元)
②深圳市某科技有限公司(720元23笔、810元3笔、900元69笔、990元15笔、1080元13笔、1260元7笔,金额118800元)
③长春市某有限公司(810元2笔、900元10笔、金额10620元)
④深圳市某贸易有限公司(900元1笔)
⑤贵州某商贸有限公司(900元8笔,7200元)
⑥郑州某商贸有限公司(630元2笔,900元3笔,金额3960元)
⑦贵州某传媒有限公司(810元13笔、630元2笔,金额11790元)
本院认为
本院认为,被告人张某某违反国家规定,远程植入木马程序,对他人计算机信息系统实施非法控制,并提供给第三方用于网络攻击,借此非法获利人民币190440元,其行为已构成非法控制计算机信息系统罪,且属情节特别严重,应依法惩处。公诉机关指控罪名成立。被告人张某某归案后即如实供述自己的罪行,依法可以从轻处罚。公诉机关关于被告人上述相关情节认定符合查明事实,予以采纳。被告人张某某被宣告缓刑后,在缓刑考验期限内犯新罪,应当撤销缓刑,对新犯的罪作出判决,把前罪和后罪所判处的刑罚,依法数罪并罚。
关于被告人张某某及其两位辩护人提出的辩解和辩护意见,本院综合评析如下:
一、关于是否可以认定“被告人张某某非法控制21台计算机”一节,经查,首先,被告人张某某虽辩称其中有9台服务器是自己租用,但其同时也供述“这些服务器来源不明,一段时间后即不能登陆,但其仍然可以使用木马程序进行控制”,即该部分服务器张某某亦属于非法控制,且主观故意明显存在。其次,木马程序能够控制的服务器取决于每个被控制对象访问互联网需要开放端口的不同和个人使用习惯(主要是个人查杀病毒的软件和查杀频率),扫描到有漏洞的服务器实时变化,导致被控制的服务器的数量也是实时变化的。被告人张某某亦供述“其最高峰时候有控制过27-28台服务器,从2016年5、6月以来控制了21台服务器,其中有几台不知道是什么原因出现在了其控制端上,因为控制端自带一些功能,所以张某某可以对这些服务器进行控制”。第三,鉴于非法控制计算机信息系统犯罪的特殊性,即每一个IP可能位于全球各地,且本案涉及的IP就有两台位于德国境内,因此,要求对于每一个受非法控制的对象都进行实地查看显然不符合实际。综上,本院认为,公诉机关以案发时公安机关抓获被告人的实时非法控制的(IP)数量认定其非法控制数量符合查明事实,被告人及其辩护人就此提出的相关辩护意见不能成立,不予采纳。
二、关于指控的获利数额和是否真实出售被控制服务器流量的关联性,以及张某某是否构成被控的犯罪的问题。本院认为:1、被告人张某某归案后始终稳定供述指控的获利190440元来源于阿布组织,结合其原被江苏省无锡市惠山区人民法院的判决,其同案人获利手段如出一辙,足以认定被告人张某某主观上明知如何通过非法控制计算机信息系统,并以此非法牟利。此外,其相关供述还得到在案聊天软件中内容的印证,足以认定被告人张某某主观上具有通过非法控制计算机信息系统,并以此从阿布组织非法牟利的主观故意。2、根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条规定:违法所得五千元以上或者造成经济损失一万元以上的,属非法控制计算机信息系统“情节严重”;而数额达到前款规定标准五倍以上的,属于“情节特别严重”,相关法律规定并未要求是否有真实流量提供,因在案证据足以证明被告人张某某非法控制计算机信息系统,并将所控制的服务器交由阿布组织,其因此从中非法获利,其行为完全符合非法控制计算机信息系统罪的犯罪构成要件,且属于“情节特别严重”,被告人张某某及其辩护人提出的相关辩解和辩护意见均不能成立,不予采纳。
综上,根据被告人的犯罪情节和悔罪表现,依照《中华人民共和国刑法》第二百八十五条第二款、第六十九条、第七十七条第一款、第六十七条第三款、第五十二条、第五十三条、第六十四条以及《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条之规定,判决如下:
裁判结果
一、撤销江苏省无锡市惠山区人民法院(2016)苏0206刑初578号刑事判决书中以帮助信息网络犯罪活动罪对张某某判处有期徒刑一年,缓刑一年,并处罚金人民币2000元的缓刑执行部分。
二、被告人张某某犯非法控制计算机信息系统罪,判处有期徒刑三年九个月,并处罚金人民币20000元,合并前罪刑罚有期徒刑一年,并处罚金人民币2000元,总和刑期四年九个月,并处罚金人民币22000元,决定执行有期徒刑四年,并处罚金人民币22000元。
(刑期从判决执行之日起计算。判决执行以前先行羁押的,羁押一日折抵刑期一日,即自2017年9月18日起至2021年9月13日止。罚金限判决生效后一个月内缴纳。)
三、继续追缴被告人张某某违法所得人民币190440元,予以没收,上缴国库。
四、扣押在案的作案工具电脑、手机均予以没收。
如不服本判决,可在接到判决书的第二日起十日内,通过本院或者直接向南平市中级人民法院提出上诉。书面上诉的,应当提交上诉状正本一份,副本二份。
审判人员
审判长黄佶喆
人民陪审员张晓清
人民陪审员熊寿清
裁判日期
二〇一九年六月十四日
书记员
书记员郑铸彦
同类案例
