2018年1月至7月期间,安某在百度担任服务器运维管理人员期间,利用其负责维护搜索服务器的工作便利,超越权限,以技术手段在百度公司服务器上部署“挖矿”程序,通过占用计算机信息系统硬件及网络资源获取比特币、门罗币等虚拟货币,后将部分虚拟货币出售并获利人民币10万元。
2018年7月18日,安某被公安机关抓获归案,其到案后如实供述了上述作案过程。本案审理过程中,被告人安某退缴人民币11.1万元,现扣押在案。
证据
北京市海淀区人民法院认定上述事实的证据有(云头条仅列举部分):
被告人安某的供述、亲笔供词及交易材料打印件证明:
其在百度在线网络科技有限公司搜索运维部工作,主要负责将研发部门研发出来的程序发布在百度公司的服务器上,并且对服务器的运行做维护。其个人没有控制百度公司服务器的权限,也没有将百度公司服务器CPU运算资源上传到哈希网站的权限。其在公司使用的IP地址是172.24.168.145,使用的账号名称是其姓名的拼音,这个账号是其专用的。
2018年4月至今,其使用公司发给其的苹果电脑上的iterm软件操作可以控制所有服务器的中控机,然后通过中控机上传挖矿脚本,并通过iterm软件发出批量下载指令,让200余台服务器下载了挖矿脚本。挖矿脚本可以把百度公司的运算资源上传到哈希网站,哈希网站通过其上传的运算资源挖取门罗币,最后根据其上传运算资源的多少,以比特币的方式向其结算。其从哈希网站将比特币提现到otcbtc.com网站,然后通过这个网站将比特币卖了约10万元人民币,然后买其比特币的人将钱转到了其的支付宝账户里。目前在哈希网站的钱包里,其还存有约1.44个比特币,在otcbtc.com网站里还存有大概1.5个比特币。
2018年7月18日10时许,其被百度公司职业道德委员会的工作人员叫到了会议室,到了会议室之后发现有民警在场,其当场就向民警交代了其非法控制百度公司服务器的事实。
证人秦某的证言证明:
其是百度在线网络技术(北京)有限公司职业道德建设部的负责人。2018年6月初,百度公司通过安全管理监控系统发现大量服务器运行异常,执行了挖矿程序(挖矿程序是指利用服务器CPU的运算资源,从而获取虚拟货币的一种程序),占用了公司服务器的运算资源。
百度公司通过调取后台操作日志发现操作人是安某,是百度公司搜索运维部的高级运维工程师。后台日志显示,安某于2018年1月起,编译了挖矿程序,并将上述程序部署在公司的服务器上,非法控制百度的155台服务器,获取虚拟货币盈利,并造成百度公司直接经济损失2.7万元。因为安某是百度公司搜索运维部的高级运维工程师,日常工作中有操作百度搜索服务器的权限,他通过wget下载命令,然后服务器从他指定的地址下载并运行了挖矿程序,再利用这些服务器的运算资源进行虚拟货币的挖掘。
安某是2016年10月1日入职百度公司的,在百度公司搜索运维部工作,工作范围是对百度搜索服务器进行运行维护,但他是没有权限控制百度公司的服务器来上传挖矿软件的,百度公司是禁止从事此类活动的,因为挖矿软件会占用服务器的运算资源,从而导致系统运行速度变慢。
应急响应服务处理报告证明:
2018年7月3日,北京神州绿盟科技有限公司对百度大量服务器挖矿事件进行排查后,发现:百度公司内部服务器上存在挖矿行为,挖矿进程的守护进程程序是账户名为anmou的计算机编译生成的,通过提取样本并分析,挖矿程序中执行的worker程序是账户名为anmou的计算机编译生成的,这些挖矿样本文件不是服务器业务以及运维所需要的文件,所执行的与挖矿程序相关的命令也不属于服务器业务及运维的正常命令;根据安某账户操作日志,发现攻击者最早执行挖矿程序的时间为2018年1月26日23时4分57秒,最新部署挖矿脚本时间为2018年5月30日23时59分5秒,期间攻击者间断地在其控制的服务器上批量部署挖矿脚本;anmou账户拥有所有挖矿服务器的正常访问权限,使用该账户的攻击者通过连接公司内网,登录服务器并执行挖矿程序,并在正常工作过程中部署挖矿程序。结论为账户名为anmou的计算机编译了挖矿程序,并利用工作便利在2018年1月26日23时4分57秒到2018年5月30日23时59分5秒期间,多次登录并批量在多台百度内部服务器上部署挖矿程序,并利用服务器算力获取虚拟货币(比特币和门罗币)。
鉴定意见证明:
北京信诺司法鉴定所接受北京市公安局海淀分局双榆树派出所委托,于2018年8月7日至2018年8月13日期间,对双榆树派出所提交的一张送检光盘内存储的数据进行了鉴定,提取出名称为“miner.tar.gz”的压缩文件1个,对该文件进行解压缩,在“miner\woker\tmp\”提取出名称为“java_4u3”的脚本文件1个;经分析,该脚本文件基于linux系统下运行;通过分析“java_4u3”脚本文件,该文件在运行的计算机自动执行解压缩、创建目录、删除目录、自动连接代理进行网络交换,可以认定该脚本文件对计算机进行了非法控制,并占用计算机硬件及网络资源。
一审法院认为
根据以上事实和证据,北京市海淀区人民法院认为,被告人安某违反国家规定,采用技术手段对计算机信息系统实施非法控制,情节特别严重,其行为已构成非法控制计算机信息系统罪,应予惩处。被告人安某虽对其行为性质提出辩解,但其到案后及在庭审过程中对其实施的作案过程均能如实交代,故应认定其具有如实供述的情节,同时结合其能退缴涉案违法所得,故可对其从轻处罚。据此判决:
一、被告人安某犯非法控制计算机信息系统罪,判处有期徒刑三年,罚金人民币一万一千元。
二、在案扣押的人民币十一万一千元,其中人民币十万元作为违法所得,予以没收;其中人民币一万一千元,折抵罚金。
三、扣押于公安机关的银色苹果牌笔记本电脑一台、TOKEN密钥一个,发还北京百度网讯科技有限公司;苹果牌4S手机一部、苹果牌6手机一部、华为手机一部,退还被告人安某。
二审请求情况
上诉人安某的上诉理由是:鉴定意见不够准确,不能因为其编写的挖矿程序在服务器中存在创建目录、删除目录的行为就认为其行为属于非法控制计算机信息系统的行为;其承认一审判决认定的事实,但认为该行为不构成非法控制计算机信息系统罪。
安某的辩护人的主要辩护意见是,第一,北京信诺司法鉴定所不具备鉴定能力,所做鉴定不能作为定案依据;第二,安某没有非法侵入行为,不构成非法控制计算机信息系统罪,本案事实不清,证据不足,请求改判无罪;第三,一审判决将安邦非法所得中的1.1万元折抵罚金不当。
二审期间,上诉人安某及其辩护人均未提交新证据。
北京市第一中级人民法院查明
经二审审理查明的事实和证据与一审相同,本院经审核予以确认。
对于安某所提鉴定意见不够准确,不能因为其编写的挖矿程序在服务器中存在创建目录、删除目录的行为就认为其行为属于非法控制计算机信息系统行为的上诉理由及其辩护人所提北京信诺司法鉴定所不具备鉴定能力,所做鉴定不能作为定案依据的辩护意见,经查,本案鉴定机构具备鉴定资质,鉴定程序合法,鉴定过程及方法规范,有关“该脚本文件对计算机进行了非法控制,并占用计算机硬件及网络资源”的鉴定意见系基于送检数据文件存在自动执行解压缩、创建目录、删除目录、自动连接代理进行网络交换等行为而得出,意见明确且论证过程并无不当,该鉴定意见可以作为定案根据。因此,安某的上诉理由及其辩护人的该项辩护意见不能成立,本院不予采纳。
对于安某所提其承认一审判决认定的事实,但认为该行为不构成非法控制计算机信息系统罪的上诉理由及其辩护人所提安邦没有非法侵入行为,不构成非法控制计算机信息系统罪,本案事实不清,证据不足,请求改判无罪的辩护意见,经查,安某作为百度公司的运维工程师,基于百度公司的授权确有进入该公司服务器及操作运行服务器的权限,因而其进入该公司服务器的行为本身不属于非法侵入行为。
安某在合法进入百度公司服务器后,操作运行服务器的权限仅限于百度公司的明确授权范围,但安某却超越百度公司授予的权限,违反百度公司的意志,基于非法获利目的,利用百度公司授予的职权便利擅自在百度公司多台服务器中增加程序目录,部署挖矿程序,占用百度公司服务器运算资源,该行为即属于利用技术手段非法控制百度公司计算机信息系统的违法行为。鉴于安某非法控制计算机信息系统的数量已超过100台,其行为不仅构成非法控制计算机信息系统罪,且属于情节特别严重情形。安某的该项上诉理由及其辩护人的该项辩护意见缺乏法律依据,不能成立,本院不予采纳。
对于安某的辩护人所提一审判决将安邦非法所得中的1.1万元折抵罚金不当的辩护意见,经查,一审法院综合安邦的供述及其他证据从低认定其非法获利的金额为人民币10万元,而在一审期间,安邦退缴人民币11.1万元。一审法院在判决没收其违法所得人民币10万元后,将其余1.1万元用于折抵罚金,处理方式并无不当。因此,辩护人所提该项辩护意见缺乏事实依据,本院不予采纳。
北京市第一中级人民法院认为
上诉人安某违反国家规定,采用技术手段非法控制计算机信息系统,情节特别严重,其行为已构成非法控制计算机信息系统罪,依法应予惩处。鉴于上诉人安某在到案后能够如实供述犯罪事实,同时退缴违法所得,可在法定刑幅度内对其从轻处罚。原审人民法院根据安邦犯罪的事实、性质、情节和对于社会的危害程度所做出的判决,事实清楚,证据确实、充分,定罪及适用法律正确,量刑适当,审判程序合法,应予维持。据此,依照《中华人民共和国刑事诉讼法》第二百三十六条第一款第(一)项之规定,裁定如下:
二审判决结果
驳回上诉,维持原判。
本裁定为终审裁定。
二〇二〇年二月二十五日