利用计算机漏洞植入木马/病毒抓捕“肉鸡”获利涉嫌非法控制计算机信息系统罪行为的辩护策略

  141 利用“德州扑克”类游戏平台建立赌博俱乐部 实施赌博活动的各参与人刑事责任分析及 辩护要点

  142 重大复杂刑事案件，有没有高效阅卷的秘诀？

  143 善林周伯云被逮捕，其超级放贷人模式或涉非法集资

  144 从事大宗商品现货交易可能触犯哪些罪名

  145 从事大宗商品现货交易可能触犯哪些罪名为什么在“吃鸡”类游戏外挂案件中需要专业的辩护律师尽早介入

  146 走私犯罪嫌疑人在“黄金37天”内如何促成不予逮捕、取保候审

  147 毒品犯罪辩护律师谈：销售精神药品会涉嫌走私、贩卖毒品罪吗？

相信很多人都经历过访问某商家官网时出现访问不成功的情况，此时该商家官网有可能是遭受到了DDOS攻击，造成服务不可用的情况。这种攻击的出现主要是攻击者出于打击商业对手的动机。较为知名的攻击事件是2016年美国大面积网络瘫痪的“黑色星期五”事件，该事件中，亚马逊、PayPal、Twitter等热门网站均出现了无法登录的情况。

以上攻击事件的发生，主要是有人利用受控制的“肉鸡”进行定向攻击所导致的。所谓“肉鸡”，即被非法植入木马或病毒程序并被控制的计算机信息系统，有时也被称为“被控端”。

一、利用计算机漏洞植入木马抓捕“肉鸡”并出租/出售给他人获利涉嫌非法控制计算机信息系统罪

抓捕“肉鸡”的行为目的就是取得对他人计算机信息系统的控制权，从而将该控制权予以“出租”或“出售”从而实现获利。该种行为虽然可以短时间内谋取大量利益，但是在笔者（车冲律师）看来，是为我国所明确禁止的行为。

根据我国《刑法》第二百八十五条第二款 “非法控制计算机信息系统罪”：“对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”的规定，通过植入木马或病毒获取他人计算机信息系统的控制权的行为涉嫌构成非法控制计算机信息系统罪。

而且根据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（下文 称《解释》）中对于“情节严重”、“情节特别严重”的规定，可以看出我国对该类行为持非常严厉的打击态度。

该司法解释中对于 “情节严重”、“情节特别严重”予以明确：“第一条　非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：

（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；

（二）获取第（一）项以外的身份认证信息五百组以上的；

（三）非法控制计算机信息系统二十台以上的；

（四）违法所得五千元以上或者造成经济损失一万元以上的；

（五）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；

（二）其他情节特别严重的情形。”

从我国对于非法控制计算机信息系统罪的量刑可以看出，如果违法所得2.5万元或者造成经济损失达到5万元则有可能被判处三年以上七年以下有期徒刑，并处罚金。

二、利用计算机漏洞植入木马抓捕“肉鸡”并出租给他人获利的辩护策略

（一）注意从与实际实施攻击行为的行为人之间不存在“共谋”的层面提出辩护意见避免被认定为破坏计算机信息系统的共犯

利用计算机漏洞植入木马或病毒抓捕“肉鸡”的行为人的目的一般都是为了获取对“肉鸡”的控制权，并将该控制权出售或出租获利，至于他人获取后所实施的行为则并不关心。这种情况下，由于我国同样打击非法控制他人计算机信息系统的行为，因为存在单独定性为非法控制计算机信息系统罪的可能性。

反之，如果当事人在抓捕肉鸡之时的目的是为了他人用于“干扰”或 “破坏”的目的，在实务中就容易被认定与承租者或购买者之间存在合谋，存在共同犯罪的故意，成为承租者或购买者所实施的犯罪行为的共犯。由于承租者或购买者获取“肉鸡”控制权的目的是用于攻击商业对手网络或服务器，该行为往往被定性为破坏计算机信息系统罪，因此如果抓捕“肉鸡”的行为人与承租者或购买者之间存在“共谋”则容易被按照法定刑更重的破坏计算机信息系统罪定罪处罚，从而导致更重的量刑。

（二）如何针对非法控制计算机系统的数量提出有效的辩护意见

1.注意审查控方的证据能否证明“肉鸡”为行为人所实际控制

抓捕“肉鸡”的过程中，“肉鸡”抓捕者往往是利用“暴力破解”、“漏洞扫描/查找”的方式寻找计算机机信息系统存在安全漏洞的终端并将木马或病毒（也叫“被控程序”）植入该终端。在植入“被控程序”之后，“肉鸡”抓捕者再通过“主控程序”来实现对“被控程序”的控制，从而达到控制多台“肉鸡”的目的。

基于抓捕“肉鸡”的以上模式，在控方对“肉鸡”抓捕者的“肉鸡”数量进行确定时，往往会通过电子勘验笔录等证据来还原整个查找“肉鸡”抓捕者的经过，否则无法确定被查获的“肉鸡”实际为“肉鸡”抓捕者实际控制。

因此，从该角度而言，应注意审查控方是否提取“被控程序”、“主控程序”主控程序中的登录日记、主控列表等证据并交由当事人核对确认。由于 “登录日记”中存在能够确认网络装机地址的IP，因此只有该证据的提供才能确定实施“肉鸡”抓捕的行为人。另外在“主控列表”中会存在已经控制的IP地址。因此，该证据是确定“肉鸡”数量的关键证据。

如果控方在指控时并未提交以上证据，则首先不能确定“肉鸡”抓捕者是否为在案被告人，也同时无法确定被控制的计算机信息系统的“数量”，从而难以确定“台数”。

2.被非法控制的计算机信息系统的数量应以行为人被抓获时核实确认的数量为准

由于抓捕“肉鸡”是通过对电脑开放端口扫描寻找漏洞的方式实现的，那么如果漏洞被弥补（跟个人使用电脑的习惯即查杀频率和查杀病毒软件有关）或者端口变化则会出现“肉鸡”失去控制的情形，因此“肉鸡”的数量其实是一个动态的数值，并非固定不变。因此在实务中往往是采用“抓获时”确定的“肉鸡”数量来认定。因此，在辩护工作中，就应该注重审查控方在确定“肉鸡”数量时是否是按照“抓获时”数量来指控，是否考虑到“肉鸡”数量是处于不断变化之中的客观事实。

3.避免直接以攻击峰值靠前的IP地址来确定“肉鸡”数量

在实务中，受到肉鸡攻击的公司往往会采用溯源的方式来查找攻击IP地址，查找之后普遍会形成一份按照攻击排名来统计的IP统计表。值得注意的是该统计表并不能作为确定“肉鸡”数量的依据。虽然“肉鸡”在访问互联网时会对应一个使用的IP,并且电脑的MAC地址和使用的IP具有唯一性。但是在同一时段不能排除被害人服务器在同一时间遭受控制人不同的“肉鸡”攻击的可能性，因此该统计表中的“肉鸡”IP地址的统计可能与案件无关。

4.注意剔除虚假“肉鸡”数量

实务中，有些“肉鸡”抓捕者为了显示自己抓捕“肉鸡”的能力，往往采用虚增“肉鸡”数量的方式来展现高于同行的能力。因此，在计算“肉鸡”数量时就应该将该部分虚假“肉鸡”数量予以剔除。以安徽省阜南县人民法院（2017）皖1225刑初96号《刑事判决书》为例，其中就提到了存在虚假“肉鸡”的情形：“由于LC木马程序有模拟复制功能，由于其真实抓取的“肉鸡”会被复制三份左右保存在C盘根目录下并且改变IP地址里面的数字再呈现到LC软件客户端的界面上，所以被其抓获时在LC软件上显示有116个IP地址，实际上其抓获的肉鸡仅有51台左右。这是因为其帮助别人做DDOS攻击的时候要用这样的数字显示其攻击能力，才会有人雇佣其做DDOS攻击。案发当天被抓获时，对其电脑进行勘验时使用net-stat命令导出的那张IP地址列表中，除了其自己的宽带占用一个IP地址，其它的IP地址就是其真实抓获“肉鸡”的IP地址，其利用爆破工具非法侵入服务器21台，利用LC软件抓取“肉鸡”51台，其总共非法控制72台计算机信息系统。没有实施其他犯罪。”

（三）如何针对“经济损失”提出有效的辩护意见

1.在计算被害人“经济损失”时应该注意不能计算预期收益，只能计算直接经济损失和必要费用

根据《解释》第十一条的规定：“本解释所称经济损失，包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。”从该规定的内容可知，在计算经济损失时只能计算直接经济损失和必要费用。而最高人民法院出台的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的理解与适用第5条“经济损失的范围界定”中明确了预期利益是否属于经济损失的问题：“破坏计算机信息系统功能、数据给用户带来的预期利益的损失不能纳入“经济损失”的计算范围。”从该理解与适用可知，破坏计算机信息系统的行为给用户造成的预期利益的损失并不能计算在经济损失范围之内。

从以上规定来看，在计算损失时，被害人因受攻击行为而赔付给商户的损失、被害人预期的经营收益均不属于直接经济损失和必要费用的范围之内，因此在辩护过程中应注意对该部分金额提出予以剔除的辩护意见。

2.注意剔除与被告人行为无关的经济损失

第一，如果被告人控制的“肉鸡”攻击的IP地址与检方举证的受攻击IP地址存在不一致的情形，则应提出其他受攻击IP所产生的损失与被告人无关的辩护意见。实务中，被害人公司的网站有时会存在多个IP，此时如果检方对多个IP是否与案件有关并不加以区分，辩护人则应该剔除剔除该部分无关IP被攻击所产生的损失金额。以笔者车冲律师办理的广州市番禺区人民法院审理的一起案件为例，该案件中，检方直接采纳被害人提供的受攻击IP作为指控经济损失的证据，该证据显示被害人公司受到攻击的IP共有7个，但是依据在案的各被告人的供述和辩解以及QQ聊天记录截图等证据，只能确定其中的一个IP受攻击与被告人有关，此种就是典型的应予以剔除的情形。

第二，“肉鸡”攻击的方式主要是DDOS攻击，其余攻击方式与无关，不能排除其他存在其他攻击方的可能性，因此在计算经济损失时，应将DDOS之外的攻击方式所造成房损失予以剔除。实务中，“肉鸡”承租者或购买者利用肉鸡进行的分布式拒绝服务攻击即DDOS攻击，该攻击的原理在于通过高频率与密度的访问，造成网络拥堵，无法正常访问的情形。由于“肉鸡”攻击多采用DDOS的方式进行攻击，在辩护过程中，应注意审查控方提交的证据中，是否包含了除DDOS攻击之外的攻击方式（如CC、SYN、TCP、UDP、PING）所造成的损失，如果有，应该剔除将该部分损失予以扣除的意见。

以上是车冲律师根据办理类似案件的经验结合司法实践对利用计算机漏洞植入木马抓捕“肉鸡”并出租/出售给他人获利涉嫌非法控制计算机信息系统罪行为的辩护策略的总结与归纳，以求对维护涉案人员的合法权益和司法公正作出有益贡献。