北京市第一中级人民法院(2020)京01刑终58号刑事裁定书

北京市第一中级人民法院
刑 事 裁 定 书
(2020)京01刑终58号

原公诉机关北京市海淀区人民检察院。

上诉人(原审被告人)安邦,男,31岁(1989年2月16日出生),汉族,出生地辽宁省本溪市,研究生文化,北京百度网讯科技有限公司员工,住北京市海淀区,户籍地辽宁省本溪市明山区。因涉嫌犯非法控制计算机信息系统罪,于2018年7月18日被羁押,同年8月24日被逮捕。现羁押于北京市海淀区看守所。 辩护人刘伟,北京市法大律师事务所律师。

北京市海淀区人民法院审理北京市海淀区人民检察院指控原审被告人安邦犯非法控制计算机信息系统罪一案,于2019年12月4日作出(2019)京0108刑初80号刑事判决。在法定期限内,原审被告人安邦不服,提出上诉。本院于2020年1月13日立案受理,依法组成合议庭,经过阅卷及讯问上诉人安邦,听取了辩护人的意见,认为本案事实清楚,决定不开庭审理。现已审理终结。

北京市海淀区人民法院判决认定:2018年1月至7月期间,被告人安邦在北京百度网讯科技有限公司(住所:北京市海淀区上地十街10号百度大厦2层)担任服务器运维管理人员期间,利用其负责维护百度公司搜索服务器的工作便利,超越权限,以技术手段在百度公司服务器上部署“挖矿”程序,通过占用计算机信息系统硬件及网络资源获取比特币、门罗币等虚拟货币,后将部分虚拟货币出售并获利人民币10万元。

2018年7月18日,被告人安邦被公安机关抓获归案,其到案后如实供述了上述作案过程。本案审理过程中,被告人安邦退缴人民币11.1万元,现扣押在案。

北京市海淀区人民法院认定上述事实的证据有:

1.被告人安邦的供述、亲笔供词及交易材料打印件证明:其在百度在线网络科技有限公司搜索运维部工作,主要负责将研发部门研发出来的程序发布在百度公司的服务器上,并且对服务器的运行做维护。其个人没有控制百度公司服务器的权限,也没有将百度公司服务器CPU运算资源上传到哈希网站的权限。其在公司使用的IP地址是172.24.168.145,使用的账号名称是安邦的拼音,这个账号是其专用的。2018年4月至今,其使用公司发给其的苹果电脑上的iterm软件操作可以控制所有服务器的中控机,然后通过中控机上传挖矿脚本,并通过iterm软件发出批量下载指令,让200余台服务器下载了挖矿脚本。挖矿脚本可以把百度公司的运算资源上传到哈希网站,哈希网站通过其上传的运算资源挖取门罗币,最后根据其上传运算资源的多少,以比特币的方式向其结算。其从哈希网站将比特币提现到otcbtc.com网站,然后通过这个网站将比特币卖了约10万元人民币,然后买其比特币的人将钱转到了其的支付宝账户里。目前在哈希网站的钱包里,其还存有约1.44个比特币,在otcbtc.com网站里还存有大概1.5个比特币。2018年7月18日10时许,其被百度公司职业道德委员会的工作人员叫到了会议室,到了会议室之后发现有民警在场,其当场就向民警交代了其非法控制百度公司服务器的事实。

2.证人秦某的证言证明:其是百度在线网络技术(北京)有限公司职业道德建设部的负责人。2018年6月初,百度公司通过安全管理监控系统发现大量服务器运行异常,执行了挖矿程序(挖矿程序是指利用服务器CPU的运算资源,从而获取虚拟货币的一种程序),占用了公司服务器的运算资源。百度公司通过调取后台操作日志发现操作人是安邦,是百度公司搜索运维部的高级运维工程师。后台日志显示,安邦于2018年1月起,编译了挖矿程序,并将上述程序部署在公司的服务器上,非法控制百度的155台服务器,获取虚拟货币盈利,并造成百度公司直接经济损失2.7万元。因为安邦是百度公司搜索运维部的高级运维工程师,日常工作中有操作百度搜索服务器的权限,他通过wget下载命令,然后服务器从他指定的地址下载并运行了挖矿程序,再利用这些服务器的运算资源进行虚拟货币的挖掘。安邦是2016年10月1日入职百度公司的,在百度公司搜索运维部工作,工作范围是对百度搜索服务器进行运行维护,但他是没有权限控制百度公司的服务器来上传挖矿软件的,百度公司是禁止从事此类活动的,因为挖矿软件会占用服务器的运算资源,从而导致系统运行速度变慢。

3.营业执照、劳动合同证明:被告人安邦于2016年10月1日入职北京百度网讯科技有限公司(公司住所位于北京市海淀区上地十街10号百度大厦2层),劳动合同期限从2016年10月1日至2019年9月30日,具体职位系从事服务成本类的工作。

4.百度公司出具的机器被控制情况说明、应急服务明细、发票、报案材料、授权委托书证明:北京百度网讯科技有限公司通过安全管理系统发现155台服务器上存在挖矿程序,行为人系通过账号“anbang”进行操作,通过命令操作服务器执行守护程序下发脚本日志共299条,覆盖上述服务器中的150台,时间从2018年5月17日至2018年5月21日。北京百度网讯科技有限公司聘请北京耐特网科技有限公司提供了应急服务,服务内容包括:样本提取、样本分析、服务器日志提取、日志分析、追踪溯源、报告编写,并向北京耐特网科技有限公司支付信息技术服务费人民币2.7万元。2018年7月,北京百度网讯科技有限公司认为安邦涉嫌犯有非法控制计算机信息系统罪,委托秦某向公安机关报案。

5.应急响应服务处理报告证明:2018年7月3日,北京神州绿盟科技有限公司对百度大量服务器挖矿事件进行排查后,发现:百度公司内部服务器上存在挖矿行为,挖矿进程的守护进程程序是账户名为anbang的计算机编译生成的,通过提取样本并分析,挖矿程序中执行的worker程序是账户名为anbang的计算机编译生成的,这些挖矿样本文件不是服务器业务以及运维所需要的文件,所执行的与挖矿程序相关的命令也不属于服务器业务及运维的正常命令;根据安邦账户操作日志,发现攻击者最早执行挖矿程序的时间为2018年1月26日23时4分57秒,最新部署挖矿脚本时间为2018年5月30日23时59分5秒,期间攻击者间断地在其控制的服务器上批量部署挖矿脚本;anbang账户拥有所有挖矿服务器的正常访问权限,使用该账户的攻击者通过连接公司内网,登录服务器并执行挖矿程序,并在正常工作过程中部署挖矿程序。结论为账户名为anbang的计算机编译了挖矿程序,并利用工作便利在2018年1月26日23时4分57秒到2018年5月30日23时59分5秒期间,多次登录并批量在多台百度内部服务器上部署挖矿程序,并利用服务器算力获取虚拟货币(比特币和门罗币)。

6.远程勘验检查笔录证明:2018年7月18日,北京市公安局海淀分局网络安全保卫大队接受北京市公安局海淀分局双榆树派出所委托,对涉案服务器和安邦的计算机进行远程勘验,发现安邦的计算机内存在虚拟货币交易,被告人安邦对上述勘验情况签字认可。

7.鉴定意见证明:北京信诺司法鉴定所接受北京市公安局海淀分局双榆树派出所委托,于2018年8月7日至2018年8月13日期间,对双榆树派出所提交的一张送检光盘内存储的数据进行了鉴定,提取出名称为“miner.tar.gz”的压缩文件1个,对该文件进行解压缩,在“miner\woker\tmp\”提取出名称为“java_4u3”的脚本文件1个;经分析,该脚本文件基于linux系统下运行;通过分析“java_4u3”脚本文件,该文件在运行的计算机自动执行解压缩、创建目录、删除目录、自动连接代理进行网络交换,可以认定该脚本文件对计算机进行了非法控制,并占用计算机硬件及网络资源。

8.扣押决定书、扣押笔录、扣押物品清单证明:2018年7月18日,民警在百度公司将正在上班的被告人安邦抓获后,在现场起获银色苹果笔记本电脑1台、TOKEN密钥1个、苹果4S手机1部、苹果6手机1部、华为手机1部,后将上述物品予以扣押。

9.到案经过证明:公安机关于2018年7月18日将被告人安邦抓获归案。

10.身份证明证明:被告人安邦的基本身份信息。

根据以上事实和证据,北京市海淀区人民法院认为,被告人安邦违反国家规定,采用技术手段对计算机信息系统实施非法控制,情节特别严重,其行为已构成非法控制计算机信息系统罪,应予惩处。被告人安邦虽对其行为性质提出辩解,但其到案后及在庭审过程中对其实施的作案过程均能如实交代,故应认定其具有如实供述的情节,同时结合其能退缴涉案违法所得,故可对其从轻处罚。据此判决:一、被告人安邦犯非法控制计算机信息系统罪,判处有期徒刑三年,罚金人民币一万一千元。二、在案扣押的人民币十一万一千元,其中人民币十万元作为违法所得,予以没收;其中人民币一万一千元,折抵罚金。三、扣押于公安机关的银色苹果牌笔记本电脑一台、TOKEN密钥一个,发还北京百度网讯科技有限公司;苹果牌4S手机一部、苹果牌6手机一部、华为手机一部,退还被告人安邦。

上诉人安邦的上诉理由是:鉴定意见不够准确,不能因为其编写的挖矿程序在服务器中存在创建目录、删除目录的行为就认为其行为属于非法控制计算机信息系统的行为;其承认一审判决认定的事实,但认为该行为不构成非法控制计算机信息系统罪。

安邦的辩护人的主要辩护意见是,第一,北京信诺司法鉴定所不具备鉴定能力,所做鉴定不能作为定案依据;第二,安邦没有非法侵入行为,不构成非法控制计算机信息系统罪,本案事实不清,证据不足,请求改判无罪;第三,一审判决将安邦非法所得中的1.1万元折抵罚金不当。

二审期间,上诉人安邦及其辩护人均未提交新证据。

经二审审理查明的事实和证据与一审相同,本院经审核予以确认。

对于安邦所提鉴定意见不够准确,不能因为其编写的挖矿程序在服务器中存在创建目录、删除目录的行为就认为其行为属于非法控制计算机信息系统行为的上诉理由及其辩护人所提北京信诺司法鉴定所不具备鉴定能力,所做鉴定不能作为定案依据的辩护意见,经查,本案鉴定机构具备鉴定资质,鉴定程序合法,鉴定过程及方法规范,有关“该脚本文件对计算机进行了非法控制,并占用计算机硬件及网络资源”的鉴定意见系基于送检数据文件存在自动执行解压缩、创建目录、删除目录、自动连接代理进行网络交换等行为而得出,意见明确且论证过程并无不当,该鉴定意见可以作为定案根据。因此,安邦的上诉理由及其辩护人的该项辩护意见不能成立,本院不予采纳。

对于安邦所提其承认一审判决认定的事实,但认为该行为不构成非法控制计算机信息系统罪的上诉理由及其辩护人所提安邦没有非法侵入行为,不构成非法控制计算机信息系统罪,本案事实不清,证据不足,请求改判无罪的辩护意见,经查,安邦作为百度公司的运维工程师,基于百度公司的授权确有进入该公司服务器及操作运行服务器的权限,因而其进入该公司服务器的行为本身不属于非法侵入行为。安邦在合法进入百度公司服务器后,操作运行服务器的权限仅限于百度公司的明确授权范围,但安邦却超越百度公司授予的权限,违反百度公司的意志,基于非法获利目的,利用百度公司授予的职权便利擅自在百度公司多台服务器中增加程序目录,部署挖矿程序,占用百度公司服务器运算资源,该行为即属于利用技术手段非法控制百度公司计算机信息系统的违法行为。鉴于安邦非法控制计算机信息系统的数量已超过100台,其行为不仅构成非法控制计算机信息系统罪,且属于情节特别严重情形。安邦的该项上诉理由及其辩护人的该项辩护意见缺乏法律依据,不能成立,本院不予采纳。

对于安邦的辩护人所提一审判决将安邦非法所得中的1.1万元折抵罚金不当的辩护意见,经查,一审法院综合安邦的供述及其他证据从低认定其非法获利的金额为人民币10万元,而在一审期间,安邦退缴人民币11.1万元。一审法院在判决没收其违法所得人民币10万元后,将其余1.1万元用于折抵罚金,处理方式并无不当。因此,辩护人所提该项辩护意见缺乏事实依据,本院不予采纳。

本院认为,上诉人安邦违反国家规定,采用技术手段非法控制计算机信息系统,情节特别严重,其行为已构成非法控制计算机信息系统罪,依法应予惩处。鉴于上诉人安邦在到案后能够如实供述犯罪事实,同时退缴违法所得,可在法定刑幅度内对其从轻处罚。原审人民法院根据安邦犯罪的事实、性质、情节和对于社会的危害程度所做出的判决,事实清楚,证据确实、充分,定罪及适用法律正确,量刑适当,审判程序合法,应予维持。据此,依照《中华人民共和国刑事诉讼法》第二百三十六条第一款第(一)项之规定,裁定如下:

驳回上诉,维持原判。

本裁定为终审裁定。

审 判 长 周维平
审 判 员 相 阳
审 判 员 张干雷
二〇二〇年二月二十五日
法官助理 廖清顺
书 记 员 袁晓琳


本作品是由中华人民共和国各级人民法院作出的裁定。依据《中华人民共和国著作权法》第五条,本作品不适用于该法,所以属于公有领域

Public domainPublic domainfalsefalse