全球最大游戏外挂案“收网”背后
内容速读:
何某某是在天津的家中被逮捕的。作为全球最大的外挂组织Cheat Ninja的全球运营负责人,“九条杠”负责线上的人员招募,也负责全球多项销售业务,有权指定成员们分成比例,在这个线上组织里担任着举足轻重的角色。正是王某某的落网牵出了这个全球最大的游戏外挂组织的踪迹,同时也包括王某某的上家“九条杠”。警方认为这是全球最大的一起游戏外挂案件。
何某某是在天津的家中被逮捕的。
那是一间简陋的公寓,住在里头的何某某是个小公司的小职员,每月工资只有3000元。
何某某在网络上的另一个身份叫“九条杠”。作为全球最大的外挂组织Cheat Ninja的全球运营负责人,“九条杠”负责线上的人员招募,也负责全球多项销售业务,有权指定成员们分成比例,在这个线上组织里担任着举足轻重的角色。在抓获“九条杠”的同时,警方也在他的名下查获了价值2600多万元人民币的虚拟币以及房产、车辆等财物。
就在“九条杠”被逮捕的几天前,位于湖南长沙的另一名成员、在组织中担任全球财务负责人的王某某——他在网络上被称为“王总”——刚刚落网。正是王某某的落网牵出了这个全球最大的游戏外挂组织的踪迹,同时也包括王某某的上家“九条杠”。
比起“九条杠”,王某某对于自己获得的巨额财富并不那么避讳。根据警方的查证,王某某名下有多辆豪车,包括劳斯莱斯、法拉利、兰博基尼、迈凯轮等,总价值近3000万。
警方认为这是全球最大的一起游戏外挂案件。除了涉案金额大,这个案件也涉及众多游戏产品,具有代表性的是去年颇受影响的《和平精英》。同时,这个组织的成员数量多、分布广,外挂的开发者涉及多个国家和地区的技术人员。随着两个重要角色的落网,警方在深圳、郑州等地也抓获了多名Cheat Ninja组织成员。
目前,何某某、王某某等嫌疑人因涉嫌提供侵入、非法控制计算机信息系统程序、工具罪,已被依法采取刑事强制措施。而在这次打击后,Cheat Ninja背后的全球网站、社区、下载站关闭,外挂加载启动器也无法运行。至此,Cheat Ninja组织所制售的、名为“鸡腿挂”的外挂彻底消失,与之相连的黑色产业链也被彻底切断。
■ 1
“我们在2018年就已经盯上了这个组织。”易帆说。
易帆是腾讯守护者计划的安全专家。腾讯守护者计划成立于2016年,是腾讯基于大数据、底层技术以及用户的优势,与政府、行业以及民众共同构建的打击治理网络犯罪的公益平台。这个计划连接了腾讯所有的产品和平台,处理与那些产品和平台相关的安全事件。
“我们的工作分为不同的维度,比如犯罪研究、风险防控、技术支持、用户教育等等,都是我们在做的事情。而每个维度底下又分为不同方面,比如打击网络犯罪,其中包括电信网络诈骗、网络赌博、淫秽色情、野生动物保护等等。”易帆说,“对于和我们公司平台和产品有关联的黑灰产,我们都会协助警方进行调查。”
最初的线索往往来自于一些玩家的举报投诉,以及易帆他们日常对于行业的观察。安全团队在2018年注意到了这个外挂组织的存在,当时这个组织叫作“Sharp Shooter”,从2018年起制售《和平精英》和《PUBG Mobile》两款游戏的外挂,这个外挂程序被称作“鸡腿挂”。在“鸡腿挂”运行后,玩家在游戏中可以实现自动瞄准射击和透视敌人信息等功能。
制售外挂的Sharp Shooter“从一开始就呈现出相当程度的专业化”。易帆说,在制售外挂的同时,这个组织迅速搭建了一个面向全球的官网,“语言覆盖了中文、英文和阿拉伯文,这或许说明他们一开始就怀有巨大的‘野心’”。
守护者计划安全团队搜集了一些线索移交给警方,警方也对这个组织进行了初步的调查和打击。“在当时的阶段确实取得了一定的效果,但从现在看来,那一次打击并没有影响到这个组织最核心的层面。”易帆表示,Sharp Shooter作为专业化的外挂组织具有一定的反侦查能力,比如他们在2018年就已经懂得使用虚拟币进行隐蔽的支付。因为“专业能力”突出,这个组织逐渐成为其他外挂制售者的学习对象。“很多人破解了他们的外挂再卖出去,也有一些外挂厂商山寨冒充Sharp Shooter的‘鸡腿挂’进行销售……这个组织在行业里的影响力越来越大,并且还做起了其他游戏的外挂。”
无论对于安全团队还是警方来说,Sharp Shooter都是一个颇有追踪难度的组织。他们有网站,但网站的注册信息全部处于隐藏状态,服务器也全都架设在国外,所有核心成员都使用隐蔽的通讯工具和协同办公软件进行交流,从技术上难以干预。并且他们使用的所有支付方式都是虚拟加密货币,这也增加了追查的复杂程度。
2019年,这个组织进入了快速发展的时期。他们在全球招募代理商,搭建了自己的社区论坛,玩家们可以在论坛中交流自己的使用心得,也可以对外挂提出意见。他们还制作了一个叫作“All Cheats One Loader”的启动器——这个启动器的功能相当强大,玩家可以通过这个启动器直接使用包括《和平精英》在内的多款全球知名游戏的外挂。
“相当于已经形成了外挂发展史上没有见过的一种组织形态。”易帆说,“当时我们花了很大的精力对它进行调查,并且协助警方开展了第一拨针对这个黑产组织的打击。”
2020年5月,在安全团队提供新一轮的线索后,警方对Sharp Shooter进行了第一拨深度打击。根据警方提供的案情介绍,在那一次执法行动中,警方“辗转6省9地,一举捣毁了17个在线外挂交易和机器人发卡平台”,并抓获了这个组织的国内总代理、分销商共十几人,进一步获取了情报线索。
虽然只抓获了销售团队的成员,但警方的执法行动显然对Sharp Shooter的业务展开造成了不小的冲击。随后,他们的网站上出现了一个公告,一个头像为漂亮女性的管理员表示,“由于腾讯公司和中国有关部门的相关行动导致两名中国区版主以及多名主要代理商被抓……我们不得不决定停止在中国市场销售‘鸡腿’《和平精英》辅助……即日起停止‘鸡腿’《和平精英》作弊软件的销售活动,并不再对未来的《和平精英》新版本游戏进行更新。”
讽刺的是,这位管理员在公告的最后感谢了“中国用户一路以来对我们的支持”,并且表示,“我们接下来会努力为大家提供其他优质的游戏作弊产品”。
“这个管理员就是‘九条杠’。”易帆说。
■ 2
抓捕“九条杠”的过程相当惊险。
根据警方的案情通报,这一轮的抓捕行动是从今年1月开始的。起初警方抓获的是全球财务负责人、位于湖南长沙的王某某。王某某的主要职责是将销售外挂的利润分发给上线,而他的其中一个上线是代号为“Li”的全球运营负责人。每隔10天,王某某就要给全球的成员发放薪酬,其中也包括“Li”。也就是说,如果在下次薪酬发放前没有抓到“Li”,就有可能引起他的警觉。
“警方当时已经关注到这个人,只是一直怀疑他在海外。后来经过警方的调查,确认他人在国内,并且就在天津。”易帆告诉触乐,当时昆山警方连夜乘机前往天津,与当地公安一起将“Li”抓获——事实上,这个代号为“Li”的人,就是被称为“九条杠”的何某某。当“九条杠”被抓获时,距离下次薪酬发放只剩下几个小时。
在易帆看来,能够获得今天这样的成果并不容易。他向触乐回顾了警方这场持续了将近一年的打击行动:2020年2月第一轮打击专项启动,5月第一轮打击落地,10月调查工作取得关键进展;2021年1月开展第二轮打击行动,全球最大的外挂案件宣布告破。“在这个过程中,无论是我们还是警方都克服了不少难题。”易帆说。
在安全团队协助警方追查期间,这个外挂组织也曾经试图隐藏自己的踪迹。在去年5月那次执法行动后,他们对“品牌进行了一次整合升级”,将组织的名字改为“Cheat Ninja”,又将技术团队和销售团队做了整合,同时调整了之前的官网和社区。当时这个组织在行业里已经相当出名,他们堂而皇之地在自己的网站上进行招募——网站页面上有两个招募入口,一个是开发者招募,另一个是代理商招募——乍一看几乎就像个正经的互联网公司。
“是的,Cheat Ninja这个组织跟其他外挂组织有显著的不同。”在采访中,易帆简单介绍了目前外挂市场的情况,“这几年外挂的门槛被不断地拉低,在制造外挂的过程中,很多技术能力都已经工具化了。通过那些通用工具,再去外挂论坛学习一些相关知识,再看一些教程,就可能学会了外挂开发,但这种只是整合的工作——你可以理解为富士康工厂模式,自己拿来很多零配件进行组装,组装出一个能用的外挂。”
但Cheat Ninja从头到尾都是自己干的。按照易帆的说法,他们将各个部门的核心技术都掌握在自己手上,从开发到分销,所有的流程都密不透风。“如今国内小型外挂工作室都是把他们所需要的功能模块或者通用服务拿来就用,这是一种相对普遍的做法,但Cheat Ninja不是这样。那些全球代理商提货所使用的发卡平台、虚拟币支付系统和外挂程序使用的加密验证平台等等,都是Cheat Ninja自己内部研发的。”
Cheat Ninja之所以发展到如此强大的地步,与他们公式化、体系化的架构是分不开的。虽然是个制售外挂的非法机构,但他们的运转逻辑与普通的互联网公司无异。“开发团队里的技术人员就有十多个,各自又分为2到5人不等的小团队,这些小团队有负责苹果开发的,负责安卓开发的,负责虚拟机开发的,负责技术立项的,负责安全检测的……当然,还有销售、网站设计、前端后端等等。”易帆说,“不同团队的分工很明确。他们只需要做自己专业的事,对每个环节的技术都吃得很透,这样才能跟我们的专家团队进行长期的技术对抗。”
但这个组织终究还是落网了。3月26日,警方正式通报案情,#全球最大游戏外挂案告破#的话题登陆微博热搜,在平台上获得了千万阅读。人民网、财经网、《现代快报》等媒体均对事件进行了报道。在抖音平台,“昆山警方破获全球最大游戏外挂案”的话题获得400万热度,登陆抖音热榜TOP 51位。
从2018年开始,这场持续了大约3年的对抗正式落幕。随着“王总”“九条杠”等人相继落网,Cheat Ninja也将从此消失在外挂产业链中。
■ 3
虽然Cheat Ninja是安全团队多年来对抗的老对手,但直到几个嫌疑人被抓捕归案、清算财产,易帆才意识这个组织和组织里的成员们通过外挂产业积累起了多么惊人的财富:5个亿的流水、几千万的虚拟货币、几千万的豪车……在警方的案情通报里,落网的王某某表示,当他发现售卖外挂能够获得很高收益的时候,“根本停不下来”,没有去想后果会有多严重。
比起住在简陋公寓、每个月拿3000元工资、过着低调生活的“九条杠”,代号为“王总”的王某某通过售卖外挂过上了相当奢侈的生活。在王某某被抓获的时候,他名下的豪车价值高达2000多万元。易帆告诉触乐,王某某赚的钱基本都用来购置豪车。“这些豪车多半也不能直接买到,很多都要花上半年到一年的时间订购。在全球疫情期间,很多车都升值了,如今订都不一定订得到。他还热衷于给这些车做顶级的改装,很多车在做了改装以后,已经没法在平常的路面上行驶了,必须下赛道或者去特定的地方才能开,所以他自己还有一部拖车,专门用来把这些车拖到他想去的地方……”当警方查扣他的车辆时,“最贵的那辆劳斯莱斯库里南才开了300多公里,很多车甚至是刚刚才提的”。
从来没有一个外挂案件能够牵涉到这么多钱、这么多人以及这么多款产品。“黑产团伙内部的能力和他们获得的收益完全超乎我们的想象……从另一个角度来说,他们对游戏公司的损害也是相当巨大的。”易帆告诉触乐,虽然外挂的存在让游戏公司蒙受了损失,但如何评估这种损失是相当困难的。哪怕在这起全球最大的外挂案件中查获了数亿的涉案金额,“游戏公司也很难证明这些黑产分子获得的收益跟我们的损失有一个直接的、法律上的印证关系”。
另外,外挂案件在法律层面上有时也会遇到一些难题和困境。“很多人不知道制作和销售外挂是违法犯罪的行为,易帆说,“而到了司法层面,对于制作外挂的罪名也有不同的理解……比如是属于计算机犯罪,还是侵犯著作权、非法经营?在罪名上每个地方常常有一些不同的法律适用,但犯罪的事实是可以确定的。”
打击网络犯罪是一条没有终点的路。这个目标捣毁了,立马会有下一个目标。对于易帆和整个安全团队,乃至于《和平精英》来说,对于Cheat Ninja和所有危害玩家游戏安全的外挂团伙的打击并不是结束。
■ 4
虽然对于Cheat Ninja的追查暂时告一段落,但易帆的心情并不轻松。
“一开始是震惊……当警方调查到数亿的涉案流水,查扣了那么多的豪车和财产,这实在超出我们对传统外挂黑产的认识,希望在我们打击了这个团伙之后,外挂黑产的风气能够在一定程度上被扭转。
易帆继续说,“从游戏公司的角度来说,打击外挂组织当然是必要的。Cheat Ninja是目前已知全球最大的手游外挂黑产组织,我们在它快速发展的时期、在关键的节点遏制了它。如果这个组织没有被铲除,以这样的发展模式进行下去,以后对整个行业可能都会造成相当恶劣的影响,更多优秀的游戏产品也会受到他们的侵害……”
“但我们成功阻止了它。”他说。
《和平精英》项目组向我们强调,长期以来,《和平精英》项目组一直致力于打造绿色公平的游戏环境,对游戏外挂零容忍。“游戏内安全机制优化、外挂对抗打击和法律手段,3种形式三面一体,随时守护着游戏的安全,与外挂对抗到底。通过不断优化视频巡查系统,让玩家共同加入到打击外挂的行列中来;不间断的外挂对抗和技术累积,让外挂打击的效率不断提升;一旦发现外挂背后组织的蛛丝马迹,《和平精英》更是拿起法律武器守护玩家的游戏环境安全。”
项目组告诉触乐,除了腾讯游戏安全中心以外,《和平精英》还得到了腾讯守护者计划、腾讯110等专业安全团队的支持。对于制作、经营、传播各类游戏外挂、程序工具等破坏游戏体验的行为,始终秉持“零容忍”的态度并将依法予以严厉打击,维护玩家的游戏安全。项目组介绍说,游戏内也有玩家自愿加入的“视频巡查团队”,通过视频巡查协助判断玩家是否违规,“由法律、游戏、专业安全团队、玩家组成的防护网,随时守护着游戏的安全,维护每个玩家公平竞技、绿色游戏的环境,是《和平精英》一直的坚持。”
而对易帆而言,这是一份好工作。这份工作最大的意义是,他在一定程度上拥有了能力,去解决那些更大的问题。 “来到腾讯后,我发现这里有一个很大的平台,我在这里可以更多地从行业的角度、社会的角度对各种各样的黑灰产进行分析和对抗,并且切实地解决一些问题。”
“说来说去,我自己从小也是一个重度游戏玩家呀!虽说没有想到最后去从事网络犯罪的打击工作……”易帆最后说道,“哪怕是作为玩家,也要伸张正义的嘛!”