判三年半:报复老东家,重置路由器、更改密码、删除文件,40 余台计算机系统无法正常运行
判三年半:报复老东家,重置路由器、更改密码、删除文件,40 余台计算机系统无法正常运行
2021年8月,云头条有发布《因对医院不满遂产生报复念头,非法入侵内网服务器,远程进行破坏性操作:被捕》的信息。
近日涉案人白某某以破坏计算机信息系统罪,判处有期徒刑三年六个月。
以下为裁决文书内容,供大家参考。
被告人:白某某,男,2021年6月24日因涉嫌破坏计算机信息系统罪被刑事拘留,2021年7月29日被依法逮捕。
法院经审理查明:
2014年6月,白某某入职西安莲湖某中医医院(以下简称某医院)担任网络管理员。
2021年3月中旬辞职后,白某某认为某医院此前常拖欠工资、领导对其工作不重视,继而产生报复心理,加之原同事经常让其帮忙解决网络问题,白某某便产生了制造网络故障让某医院再来找其解决的想法。
2021年3月14日至5月14日,白某某在某医院不知情的情况下,通过某医院VPN(虚拟专用网络)连接,多次通过远程桌面登陆到某医院服务器进行操作,重置了医院的路由器,又在ERP(企业资源管理软件)上更改管理员密码,并重新创建服务器系统账户,还将ERP服务器作为跳板,进入某医院的NODE2服务器内的虚拟机管理系统,将DC2域控虚拟机文件删除,直接导致医院40余台计算机设备无法加域,网络连接出现异常,无法远程访问体检、病人病历等系统数据,医院的网络信息管理系统失效。
事发后,某医院现任网络管理员无法登陆ERP服务器管理员账户进行维护,严重影响了该医院的正常运营。
2021年5月15日,某医院向机关报案。
2021年6月23日民警在西安市未央区XX路西安某某有限公司将白某某抓获。
相关证据:
1、立案决定书、接处警登记表、受案登记表证实:2021年5月15日,某医院报案称其单位计算机服务器内域控系统虚拟主机资料被删除,集群文件被破坏,无法恢复,导致医院系统不能正常转,造成严重后果。5月17日,莲湖分局立案侦查。
2、报案材料证实:
2021年5月14日9:00左右,某医院五楼、六楼办公区域无法上网,无线AP无法上网。
11:30医院工作人员对路由器进行密码重置,发现五层、六层上网权限被删除,重新添加被删除的两个网段后,网络恢复正常。
5月15日8:45登陆虚拟化物理服务器NODE2进行公共网盘维护,发现域控服务器DC2处于关闭状态,无法启动,排查发现虚拟磁盘文件在2021年5月14日23:03删除,虚拟化集群配置被删除。
5月15日17:40对服务器数据库进行备份,更改了服务器本地管理员账号密码,排查发现ERP服务器无法登陆,提示密码错误,查看路由器日志发现有多条VPN登陆记录,怀疑有人恶意登陆破坏信息系统,随后将记录导出。
某医院收集的电脑故障状况图片显示,该院院导医台、专家三诊室、专家四诊室、薛志德医生诊室、西药房、内宣部、网管办、院办主任、医保办、院办宗浩、院办人事、护士长、会计、会计办公室、总院长、四楼护士站、四楼医生办公室、四楼特需门诊等部门的30台电脑均出现不能加域、上网、共享连接打印机等故障。
另有自2021年3月31日开始该院住院部、药房、B超室、人事部、院长等部门电脑不断出现系统无法连接、病历打不开、公共网盘打不开、门诊系统无法登陆等故障的微信截图照片11张。
3、抓获经过说明、查获记录、扣押物品清单证实:
2021年6月23日11时许,民警在西安市未央区XX路XX号西安某某有限公司办公室将白某某抓获,现场查获其作案用的黑色联想笔记本电脑和OPPOR15手机各一部,依法扣押。
4、提取笔录、照片证实:
2021年7月14日13时许,机关从白某某的OPPOR15手机中提取到5月12日至5月14日浏览记录三页,其中有“如何设置域控超级管理员”、“域内如何指定超级管理员”、“如何让域所有用户拥有超级管理员权限”等记录。
5、电子数据现场提取笔录、固定清单、电子证据检查笔录。
案发后,侦查机关从某医院机房内的二台戴尔DellPoweredger720服务器、一台联想ThinkServerTD340服务器、一台睿易RG-NBR6205-E路由器以及白某某的联想黑色笔记本电脑硬盘中提取到VPN连接记录、ERP服务器系统日志、NODE2服务器系统日志、白某某个人电脑日志等相关电子数据,电子数据显示:
(1)2021年3月14日21:56:43,用户baiXXXXXX使用web网页从IP111.18.40.87登陆VPN账号进入某医院内网环境,21:59:44会话保活超时,强制下线。
(2)2021年3月15日16:59:36,用户baiXXXXXX使用windows终端从IP1.85.xxx登陆VPN账号进入某医院内网环境,并尝试使用远程桌面连接多台设备,最终成功连接到TIANYITANG系统。
(3)2021年3月16日13:32:55,用户baiXXXXXX使用windows终端从IP1.85.245.xxx登陆VPN账号进入某医院内网环境,使用Administrator账号登陆ERP系统,13:40:16注销登陆。
(4)2021年3月19日8:01:41,用户baiXXXXXX使用windows终端从IP1.85.xxx登陆VPN账号进入某医院内网环境,8:05:37以内网IP为172.16.xxx名为USER-20170707GE的计算机成功使用Administrator账号登陆ERP系统,8:32:20断开ERP系统内的远程桌面连接,8:34:35注销登陆。
(5)2021年5月12日20:36:44,内网IP172.16.xxx使用Administrator账号登陆某医院ERP系统,20:37:55,用户baiXXXXXX使用windows终端从IP111.18.xxxx登陆VPN账号进入某医院内网环境,后尝试从内网环境下多次使用VPN账号admin进行连接,由于密码错误登陆失败。20:39:04在ERP系统内新建ERP-1账户。21:04:46断开ERP系统内的远程桌面连接,21:11:11注销登陆。
(6)2021年5月12日21:24-21:28,用户liy2015、liy2017从IP111.18.xxxx四次尝试登陆VPN账号进入某医院内网环境失败。
(7)2021年5月12日21:38:20用户baiXXXXXX使用windows终端从IP111.18.xxxx登陆VPN账号进入某医院内网环境,开启隧道接入服务,隧道IP:172.16.xxx,后三次尝试使用VPN账号admin进行连接,但由于密码错误登陆失败,22:13:48,账号baiXXXXXX重新连接内网环境,分配获得内网IP:172.16.xxx,22:16:16账号baiXXXXXX从111.18.xxxx注销登陆。ERP服务器系统日志显示21:33:47,内网IP:172.16.xxx使用administrator账号登陆ERP系统,随后使用USER-20170707GE的计算机,用administrator账号远程桌面连接至ERP系统内,21:37:02重置ERP系统administrator账户密码,21:50:26重启windows系统。
(8)2021年5月14日14:17,用户liy2015尝试从IP:123.138.75.10登陆VPN账号,由于用户名或密码错误登陆失败。14:17:53,用户baiXXXXXX使用web网页从IP:123.138.75.10登陆成功,进入某医院内网环境,14:21:03会话保活超时,强制下线。
(9)2021年5月14日14:22,用户baiXXXXXX使用windows终端从IP117.136.xxxxx登陆成功,进入某医院内网环境,开启隧道接入服务,隧道IP172.16.xxx。后多次尝试使用“super”、“admin”的账户从内网环境登陆VPN由于账户不存在或者密码错误登陆失败。14:27:31,用户账号baiXXXXXX从IP117.136.xxxxx注销登陆。
(10)2021年5月14日19:32,用户baiXXXXXX使用windows终端从IP111.18.xx登陆成功,进入某医院内网环境,开启隧道接入服务,隧道IP172.16.xxx,随后多次尝试用“admin”、“super”、“administrator”、“赵某某”、“123”、“ZGG”、“zgg”、“tyt”、“baiyj”等账户从内网环境登陆VPN,由于账户不存在或者密码错误登陆失败,最后在内网环境下使用VPN账号“baiXXXXXX”成功登陆,外网链接被挤掉线。
(11)2021年5月14日19:41,用户baiXXXXXX使用windows终端从IP111.18.xx登陆成功,进入某医院内网环境,开启隧道接入服务,隧道IP172.16.xxx,19:44以该内网IP使用administrator账号登陆ERP系统,修改了ERP系统的账户“ad”,后禁用了ERP系统的账户“ad”。
(12)2021年5月14日22:42,用户baiXXXXXX使用windows终端从IP111.18.195.12登陆成功,进入某医院内网环境,开启隧道接入服务,隧道IP172.16.xxx,22:44以该内网IP使用administrator账号登陆ERP系统。22:52-22:53,多次尝试在ERP系统下使用“administrator”、“Administrator”等账户登陆NODE2系统,由于用户名不存在或密码失效而登陆失败,后使用“Administrator”成功登陆进入NODE2系统。该时段内,NODE2服务器内hyper-v虚拟机报错,无法正常启动。
(13)2021年5月16日21:57,用户baiXXXXXX使用windows终端IP111.19.xxx登陆成功,进入某医院内网环境,开启隧道接入服务,隧道IP172.16.xxx,21:58以该内网IP使用administrator账号登陆ERP系统,多次尝试在ERP系统下使用“Administrator”、“administrator”、“vmm”、“admin”、“fudd2014”、“scvmm”等账户登陆NODE2系统,由于用户名不存在或密码失效而登陆失败。
6、侦查实验过程说明及所附视频:2021年6月23日16:02-19:33,机关使用实验笔记本电脑进行了侦查实验,还原了白某某作案侵入某医院内网环境的过程,全程录像。
7、调取证据通知书、IP和MAC地址查询结果、宽带账号说明。
侦查机关向中国移动西安分公司、中国联通西安分公司、中国电信西安分公司三家运营商查询涉案的对应IP所绑定的宽带和MAC地址,证实:2021年5月12日20:37、21:38、5月14日22:42,中国移动宽带用户1389192****(白某某使用的手机号)b0:53:65:7d:62:f2登陆某医院服务器IP111.18.xxxx;2021年5月14日19:32、19:41该移动宽带用户登陆某医院服务器IP111.18.xx,5月14日22:42登陆某医院服务器IP111.18.195.12,5月16日21:57登陆某医院服务器IP111.19xxx。
2021年5月14日14:17,曾登陆某医院内网环境的IP:123.138.75.10地址为西安某某有限公司100M442(案发时白某某所在的新单位)。
2021年3月15日16:59、3月16日13:32、3月19日8:01登陆某医院内网的IP1.85.xxx、IP1.85.245.xxx、IP1.85.xxx地址用户为西安华力装备科技有限公司(白某某从某医院离职后的入职单位),账号分别为029********、029********,与西安华力装备科技有限公司提供的公司宽带账号一致。
8、证人夏某某(某医院职工)的证言:
2021年5月15日早上,某医院网络管理员发现服务器内域控系统虚拟主机里的资料被删除,导致医疗系统不能正常运行,用于搭建域控系统的文件丢失,无法恢复。
9、证人邱某某(某医院院长)的证言:
某医院使用的是方易医院管理系统V1.0,共有75台计算机在使用。
该系统串联了医院所有科室的业务,各科室可以通过该系统进行信息传递,系统与外网不连接。
2021年3月19日某医院的计算机系统出现异常,首先是放射科异常离线,后来陆续别的科室也现现类似问题,医院一直在修复,直到5月15日早上,发现医院的大屏幕连接不上了,到了5月15日11时左右,发现服务器虚拟机镜像被删除,导致整个医院计算机系统陆续出现故障,挂号处网络连接不上,药库无法录入新的药品,放射、B超、检验无法串联,病历无法输入,无法打印,电子显示屏无法使用,医院业务无法正常运行。系统无法恢复后,医院重新搭建了新的名叫healthone信息系统,花费38万元。
10、证人赵某某(某医院网络管理员)的证言:
2021年3月其入职某医院,3月13日和医院之前的网管白某某交接了工作,交接的内容是HIS系统、ERP、路由器账号密码、防火墙账号密码、其它系统的管理员账号密码以及硬件交接,没有交接VPN账号密码。
白某某未告知其路由器上有架设VPN的服务,其事后排查时才发现,接手时没有更改密码,系统出现问题后才改动密码,但是还是有异常情况,2021年4月11日左右,系统主域控被破坏,造成医院电脑不能用域控用户账户登陆,当时启用了备份DC2,系统暂时恢复正常;2021年5月11日,路由器里面网段的设置被删除,造成医院一楼至四楼、六楼的外网连接不上,登陆发现路由器密码被修改,其通过硬件重置后找回了备份,还原了设置。
2021年5月15日早上巡检系统发现备用域控DC2磁盘文件被删除,服务器集群被破坏,公共网盘的部分资料被删除,ERP系统登陆密码也被修改,造成医院的电脑使用域控账户不能登陆、电脑不能进行网络打印机共享、部分医疗系统软件不能正常使用,部分以前的病人资料丢失。被破坏的应是NODE2上面的DC2,没有修复可能,只能搭建新的系统。
11、证人孟某某、陈某某、葛某某、汤某某、伍某某、张某甲、杜某某、张某乙的证言。八名证人均系某医院职工,均证实各自在白某某从某医院离职后因电脑网络问题求助于白某某。
12、白某某的供述:
2014年6月其入职某中医医院,2021年3月离职,离开后常应前同事要求帮忙处理某医院的网络故障问题。
大概在3月16日左右,其在某某装备有限公司上班时多次通过公司电信网络访问过某内网,5月14日左右在某某有限公司上班期间午休时通过公司的联通网络访问过某,3月、5月晚上,也曾在某某社区家中通过移动宽带多次访问过。
之前在某中医医院上班时,经常拖欠自己工资,领导不重视其工作岗位,认为可有可无,其心里不舒服,下决心要走,离职后同事常找其帮忙,其熟悉某的系统,有些报复心理,便通过自己的笔记本电脑多次通过VPN通道使用远程桌面登陆到某医院财务(ERP)服务器操作,再从ERP服务器使用远程桌面连接到其他服务器。
进入ERP服务器之后,其修改了Administrator的账户密码,还创建了一个ERP-1新账户,禁用了一个账户。
从ERP服务器通过远程桌面进入到NODE2服务器,将域控虚拟机DC2磁盘镜像删除。
在此过程中,医院的人将路由器重置,其无法进入内网,XX路XX路由器设置恢复到之前的状态。
DC2镜像删除后其尝试登陆近四十次NODE2服务器,目的是想看NODE2服务器上搭建的医院新的系统项目。
DC虚拟机删除后,某医院的计算机就无法加域了,体检、病例、his也无法加域,系统功能无法被正常访问。
其还重置了医院网络VPN出厂设置,在WRP上删除原管理员密码,导致医院无法正常登陆ERP后台,无法维护医院后台所有程序,并增加了只有其本人才能登陆的管理员账号,隐藏了医院病历模板,误删了域控程序文件,导致医院域控无法登陆,删除了DC2磁盘镜像,致使医院网络异常,日常工作瘫痪,无法正常开展工作。
13、工作交接清单证实:2021年3月13日,白某某与赵某某进行了工作交接,
14、指认笔录。白某某对查获的作案工具笔记本电脑、手机进行了指认。
15、员工信息登记表、考勤表及离职证明、劳动合同证实,白某某于2014年入职陕西某某医疗投资集团有限公司(某医院创办人),担任网络安全工程师,2021年3月10日离职。2021年3月15日至2021年5月,在西安某某装备科技有限公司信息部工作。2021年5月18日入职西安某某有限公司。
16、西安莲湖某中医医院营业执照、医疗机构执业许可证。
17、赔偿协议书、收条、谅解书证实:2021年11月29日,白某某的亲属代其赔偿某医院5万元,某医院对白某某表示谅解。
18、人口信息证实:白某某案发时已成年,具备完全刑事责任能力。
法院裁定:
法院认为,白某某违反国家规定,对计算机信息系统功能进行删除、修改、增加,造成其原任职的医疗机构计算机信息系统不能正常运行,后果严重,其行为已触犯《中华人民共和国刑法》第二百八十六条第一款之规定,构成破坏计算机信息系统罪。
西安市莲湖区人民检察院指控白某某的主要犯罪事实和罪名成立。
关于白某某犯罪行为危害后果的严重程度,被害单位某医院称致使其单位75台电脑和医疗设备的运行全部受到影响,但该情节仅有证人邱某某(时任某医院院长)的证言及该医院自身出具的情况说明支持,缺少准确的客观证据证实,白某某对此亦提出异议,而某医院报案时收集的故障电脑图片资料显示仅有40余台电脑出现不能加域、上网、共享和连接打印机等故障,二者相互矛盾,在此法院采信对被告人有利的后者,认定其行为造成40余台计算机系统不能正常运行,综合评估,其犯罪情节并未达到后果特别严重的程度。
鉴于白某某归案后能如实供述主要罪行,自愿认罪,系初犯,亲属代其赔偿被害单位取得谅解,法院依法予以从轻处罚,辩护人的相关辩护意见,法院予以采纳。
结合本案被告人犯罪的事实、性质、情节及社会危害程度,依照《中华人民共和国刑法》第二百八十六条第一款、第六十七条第三款、第六十四条、《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条第一款之规定,判决如下:
一、白某某犯破坏计算机信息系统罪,判处有期徒刑三年六个月
二、扣押在案的作案工具黑色联想笔记本电脑一台、OPPOR15型手机一部,由机关依法没收。