Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố 12 bị can về tội Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật và tội Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác.
Trong đường dây này, cơ quan công an xác định một nam sinh lớp 12, trú tại phường Hạc Thành, tỉnh Thanh Hóa giữ vai trò cầm đầu, điều phối kỹ thuật trong hoạt động phát tán mã độc quy mô toàn cầu.
Cơ quan công an làm việc với X. Ảnh: Công an Thanh Hóa
Lựa chọn sai lầm
Báo Dân trí dẫn thông tin từ tài liệu điều tra cho hay, năm 2023, N.V.X. (tên nhân vật đã được thay đổi, là học sinh lớp 12) bắt đầu tự tìm hiểu và học các ngôn ngữ lập trình như Python, C++ để viết các chương trình chạy trên máy tính.
Ban đầu, học sinh này lập trình các chương trình chỉ nhằm mục đích học hỏi, nghiên cứu và thử nghiệm những ứng dụng tin học đơn giản. Tuy nhiên, trong quá trình tìm hiểu sâu hơn về cấu trúc hệ điều hành và cách lưu trữ dữ liệu trên máy tính, X. nảy sinh ý định xây dựng các đoạn mã có khả năng truy cập vào dữ liệu lưu trong trình duyệt web của người dùng.
Đến năm 2024, X. lập trình thành công một bộ mã nguồn có chức năng đánh cắp dữ liệu từ máy tính và tìm cách vượt qua các lớp bảo vệ cơ bản của hệ điều hành. Từ những dòng mã ban đầu viết để thử nghiệm, thông qua mạng xã hội Telegram, X. quen Lê Thành Công (28 tuổi, trú tại Hà Tĩnh). Sau một thời gian, Công tiếp tục giới thiệu X. cho Phan Xuân Anh (SN 2005, trú tại Nghệ An).
Từ đây, nam sinh bắt đầu tham gia sâu vào hoạt động phát tán mã độc khi nhận lời lập trình các tệp chứa mã độc để Công phát tán.
Công an dẫn giải đối tượng trong đường dây với X. về cơ quan điều tra. Ảnh: Công an Thanh Hóa
Hưởng lợi từ việc khai thác dữ liệu đánh cắp
Sau khi tiếp cận với X., đối tượng Phan Xuân Anh đặt vấn đề nhờ lập trình một loại mã độc mới có tên “PXA Stealers” với chức năng đánh cắp thông tin trên máy tính và chiếm quyền quản trị máy tính của nạn nhân. Hai bên thỏa thuận, X. sẽ hưởng 15% trên tổng số lợi nhuận thu được từ việc khai thác dữ liệu đánh cắp, thông tin trên tờ Bảo vệ Pháp luật.
Theo phân công trong đường dây, X. chịu trách nhiệm lập trình, chỉnh sửa và cập nhật các phiên bản mới của mã độc, trong khi Phan Xuân Anh và các đối tượng khác đảm nhận việc phát tán mã độc và khai thác dữ liệu thu thập được từ các máy tính bị nhiễm.
Từ tháng 8/2024 cho đến khi bị bắt, X. đã nhiều lần giúp Phan Xuân Anh xây dựng ra các phiên bản khác nhau của mã độc PXA Stealers, để phát tán đến các người dùng ở trong và ngoài nước. Đồng thời, thường xuyên cập nhật, chỉnh sửa mã nguồn của mã độc để có thể vượt qua các lớp bảo vệ của hệ điều hành.
Để tiếp tục mở rộng phạm vi hoạt động, khoảng tháng 11/2024, Phan Xuân Anh đã giới thiệu Nguyễn Thành Trường (sử dụng tài khoản Telegram “Adonis”) với X. Thông qua sự giới thiệu, Trường đã liên hệ, trao đổi và “đặt hàng” với X. xây dựng một mã độc đặt tên là Adonis (viết tắt là AND) với giá 500 USD, có cùng tính năng như mã độc PXA Stealers.
Trường thống nhất sẽ chia lợi nhuận từ việc khai thác dữ liệu thu thập được cho X. từ 50 - 100 USDT/mỗi lần kiếm được tiền từ việc khai thác dữ liệu thu được. Sau khi tạo lập xong mã độc X. đã chuyển cho Trường để sử dụng vào mục đích vi phạm pháp luật.
Lực lượng công an kiểm tra tang vật vụ án. Ảnh: Dân trí
Thủ đoạn phát tán mã độc tinh vi
Theo tài liệu điều tra, phần lớn các máy tính bị nhiễm mã độc thuộc về người dùng Internet tại nhiều quốc gia trên thế giới, chủ yếu tại các nước ở châu Âu, châu Mỹ và một số quốc gia châu Á.
Đáng chú ý, các tệp chứa mã độc thường được thiết kế có biểu tượng giống các tệp tài liệu thông thường như file PDF hoặc văn bản nhằm đánh lừa người sử dụng. Tuy nhiên, thực chất đây là các tệp thực thi có đuôi “.exe”.
Sau khi được cài đặt, mã độc sẽ hoạt động ngầm trên máy tính của nạn nhân, thu thập các thông tin lưu trên máy tính như cookies đăng nhập, mật khẩu trình duyệt, dữ liệu tự động điền, địa chỉ IP và nhiều thông tin quan trọng khác. Các dữ liệu này sau đó được tự động gửi về các máy chủ hoặc hệ thống Bot Telegram do các đối tượng quản lý để tiếp tục khai thác.
Ngoài ra, thông qua phần mềm điều khiển từ xa đã được cài đặt sẵn, các đối tượng còn sử dụng máy chủ ảo (VPS) để truy cập trực tiếp vào các máy tính bị nhiễm mã độc, từ đó chiếm quyền điều khiển máy tính của nạn nhân và tiếp tục khai thác dữ liệu.
Tờ Công an Đà Nẵng dẫn thông tin từ cơ quan điều tra xác định, đã có hơn 94.000 máy tính của người dùng tại nhiều quốc gia trên thế giới bị nhiễm các loại mã độc do nhóm đối tượng này phát tán. Từ các dữ liệu đánh cắp được, các đối tượng chủ yếu khai thác các tài khoản mạng xã hội, đặc biệt là tài khoản Facebook có chức năng chạy quảng cáo.
Sau khi chiếm quyền kiểm soát các tài khoản này, các đối tượng sử dụng chúng để chạy quảng cáo bán hàng trực tuyến trên gian hàng Betamax và hưởng hoa hồng hoặc có thể bán thông tin tài khoản Facebook của nạn nhân cho bên thứ 3 để thu lợi bất chính.
Bước đầu cơ quan điều tra xác định, các đối tượng trong đường dây đã thu lợi bất chính hàng chục tỷ đồng từ việc lập trình và chỉnh sửa mã độc.
Vụ án nam sinh lớp 12 cầm đầu đường dây tội phạm mạng xuyên quốc gia không chỉ là một chiến công của lực lượng an ninh, mà còn là một nốt lặng đầy xót xa về sự lệch lạc trong định hướng tài năng.
Từ những dòng code tự học mang tính nghiên cứu, ranh giới giữa một chuyên gia công nghệ tương lai và một tội phạm mạng nguy hiểm đã bị xóa nhòa chỉ bởi sự cám dỗ của đồng tiền "ảo" nhưng hậu quả thực.
Đây là bài học đắt giá về việc thượng tôn pháp luật trong không gian số: Mọi hành vi xâm phạm quyền riêng tư, dù tinh vi đến đâu dưới lớp vỏ bọc tài liệu PDF hay các phần mềm ẩn danh, cuối cùng đều sẽ bị đưa ra ánh sáng.
