Tiến hành khám xét nơi ở, bắt nam sinh lớp 12 ở Thanh Hóa viết mã độc xâm nhập hơn 94.000 máy tính trên toàn thế giới

Theo Công an tỉnh Thanh Hóa, ngày 25/3, cơ quan chức năng khởi tố 12 bị can liên quan đến hành vi Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật quy định (Điều 285, Bộ luật hình sự) và tội Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác (Điều 289, Bộ luật hình sự).

Đáng nói, trong số các bị can này có một người là học sinh lớp 12, trú tại phường Hạc Thành, tỉnh Thanh Hóa.

Theo điều tra ban đầu của Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh Thanh Hóa, khoảng năm 2023, N.V.X., (tên nhân vật đã được thay đổi) trú tại phường Hạc Thành, tỉnh Thanh Hóa (hiện đang là học sinh lớp 12 trên địa bàn tỉnh) đã bắt đầu tự tìm hiểu và học các ngôn ngữ lập trình như Python, C++… để viết các chương trình chạy trên máy tính. Ban đầu, X. chỉ thử nghiệm các chương trình đơn giản.

Càng tìm hiểu sâu về cấu trúc hệ điều hành, cách lưu trữ dữ liệu trên máy tính, X. nảy sinh ý định xấu, xây dựng các đoạn mã có khả năng truy cập vào dữ liệu lưu trong trình duyệt web của người dùng.

Đến năm 2024, X. đã lập trình thành công một bộ mã nguồn có chức năng đánh cắp dữ liệu từ máy tính, thu thập dữ liệu lưu trên trình duyệt của người dùng như cookies đăng nhập, mật khẩu đã lưu, dữ liệu tự động điền và nhiều thông tin nhạy cảm khác. Sau khi có được thông tin, các đoạn mã này sẽ đóng gói dữ liệu thu thập được thành các tệp tin và gửi về máy chủ do đối tượng thiết lập.

Tháng 7/2024, thông qua mạng xã hội Telegram, X. quen biết với Lê Thành Công (SN 1998), trú tại tỉnh Hà Tĩnh. Công nhờ X. phát triển giúp mã độc để phát tán nhằm thu thập các thông tin nhạy cảm như dữ liệu cá nhân. X. đã lập trình các file mã độc, nén lại thành file ZIP rồi chuyển cho công. Các dữ liệu đánh cắp được từ máy tính của nạn nhân sau đó sẽ tự động gửi về các hệ thống Bot Telegram do các đối tượng thiết lập và quản lý như “STC New Logs”, “STC Notification”, “STC Reset Logs”.

Sau khi có dữ liệu, nhóm đối tượng tiếp tục khai thác để bán. Tuy nhiên, thời gian đầu, hiệu quả không cao nên Lê Thành Công đã giới thiệu X. cho Phan Xuân Anh (SN 2005), trú tại Nghệ An, có tài khoản Telegram “Mr Bean”, tiếp tục hợp tác trong việc phát triển và phát tán mã độc.

Liên hệ với X., Xuân Anh nhờ lập trình mã độc mới có tên “PXA Stealers” với chức năng đánh cắp thông tin trên máy tính và chiếm quyền quản trị máy tính của nạn nhân. Hai bên thống nhất, X. sẽ hưởng 15% trên tổng số lợi nhuận thu được từ việc khai thác dữ liệu đánh cắp.

Theo đó, X. chịu trách nhiệm lập trình, chỉnh sửa và cập nhật các phiên bản mới của mã độc. Xuân Anh và các đối tượng khác sẽ phát tán mã độc, khai thác dữ liệu thu thập được từ các máy tính bị nhiễm.

Để tăng hiệu quả xâm nhập và kiểm soát máy tính của nạn nhân, nhóm này còn mua thêm mã nguồn của một phần mềm điều khiển từ xa có tên Pure RAT để tích hợp vào chương trình mã độc do X. phát triển. Khi người dùng mở tệp có chứa mã độc, chương trình sẽ tự động cài đặt vào máy tính và đồng thời cài đặt cả phần mềm điều khiển từ xa. Từ đây, các đối tượng thoải mái truy cập và điều khiển máy tính của nạn nhân.

Từ tháng 8/2024 cho đến khi bị bắt, X. đã nhiều lần giúp Phan Xuân Anh xây dựng ra các phiên bản khác nhau của mã độc PXA Stealers, chỉnh sửa, nâng cấp để mã độc để có thể vượt qua các lớp bảo vệ của hệ điều hành.

Tháng 11/2024, Phan Xuân Anh đã giới thiệu Nguyễn Thành Trường (sử dụng tài khoản Telegram “Adonis”) với X. Từ đây, Trường đặt hàng X. xây dựng một mã độc đặt tên là Adonis (viết tắt là AND) với giá 500 USD, có cùng tính năng như mã độc PXA Stealers. Với “mối làm ăn” này, X. được chia lợi nhuận 50-100 USDT/mỗi lần kiếm được tiền từ việc khai thác dữ liệu thu được. Sau khi tạo lập xong mã độc X. đã chuyển cho Trường.

Để phát tán mã độc trên diện rộng, nhóm đối tượng sử dụng máy tính cá nhân kết hợp với các phần mềm hỗ trợ gửi thư điện tử hàng loạt để phát tán các email có đính kèm tệp chứa mã độc. Ngoài ra, nhóm này còn thu thập và mua lại danh sách địa chỉ email trên các diễn đàn mua bán dữ liệu trên mạng, sau đó sử dụng các công cụ tự động để gửi hàng loạt email chứa mã độc tới các địa chỉ này.

Các tệp chứa mã độc thường được thiết kế có biểu tượng giống các tệp tài liệu thông thường như file PDF hoặc văn bản nhằm đánh lừa người sử dụng nhưng thực chất đây là các tệp thực thi có đuôi “.exe”.

Theo Cơ quan điều tra, người dùng Internet tại nhiều quốc gia trên thế giới đã bị nhiễm các mã độc này, chủ yếu tại các nước ở châu Âu, châu Mỹ và một số quốc gia châu Á. Đến thời điểm nhóm bị bắt đã có hơn 94.000 máy tính của người dùng tại nhiều quốc gia trên thế giới bị nhiễm các loại mã độc. Đường dây này đã thu lợi bất chính hàng chục tỷ đồng.

Hiện vụ án đang tiếp tục được điều tra mở rộng để làm rõ vai trò của từng đối tượng trong đường dây, từ đó xử lý nghiêm theo quy định của pháp luật.