Nam sinh Thanh Hóa bị cáo buộc viết mã độc tấn công hơn 94.000 máy tính

Việt Nam – Công an tỉnh Thanh Hóa vừa khởi tố 12 bị can trong đường dây sản xuất, mua bán và phát tán phần mềm độc hại nhằm xâm nhập trái phép hệ thống máy tính, chiếm quyền điều khiển và đánh cắp dữ liệu người dùng trên phạm vi toàn cầu. Đáng chú ý, trong số các nghi can có một nam sinh lớp 12 trú tại phường Hạc Thành, TP Thanh Hóa, được xác định là người trực tiếp lập trình nhiều dòng mã độc phục vụ hoạt động tấn công mạng.​

Theo điều tra ban đầu, từ năm 2024, khi đang học lớp 11, nam sinh này đã tự tìm hiểu và lập trình một bộ mã nguồn có khả năng đánh cắp dữ liệu trên máy tính cá nhân. Công cụ này được viết chủ yếu bằng các ngôn ngữ Python và C++, có chức năng vượt qua những lớp bảo vệ cơ bản của hệ điều hành, thu thập cookies đăng nhập, mật khẩu được lưu trên trình duyệt, dữ liệu tự động điền cùng nhiều thông tin cá nhân khác của người dùng.​

Tháng 7/2024, thông qua mạng xã hội, nam sinh quen Lê Thành Công, 28 tuổi, quê Hà Tĩnh, người được cho là có kinh nghiệm trong các hoạt động thu thập và khai thác dữ liệu người dùng trên môi trường mạng. Công đặt vấn đề thuê phát triển và tùy biến mã độc nhằm phục vụ việc phát tán trên diện rộng, hướng tới việc kiểm soát và khai thác dữ liệu từ các máy tính bị nhiễm. Sau khi thống nhất, nam sinh chỉnh sửa, bổ sung tính năng để dữ liệu đánh cắp được tự động gửi về hệ thống bot trên ứng dụng Telegram do nhóm của Công quản lý.​

Thông qua Công, nam sinh tiếp tục quen biết Phan Xuân Anh, 21 tuổi, trú tại Nghệ An, người được cho là đứng sau ý tưởng xây dựng một dòng mã độc chuyên biệt nhắm vào việc đánh cắp thông tin và chiếm quyền điều khiển máy tính từ xa. Hai bên thống nhất phát triển mã độc có tên “PXA Stealers”, với cơ chế hoạt động là bí mật cài cắm vào hệ thống nạn nhân, theo dõi hoạt động, thu thập dữ liệu nhạy cảm rồi truyền về máy chủ điều khiển. Theo thỏa thuận nội bộ, nam sinh sẽ được hưởng khoảng 15% lợi nhuận từ việc khai thác và mua bán dữ liệu thu được thông qua dòng mã độc này.​

Để tăng khả năng kiểm soát các thiết bị bị nhiễm, nhóm còn mua thêm mã nguồn phần mềm điều khiển từ xa, sau đó tích hợp vào gói mã độc do nam sinh phát triển. Khi người dùng mở tệp chứa mã độc, chương trình sẽ tự động cài đặt lên hệ thống, âm thầm tạo cửa hậu cho phép các đối tượng truy cập và điều khiển máy tính từ bất kỳ đâu có kết nối Internet. Từ đó, chúng có thể thao tác như chủ sở hữu thật sự của thiết bị, bao gồm truy cập tài khoản, cài thêm phần mềm, sao chép hoặc xóa dữ liệu, thậm chí sử dụng máy tính nạn nhân làm bàn đạp cho các cuộc tấn công tiếp theo.​

Đến tháng 11/2024, qua giới thiệu của các đầu mối khác trên không gian mạng, nam sinh được đặt hàng viết thêm một dòng mã độc mới mang tên “Adonis”. Theo tài liệu điều tra, đây là mã độc được thiết kế theo yêu cầu riêng, hướng đến những chiến dịch tấn công có chủ đích, với mức giá thỏa thuận khoảng 500 USD cho gói sản phẩm. Ngoài khoản thanh toán cố định, nam sinh còn được trả thêm từ 50 đến 100 USDT mỗi khi nhóm tội phạm thu được lợi nhuận từ khai thác dữ liệu do mã độc cung cấp.​

Trong quá trình mở rộng điều tra, cơ quan chức năng xác định các dòng mã độc do nhóm này phát triển đã được phát tán và xâm nhập hơn 94.000 máy tính trên khắp thế giới, trong đó có nhiều nạn nhân tại Việt Nam. Số lượng thiết bị bị kiểm soát từ xa, cùng với lượng dữ liệu nhạy cảm bị đánh cắp, được đánh giá là “rất lớn” và tiềm ẩn nguy cơ tiếp tục bị lợi dụng cho các hành vi phạm tội khác như lừa đảo tài chính, tống tiền dữ liệu, hoặc mua bán thông tin cá nhân.​

Công an tỉnh Thanh Hóa cho biết các bị can bị điều tra về hai tội danh: “Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật” theo Điều 285 và “Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác” theo Điều 289 Bộ luật Hình sự. Cơ quan điều tra đồng thời tiếp tục truy vết dòng tiền, làm rõ vai trò từng đối tượng trong chuỗi phát triển, phát tán, thu lợi từ các dòng mã độc nói trên.​