Học sinh lớp 12 ở Thanh Hóa lập trình mã độc đánh cắp dữ liệu 94.000 máy tính toàn cầu
Học sinh lớp 12 lập trình mã độc đánh cắp dữ liệu 94.000 máy tính

Học sinh lớp 12 lập trình mã độc đánh cắp dữ liệu 94.000 máy tính toàn cầu

Ngày 24.3, Công an tỉnh Thanh Hóa đã chính thức thông tin về một vụ án nghiêm trọng liên quan đến tội phạm công nghệ cao: xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác. Vụ án đã được khởi tố với tổng cộng 12 bị can, trong đó có một đối tượng đặc biệt - N.V.X, hiện đang là học sinh lớp 12 tại một trường trung học phổ thông trên địa bàn tỉnh Thanh Hóa, cư trú tại phường Hạc Thành.

Học sinh tài năng nhưng lệch lạc

Theo kết quả điều tra ban đầu được phối hợp thực hiện bởi Cục An ninh mạng và phòng chống tội phạm công nghệ cao thuộc Bộ Công an cùng Công an tỉnh Thanh Hóa, vào năm 2024, khi còn là học sinh lớp 11, X. đã tự mình lập trình thành công một bộ mã nguồn độc hại. Bộ mã này được thiết kế với chức năng chính là đánh cắp dữ liệu từ máy tính của nạn nhân và có khả năng vượt qua các lớp bảo vệ cơ bản của hệ điều hành.

Để xây dựng công cụ nguy hiểm này, X. đã sử dụng thành thạo hai ngôn ngữ lập trình phổ biến là Python và C++. Các tệp mã nguồn do X. tạo ra có khả năng thu thập nhiều loại dữ liệu nhạy cảm được lưu trữ trên trình duyệt web của người dùng, bao gồm:

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram
  • Cookies đăng nhập vào các tài khoản trực tuyến
  • Mật khẩu đã được lưu tự động
  • Dữ liệu tự động điền trong các biểu mẫu
  • Nhiều thông tin cá nhân quan trọng khác

Mạng lưới tội phạm công nghệ hình thành

Tháng 7.2024, thông qua mạng xã hội, X. đã làm quen với Lê Thành Công (28 tuổi, cư trú tại Hà Tĩnh). Nhận thấy khả năng lập trình của X., Công đã đề nghị X. phát triển và hoàn thiện mã độc để phát tán rộng rãi, với mục đích thu thập thông tin nhạy cảm từ trình duyệt máy tính của người dùng trên khắp thế giới.

Sau khi nhận lời, X. đã lập trình các file mã độc và nén chúng lại thành file ZIP, sau đó chuyển giao cho Công để tiến hành phát tán. Toàn bộ dữ liệu bị đánh cắp sẽ tự động được gửi về một hệ thống Bot Telegram do các đối tượng này thiết lập và quản lý, tạo thành một kênh thu thập thông tin trái phép có tổ chức.

Biết được tài năng đặc biệt của X., Công đã giới thiệu X. với Phan Xuân Anh (21 tuổi, cư trú tại tỉnh Nghệ An). Giữa X. và Phan Xuân Anh đã diễn ra cuộc trao đổi về việc phát triển một loại mã độc mới với tên gọi "PXA Stealers". Loại mã độc này không chỉ có chức năng đánh cắp thông tin mà còn có khả năng chiếm quyền quản trị máy tính của nạn nhân.

Hai bên đã thỏa thuận một thỏa thuận tài chính: X. sẽ nhận được 15% trên tổng số lợi nhuận thu được từ việc khai thác và bán dữ liệu đánh cắp được. Phan Xuân Anh chính là một trong 12 bị can đã bị khởi tố trong vụ án này.

Phát triển và mở rộng quy mô tấn công

Sau khi đạt được thỏa thuận, X. tiếp tục công việc lập trình, chỉnh sửa và cập nhật các phiên bản mới của mã độc. Trong khi đó, Phan Xuân Anh cùng một số đối tượng khác trong nhóm chịu trách nhiệm phát tán mã độc và khai thác dữ liệu từ những máy tính đã bị nhiễm.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Để nâng cao hiệu quả xâm nhập và kiểm soát máy tính của nạn nhân, các đối tượng còn chủ động mua thêm mã nguồn của một phần mềm điều khiển từ xa, sau đó tích hợp vào chương trình mã độc do X. phát triển. Khi người dùng vô tình mở tệp chứa mã độc, chương trình sẽ tự động cài đặt vào máy tính, đồng thời cài đặt luôn phần mềm điều khiển từ xa. Điều này cho phép các đối tượng có thể truy cập và điều khiển máy tính của nạn nhân từ xa một cách dễ dàng.

Đến tháng 11.2024, Phan Xuân Anh tiếp tục giới thiệu X. với một đối tượng khác là Nguyễn Thành Trường (công an chưa cung cấp địa chỉ cụ thể) để viết một loại mã độc mới có tên Adonis với giá 500 USD. Ngoài khoản tiền này, X. còn được hưởng thêm từ 50 đến 100 USDT (một loại tiền ảo do Tether Limited phát hành) mỗi lần có lợi nhuận từ việc trộm được dữ liệu thông qua mã độc xâm nhập.

Phương thức phát tán tinh vi và quy mô thiệt hại khổng lồ

Để phát tán mã độc trên diện rộng, các đối tượng đã sử dụng máy tính cá nhân kết hợp với các phần mềm hỗ trợ gửi thư điện tử hàng loạt đến hàng nghìn địa chỉ email khác nhau. Những email này được gửi đến người dùng internet tại nhiều quốc gia trên khắp thế giới, từ châu Âu, châu Mỹ đến châu Á.

Một điểm đáng chú ý là các tệp chứa mã độc thường được thiết kế với biểu tượng giống hệt các tệp tài liệu thông thường như file PDF hoặc văn bản Word, nhằm đánh lừa người sử dụng tải về và mở ra. Khi người nhận tải tệp đính kèm về máy tính và mở tệp, mã độc sẽ ngay lập tức được kích hoạt và tự động cài đặt vào hệ thống.

Theo xác định ban đầu của Công an tỉnh Thanh Hóa, đã có hơn 94.000 máy tính của người dùng tại nhiều quốc gia thuộc khu vực châu Âu, châu Mỹ và châu Á bị nhiễm các loại mã độc do nhóm đối tượng này phát tán.

Hậu quả nghiêm trọng và hành vi phạm tội

Ngoài việc chiếm đoạt dữ liệu cá nhân nhạy cảm, các đối tượng còn lợi dụng những tài khoản mạng xã hội có lượng người theo dõi lớn mà họ chiếm được để chạy quảng cáo bán hàng trái phép, hoặc bán thông tin tài khoản cho bên thứ ba nhằm thu lợi bất chính.

Tính đến ngày 24.3, Công an tỉnh Thanh Hóa đã chính thức khởi tố 12 bị can (bao gồm những người nêu trên) để tiến hành điều tra về các hành vi vi phạm pháp luật, cụ thể là:

  1. Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật
  2. Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác

Vụ án này một lần nữa gióng lên hồi chuông cảnh báo về tình hình an ninh mạng ngày càng phức tạp, đồng thời cho thấy sự nguy hiểm của những tài năng công nghệ khi bị lợi dụng vào mục đích phi pháp. Việc một học sinh trung học có thể tham gia vào mạng lưới tội phạm công nghệ với quy mô toàn cầu đặt ra nhiều câu hỏi về công tác giáo dục, quản lý và định hướng cho giới trẻ trong kỷ nguyên số.