Học sinh lớp 12 Thanh Hóa tự học lập trình, tạo mã độc đánh cắp dữ liệu toàn cầu
Theo thông tin từ Công an tỉnh Thanh Hóa, một vụ án an ninh mạng phức tạp đã được phát hiện, liên quan đến một học sinh lớp 12 với khả năng lập trình đáng kinh ngạc. Khoảng năm 2023, N.V.X, cư trú tại phường Hạc Thành, tỉnh Thanh Hóa, đã tự mình tìm hiểu và học các ngôn ngữ lập trình như Python và C++. Cậu học sinh này không chỉ dừng lại ở việc viết các chương trình cơ bản mà còn đi sâu vào nghiên cứu cấu trúc hệ điều hành và phương thức lưu trữ dữ liệu trên máy tính.
Hành trình từ học sinh thành lập trình viên mã độc
Đến năm 2024, N.V.X đã thành công trong việc lập trình một bộ mã nguồn độc hại, có khả năng vượt qua các lớp bảo vệ cơ bản của hệ điều hành. Mã độc này được thiết kế để đánh cắp dữ liệu từ máy tính nạn nhân, tập trung vào các thông tin nhạy cảm lưu trữ trên trình duyệt web. Cụ thể, nó thu thập cookies đăng nhập, mật khẩu đã lưu, dữ liệu tự động điền và nhiều thông tin cá nhân khác. Sau khi hoàn thiện, mã độc tự động quét các thư mục lưu trữ của trình duyệt, đóng gói dữ liệu và gửi về máy chủ do N.V.X thiết lập.
Tháng 7/2024, thông qua mạng xã hội Telegram, N.V.X đã làm quen với Lê Thành Công (sinh năm 1998, trú tại Hà Tĩnh). Công nhờ N.V.X phát triển mã độc để phát tán, nhằm thu thập thông tin nhạy cảm, chủ yếu là cookies và thông tin đăng nhập tài khoản Facebook, với mục đích bán lại để kiếm lời. N.V.X đã lập trình các file mã độc, nén thành file ZIP và chuyển cho Công để phát tán. Các máy tính bị nhiễm sẽ tự động gửi dữ liệu về các hệ thống Bot Telegram do nhóm đối tượng quản lý, thông qua các kênh như "STC New Logs", "STC Notification", và "STC Reset Logs".
Mở rộng mạng lưới và phát triển mã độc tinh vi
Sau đó, Lê Thành Công giới thiệu N.V.X với Phan Xuân Anh (sinh năm 2005, trú tại Nghệ An, sử dụng tài khoản Telegram "Mr Bean"). Hai bên hợp tác phát triển một loại mã độc mới có tên "PXA Stealers", không chỉ đánh cắp thông tin mà còn chiếm quyền quản trị máy tính nạn nhân. Theo thỏa thuận, N.V.X nhận 15% lợi nhuận từ việc khai thác dữ liệu đánh cắp. N.V.X chịu trách nhiệm lập trình, chỉnh sửa và cập nhật phiên bản mới, trong khi Phan Xuân Anh và các đối tượng khác đảm nhận phát tán và khai thác dữ liệu.
Nhóm này còn mua thêm mã nguồn phần mềm điều khiển từ xa Pure RAT để tích hợp vào mã độc. Khi người dùng mở tệp chứa mã độc, chương trình tự động cài đặt vào máy tính cùng phần mềm điều khiển từ xa, cho phép các đối tượng truy cập và điều khiển máy tính nạn nhân từ xa. Từ tháng 8/2024, N.V.X liên tục giúp Phan Xuân Anh xây dựng các phiên bản khác nhau của PXA Stealers, phát tán trong và ngoài nước, đồng thời cập nhật mã nguồn để vượt qua các lớp bảo vệ hệ điều hành.
Hợp tác quốc tế và phương thức phát tán tinh vi
Khoảng tháng 11/2024, Phan Xuân Anh giới thiệu Nguyễn Thành Trường (tài khoản Telegram "Adonis") với N.V.X. Trường đã "đặt hàng" N.V.X xây dựng mã độc Adonis (viết tắt AND) với giá 500 USD, có tính năng tương tự PXA Stealers. Trường thống nhất chia lợi nhuận từ việc khai thác dữ liệu cho N.V.X từ 50-100 USDT mỗi lần kiếm được tiền. Sau khi hoàn thành, N.V.X chuyển mã độc cho Trường để sử dụng vào mục đích vi phạm pháp luật.
Để phát tán mã độc trên diện rộng, các đối tượng sử dụng máy tính cá nhân kết hợp phần mềm gửi email hàng loạt. Họ gửi email đính kèm tệp chứa mã độc đến nhiều địa chỉ email người dùng internet trên toàn cầu, chủ yếu tại châu Âu, châu Mỹ và một số nước châu Á. Các đối tượng còn thu thập hoặc mua danh sách email từ diễn đàn mua bán dữ liệu trực tuyến, sau đó dùng công cụ tự động gửi hàng loạt email chứa mã độc.
Các tệp mã độc được ngụy trang dưới dạng file PDF hoặc văn bản thông thường, nhưng thực chất là tệp thực thi có đuôi ".exe". Khi người nhận tải và mở tệp, mã độc kích hoạt, cài đặt ngầm vào hệ thống, thu thập thông tin như cookies, mật khẩu, dữ liệu tự động điền, địa chỉ IP. Dữ liệu này được gửi về máy chủ hoặc Bot Telegram để khai thác. Ngoài ra, thông qua phần mềm điều khiển từ xa và máy chủ ảo (VPS), các đối tượng truy cập trực tiếp vào máy tính bị nhiễm, chiếm quyền điều khiển để tiếp tục khai thác dữ liệu.
Hậu quả nghiêm trọng và hành động pháp lý
Theo kết quả điều tra, hơn 94.000 máy tính của người dùng tại nhiều quốc gia đã bị nhiễm mã độc do nhóm này phát tán. Từ dữ liệu đánh cắp, các đối tượng tập trung khai thác tài khoản mạng xã hội, đặc biệt là Facebook có chức năng chạy quảng cáo. Sau khi chiếm quyền kiểm soát, họ sử dụng tài khoản để chạy quảng cáo bán hàng trực tuyến trên gian hàng Betamax, hưởng hoa hồng, hoặc bán thông tin tài khoản cho bên thứ ba để thu lợi bất chính.
Cơ quan điều tra bước đầu xác định, đường dây này đã thu lợi bất chính hàng chục tỷ đồng từ việc lập trình và chỉnh sửa mã độc. Căn cứ vào kết quả điều tra, Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án và khởi tố 12 bị can về các tội danh liên quan, bao gồm "Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật" theo Điều 285 Bộ luật Hình sự và "Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác" theo Điều 289 Bộ luật Hình sự.
