Thanh Hóa triệt phá đường dây tội phạm mạng do nam sinh lớp 12 cầm đầu, xâm nhập 94.000 máy tính
Ngày 24/3, Công an tỉnh Thanh Hóa thông báo đã triệt phá thành công một tổ chức tội phạm mạng chuyên phát tán mã độc, xâm nhập hơn 94.000 máy tính tại nhiều quốc gia trên thế giới. Đường dây này do một nam sinh đang học lớp 12 trên địa bàn tỉnh cầm đầu, với mục đích đánh cắp dữ liệu và chiếm quyền kiểm soát các tài khoản mạng xã hội.
Phát hiện và điều tra ban đầu
Đầu năm 2026, thông qua công tác nắm tình hình trên không gian mạng, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an đã phối hợp với Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh Thanh Hóa phát hiện một đường dây phát tán mã độc nhằm đánh cắp dữ liệu người dùng Internet toàn cầu. Lực lượng chức năng đã nhanh chóng tiến hành xác minh, làm rõ phương thức và thủ đoạn hoạt động của các đối tượng liên quan.
Nam sinh lớp 12 và hành trình phạm tội
Theo tài liệu điều tra, khoảng năm 2023, N.V.X., trú tại phường Hạc Thành, tỉnh Thanh Hóa, bắt đầu tự tìm hiểu và học các ngôn ngữ lập trình như Python, C++ để viết chương trình máy tính. Ban đầu, việc này chỉ nhằm mục đích học hỏi và thử nghiệm. Tuy nhiên, trong quá trình nghiên cứu sâu hơn về cấu trúc hệ điều hành và cách lưu trữ dữ liệu, X. nảy sinh ý định xây dựng mã độc có khả năng truy cập vào dữ liệu trình duyệt web của người dùng.
Đến năm 2024, đối tượng đã lập trình thành công một bộ mã nguồn có chức năng đánh cắp dữ liệu từ máy tính, vượt qua các lớp bảo vệ cơ bản của hệ điều hành. Các đoạn mã này sử dụng Python và C++ để thu thập dữ liệu nhạy cảm như thông tin đăng nhập, mật khẩu đã lưu, và dữ liệu tự động điền từ trình duyệt, sau đó đóng gói và gửi về máy chủ do X. thiết lập.
Mở rộng đường dây và hợp tác phạm tội
Tháng 7/2024, thông qua mạng xã hội Telegram, X. quen biết với Lê Thành Công (sinh năm 1998, trú tại tỉnh Hà Tĩnh). Công đã nhờ X. phát triển mã độc để phát tán, nhằm thu thập thông tin nhạy cảm từ trình duyệt máy tính, chủ yếu là cookies và thông tin đăng nhập tài khoản Facebook để bán kiếm lời. X. đồng ý và chuyển các file mã độc nén thành ZIP cho Công phát tán.
Dữ liệu đánh cắp được tự động gửi về các kênh Telegram như "STC New Logs", "STC Notification", "STC Reset Logs", nơi các đối tượng theo dõi, tải xuống và phân loại để khai thác tiếp. Sau một thời gian, Lê Thành Công giới thiệu X. cho Phan Xuân Anh (sinh năm 2005, trú tại tỉnh Nghệ An, sử dụng tài khoản Telegram "Mr Bean") để hợp tác phát triển và phát tán mã độc.
Phan Xuân Anh đặt vấn đề nhờ X. lập trình một loại mã độc mới có tên "PXA Stealers", với chức năng đánh cắp thông tin và chiếm quyền quản trị máy tính nạn nhân. Hai bên thỏa thuận X. sẽ hưởng 15% lợi nhuận từ việc khai thác dữ liệu. X. chịu trách nhiệm lập trình và cập nhật mã độc, trong khi Phan Xuân Anh và các đối tượng khác phát tán và khai thác dữ liệu.
Từ tháng 8/2024 đến khi bị bắt, X. đã nhiều lần giúp Phan Xuân Anh xây dựng các phiên bản khác nhau của mã độc PXA Stealers, phát tán đến người dùng trong và ngoài nước, đồng thời thường xuyên cập nhật mã nguồn để vượt qua các lớp bảo vệ hệ điều hành.
Mở rộng quy mô và thu lợi bất chính
Khoảng tháng 11/2024, Phan Xuân Anh giới thiệu Nguyễn Thành Trường (sử dụng tài khoản Telegram "Adonis") với X. Trường đã "đặt hàng" X. xây dựng mã độc Adonis (viết tắt AND) với giá 500 USD, có tính năng tương tự PXA Stealers. Trường thống nhất chia lợi nhuận cho X. từ 50 đến 100 USDT mỗi lần kiếm được tiền từ khai thác dữ liệu.
Các đối tượng sử dụng máy tính cá nhân kết hợp phần mềm gửi thư điện tử hàng loạt để phát tán email có đính kèm tệp chứa mã độc đến nhiều địa chỉ người dùng Internet toàn cầu. Phần lớn máy tính bị nhiễm thuộc về người dùng tại châu Âu, châu Mỹ và một số quốc gia châu Á.
Theo cơ quan điều tra, hơn 94.000 máy tính đã bị nhiễm mã độc do nhóm này phát tán. Từ dữ liệu đánh cắp được, các đối tượng chủ yếu khai thác tài khoản mạng xã hội, đặc biệt là tài khoản Facebook có chức năng chạy quảng cáo, thu lợi bất chính hàng chục tỷ đồng.
Khởi tố và xử lý pháp luật
Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án và khởi tố 12 bị can về các tội danh: "Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật" theo Điều 285 Bộ luật Hình sự, và "Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác" theo Điều 289 Bộ luật Hình sự.
Hiện vụ án đang tiếp tục được điều tra mở rộng để làm rõ vai trò của từng đối tượng trong đường dây, đảm bảo xử lý nghiêm minh theo quy định của pháp luật.
