Nam sinh lớp 12 và đồng bọn đánh cắp thông tin của hơn 94.000 máy tính

Ngày 25/3, Công an tỉnh Thanh Hóa tiếp tục mở rộng điều tra về đường dây phát tán mã độc nhằm đánh cắp dữ liệu người dùng Internet tại nhiều quốc gia trên thế giới vừa bị triệt phá.

12 bị can liên quan vụ án đã bị Cơ quan An ninh điều tra, Công an tỉnh khởi tố về tội “Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật” và tội “Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác”. Trong đó, bị can giữ vai trò lập trình, tạo mã độc là một nam sinh lớp 12 tại phường Hạc Thành.

Lãnh đạo Công an tỉnh Thanh Hóa trực tiếp chỉ đạo vụ án.

Theo công an, năm 2023, N.V.X., (tên đối tượng đã được thay đổi, trú phường Hạc Thành - hiện đang là học sinh lớp 12 trên địa bàn tỉnh) tự tìm hiểu và học các ngôn ngữ lập trình như Python, C++ để viết các chương trình chạy trên máy tính. Quá trình tìm hiểu sâu hơn về cấu trúc hệ điều hành và cách lưu trữ dữ liệu trên máy tính, nam sinh lớp 12 nảy sinh ý định xây dựng các đoạn mã có khả năng truy cập vào dữ liệu lưu trong trình duyệt web của người dùng.

Đến năm 2024, nam sinh này đã lập trình thành công một bộ mã nguồn có chức năng đánh cắp dữ liệu từ máy tính và tìm cách vượt qua các lớp bảo vệ cơ bản của hệ điều hành.

Từ tháng 7/2024 đến khi bị bắt, thông qua mạng xã hội, X. quen biết với Lê Thành Công (SN 1998, trú tỉnh Hà Tĩnh); Phan Xuân Anh (SN 2005, trú tỉnh Nghệ An) và Nguyễn Thành Trường. Nam sinh sau đó được các đối tượng trong đường dây đặt vấn đề phối hợp phát triển giúp mã độc để phát tán nhằm mục đích đánh cắp thông tin và chiếm quyền quản trị máy tính của nạn nhân.

Công an xác định, để phát tán mã độc trên diện rộng, X. cùng các đối tượng trong đường dây đã sử dụng máy tính cá nhân kết hợp với các phần mềm hỗ trợ gửi thư điện tử hàng loạt để phát tán các email có đính kèm tệp chứa mã độc. Các email này được gửi đến nhiều địa chỉ thư điện tử của người dùng Internet tại các quốc gia khác nhau trên thế giới.

Ngoài ra, các đối tượng còn thu thập và mua lại danh sách địa chỉ email của người dùng trên các diễn đàn mua bán dữ liệu trên mạng, sau đó sử dụng các công cụ tự động để gửi hàng loạt email chứa mã độc tới các địa chỉ này. Khi người nhận tải tệp đính kèm về máy tính và mở tệp, mã độc sẽ được kích hoạt và tự động cài đặt vào hệ thống.

Đáng chú ý, các tệp chứa mã độc thường được thiết kế có biểu tượng giống các tệp tài liệu thông thường như file PDF hoặc văn bản nhằm đánh lừa người sử dụng. Tuy nhiên thực chất đây là các tệp thực thi có đuôi “.exe”.

Nhiều tang vật vụ án bị công an thu giữ.

Sau khi được cài đặt, mã độc sẽ hoạt động ngầm trên máy tính của nạn nhân, thu thập các thông tin lưu trên máy tính như cookies đăng nhập, mật khẩu trình duyệt, dữ liệu tự động điền, địa chỉ IP và nhiều thông tin quan trọng khác. Các dữ liệu này sau đó được tự động gửi về các máy chủ hoặc hệ thống Bot Telegram do các đối tượng quản lý để tiếp tục khai thác.

Thông qua phần mềm điều khiển từ xa đã được cài đặt sẵn, các đối tượng còn sử dụng máy chủ ảo (VPS) để truy cập trực tiếp vào các máy tính bị nhiễm mã độc, từ đó chiếm quyền điều khiển máy tính của nạn nhân và tiếp tục khai thác dữ liệu.

Công an xác định, có hơn 94.000 máy tính của người dùng tại nhiều quốc gia trên thế giới bị nhiễm các loại mã độc do nhóm đối tượng này phát tán. Từ các dữ liệu đánh cắp được, các đối tượng chủ yếu khai thác các tài khoản mạng xã hội, đặc biệt là các tài khoản Facebook để chạy quảng cáo bán hàng trực tuyến trên gian hàng Betamax và hưởng hoa hồng hoặc có thể bán thông tin tài khoản Facebook của nạn nhân cho bên thứ 3 để thu lợi bất chính hàng chục tỷ đồng.

Hoàng Phúc