Bước ngoặt sai lầm của nam sinh lớp 12 dùng mã độc xâm nhập 94.000 máy tính

Từ những dòng code tự học, nam sinh lớp 12 ở Thanh Hóa trở thành "đầu não" đường dây phát tán mã độc, xâm nhập hơn 94.000 máy tính trên thế giới để đánh cắp dữ liệu và trục lợi.

Ít ai ngờ người đứng sau việc lập trình và cung cấp mã độc cho một đường dây tội phạm công nghệ cao lại là một học sinh trung học.

Cơ quan điều tra cáo buộc, Nguyễn - học sinh lớp 12 tại phường Hạc Thành, Thanh Hóa - không chỉ tham gia mà còn giữ vai trò cầm đầu, điều phối kỹ thuật trong hoạt động phát tán mã độc quy mô toàn cầu.

Từ đam mê lập trình đến con đường lệch hướng

Khoảng năm 2023, Nguyễn bắt đầu tự học các ngôn ngữ lập trình như Python, C++ với mục đích nghiên cứu, thử nghiệm các chương trình tin học cơ bản. Quá trình tìm hiểu sâu về cấu trúc hệ điều hành, cách lưu trữ dữ liệu trên máy tính đã giúp nam sinh nhanh chóng nắm bắt kỹ thuật lập trình nâng cao.

Hàng chục máy tính, thiết bị điện tử đã bị công an thu giữ. Ảnh: Lam Sơn

Tuy nhiên, từ việc học hỏi ban đầu, Nguyễn dần chuyển hướng sang viết các đoạn mã có khả năng truy cập dữ liệu lưu trên trình duyệt của người dùng. Đến năm 2024, nam sinh này đã xây dựng được bộ mã nguồn có chức năng đánh cắp dữ liệu và có thể vượt qua các lớp bảo vệ cơ bản của hệ điều hành.

Theo cơ quan điều tra, các mã độc do Nguyễn viết có khả năng quét, thu thập cookies đăng nhập, mật khẩu lưu trên trình duyệt, dữ liệu tự động điền và nhiều thông tin nhạy cảm khác. Sau khi thu thập, dữ liệu được đóng gói và tự động gửi về hệ thống máy chủ hoặc bot Telegram do nhóm thiết lập.

Từ một người học lập trình để thử sức, Nguyễn dần trở thành người tạo ra công cụ phục vụ hành vi xâm nhập trái phép, mở đầu cho việc hình thành một đường dây tội phạm công nghệ cao.

Tháng 7/2024, thông qua mạng xã hội Telegram, Nguyễn quen Lê Thành Công (28 tuổi, trú Hà Tĩnh). Từ đây, nam sinh bắt đầu tham gia sâu vào hoạt động phát tán mã độc khi nhận lời lập trình các file chứa mã độc để Công phát tán.

Các file này được ngụy trang dưới dạng tệp nén, sau đó phát tán qua email hoặc các nền tảng trực tuyến. Khi nạn nhân tải về và mở tệp, mã độc sẽ tự động cài đặt và âm thầm thu thập dữ liệu.

Cơ quan điều tra lấy lời khai nghi can Nguyễn. Ảnh: Lam Sơn

Nhận tiền theo đơn đặt hàng, hưởng phần trăm từ dữ liệu đánh cắp

Nguyễn sau đó được giới thiệu hợp tác với Phan Xuân Anh (21 tuổi, quê Nghệ An). Tại đây, vai trò của nam sinh không còn dừng ở việc viết mã mà trở thành người phát triển chính dòng mã độc mang tên "PXA Stealers".

Theo thỏa thuận, Nguyễn chịu trách nhiệm lập trình, cập nhật và nâng cấp mã độc, nhóm còn lại đảm nhiệm việc phát tán và khai thác dữ liệu. Đổi lại, nam sinh được hưởng 15% lợi nhuận từ toàn bộ hoạt động khai thác dữ liệu được đánh cắp.

Để tăng hiệu quả kiểm soát, nhóm này còn tích hợp phần mềm điều khiển từ xa vào mã độc. Khi bị nhiễm, máy tính của nạn nhân không chỉ bị đánh cắp dữ liệu mà còn có thể bị truy cập, điều khiển từ xa thông qua máy chủ ảo (VPS).

Cuối năm 2024, Nguyễn tiếp tục nhận đặt hàng phát triển mã độc mới mang tên "Adonis" với giá 500 USD, đồng thời được chia thêm lợi nhuận bằng tiền điện tử, mức 50 - 100 USDT cho mỗi lần kiếm được tiền từ việc khai thác dữ liệu thu được. Việc liên tục xây dựng, nâng cấp các phiên bản mã độc cho thấy vai trò trung tâm của nam sinh trong toàn bộ đường dây.

Theo cơ quan chức năng, đường dây này sử dụng nhiều phương thức để phát tán mã độc trên diện rộng. Phổ biến nhất là gửi email hàng loạt kèm tệp đính kèm chứa mã độc đến người dùng ở nhiều quốc gia. Các tệp này được thiết kế với giao diện giống file PDF, văn bản thông thường nhằm đánh lừa người nhận, nhưng thực chất là file thực thi (.exe). Khi người dùng mở tệp, mã độc sẽ được kích hoạt và âm thầm cài đặt vào hệ thống.

Ngoài ra, nhóm còn thu thập, mua bán danh sách email từ các diễn đàn trên mạng, sử dụng công cụ tự động để phát tán hàng loạt. Dữ liệu đánh cắp được sẽ chuyển về các kênh Telegram để phân loại, khai thác.

Cơ quan điều tra xác định, hơn 94.000 máy tính tại nhiều quốc gia ở châu Âu, châu Mỹ và châu Á đã bị nhiễm mã độc do nhóm này phát tán.

Sau khi chiếm quyền kiểm soát thiết bị, nhóm này tập trung khai thác tài khoản mạng xã hội, đặc biệt là Facebook có chức năng chạy quảng cáo. Những tài khoản này sau đó được sử dụng để chạy quảng cáo bán hàng trực tuyến, hoặc bán lại cho bên thứ ba.

Theo cơ quan điều tra, từ hoạt động này, đường dây đã thu lợi bất chính hàng chục tỷ đồng. Nguyễn, với vai trò lập trình và điều phối kỹ thuật, được xác định là mắt xích quan trọng, giữ vai trò cầm đầu về công nghệ trong toàn bộ hệ thống.

Nghi can Phan Xuân Anh bị bắt. Ảnh: Lam Sơn

Hiện Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố 12 bị can liên quan hành vi Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật quy định (Điều 285, Bộ luật hình sự) và tội Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác (Điều 289, Bộ luật hình sự), trong số này có Nguyễn.

Nhà chức trách đánh giá, vụ án là điển hình cho xu hướng tội phạm công nghệ cao ngày càng trẻ hóa, lạm dụng công nghệ vào mục đích trái pháp luật; cũng là cảnh báo về nguy cơ sử dụng các phần mềm, tệp tin không rõ nguồn gốc.

* Tên nam sinh đã thay đổi.