Đường dây mã độc do học sinh lớp 12 cầm đầu vận hành ra sao?

Khi công nghệ trở thành nền tảng của nền kinh tế, rủi ro an ninh mạng gia tăng nhanh chóng, với sự tham gia của cả những cá nhân trẻ tuổi. Vụ án tại Thanh Hóa cho thấy rõ xu hướng “công nghiệp hóa” tội phạm mạng trong kỷ nguyên số.

Từ lập trình đến “kinh doanh” mã độc

Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa vừa khởi tố vụ án, khởi tố 12 bị can liên quan đến các hành vi sản xuất, phát tán phần mềm phục vụ mục đích trái pháp luật và xâm nhập trái phép vào hệ thống máy tính. Đáng chú ý, người cầm đầu đường dây lại là một học sinh lớp 12.

Cơ Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa tiến hành khám xét tại nhà các đối tượng N.H.N ( đã thay đổi tên nhân vật).

Theo điều tra ban đầu, từ năm 2023, N.H.N (đã được thay đổi tên), trú tại Thanh Hóa, bắt đầu tự học lập trình với các ngôn ngữ như Python và C++. Ban đầu, việc này chỉ phục vụ mục đích nghiên cứu và thử nghiệm các chương trình đơn giản.

Tuy nhiên, trong quá trình tìm hiểu sâu hơn về cấu trúc hệ điều hành và cơ chế lưu trữ dữ liệu, đối tượng dần chuyển hướng sang xây dựng các đoạn mã có khả năng truy cập dữ liệu người dùng. Đến năm 2024, N. đã phát triển thành công mã độc có thể đánh cắp thông tin từ trình duyệt.

Các chương trình này được thiết kế để thu thập dữ liệu như cookies đăng nhập, mật khẩu lưu trữ, thông tin tự động điền và nhiều dữ liệu nhạy cảm khác. Sau khi thu thập, dữ liệu sẽ được đóng gói và gửi về máy chủ do đối tượng kiểm soát.

Từ một cá nhân tự học, N. nhanh chóng trở thành “mắt xích kỹ thuật” trong một đường dây có tổ chức. Thông qua nền tảng Telegram, đối tượng kết nối với các cá nhân khác để mở rộng hoạt động phát tán mã độc.

Ban đầu, N. hợp tác với một đối tượng tại Hà Tĩnh để phát triển mã độc phục vụ mục đích thu thập dữ liệu tài khoản, đặc biệt là các tài khoản mạng xã hội có giá trị thương mại. Các file mã độc được nén và phát tán dưới dạng tệp đính kèm.

Sau đó, dữ liệu thu thập được tự động chuyển về các kênh Telegram để các đối tượng theo dõi, phân loại và khai thác. Quá trình này cho thấy sự hình thành của một chuỗi vận hành tương đối khép kín trong hoạt động tội phạm mạng.

Tội phạm mạng “lên quy mô”

Sau giai đoạn hợp tác ban đầu, N. tiếp tục liên kết với các đối tượng khác để phát triển các phiên bản mã độc phức tạp hơn, tiêu biểu là dòng mã độc “PXA Stealers” có khả năng đánh cắp dữ liệu và chiếm quyền điều khiển máy tính.

Theo phân công, N. đảm nhiệm vai trò lập trình và cập nhật mã độc, trong khi các đối tượng khác phụ trách phát tán và khai thác dữ liệu. Mô hình này cho thấy dấu hiệu phân công lao động rõ ràng, tương tự một “hệ sinh thái” tội phạm số.

Để tăng hiệu quả tấn công, nhóm này còn tích hợp thêm phần mềm điều khiển từ xa (RAT), cho phép truy cập và kiểm soát máy tính nạn nhân. Khi người dùng mở tệp chứa mã độc, hệ thống sẽ tự động cài đặt và hoạt động ngầm.

Không dừng lại ở đó, các đối tượng tiếp tục mở rộng “sản phẩm” với mã độc mới mang tên Adonis, được giao dịch với giá 500 USD. Lợi nhuận từ việc khai thác dữ liệu được chia theo tỷ lệ, cho thấy yếu tố thương mại hóa rõ nét.

Hoạt động phát tán mã độc được triển khai trên quy mô lớn thông qua email hàng loạt. Nhóm đối tượng sử dụng danh sách email thu thập hoặc mua trên các diễn đàn dữ liệu, sau đó gửi các tệp đính kèm giả dạng tài liệu thông thường như PDF.

Thực chất, các tệp này là file thực thi (.exe), khi người dùng mở sẽ kích hoạt mã độc. Sau khi xâm nhập, hệ thống sẽ âm thầm thu thập dữ liệu, bao gồm thông tin đăng nhập, địa chỉ IP và các dữ liệu quan trọng khác.

Đáng chú ý, dữ liệu từ các máy tính bị nhiễm sẽ được chuyển về hệ thống máy chủ hoặc bot Telegram để tiếp tục khai thác. Đồng thời, thông qua máy chủ ảo (VPS), các đối tượng có thể truy cập trực tiếp và điều khiển thiết bị của nạn nhân.

Theo cơ quan điều tra, hơn 94.000 máy tính tại nhiều quốc gia, chủ yếu ở châu Âu, châu Mỹ và một số nước châu Á, đã bị nhiễm mã độc. Từ dữ liệu đánh cắp, các đối tượng tập trung khai thác tài khoản mạng xã hội, đặc biệt là Facebook có chức năng chạy quảng cáo.

Sau khi chiếm quyền kiểm soát, các tài khoản này được sử dụng để chạy quảng cáo bán hàng hoặc bán lại cho bên thứ ba nhằm thu lợi bất chính. Bước đầu, cơ quan chức năng xác định tổng số tiền thu lợi lên tới hàng chục tỷ đồng.

Vụ án không chỉ cho thấy mức độ tinh vi của tội phạm mạng, mà còn đặt ra cảnh báo về xu hướng trẻ hóa và “doanh nghiệp hóa” các hoạt động vi phạm trong lĩnh vực công nghệ số - nơi ranh giới giữa kiến thức và hành vi phạm pháp ngày càng mong manh.

Ở góc độ vĩ mô, vụ việc cho thấy tội phạm mạng đang chuyển dịch từ các hành vi đơn lẻ sang mô hình tổ chức có cấu trúc, vận hành tương tự một “chuỗi giá trị số” hoàn chỉnh, từ khâu phát triển công cụ, phân phối đến khai thác và thương mại hóa dữ liệu.

Điều này đặt ra thách thức lớn đối với công tác quản lý, khi ranh giới giữa hoạt động công nghệ hợp pháp và hành vi vi phạm ngày càng khó nhận diện, trong khi tốc độ lan truyền của các công cụ tấn công lại vượt xa khả năng kiểm soát truyền thống.

Đồng thời, sự trẻ hóa của tội phạm công nghệ cao cũng gióng lên cảnh báo về khoảng trống trong giáo dục kỹ năng số và định hướng sử dụng công nghệ.

Khi kiến thức lập trình và tiếp cận công nghệ ngày càng phổ biến, nếu thiếu cơ chế giám sát, giáo dục đạo đức số và khung pháp lý phù hợp, nguồn nhân lực trẻ có thể bị cuốn vào các hoạt động phi pháp. Về dài hạn, đây không chỉ là vấn đề an ninh mạng, mà còn liên quan trực tiếp đến chất lượng nguồn nhân lực và sự an toàn của nền kinh tế số.

Tiến Anh