Triệt phá đường dây phát tán mã độc toàn cầu

Đường dây phát tán mã độc xuyên quốc gia

Ngày 25/3, Công an tỉnh Thanh Hóa cho biết đã phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) triệt phá thành công một đường dây phát tán mã độc quy mô lớn, nhằm đánh cắp dữ liệu người dùng Internet tại nhiều quốc gia trên thế giới, bao gồm các nước ở Châu Âu, Châu Mỹ và một số quốc gia Châu Á.

Trước đó, vào khoảng đầu năm 2026, qua công tác nắm tình hình, lực lượng chức năng đã phát hiện dấu hiệu hoạt động của một đường dây phát tán mã độc có quy mô lớn và phạm vi hoạt động xuyên quốc gia. Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao đã phối hợp với Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh Thanh Hóa tiến hành điều tra, xác minh.

Kết quả điều tra ban đầu xác định, khoảng năm 2023, đối tượng N.V.X (tên đã được thay đổi), trú tại phường Hạc Thành, tỉnh Thanh Hóa, khi đó đang là học sinh lớp 12, đã bắt đầu tự học và tìm hiểu các ngôn ngữ lập trình như Python và C++ để viết các chương trình chạy trên máy tính. Ban đầu, mục đích của việc lập trình chỉ dừng lại ở việc học hỏi, nghiên cứu và thử nghiệm các ứng dụng tin học đơn giản.

Tang vật thu được trong vụ án

Tuy nhiên, trong quá trình tìm hiểu sâu hơn về cấu trúc hệ điều hành cũng như cách thức lưu trữ dữ liệu trên máy tính, đối tượng nảy sinh ý định xây dựng các đoạn mã có khả năng truy cập trái phép vào dữ liệu được lưu trữ trong trình duyệt web của người dùng. Đến năm 2024, N.V.X đã lập trình thành công một bộ mã nguồn có chức năng đánh cắp dữ liệu từ máy tính và đồng thời tìm cách vượt qua các lớp bảo vệ cơ bản của hệ điều hành.

Trong quá trình điều tra, cơ quan Công an cũng xác định rằng vào tháng 7/2024, thông qua mạng xã hội Telegram, N.V.X đã quen biết với Lê Thành Công (SN 1998, trú tại tỉnh Hà Tĩnh). Tại đây, Công đã đặt vấn đề nhờ X. phát triển mã độc để phục vụ mục đích phát tán, thu thập các thông tin nhạy cảm được lưu trữ trên trình duyệt máy tính của người dùng, chủ yếu là cookies và thông tin đăng nhập tài khoản Facebook, sau đó đem bán để kiếm lợi nhuận.

Sau khi thống nhất thỏa thuận, N.V.X đã tiến hành lập trình các tệp mã độc, nén lại dưới dạng file ZIP và chuyển cho Công để phát tán. Các dữ liệu bị đánh cắp từ máy tính của nạn nhân sẽ tự động được gửi về các hệ thống bot Telegram do nhóm đối tượng thiết lập và quản lý. Theo tài liệu điều tra, dữ liệu từ các máy tính bị nhiễm mã độc được chuyển tới các kênh Telegram như "STC New Logs", "STC Notification", "STC Reset Logs". Tại đây, các đối tượng có thể theo dõi, tải xuống và phân loại dữ liệu để tiếp tục khai thác.

Sau một thời gian hợp tác, nhận thấy hiệu quả chưa đạt như mong muốn, Lê Thành Công đã giới thiệu N.V.X cho Phan Xuân Anh (SN 2005, trú tại tỉnh Nghệ An) để tiếp tục mở rộng hoạt động. Phan Xuân Anh đã đề nghị X. phát triển một loại mã độc mới mang tên "PXA Stealers", với chức năng nâng cao hơn, không chỉ đánh cắp thông tin mà còn có thể chiếm quyền quản trị máy tính của nạn nhân.

Theo thỏa thuận giữa hai bên, N.V.X sẽ nhận 15% tổng số lợi nhuận thu được từ việc khai thác dữ liệu bị đánh cắp. Trong đó, X. đảm nhiệm vai trò lập trình, chỉnh sửa và liên tục cập nhật các phiên bản mới của mã độc nhằm vượt qua các lớp bảo vệ ngày càng nâng cao của hệ điều hành. Trong khi đó, Phan Xuân Anh cùng các đối tượng khác chịu trách nhiệm phát tán mã độc và khai thác dữ liệu thu được từ các thiết bị bị nhiễm.

Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa tiến hành khám xét tại nhà N.V.X (tên nhân vật đã được thay đổi)

Không dừng lại ở đó, khoảng tháng 11/2024, thông qua Phan Xuân Anh, Nguyễn Thành Trường đã liên hệ và "đặt hàng" N.V.X xây dựng một loại mã độc mới mang tên "Adonis" (viết tắt là AND) với giá 500 USD. Đồng thời, Trường cũng cam kết sẽ chia lợi nhuận cho X. từ 50 đến 100 USD mỗi lần thu được tiền từ việc khai thác dữ liệu.

Theo cơ quan điều tra, phần lớn các máy tính bị nhiễm mã độc thuộc về người dùng tại nhiều quốc gia khác nhau, chủ yếu tập trung ở Châu Âu, Châu Mỹ và một số nước Châu Á. Điều này cho thấy mức độ lan rộng và tính chất nghiêm trọng của đường dây phạm tội này.

Thủ đoạn hoạt động tinh vi

Để phát tán mã độc trên diện rộng, các đối tượng đã sử dụng máy tính cá nhân kết hợp với các phần mềm hỗ trợ gửi thư điện tử hàng loạt. Chúng tiến hành gửi các email có đính kèm tệp chứa mã độc tới hàng loạt địa chỉ email của người dùng Internet trên toàn thế giới.

Bên cạnh đó, nhóm đối tượng còn thu thập hoặc mua lại danh sách địa chỉ email từ các diễn đàn mua bán dữ liệu trên mạng. Sau đó, sử dụng các công cụ tự động để gửi hàng loạt email chứa mã độc tới những địa chỉ này, làm tăng đáng kể phạm vi phát tán.

Khi người nhận tải tệp đính kèm về và mở ra, mã độc sẽ ngay lập tức được kích hoạt và âm thầm cài đặt vào hệ thống. Đáng chú ý, các tệp chứa mã độc thường được ngụy trang rất tinh vi, có biểu tượng giống với các tệp tài liệu phổ biến như PDF hoặc file văn bản, nhằm đánh lừa người dùng. Tuy nhiên, trên thực tế, đây lại là các tệp thực thi có đuôi ".exe".

Đối tượng Phan Xuân Anh

Sau khi xâm nhập thành công vào máy tính, mã độc sẽ hoạt động ngầm, thu thập các thông tin quan trọng như cookies đăng nhập, mật khẩu trình duyệt, dữ liệu tự động điền, địa chỉ IP và nhiều dữ liệu nhạy cảm khác. Toàn bộ dữ liệu này sau đó được tự động gửi về máy chủ hoặc các hệ thống bot Telegram do các đối tượng điều khiển để tiếp tục khai thác.

Không chỉ dừng lại ở việc đánh cắp dữ liệu, các đối tượng còn cài đặt sẵn phần mềm điều khiển từ xa trên các máy tính bị nhiễm. Thông qua việc sử dụng các máy chủ ảo (VPS), chúng có thể truy cập trực tiếp vào hệ thống của nạn nhân, từ đó chiếm quyền điều khiển máy tính và tiếp tục khai thác thông tin một cách sâu hơn.

Từ các dữ liệu thu thập được, nhóm đối tượng chủ yếu nhắm đến việc chiếm đoạt các tài khoản mạng xã hội, đặc biệt là các tài khoản Facebook có chức năng chạy quảng cáo. Sau khi kiểm soát được các tài khoản này, chúng sử dụng để chạy quảng cáo bán hàng trực tuyến, thu lợi từ hoa hồng hoặc bán lại thông tin tài khoản cho bên thứ ba nhằm kiếm lợi bất chính.

Bước đầu, cơ quan điều tra xác định đã có hơn 94.000 máy tính của người dùng tại nhiều quốc gia bị nhiễm các loại mã độc do nhóm đối tượng này phát tán. Tổng số tiền thu lợi bất chính từ hoạt động lập trình, phát tán và khai thác mã độc lên tới hàng chục tỷ đồng.

Hiện tại, Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, đồng thời khởi tố 12 bị can liên quan đến các tội danh như "Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, phương tiện, phần mềm để sử dụng vào mục đích trái pháp luật" và "Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác".

Vụ án một lần nữa gióng lên hồi chuông cảnh báo về sự gia tăng của tội phạm công nghệ cao, đặc biệt khi đối tượng ngày càng trẻ hóa nhưng lại sở hữu kiến thức kỹ thuật đáng kể. Bên cạnh sự vào cuộc quyết liệt của cơ quan chức năng, mỗi người dùng Internet cũng cần nâng cao cảnh giác, chủ động bảo vệ dữ liệu cá nhân trước các hình thức tấn công ngày càng tinh vi trong không gian số.

Trà My