Theo Công an tỉnh Thanh Hóa, ngày 25/3, cơ quan chức năng khởi tố 12 bị can liên quan đến hành vi Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật quy định (Điều 285, Bộ luật hình sự) và tội Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác (Điều 289, Bộ luật hình sự). Đáng nói, trong số các bị can này có một người là học sinh lớp 12, trú tại phường Hạc Thành, tỉnh Thanh Hóa.

Theo điều tra ban đầu của Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh Thanh Hóa, khoảng năm 2023, N.V.X., (tên nhân vật đã được thay đổi) trú tại phường Hạc Thành, tỉnh Thanh Hóa (hiện đang là học sinh lớp 12 trên địa bàn tỉnh) đã bắt đầu tự tìm hiểu và học các ngôn ngữ lập trình như Python, C++… để viết các chương trình chạy trên máy tính. Ban đầu, X. chỉ thử nghiệm các chương trình đơn giản.

Càng tìm hiểu sâu về cấu trúc hệ điều hành, cách lưu trữ dữ liệu trên máy tính, X. nảy sinh ý định xấu, xây dựng các đoạn mã có khả năng truy cập vào dữ liệu lưu trong trình duyệt web của người dùng.

Đến năm 2024, X. đã lập trình thành công một bộ mã nguồn có chức năng đánh cắp dữ liệu từ máy tính, thu thập dữ liệu lưu trên trình duyệt của người dùng như cookies đăng nhập, mật khẩu đã lưu, dữ liệu tự động điền và nhiều thông tin nhạy cảm khác. Sau khi có được thông tin, các đoạn mã này sẽ đóng gói dữ liệu thu thập được thành các tệp tin và gửi về máy chủ do đối tượng thiết lập.

Tháng 7/2024, thông qua mạng xã hội Telegram, X. quen biết với Lê Thành Công (SN 1998), trú tại tỉnh Hà Tĩnh. Công nhờ X. phát triển giúp mã độc để phát tán nhằm thu thập các thông tin nhạy cảm như dữ liệu cá nhân. X. đã lập trình các file mã độc, nén lại thành file ZIP rồi chuyển cho công. Các dữ liệu đánh cắp được từ máy tính của nạn nhân sau đó sẽ tự động gửi về các hệ thống Bot Telegram do các đối tượng thiết lập và quản lý như “STC New Logs”, “STC Notification”, “STC Reset Logs”.

Sau khi có dữ liệu, nhóm đối tượng tiếp tục khai thác để bán. Tuy nhiên, thời gian đầu, hiệu quả không cao nên Lê Thành Công đã giới thiệu X. cho Phan Xuân Anh (SN 2005), trú tại Nghệ An, có tài khoản Telegram “Mr Bean”, tiếp tục hợp tác trong việc phát triển và phát tán mã độc.

Liên hệ với X., Xuân Anh nhờ lập trình mã độc mới có tên “PXA Stealers” với chức năng đánh cắp thông tin trên máy tính và chiếm quyền quản trị máy tính của nạn nhân. Hai bên thống nhất, X. sẽ hưởng 15% trên tổng số lợi nhuận thu được từ việc khai thác dữ liệu đánh cắp.

Theo đó, X. chịu trách nhiệm lập trình, chỉnh sửa và cập nhật các phiên bản mới của mã độc. Xuân Anh và các đối tượng khác sẽ phát tán mã độc, khai thác dữ liệu thu thập được từ các máy tính bị nhiễm. Thông qua phần mềm điều khiển từ xa và máy chủ ảo (VPS), các đối tượng trực tiếp truy cập, chiếm quyền điều khiển máy tính nạn nhân.

Theo cơ quan điều tra, hơn 94.000 máy tính tại nhiều quốc gia, chủ yếu ở châu Âu, châu Mỹ và một số nước châu Á, bị nhiễm mã độc.

Từ dữ liệu đánh cắp, các đối tượng chủ yếu chiếm quyền tài khoản mạng xã hội, đặc biệt là tài khoản Facebook có chức năng chạy quảng cáo. Sau đó sử dụng để kinh doanh trực tuyến, hưởng hoa hồng hoặc bán lại cho bên thứ ba. Bước đầu xác định, đường dây đã thu lợi bất chính hàng chục tỷ đồng.

Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố 12 bị can về tội Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật; Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác.

Hiện vụ án đang tiếp tục được điều tra mở rộng để làm rõ vai trò của từng đối tượng trong đường dây, từ đó xử lý nghiêm theo quy định của pháp luật.

TH