Nhóm tin tặc phát tán mã độc bị bắt như thế nào?

Nhóm hacker này gồm hàng chục đối tượng có thủ đoạn tinh vi, hoạt động trên địa bàn tỉnh Nam Định và các tỉnh, thành trên cả nước. Mục tiêu các đối tượng nhắm đến là những tài khoản mạng xã hội Facebook, nhất là những tài khoản Business Manager có giá trị cao để bán hoặc chạy quảng cáo.

Phát tán mã độc, đánh cắp tài khoản Facebook

Các đối tượng phát tán mã độc thông qua hai fanpage “Art by AI” và “Evoto Studio”. Hai fanpage này liên tục đăng tải bài viết quảng cáo có nội dung chia sẻ ứng dụng chỉnh sửa ảnh như AI, CapCut pro, Photo Effect miễn phí nhằm lôi kéo người dùng mạng xã hội tải xuống theo đường link đính kèm có chứa mã độc. Khi người dùng mạng xã hội tải, cài đặt phần mềm về thiết bị điện tử để sử dụng sẽ bị mã độc lấy cắp thông tin Cookies Facebook và chuyển về nhóm Telegram của tin tặc. Sau đó, các tin tặc sẽ chiếm quyền quản trị trang và toàn quyền sử dụng.

Thượng tá Đinh Văn Tạo - Phó trưởng Phòng Cảnh sát hình sự Công an tỉnh Nam Định cho biết, qua công tác trinh sát và áp dụng đồng bộ các biện pháp kỹ thuật nghiệp vụ, Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao và Công an tỉnh Nam Định xác định, nguồn gốc phát tán, lây lan mã độc là từ Việt Nam. Tiếp tục điều tra, xác minh, cơ quan điều tra đã khoanh vùng và xác định được một nhóm đối tượng trú tại nhiều tỉnh, thành phố trong cả nước. Trong đó, số đối tượng cầm đầu trú tại TP Hà Nội, còn những đối tượng hoạt động tích cực trú tại huyện Giao Thủy, tỉnh Nam Định. Các đơn vị đã xác lập chuyên án để đấu tranh triệt xóa, bắt giữ các đối tượng càng sớm càng tốt. Bởi, nếu không sớm ngăn chặn thì số nạn nhân sẽ ngày càng tăng.

Tiếp tục điều tra, xác minh, cơ quan điều tra xác định đối tượng cầm đầu, cung cấp mã độc là Đặng Đình Sơn, sinh năm 1993, trú tại La Khê, Hà Đông, Hà Nội. Đặng Đình Sơn đã mua mã nguồn mã độc có chức năng đánh cắp thông tin tài khoản người dùng Facebook trên một diễn đàn mạng xã hội với giá khoảng 30 triệu đồng và dùng mã độc để chiếm quyền quản trị hai fanpage có tên “Art by AI”, “Evoto Studio”. Sau đó, Sơn sử dụng hai trang này đăng tải các bài viết có nội dung giả mạo về tạo hình ảnh đẹp bằng trí tuệ nhân tạo AI hay Chat GPT với mục đích thu hút sự chú ý của người dùng mạng xã hội, để họ tải về, cài đặt trên thiết bị điện tử.

Khi mã độc xâm nhập thiết bị điện tử của người dùng Facebook sẽ âm thầm thu thập thông tin người dùng rồi chuyển về máy chủ do Sơn quản lý. Từ đây, Sơn đặt lệnh cho máy chủ phân chia ra các nhóm Telegram để cùng nhau thực hiện hành vi chiếm quyền sử dụng tài khoản mạng xã hội Facebook; bán những tài khoản Facebook có giá trị cao để thu lợi nhuận, còn tài khoản Facebook  có giá trị ngưỡng thấp thì sử dụng để chạy quảng cáo như quần, áo... trên các sàn thương mại điện tử.

Đặng Đình Sơn cài đặt, lập trình 5 nhóm Telegram, cùng vợ là Tạ Thị Trang trực tiếp quản trị nhóm Telegram “Data Vip”. Nhóm này còn có 4 đối tượng nữa đều trú tại TP Hà Nội, là bạn của vợ chồng Sơn, gồm: Nguyễn Hoằng Điệp, Nguyễn Mạnh Tú, Nguyễn Văn Việt và Chu Quốc Vương. Sơn giao quyền quản trị nhóm Telegram “Data Dương” cho vợ chồng em trai là Đặng Đình Dương và Đỗ Thị Nga, trú tại xã Ngọc Hòa, huyện Chương Mỹ, TP Hà Nội. Lợi nhuận từ việc bán những tài khoản Facebook  chiếm đoạt được hoặc chạy quảng cáo trên những tài khoản Facebook chiếm đoạt được, vợ chồng Dương - Nga chia cho Sơn 50%.

Sơn giao quyền quản trị nhóm Telegram “Data Huy” cho anh trai vợ là Tạ Văn Huy, sinh năm 1992, trú tại xã Hoàng Diệu, huyện Chương Mỹ, TP Hà Nội. Nhóm Telegram “A Phan”, Sơn giao quyền quản trị cho Phan Văn Bính, sinh năm 1987, trú tại 68/1/25 Nguyễn Tư Giản, khu phố 29, phường 12, quận Gò Vấp, TP Hồ Chí Minh. Bính hỗ trợ Sơn trong việc thiết kế các nội dung quảng cáo trên Facebook để gắn link chứa mã độc. Do đó, lợi nhuận từ việc bán tài khoản Facebook chiếm đoạt được, Bính không chia phần trăm cho Sơn.

Nhóm Telegram “Data Chính”, Sơn giao quyền quản trị cho Đỗ Văn Chính, sinh năm 1989, trú tại xã Bạch Long, huyện Giao Thủy, tỉnh Nam Định. Đỗ Văn Chính đã lôi kéo hơn 10 người khác cùng trú tại xã Bạch Long tham gia nhóm Telegram để thực hiện chạy quảng cáo thu hút người dùng mạng xã hội tải và cài đặt mã độc. Hằng tháng, Chính chuyển cho Sơn 40% lợi nhuận, trả cho mỗi người trong nhóm Telegram từ 10 đến 20 triệu đồng/tháng.

Theo chia sẻ của Thượng tá Đặng Quốc Việt - Trưởng Phòng An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh Nam Định, ngoài 5 nhóm Telegram trên, các đối tượng còn tạo lập nhóm Telegram “ADS” với thành viên là những người chủ chốt trong đường dây, có kiến thức về công nghệ thông tin, gồm Đặng Đình Sơn, Cao Văn Chuẩn, Phan Văn Bính, Đỗ Văn Chính để trao đổi cách thức, nội dung phát tán mã độc đến người dùng mạng xã hội Facebook .

Ba mũi giáp công

Cơ quan Cảnh sát điều tra Công an tỉnh Nam Định quyết định đồng loạt bắt giữ các đối tượng tại 3 tỉnh, thành phố vào sáng ngày 15/4/2024. Ngay lập tức, 8 mũi trinh sát được triển khai gồm lực lượng của Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao Bộ Công an; Phòng Cảnh sát hình sự và Phòng An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh Nam Định.

Mũi thứ nhất phối hợp Công an TP Hà Nội tổ chức bắt giữ vợ chồng Sơn - Trang và những đối tượng có liên quan tại La Khê, Hà Đông, Hà Nội. Sau khi bắt vợ chồng Sơn - Trang, cơ quan điều tra đồng loạt bắt giữ các đối tượng trong đường dây tại Hà Nội. Mũi thứ hai phối hợp Công an TP Hồ Chí Minh tổ chức bắt giữ Phan Văn Bính tại phường 12, quận Gò Vấp, TP Hồ Chí Minh. Mũi thứ ba bắt Đỗ Văn Chính và những đối tượng có liên quan tại xã Bạch Long, huyện Giao Thủy, tỉnh Nam Định.

Cơ quan Cảnh sát điều tra đã bắt giữ tổng cộng 22 đối tượng, thu giữ 4 laptop, 23 bộ máy tính, 20 điện thoại di động, 2 USB 4G, 5 ô tô, 1 súng bắn hơi và 2 tỷ đồng tiền mặt cùng nhiều tài liệu, giấy tờ liên quan. Ngày 17/4, Cơ quan Cảnh sát điều tra Công an tỉnh Nam Định có quyết định trưng cầu giám định gửi Cục An toàn thông tin và truyền thông, Bộ Thông tin và Truyền thông, kết quả cho thấy các mẫu gửi giám định có chứa các tập tin mã độc. Tại cơ quan điều tra, các đối tượng khai nhận đã chiếm quyền khoảng 25.000 tài khoản Business Manager trên Facebook có giá trị cao của cá nhân, doanh nghiệp trong nước và các quốc gia trên thế giới, thu lời bất chính khoảng 90 tỷ đồng.

Ngày 23/4, Cơ quan Cảnh sát điều tra Công an tỉnh Nam Định đã khởi tố vụ án, khởi tố bị can đối với 20 đối tượng về các tội: “Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật”, “Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác”. Đại tá Chu Văn Phú - Phó Giám đốc, Thủ trưởng Cơ quan Cảnh sát điều tra Công an tỉnh Nam Định đánh giá, đây là lần đầu tiên công an tỉnh phối hợp triệt phá một vụ án công nghệ cao liên quan đến phát tán mã độc. Hiện, Cơ quan Cảnh sát điều tra Công an tỉnh Nam Định tiếp tục điều tra, mở rộng vụ án. 

Phòng Cảnh sát hình sự Công an tỉnh Nam Định tiếp tục phối hợp các đơn vị nghiệp vụ điều tra, mở rộng vụ án.