Nhịp đập công nghệ

Vụ án 'crack’ phần mềm Microsoft ở Phú Thọ: Thủ thuật tinh vi, cần xử lý nghiêm minh

Minh Trí 15/07/2026 11:14

Ngày 14/7, Cơ quan Cảnh sát điều tra Công an tỉnh Phú Thọ ra quyết định khởi tố 5 bị can về tội "Xâm phạm quyền tác giả, quyền liên quan" theo Điều 225 Bộ luật Hình sự.

Đây là vụ án hình sự đầu tiên trên phạm vi cả nước liên quan đến hành vi xâm phạm quyền tác giả đối với phần mềm máy tính, một bước ngoặt trong thực thi sở hữu trí tuệ tại Việt Nam.

Vụ án đầu tiên, quy mô lớn

Vụ án bắt nguồn từ ngày 11/6, khi Công an tỉnh Phú Thọ khởi tố vụ án hình sự sau khi phát hiện nhiều máy tính do Công ty TNHH Thương mại và Dịch vụ Sông Lam cung cấp được cài đặt sẵn hệ điều hành Windows và bộ ứng dụng Microsoft Office bằng các công cụ kích hoạt bản quyền trái phép. Qua quá trình điều tra mở rộng, lực lượng công an tiếp tục phát hiện nhiều máy tính tại một cơ sở giáo dục trên địa bàn tỉnh có dấu hiệu vi phạm tương tự.

doi-tuong-vi-pham-ban-quyen-microsoft.jpg
Các đối tượng bị khởi tố về tội xâm phạm quyền tác giả, quyền liên quan, quy định tại khoản 1, Điều 225 Bộ luật Hình sự. Ảnh: Công an tỉnh Phú Thọ

Từ đó, cơ quan điều tra truy ngược lên chuỗi cung ứng và xác định Công ty Cổ phần Truyền thông và Máy tính Thánh Gióng có liên quan đến việc lắp ráp, cài đặt trái phép phần mềm Microsoft ngay từ khâu xuất xưởng, trước khi bán cho các doanh nghiệp phân phối.

Kết quả điều tra bước đầu cho thấy quy mô vi phạm rất lớn. Trong giai đoạn từ năm 2022 đến 2026, ba công ty Sông Lam, Athena và Tek-Solution đã bán tổng cộng 13.956 máy tính cho 509 cơ quan, tổ chức và cá nhân trên cả nước, với tổng doanh thu khoảng 181 tỷ đồng. Trong cùng thời gian, Công ty Thánh Gióng đã bán khoảng 53.000 máy tính cho 730 cơ quan, doanh nghiệp và cá nhân, với tổng doanh thu khoảng 450 tỷ đồng.

Giá trị bản quyền hợp pháp của hệ điều hành Windows và bộ ứng dụng Microsoft Office dao động từ khoảng 4 đến 9 triệu đồng đối với mỗi máy tính. Tính toán sơ bộ trên tổng số gần máy tính vi phạm, thiệt hại đối với chủ thể quyền có thể lên tới 603 tỉ đồng, tương đương khoảng 24 triệu USD.

Công ty Thánh Gióng, bên thực hiện hành vi lắp ráp máy tính và bẻ khóa phần mềm hiện đang trong giai đoạn mở rộng điều tra.

“Crack” và “activator” hoạt động tinh vi như thế nào?

Thông báo của Công an tỉnh Phú Thọ nêu rõ, các bị can đã sử dụng các công cụ kích hoạt trái phép như crack, mã lậu, activator và các phần mềm tương tự để cài đặt và kích hoạt trái phép hệ điều hành Windows và Microsoft Office.

Microsoft bảo vệ bản quyền phần mềm bằng nhiều lớp chồng nhau. Với bản quyền lẻ, mỗi bản Windows hoặc Office có một mã khóa sản phẩm duy nhất. Khi người dùng kích hoạt, mã này được gửi về server Microsoft cùng với "dấu vân tay" phần cứng của máy tính, gọi là Hardware ID (HWID) — một chuỗi mã được tổng hợp từ thông tin, thông số phần cứng chiếc máy tính đó.

Microsoft lưu cặp mã–HWID trong cơ sở dữ liệu. Nếu cùng một mã sản phẩm được kích hoạt trên quá nhiều máy khác nhau, server sẽ từ chối.

Với bản quyền doanh nghiệp (volume license), Microsoft cung cấp cơ chế Key Management Service (KMS). Theo đó, tổ chức mua bản quyền hợp pháp sẽ dựng một KMS server nội bộ, các máy trong mạng tự kích hoạt qua server này mỗi 180 ngày mà không cần kết nối trực tiếp đến Microsoft. Từ Windows 10 trở đi, Microsoft còn sử dụng bản quyền số (Digital License), gắn vĩnh viễn vào HWID trên server của họ, cho phép máy tự kích hoạt lại sau khi cài lại hệ điều hành mà không cần nhập lại mã sản phẩm.

Các công cụ crack phá vỡ hệ thống bảo vệ này bằng nhiều phương thức, trong đó ba phương thức phổ biến nhất là giả lập KMS, khai thác quy trình nâng cấp (KMS38), và sử dụng mã sản phẩm bị rò rỉ. Mỗi phương thức có mức độ can thiệp kỹ thuật khác nhau.

Phương thức phổ biến nhất cho việc cài lậu quy mô lớn là giả lập KMS server. Về kỹ thuật, công cụ dừng dịch vụ Software Protection Platform (sppsvc) của Windows, sau đó cài thêm các thành phần lạ và chỉnh sửa registry để thiết lập một KMS server giả. Khi Windows hoặc Office cần kích hoạt, thay vì kết nối đến KMS server hợp pháp của doanh nghiệp qua cổng TCP 1688, phần mềm bị chuyển hướng sang server giả này.

Máy tính "tin" rằng nó đang được kích hoạt bởi một tổ chức có phần mềm bản quyền hợp pháp. Tuy nhiên, kích hoạt KMS chỉ có hiệu lực 180 ngày, nên công cụ phải cài thêm một tác vụ hẹn giờ hoặc dịch vụ nền chạy ngầm với quyền cao nhất trên máy để tự động gia hạn. Đây là phương thức duy nhất hoạt động được cho cả Windows lẫn Office, có thể triển khai hàng loạt mà không cần kết nối Internet.

Phương thức thứ hai là KMS38, khai thác quy trình nâng cấp bản quyền của Windows. Công cụ sử dụng file gatherosstate.exe mà Microsoft thiết kế để “xê dịch” trạng thái kích hoạt khi nâng cấp Windows, tạo ra một "vé hợp lệ" giả.

Windows xử lý “vé” này như thể máy vừa được nâng cấp từ phiên bản đã kích hoạt hợp pháp, và cấp kích hoạt có hiệu lực đến năm 2038. Khác với giả lập KMS, phương thức này không cần dịch vụ chạy ngầm để gia hạn. Tuy nhiên, vào tháng 11/2025, Microsoft đã vô hiệu hóa phương thức này qua bản cập nhật KB5068861, bằng cách loại bỏ chức năng của gatherosstate.exe.

Phương thức thứ ba đơn giản hơn. Đối tượng vi phạm sử dụng các mã bản quyền bị đánh cắp, rò rỉ từ các tổ chức có bản quyền hợp pháp. Về kỹ thuật, đây không phải bẻ khóa theo nghĩa can thiệp hệ thống. Tuy nhiên, phương thức này không khả thi ở quy mô lớn vì Microsoft theo dõi được khi thấy cùng một mã được kích hoạt từ nhiều địa chỉ IP và vùng địa lý khác nhau. Hệ thống sẽ nhanh chóng đánh dấu bất thường và vô hiệu hóa mã đó.

Trong ba phương thức trên, giả lập KMS là phương thức can thiệp sâu nhất vào hệ điều hành và cũng gây ra rủi ro an ninh mạng lớn nhất. Công cụ phải dừng và sửa đổi dịch vụ bảo vệ bản quyền cốt lõi của Windows (sppsvc), cài thêm file DLL vào thư mục hệ thống, chỉnh sửa cơ sở dữ liệu, và duy trì dịch vụ nền chạy với quyền cao nhất.

Ngoài ra, vì Microsoft Defender tự động phát hiện và gắn cờ các công cụ này dưới các tên như HackTool:Win32/AutoKMS hoặc HackTool:Win32/WinActivator, quá trình cài đặt thường đòi hỏi phải tắt hoặc thêm ngoại lệ vào Defender, tạo thêm lỗ hổng bảo mật trên máy tính.

Microsoft phát hiện vi phạm như thế nào?

Với một cá nhân cài phần mềm lậu cho máy riêng, Microsoft thường chỉ hiện dòng chữ "Activate Windows" trên màn hình hoặc hạn chế một số tính năng cá nhân hóa. Tuy nhiên, khi vi phạm xảy ra ở quy mô lớn, dấu hiệu trở nên rõ ràng qua nhiều kênh.

activate-windows-microsoft-screen.jpg
Thông báo "Activate Windows"

Khi nhiều máy sử dụng cùng một mã sản phẩm hoặc cùng kiểu kích hoạt KMS mà không có hợp đồng bản quyền doanh nghiệp tương ứng, hệ thống tự động đánh dấu bất thường. Microsoft có đội ngũ chuyên trách phối hợp với tổ chống vi phạm bản quyền phần mềm Business Software Alliance (BSA) để thực hiện kiểm toán, thu thập bằng chứng kỹ thuật, rồi phối hợp với cơ quan thực thi pháp luật địa phương.

Ngoài ra, Microsoft sử dụng kỹ thuật pháp y số để phân tích hàng tỷ lượt kích hoạt, nhận diện các mẫu kích hoạt bất thường và xác định địa chỉ IP liên quan.

Bối cảnh quốc tế: các vụ án tương tự

Trên thế giới, nhiều quốc gia đã xử lý hình sự các hành vi vi phạm bản quyền phần mềm ở quy mô thương mại, với các mức phạt hành chính lẫn phạt tù rất nặng tay.

Vụ án nặng nhất từng được ghi nhận tại Mỹ năm 2013. Xiang Li (công dân Trung Quốc) vận hành website Crack99.com chuyên bán phần mềm bẻ khóa, bao gồm cả phần mềm công nghiệp dùng trong thiết kế hàng không vũ trụ, mô phỏng quốc phòng và khai thác mỏ. Từ năm 2008 đến 2011, Li thực hiện hơn 700 giao dịch, phân phối phần mềm có tổng trị giá trên 100 triệu USD cho hơn 400 khách hàng.

Trong số hàng hóa còn có dữ liệu mật bị đánh cắp từ server của một nhà thầu quốc phòng Mỹ. Cơ quan điều tra đã dụ Li đến đảo Saipan bằng đặc vụ ngầm rồi bắt giữ. Li bị kết án 144 tháng tù, bản án dài nhất tới nay cho tội vi phạm bản quyền hình sự.

Cũng tại Mỹ, chiến dịch "Software Slashers" năm 2015 đã triệt phá một đường dây quốc tế, với 6 đối tượng tại Trung Quốc, Singapore và Đức bị kết tội. Nhóm này đã mua hơn 30.000 mã sản phẩm giả từ nguồn Trung Quốc, phân phối hơn 170.000 mã kích hoạt phần mềm Microsoft và Adobe qua các website thương mại và thậm chí cả một tổ chức từ thiện. Tổng giá trị ước tính trên 100 triệu USD. Cơ quan chức năng đã tịch thu hơn 20,6 triệu USD tài sản gồm tiền mặt, 10 xe hạng sang và 27 bất động sản.

Tại châu Âu, năm 2021, cơ quan chức năng Tây Ban Nha đã kết án 6 tháng tù cho một phụ nữ ở Madrid vì sử dụng Windows và Office lậu cho hoạt động kinh doanh. Bản án còn kèm khoản phạt khoảng 4.400 USD và tiền bồi thường cho Microsoft.

Tại Anh, Đạo luật Kinh tế Kỹ thuật số 2017 đã nâng mức phạt tối đa cho vi phạm bản quyền trực tuyến lên 10 năm tù. Năm 2021, một lập trình viên phát triển phần mềm truy cập trái phép các dịch vụ truyền hình trả tiền đã bị kết án 30 tháng tù.

Một vụ án gây tranh cãi lớn tại Hoa Kỳ là vụ Eric Lundgren năm 2018. Lundgren đã đóng gói 28.000 đĩa restore Windows, loại đĩa mà Microsoft cho tải miễn phí, và bán ra thị trường. Dù mục đích ban đầu được cho là kéo dài vòng đời máy tính cũ để giảm rác thải điện tử, Lundgren vẫn bị kết án 15 tháng tù liên bang và phạt 50.000 USD. Vụ án cho thấy ngay cả khi phần mềm miễn phí, việc tạo bản sao và phân phối thương mại vẫn bị truy tố hình sự.

Vụ án tại Phú Thọ ở đâu trên bản đồ thế giới?

Xét về số lượng thiết bị bị ảnh hưởng, vụ án tại Phú Thọ thuộc hàng lớn nhất thế giới. Gần 67.000 máy tính được cài phần mềm lậu trước khi bán.

Con số này vượt xa hầu hết các vụ tại Mỹ và châu Âu, nơi các vụ lớn thường xoay quanh việc bán mã kích hoạt lậu chứ không phải cài đặt trực tiếp lên máy rồi phân phối qua kênh thương mại chính thức.

Điểm đặc thù của vụ việc tại Phú Thọ so với quốc tế nằm ở đối tượng khách hàng. Trong khi các vụ án ở Mỹ và châu Âu chủ yếu liên quan đến bán hàng qua kênh trực tuyến cho khách hàng cá nhân hoặc doanh nghiệp nhỏ và vừa, các máy tính trong vụ Phú Thọ được cung cấp cho cơ quan nhà nước, cơ sở giáo dục và doanh nghiệp thông qua các kênh mua sắm chính thức.

Điều này tạo ra rủi ro an ninh thông tin đối với hệ thống công, nơi mà máy tính có lớp bảo mật bị phá vỡ đang xử lý dữ liệu nhạy cảm của nhà nước và công dân.

Rủi ro an ninh mạng: vượt xa bài toán bản quyền

Khía cạnh đáng lo ngại nhất của vụ án không nằm ở thiệt hại bản quyền mà ở rủi ro an ninh mạng. Khi một công cụ bẻ khóa vô hiệu hóa cơ chế bảo mật của hệ điều hành và cài thêm dịch vụ chạy ngầm, nó thực chất đang tạo ra một "cửa sau" sẵn có trên mỗi máy tính. Nếu bản thân công cụ chứa mã độc, toàn bộ các máy có mặt công cụ đó có thể bị thâm nhập bởi kẻ xấu.

Với gần 67.000 máy tính được bán cho cơ quan nhà nước, doanh nghiệp và cơ sở giáo dục trên cả nước, quy mô tiềm tàng của rủi ro là rất lớn. Dữ liệu nội bộ của cơ quan nhà nước, thông tin kinh doanh của doanh nghiệp, dữ liệu cá nhân của học sinh sinh viên — tất cả đều có thể đã nằm trên những máy tính có lớp bảo mật bị phá vỡ ngay từ khi xuất xưởng. Đây không còn là vấn đề bản quyền đơn thuần mà là rủi ro an ninh thông tin đối với quốc gia.

Ý nghĩa tiền lệ cho Việt Nam

Trước vụ án này, vi phạm bản quyền phần mềm tại Việt Nam chỉ bị xử lý hành chính, thường không đủ sức răn đe so với lợi nhuận thu được. Việc chuyển sang xử lý hình sự đánh dấu bước ngoặt trong thực thi quyền sở hữu trí tuệ tại Việt Nam.

Bước ngoặt này diễn ra trong bối cảnh Việt Nam đang muốn tham gia sâu hơn vào chuỗi cung ứng công nghệ toàn cầu và thu hút đầu tư trong lĩnh vực bán dẫn, trí tuệ nhân tạo và công nghệ cao. Tuân thủ quyền sở hữu trí tuệ là điều kiện tiên quyết để các tập đoàn công nghệ quốc tế đặt niềm tin vào một quốc gia như là địa điểm sản xuất, nghiên cứu và phát triển.

Vụ án tại Phú Thọ, dù nhắm vào một hành vi phổ biến đến mức nhiều người coi là bình thường, gửi tín hiệu rõ ràng rằng thời kỳ "cài win lậu" đã qua, và hình phạt sẽ không còn chỉ là phạt hành chính.

Minh Trí