สรุปสั้น
หน่วยงานบังคับใช้กฎหมายจากยุโรปและอเมริกาเหนือประกาศปิดบริการ VPN สำหรับอาชญากรไซเบอร์ชื่อ First VPN ภายใต้ปฏิบัติการ Operation Saffron เมื่อวันที่ 19-20 พฤษภาคม พ.ศ. 2569 นำโดยฝรั่งเศสและเนเธอร์แลนด์ โดยมี Europol, Eurojust และ FBI สนับสนุน ปฏิบัติการยึดเซิร์ฟเวอร์ 33 ตัวที่กระจายอยู่ใน 27 ประเทศ พบว่ากลุ่ม ransomware อย่างน้อย 25 กลุ่มใช้ First VPN ในการซ่อนตัวขณะทำการโจมตี ขโมยข้อมูล สแกนเครือข่าย และโจมตีแบบ DDoS บริการนี้เปิดให้ใช้งานมาตั้งแต่ประมาณปี พ.ศ. 2557 และโฆษณาในฟอรัมอาชญากรไซเบอร์ภาษารัสเซีย
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 22 พฤษภาคม พ.ศ. 2569 ว่า หน่วยงานบังคับใช้กฎหมายจากหลายประเทศได้ร่วมกันทำลายโครงสร้างพื้นฐานของ First VPN Service ซึ่งเป็นบริการ VPN ที่ออกแบบมาสำหรับอาชญากรไซเบอร์โดยเฉพาะ
Europol ระบุว่า First VPN ให้บริการที่ออกแบบมาเพื่อการใช้งานผิดกฎหมาย ประกอบด้วยการชำระเงินแบบไม่ระบุตัวตน โครงสร้างพื้นฐานที่ซ่อนเร้น และบริการอื่นๆ ที่ทำการตลาดเจาะจงกลุ่มแฮ็กเกอร์อาชญากร โดยโฆษณาในฟอรัมอาชญากรไซเบอร์ภาษารัสเซียอย่าง Exploit[.]in และ XSS[.]is
ปฏิบัติการ Operation Saffron ดำเนินการระหว่างวันที่ 19-20 พฤษภาคม โดยเจ้าหน้าที่ได้สัมภาษณ์ผู้ดูแลระบบบริการ ค้นบ้านในยูเครน ยึดเซิร์ฟเวอร์ 33 ตัว และปิดโดเมนที่เกี่ยวข้อง ได้แก่ 1vpns[.]com, 1vpns[.]net, 1vpns[.]org และโดเมน .onion บนเครือข่าย Tor มีประเทศที่เข้าร่วมปฏิบัติการรวม 17 ประเทศ
FBI รายงานว่ากลุ่ม ransomware อย่างน้อย 25 กลุ่ม รวมถึง Avaddon Ransomware ใช้โครงสร้างพื้นฐานของ First VPN ในการทำ network reconnaissance และบุกรุกระบบ
วิธีการทำงานของ First VPN
First VPN เปิดให้บริการมาตั้งแต่ประมาณปี พ.ศ. 2557 โดยให้บริการเซิร์ฟเวอร์ exit node จำนวน 32 ตัวใน 27 ประเทศ รองรับโปรโตคอลหลายแบบ ได้แก่ OpenConnect, WireGuard, Outline และ VLess TCP Reality รวมถึงตัวเลือกการเข้ารหัสหลายแบบ เช่น OpenVPN ECC, L2TP/IPSec และ PPTP
โดยเฉพาะโปรโตคอล VLESS และ Reality ที่สามารถปลอมแปลงทราฟฟิก VPN ให้ดูเหมือนทราฟฟิก HTTPS ปกติ ทำให้ยากต่อการตรวจจับ
บริการรับชำระเงินผ่าน Bitcoin, Perfect Money, Webmoney, EgoPay และ InterKass โดยราคาเริ่มต้นที่ 2 ดอลลาร์สำหรับ 1 วัน ไปจนถึง 483 ดอลลาร์สำหรับ 1 ปี
ผลกระทบต่อไทย
การปิด First VPN เป็นข่าวดีสำหรับทุกประเทศรวมถึงไทย เนื่องจากกลุ่ม ransomware ที่ใช้บริการนี้มักโจมตีเป้าหมายทั่วโลกไม่จำกัดภูมิภาค การยึดเซิร์ฟเวอร์และระบุตัวตนผู้ใช้กว่า 506 ราย อาจนำไปสู่การจับกุมผู้กระทำผิดเพิ่มเติมและลดจำนวนการโจมตี ransomware ลงได้ อย่างไรก็ตาม อาชญากรไซเบอร์มักย้ายไปใช้บริการอื่นอย่างรวดเร็ว องค์กรในไทยยังคงต้องเตรียมพร้อมรับมือภัย ransomware อย่างต่อเนื่อง
คำแนะนำ
- ใช้เหตุการณ์นี้เป็นโอกาสทบทวนแผนรับมือ ransomware ขององค์กร ตรวจสอบว่าระบบสำรองข้อมูลทำงานถูกต้องและทดสอบการกู้คืนเป็นระยะ
- เฝ้าระวัง Indicator of Compromise (IoC) ที่เกี่ยวข้องกับ First VPN ได้แก่ IP address ของ exit node ที่ FBI เปิดเผย เช่น 2.223.66.103, 5.181.234.59 และ 92.38.148.58
- ตรวจสอบ firewall log ว่ามีการเชื่อมต่อจาก IP ดังกล่าวหรือไม่ในช่วงที่ผ่านมา
- อัปเดตระบบป้องกันให้ตรวจจับโปรโตคอล VLESS และ Reality ที่อาจถูกใช้เพื่อซ่อนทราฟฟิก VPN
- ฝึกอบรมพนักงานเรื่องการป้องกัน phishing ซึ่งเป็นจุดเริ่มต้นหลักของ ransomware
