สรุปสั้น
หน่วยงานความมั่นคงกลางของรัสเซีย (Federal Security Service หรือ FSB) อ้างว่าได้ขัดขวางปฏิบัติการจารกรรมไซเบอร์ขนาดใหญ่ ที่เกี่ยวข้องกับการฝังสปายแวร์ขั้นสูงในอุปกรณ์มือถือที่เจ้าหน้าที่รัฐระดับสูงใช้งาน โดยระบุว่าแคมเปญนี้จัดการโดยหน่วยข่าวกรองต่างชาติที่ไม่ทราบชื่อ มุ่งสอดแนมแบบลับและขโมยข้อมูล
ตามคำแถลงของ FSB ปฏิบัติการนี้เกี่ยวข้องกับการฝังและเปิดใช้งานซอฟต์แวร์อันตรายที่สามารถดึงข้อมูลสำคัญ ดักจับการสื่อสาร และทำการบันทึกเสียงและวิดีโอโดยไม่ได้รับอนุญาต โดยมุ่งเป้าสมาร์ตโฟนและอุปกรณ์พกพาของเจ้าหน้าที่อาวุโส บ่งชี้ว่าเป็นการโจมตีแบบเจาะจงเป้าหมายสูงที่ขับเคลื่อนด้วยงานข่าวกรอง
FSB ยังระบุว่าผู้โจมตีอาศัยโครงสร้างพื้นฐานทางเทคนิคที่เชื่อมโยงกับผู้ให้บริการ IT และโทรคมนาคมระหว่างประเทศรายใหญ่ เพื่ออำนวยความสะดวกในการเก็บข้อมูลแบบลับ แม้จะไม่เปิดเผยตัวบ่งชี้การบุกรุก (IoC) หรือชื่อตระกูลมัลแวร์ แต่ความสามารถที่อธิบายสอดคล้องกับสปายแวร์ระดับรัฐอย่าง Pegasus หรือ Predator ที่ขึ้นชื่อเรื่องความลับและสถาปัตยกรรมแบบโมดูลาร์
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 มิถุนายน 2569 ว่าหน่วยงาน FSB ของรัสเซียออกมาอ้างว่าได้ขัดขวางปฏิบัติการจารกรรมไซเบอร์ขนาดใหญ่ที่ฝังสปายแวร์ขั้นสูงในมือถือของเจ้าหน้าที่รัฐระดับสูง โดยกล่าวหาว่าหน่วยข่าวกรองต่างชาติเป็นผู้อยู่เบื้องหลัง มุ่งสอดแนมและขโมยข้อมูล
FSB ระบุว่าสปายแวร์ดังกล่าวมุ่งเป้าสมาร์ตโฟนและอุปกรณ์พกพาที่เจ้าหน้าที่อาวุโสใช้งาน ซึ่งสะท้อนการโจมตีแบบคัดเลือกเป้าหมายอย่างเจาะจง และระบุว่าผู้โจมตีใช้ประโยชน์จากโครงสร้างพื้นฐานทางเทคนิคที่เกี่ยวข้องกับผู้ให้บริการ IT และโทรคมนาคมระดับโลก เพื่อเก็บข้อมูลแบบลับ แม้ไม่ได้ระบุชื่อผู้ผลิตหรือประเทศใดก็ตาม
จากมุมมองทางเทคนิค แคมเปญสปายแวร์ลักษณะนี้มักอาศัย zero-click exploit ช่องโหว่ระดับ baseband หรือ malicious configuration profile เพื่อเข้าถึงระบบมือถือแบบฝังตัวถาวร เทคนิคเหล่านี้ช่วยให้ผู้โจมตีข้ามการโต้ตอบของผู้ใช้และมาตรการความปลอดภัยทั่วไป ทำให้การตรวจจับยากขึ้นมาก เมื่อฝังตัวแล้ว สปายแวร์สามารถเข้าถึงแอปแชตที่เข้ารหัส ดักจับการกดแป้นพิมพ์ เปิดไมโครโฟนและกล้อง รวมถึงขโมยไฟล์ที่จัดเก็บไว้
แม้ FSB จะไม่เปิดเผย IoC หรือชื่อตระกูลมัลแวร์ แต่ความสามารถที่อธิบายสอดคล้องกับสปายแวร์ระดับรัฐที่เคยพบ เช่น Pegasus หรือ Predator ทั้งนี้รายงานจาก Democrata ที่แชร์กับ Cyber Security News ระบุว่าทางการรัสเซียยืนยันว่าได้เริ่มการสอบสวนทางอาญาและกำลังทำ forensic analysis อุปกรณ์ที่ได้รับผลกระทบ พร้อมเตือนถึงความเสี่ยงในการพูดคุยข้อมูลสำคัญใกล้อุปกรณ์มือถือ เนื่องจากอาจถูกดักจับแบบเรียลไทม์โดยไม่มีสัญญาณบ่งชี้
วิธีการโจมตี
สปายแวร์ระดับรัฐที่มีลักษณะตามที่ FSB อธิบายมักใช้ zero-click exploit ซึ่งเป็นการเจาะที่ไม่ต้องให้เหยื่อคลิกหรือโต้ตอบใด ๆ เพียงได้รับข้อความหรือสายที่สร้างพิเศษก็ติดมัลแวร์ได้ทันที ทำให้เหยื่อแทบไม่มีทางป้องกันตัวด้วยพฤติกรรมการใช้งานที่ระมัดระวัง
อีกเทคนิคคือการใช้ช่องโหว่ระดับ baseband ซึ่งเป็นชิปประมวลผลสัญญาณวิทยุของมือถือ หรือใช้ malicious configuration profile ที่หลอกให้อุปกรณ์ตั้งค่าให้ผู้โจมตีเข้าถึงได้ ทั้งสองวิธีเปิดทางให้ฝังตัวแบบถาวรและยากต่อการตรวจจับด้วยเครื่องมือความปลอดภัยทั่วไป
เมื่อฝังตัวสำเร็จ สปายแวร์จะมีความสามารถครบวงจร ทั้งอ่านข้อความในแอปที่เข้ารหัส บันทึกการกดแป้นพิมพ์ เปิดไมโครโฟนและกล้องเพื่อสอดแนม และส่งไฟล์ออกไปยังผู้โจมตี การที่ FSB ระบุว่าผู้โจมตีอาศัยโครงสร้างของผู้ให้บริการ IT/โทรคมนาคมระดับโลก ยังบ่งชี้ถึงความเป็นไปได้ของการเข้าถึงระดับ supply chain หรือระดับเครือข่าย
ผลกระทบต่อไทย
เหตุการณ์นี้เป็นเครื่องเตือนใจสำหรับหน่วยงานรัฐและบุคคลสำคัญของไทยว่ามือถือเป็นพื้นผิวการโจมตีที่สำคัญสำหรับการจารกรรมระดับรัฐ โดยเฉพาะเจ้าหน้าที่ระดับสูง นักการทูต และผู้บริหารที่เข้าถึงข้อมูลอ่อนไหว ซึ่งอาจตกเป็นเป้าของสปายแวร์เช่นเดียวกัน
ที่ผ่านมามีรายงานการพบสปายแวร์อย่าง Pegasus ในอุปกรณ์ของบุคคลในภูมิภาคเอเชียตะวันออกเฉียงใต้รวมถึงไทย ทำให้ภัยนี้ไม่ใช่เรื่องไกลตัว และเนื่องจาก zero-click exploit ไม่ต้องอาศัยความผิดพลาดของผู้ใช้ การป้องกันจึงต้องพึ่งการอัปเดตระบบและมาตรการเชิงเทคนิคเป็นหลัก
สำหรับองค์กรไทยที่จัดการข้อมูลความมั่นคงหรือความลับทางธุรกิจ ควรพิจารณาแนวทางป้องกันการสอดแนมผ่านมือถือ เช่น การจำกัดการพูดคุยข้อมูลลับใกล้อุปกรณ์ การใช้อุปกรณ์เฉพาะสำหรับงานสำคัญ และการตรวจสุขภาพอุปกรณ์เป็นระยะ
คำแนะนำ
- อัปเดตระบบปฏิบัติการมือถือเสมอ — แพตช์ปิดช่องโหว่ zero-click และ baseband เป็นการป้องกันที่สำคัญที่สุด
- เปิดใช้ Lockdown Mode — สำหรับผู้ใช้ iPhone ที่มีความเสี่ยงสูง โหมดนี้ช่วยลดพื้นผิวการโจมตี zero-click ได้
- ใช้โซลูชัน Mobile Threat Defense (MTD) — สำหรับองค์กรที่ต้องปกป้องอุปกรณ์ของผู้บริหารและเจ้าหน้าที่สำคัญ
- จำกัดการพูดคุยข้อมูลลับใกล้มือถือ — เพราะอาจถูกดักจับเสียงแบบเรียลไทม์โดยไม่มีสัญญาณเตือน
- แยกช่องทางสื่อสารสำคัญ — ใช้อุปกรณ์ที่ผ่านการ harden หรือวิธีสื่อสารแบบ air-gapped ในสภาพแวดล้อมความเสี่ยงสูง
- ตรวจสอบโปรไฟล์การตั้งค่าที่ผิดปกติ — ลบ configuration profile ที่ไม่รู้จักออกจากอุปกรณ์
