สรุปสั้น
กลุ่ม Handala แฮ็กเกอร์ที่เชื่อมโยงกับอิหร่าน อ้างผ่าน Telegram เมื่อวันอาทิตย์ที่ 7 มิถุนายน 2569 ว่าโจมตีเป้าหมายทางทหารของอิสราเอลด้วย cyberattack ครั้งใหญ่ และสามารถ disrupt signal network ทั่วระบบเรดาร์ทหารของอิสราเอลได้ พร้อมประกาศว่าจัดการเทศบาล Kfar Yona ในใจกลางอิสราเอลให้อยู่ใน “digital siege” กลุ่มเตือนว่า “วันนี้คือจุดเริ่มต้นของจุดสิ้นสุด” และระบุว่าการกระทำเหล่านี้เป็นเพียงคำเตือนแรกต่ออิสราเอลและประเทศที่สนับสนุน
จุดที่น่าสนใจคือ timing ของประกาศที่ตรงกับเหตุการณ์จริงในวันเดียวกันที่อิสราเอลและอิหร่านยุติ ceasefire ที่กินเวลา 2 เดือนด้วยการยิงขีปนาวุธโต้กลับครั้งใหญ่ บริษัท SOCRadar สอบสวนข้อกล่าวอ้างและสรุปว่าเกินจริงอย่างมาก เพราะ Handala โพสต์ screenshot ของ online panel สำหรับระบบ Tadiran Telecom Aeonix เป็นหลักฐาน screenshot แสดง IVR (Interactive Voice Response) admin panel ของระบบที่สอดคล้องกับ Tadiran Aeonix พร้อม sample auto attendant call-routing script ภาษาฮีบรู หลักฐานสอดคล้องกับการเข้าถึงระบบโทรศัพท์ของเทศบาลเท่านั้น แต่ไม่ได้แสดงการเจาะ infrastructure ของ air defense ทหารตามที่อ้าง
รายละเอียดข่าว
เว็บไซต์ HackRead รายงานเมื่อวันที่ 9 มิถุนายน พ.ศ. 2569 ว่ากลุ่ม Handala ใช้แอป Telegram ประกาศการโจมตี cyber ครั้งใหญ่ต่อเป้าหมายทหารอิสราเอลเมื่อ 7 มิถุนายน 2569 พร้อมเทศบาล Kfar Yona บริษัทวิจัย SOCRadar แชร์ผลการตรวจสอบกับ HackRead.com และสรุปว่าข้อกล่าวอ้างเกินจริงมาก
ในรายงาน SOCRadar ระบุว่ากลุ่ม Handala แชร์ screenshot 2-3 ภาพบน Telegram channel แต่ภาพแสดง IVR admin panel ของระบบที่ตรงกับ Tadiran Telecom Aeonix ที่ใช้สำหรับจัดการ routing โทรศัพท์ในออฟฟิศ ไม่ใช่ระบบเรดาร์ทหาร screenshot แสดง sample auto attendant call-routing script ที่ตั้งค่าภาษา default เป็นภาษาฮีบรู พร้อม sidebar ที่มีรายการภาษาฮีบรูหลายรายการ ข้อความใน screenshot ระบุว่า “This is a sample script to demonstrate the different possibilities in Aeonix Auto Attendant” ซึ่ง Aeonix Auto Attendant เป็น digital receptionist application ของ Tadiran Telecom ที่รับและ route สายเรียกเข้าอัตโนมัติ
สงครามระหว่างอิหร่านและอิสราเอลเริ่มต้นอย่างเป็นทางการเมื่อ 28 กุมภาพันธ์ 2569 ด้วยปฏิบัติการ Operation Epic Fury ของสหรัฐและอิสราเอล แล้วทวีความรุนแรงหลังการสังหารผู้นำสูงสุดของอิหร่าน นาย Ali Khamenei ส่งผลให้เกิดการโต้กลับด้วยขีปนาวุธและโดรนต่อเนื่องหลายสัปดาห์ ต้นเดือนเมษายนปากีสถาน broker ceasefire ชั่วคราวที่หยุดการสู้รบโดยตรงเกือบ 2 เดือนและจบลงในวันอาทิตย์ที่ 7 มิถุนายน 2569 พอดีกับที่ Handala ออกประกาศ
รายละเอียดช่องโหว่
กลุ่ม Handala มีประวัติ timing การประกาศให้ตรงกับปฏิบัติการทหารจริงเพื่อ maximize psychological impact ตั้งแต่สงครามเริ่ม กลุ่มเคยทำปฏิบัติการที่บันทึกได้ ได้แก่ การโจมตีแบบ data-wiping ที่ disrupt เครือข่ายของบริษัท Stryker Corporation ผู้ผลิตเทคโนโลยีการแพทย์ ซึ่งภายหลังนำไปสู่การยึดโดเมนของ FBI และการสืบสวนของกระทรวงยุติธรรมสหรัฐฯ
กลุ่มเดียวกันยังอ้างความรับผิดชอบในการเจาะบัญชี Gmail ส่วนตัวของนาย Kash Patel ผู้อำนวยการ FBI พร้อมปล่อยภาพถ่ายและเอกสารส่วนตัว เมื่อเดือนก่อนหน้านี้ ร้านเสื้อผ้าที่เชื่อมโยงกับนาย Kash Patel ก็ถูกโจมตีแบบ ClickFix ที่หลอกผู้เยี่ยมชมให้ติดตั้งมัลแวร์ แม้ผู้กระทำผิดยังไม่ได้รับการระบุ
นักวิจัยให้ความเห็นว่าข้อกล่าวอ้างเรื่องเรดาร์ของ Handala ที่ไม่ได้รับการยืนยันนั้นไม่สมเหตุสมผล เพราะการเผยการเจาะระบบทหารจริงบน Telegram จะ “operationally reckless” อย่างยิ่ง แม้กระนั้นนักวิจัยเตือนว่ากลุ่มที่เชื่อมโยงอิหร่านยังเคลื่อนไหวอยู่และยังคงเป็นภัยจริง
ผลกระทบต่อไทย
ปฏิบัติการของ Handala สอนบทเรียนสำคัญให้ทีม Threat Intelligence ของไทยว่าการตรวจสอบ claim ของกลุ่ม hacktivist ต้องดู artifact จริงไม่ใช่แค่ headline เพราะหลายกลุ่มจงใจ exaggerate ผลกระทบเพื่อสร้าง psychological pressure ในช่วงความตึงเครียดทางการเมือง สำหรับองค์กรไทยที่ถูก hacktivist กลุ่มอื่นอ้างว่าโจมตี ต้องตรวจ screenshot artifact ที่อ้างว่าเป็นหลักฐานอย่างละเอียดก่อนยอมรับว่าเสียหายจริง
ในระดับ geopolitical สงครามอิหร่าน-อิสราเอลที่ลุกลามอาจส่งผลให้ Iran-linked APT (MuddyWater, APT34, Pioneer Kitten) และกลุ่ม hacktivist เพิ่ม operation tempo ต่อพันธมิตรของอิสราเอลรวมถึงเป้าหมายเชิงเศรษฐกิจระดับโลก องค์กรไทยที่มีธุรกิจกับอิสราเอลหรือสหรัฐฯ ในภาค defense, telecom และพลังงาน ควรเตรียมรับมือกับการ scan, phishing wave และ DDoS ที่เพิ่มขึ้นในช่วงนี้
คำแนะนำ
ทีมความปลอดภัยควรติดตามช่อง Telegram ของกลุ่ม hacktivist ที่เชื่อมโยงอิหร่านอย่าง Handala, CyberAv3ngers, Anonymous Sudan และอื่น ๆ ผ่าน threat intelligence feed เพื่อรู้ทันเหตุการณ์ที่เกิดขึ้น แต่ต้อง verify artifact ที่อ้างว่าเป็นหลักฐานก่อนเชื่อ ใช้เครื่องมือเช่น SOCRadar, Recorded Future หรือ DarkOwl เพื่อ correlate กับ leak จริง
องค์กรที่ใช้ระบบ unified communication อย่าง Tadiran Aeonix, Cisco Unified CM, Avaya หรือ 3CX ที่เปิด admin panel ผ่าน internet ควรย้าย admin interface ไปอยู่หลัง VPN หรือ zero-trust network access แล้วบังคับใช้ MFA สำหรับการ login ตรวจสอบ logs ของ admin login ย้อนหลังเพื่อหา session ที่ผิดปกติจาก IP ต่างประเทศ
สำหรับองค์กรที่อาจเป็นเป้าของ Iran-linked group ในช่วงสงคราม ควรเร่ง patch system, ตรวจสอบ external attack surface (Shodan, Censys), เพิ่ม monitoring ของ phishing wave ที่ใช้ political lure และเตรียม incident response plan รวมถึงสำรองข้อมูลแบบ offline ป้องกัน data-wiping attack แบบที่ Handala ใช้กับ Stryker
