สรุปสั้น
สมาชิกกลุ่มอาชญากรไซเบอร์ Scattered Spider 2 ราย ได้แก่ นาย Thalha Jubair วัย 20 ปี และนาย Owen Flowers วัย 18 ปี สารภาพผิดต่อศาล Woolwich Crown Court ในคดีเจาะระบบ Transport for London (TfL) ซึ่งเป็นหน่วยงานรับผิดชอบระบบขนส่งสาธารณะของกรุงลอนดอน โดยการโจมตีเกิดขึ้นระหว่างวันที่ 31 สิงหาคมถึง 3 กันยายน 2567 สร้างความเสียหาย 29 ล้านปอนด์ (ประมาณ 38.3 ล้านดอลลาร์สหรัฐ) บังคับให้พนักงานทั้ง 28,000 คนต้องไปรีเซ็ตรหัสผ่านด้วยตนเองที่สำนักงาน ทั้งสองเดิมให้การปฏิเสธแต่เปลี่ยนคำให้การเป็นสารภาพผิดในวันแรกของการพิจารณาคดี โดยกำหนดพิพากษาวันที่ 16 กรกฎาคมนี้
นอกจากคดี TfL แล้ว เจ้าหน้าที่ยังพบหลักฐานเชื่อมโยงนาย Flowers กับการบุกรุกระบบขององค์กรสาธารณสุข SSM Health Care Corporation และ Sutter Health ในสหรัฐฯ อีกด้วย
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 23 มิถุนายน 2569 ว่า สมาชิกกลุ่ม Scattered Spider 2 ราย สารภาพผิดต่อศาลในคดีเจาะระบบ Transport for London (TfL) ซึ่งเป็นหน่วยงานสาธารณะที่ดูแลระบบขนส่งส่วนใหญ่ของกรุงลอนดอน ให้บริการผู้โดยสารหลายล้านคนในเขตมหานคร
นาย Thalha Jubair วัย 20 ปี และนาย Owen Flowers วัย 18 ปี เจาะระบบ TfL ระหว่างวันที่ 31 สิงหาคมถึง 3 กันยายน 2567 สร้างความเสียหายด้านการเงิน 29 ล้านปอนด์ (ประมาณ 38.3 ล้านดอลลาร์สหรัฐ) เมื่อวันที่ 2 กันยายน 2567 โครงสร้างพื้นฐานของ TfL ถูกโจมตีจนเกิดความขัดข้องในการดำเนินงานต่อเนื่องหลายวัน ผู้โจมตีเข้าถึงข้อมูลจากระบบ Oyster refunds และทำให้บริการคืนเงินลูกค้าหยุดชะงัก วันที่ 12 กันยายน TfL ยอมรับว่าข้อมูลลูกค้าถูกขโมย และ National Crime Agency (NCA) ของสหราชอาณาจักรประกาศจับกุมนาย Flowers ในวันเดียวกัน
ทั้งสองถูกจับกุมเพิ่มเติมเมื่อวันที่ 18 กันยายน 2568 หลังพนักงานสอบสวนพบหลักฐานเพิ่มเติมจากอุปกรณ์ที่ยึดจากบ้านของนาย Flowers รวมถึงแล็ปท็อปที่มีภาพหน้าจอแสดงการเชื่อมต่อกับโครงสร้างพื้นฐาน TfL หลักฐานการเข้าถึงตลาดมืดขาย credential ที่ถูกขโมย และวิดีโอที่แสดงนาย Jubair กำลังเจาะระบบ TfL แฮ็กเกอร์ทั้งสองสื่อสารผ่าน Telegram และแพลตฟอร์มทำงานร่วมกันออนไลน์ระหว่างปฏิบัติการ นาย Flowers ยังละเมิดเงื่อนไขประกันตัว 2 ครั้งในเดือนมีนาคมและพฤษภาคม 2568
NCA กำหนดให้พนักงาน TfL ทั้ง 28,000 คนต้องไปรีเซ็ตรหัสผ่านด้วยตนเองที่สำนักงานท้องถิ่น นาย Paul Foster รองผู้อำนวยการ NCA กล่าวว่า ผลลัพธ์นี้เกิดขึ้นได้เพราะ TfL ร่วมมือกับหน่วยงานบังคับใช้กฎหมายตั้งแต่เนิ่นๆ ทั้งสองถูกกำหนดนัดพิพากษาวันที่ 16 กรกฎาคม 2569
วิธีการโจมตี
กลุ่ม Scattered Spider เป็นที่รู้จักในเรื่องการใช้เทคนิค social engineering ขั้นสูง โดยเฉพาะ SIM swapping, phishing แบบกำหนดเป้าหมาย และการแอบอ้างตัวเป็นเจ้าหน้าที่ IT เพื่อหลอกให้เหยื่อเปิดเผย credential ในกรณีนี้แฮ็กเกอร์ทั้งสองเจาะเข้าระบบ TfL และเข้าถึงข้อมูลลูกค้ารวมถึงระบบ Oyster refunds ใช้ Telegram และแพลตฟอร์มออนไลน์ในการประสานงาน และเข้าถึงตลาดมืดที่ขาย credential ที่ถูกขโมย
นอกจากคดี TfL แล้ว เจ้าหน้าที่ยังเชื่อมโยงนาย Flowers กับการบุกรุกระบบขององค์กรสาธารณสุข 2 แห่งในสหรัฐฯ ได้แก่ SSM Health Care Corporation และ Sutter Health ซึ่งแสดงให้เห็นว่าปฏิบัติการของกลุ่มนี้มีขอบเขตข้ามประเทศ
ผลกระทบต่อไทย
กรณี Scattered Spider โจมตี TfL เป็นบทเรียนสำคัญสำหรับหน่วยงานขนส่งสาธารณะของไทย เช่น รฟท. กทม. (BTS/MRT) และหน่วยงานที่ดูแลโครงสร้างพื้นฐานสำคัญ การโจมตีระบบขนส่งที่ให้บริการผู้โดยสารจำนวนมากสามารถสร้างความเสียหายมหาศาลทั้งทางการเงินและการดำเนินงาน เทคนิค social engineering ที่กลุ่มนี้ใช้ไม่ต้องอาศัยช่องโหว่ทางเทคนิคซับซ้อน แต่อาศัยการหลอกลวงบุคลากร ซึ่งเป็นจุดอ่อนที่พบได้ทั่วไปในองค์กรไทย การที่ TfL ร่วมมือกับหน่วยงานบังคับใช้กฎหมายตั้งแต่เนิ่นๆ จนนำไปสู่การจับกุมได้สำเร็จ เป็นตัวอย่างที่ดีของแนวปฏิบัติที่องค์กรไทยควรนำมาใช้
คำแนะนำ
- หน่วยงานโครงสร้างพื้นฐานสำคัญควรฝึกซ้อมรับมือ social engineering โดยเฉพาะ phishing และ SIM swapping ซึ่งเป็นเทคนิคหลักของ Scattered Spider
- เตรียมแผนรับมือเหตุการณ์ที่ครอบคลุมการรีเซ็ตรหัสผ่านพนักงานจำนวนมากในกรณีถูกเจาะ
- แจ้งหน่วยงานบังคับใช้กฎหมาย (เช่น ศูนย์ปราบปรามอาชญากรรมทางเทคโนโลยีสารสนเทศ หรือ PCT) ทันทีเมื่อเกิดเหตุการณ์ไซเบอร์ เพื่อเพิ่มโอกาสในการจับกุมผู้กระทำผิด
- ตรวจสอบและจำกัดการเข้าถึงระบบที่มีข้อมูลลูกค้า โดยใช้ MFA ที่ทนทานต่อ phishing เช่น FIDO2/WebAuthn
