สรุปสั้น
หน่วยความมั่นคงแห่งยูเครน (Security Service of Ukraine — SSU) เปิดเผยว่าได้ร่วมกับสำนักงานสอบสวนกลางสหรัฐฯ (FBI) เปิดโปงปฏิบัติการระยะยาวที่หน่วยข่าวกรองรัสเซียวางแผนเจาะบัญชีแอปพลิเคชันรับส่งข้อความของเจ้าหน้าที่รัฐ บุคลากรทางทหาร นักการเมือง และนักเคลื่อนไหวในยูเครน ยุโรป และสหรัฐฯ โดยเป้าหมายของการโจมตีคือเข้าถึงข้อมูลทางทหาร การเมือง และเศรษฐกิจที่อ่อนไหวซึ่งผู้ใช้แลกเปลี่ยนกัน รวมถึงขโมยข้อมูลส่วนบุคคล วิธีการคือผู้โจมตีส่งข้อความ SMS ที่ปลอมตัวเป็นบอทฝ่ายสนับสนุนของแพลตฟอร์มแชต แล้วกระตุ้นให้ผู้ใช้เปิดเผยข้อมูลล็อกอินบัญชีของตน
SSU ระบุว่าการโจมตีนี้ไม่ได้พุ่งเป้าเฉพาะองค์กร เจ้าหน้าที่ หรือบุคคลสาธารณะเท่านั้น แต่ยังรวมถึงบัญชีส่วนตัวของพลเมืองยูเครนทั่วไปด้วย แม้หน่วยงานจะไม่ได้ระบุชื่อกลุ่มแฮ็กเกอร์โดยตรง แต่คลื่นการโจมตีลักษณะเดียวกันที่เล็งเป้าผู้ใช้ Signal และ WhatsApp เคยถูกเชื่อมโยงกับกลุ่มภัยคุกคามรัสเซียที่ติดตามในชื่อ Star Blizzard, UNC5792 (หรือ UAC-0195) และ UNC4221 (หรือ UAC-0185) ข่าวนี้ออกมาในช่วงที่ FBI ระบุว่าหน่วยข่าวกรองรัสเซีย (RIS) อยู่เบื้องหลังแคมเปญฟิชชิงแอปรับส่งข้อความเชิงพาณิชย์ (CMA) ที่ยังดำเนินอยู่ ซึ่งเล็งเป้าบุคคลสำคัญเพื่อหลอกให้ส่งมอบกุญแจกู้คืนแบ็กอัป (backup recovery key)
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 27 มิถุนายน 2569 ว่า หน่วยความมั่นคงแห่งยูเครน (SSU) แถลงร่วมกับ FBI ว่าได้เปิดโปงแคมเปญที่ดำเนินมายาวนานซึ่งจัดวางโดยหน่วยข่าวกรองรัสเซีย เพื่อเจาะเข้าบัญชีรับส่งข้อความของเจ้าหน้าที่รัฐ บุคลากรทางทหาร นักการเมือง และนักเคลื่อนไหวในยูเครน ยุโรป และสหรัฐฯ หน่วยงานเสริมว่าการโจมตีทางไซเบอร์อย่างเป็นระบบนี้มีจุดมุ่งหมายเพื่อขโมยข้อมูลอ่อนไหวจากเหยื่อ
SSU เตือนผ่านโพสต์ที่เผยแพร่ทาง Telegram ว่า “เป้าหมายของการแฮ็กเหล่านี้คือการเข้าถึงข้อมูลทางทหาร การเมือง และเศรษฐกิจที่อ่อนไหวซึ่งผู้ใช้แลกเปลี่ยนกัน ตลอดจนขโมยข้อมูลส่วนบุคคลของพวกเขา” เพื่อดำเนินปฏิบัติการ ผู้โจมตีส่งข้อความ SMS ที่ปลอมตัวเป็นบอทฝ่ายสนับสนุนของแพลตฟอร์มรับส่งข้อความ แล้วกระตุ้นให้ผู้ใช้เปิดเผยข้อมูลล็อกอินบัญชี SSU ระบุว่าการโจมตีนี้ครอบคลุมไม่เพียงองค์กรหรือบุคคลสาธารณะ แต่รวมถึงบัญชีส่วนตัวของพลเมืองยูเครนทั่วไป โดยไม่ได้ระบุกลุ่มแฮ็กเกอร์เจาะจง
อย่างไรก็ตาม คลื่นการโจมตีที่คล้ายกันซึ่งพุ่งเป้าผู้ใช้แอป Signal และ WhatsApp โดยตรง เคยถูกเชื่อมโยงกับกลุ่มภัยคุกคามฝั่งรัสเซียที่ติดตามในชื่อ Star Blizzard, UNC5792 (หรือ UAC-0195) และ UNC4221 (หรือ UAC-0185) เหตุการณ์นี้เกิดขึ้นในจังหวะที่ FBI ระบุว่าหน่วยข่าวกรองรัสเซีย (Russian Intelligence Services — RIS) เป็นผู้อยู่เบื้องหลังแคมเปญฟิชชิงแอปรับส่งข้อความเชิงพาณิชย์ (commercial messaging application — CMA) ที่ยังดำเนินอยู่ ซึ่งหลอกล่อบุคคลที่เป็นเป้าหมายมูลค่าสูงให้ส่งมอบกุญแจกู้คืนแบ็กอัปของตน นอกจากนี้ เมื่อปลายเดือนก่อน ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) ยังระบุว่ากลุ่มภัยคุกคามที่เชื่อมโยงกับเบลารุสในชื่อ UNC1151 (หรือ Ghostwriter และ UAC-0057) อยู่เบื้องหลังแคมเปญ spear-phishing ที่เล็งเป้าหน่วยงานรัฐบาล โดยใช้บัญชีที่ถูกยึดเพื่อส่งมัลแวร์ขโมยข้อมูลชื่อ OYSTERBLUES
วิธีการโจมตี
หัวใจของปฏิบัติการคือการใช้ social engineering ผ่าน SMS ผู้โจมตีปลอมตัวเป็นบอทหรือฝ่ายสนับสนุนทางการของแพลตฟอร์มแชต ส่งข้อความสร้างความเร่งด่วนหรืออ้างเหตุด้านความปลอดภัยเพื่อหลอกให้เหยื่อกรอกหรือเปิดเผยข้อมูลล็อกอิน รหัสยืนยัน หรือกุญแจกู้คืนบัญชี เมื่อได้ข้อมูลเหล่านี้ ผู้โจมตีก็สามารถเชื่อมอุปกรณ์ของตนเข้ากับบัญชีของเหยื่อหรือกู้คืนประวัติข้อความได้ โดยไม่ต้องเจาะการเข้ารหัสของแอปแต่อย่างใด เพราะเป็นการเดินเข้าทางฟีเจอร์ที่ถูกต้องตามกฎหมายของแพลตฟอร์มเอง
เทคนิคที่เกี่ยวข้องในแคมเปญคู่ขนานยังรวมถึงการขอรหัสยืนยันทาง SMS และ PIN การส่งลิงก์ “คำเชิญเข้ากลุ่ม” ที่ถูกดัดแปลงเพื่อแอบเชื่อมอุปกรณ์ของผู้โจมตี และการหลอกให้เหยื่อเปิดดูแล้วส่งมอบ Recovery Key ของแบ็กอัป จุดร่วมคือทุกวิธีอาศัยการหลอกลวงตัวบุคคล ไม่ใช่ช่องโหว่ทางเทคนิคของแอป ทำให้ระบบป้องกันแบบเดิมตรวจจับได้ยาก
ผลกระทบต่อไทย
แม้เป้าหมายหลักของปฏิบัติการนี้จะอยู่ในยูเครน ยุโรป และสหรัฐฯ แต่เทคนิค SMS ปลอมเป็นฝ่ายสนับสนุนของแอปแชตเป็นรูปแบบที่ใช้ได้กับเหยื่อทุกประเทศ รวมถึงไทย เจ้าหน้าที่รัฐ ทหาร นักการเมือง นักข่าว และผู้บริหารองค์กรไทยที่ใช้ Signal, WhatsApp, LINE หรือ Telegram ในการสื่อสารงานสำคัญ ล้วนเป็นเป้าหมายที่มีคุณค่าสำหรับการจารกรรมข้อมูล จุดที่ต้องระวังคือข้อความหลอกลวงเหล่านี้มักอ้างชื่อทีมสนับสนุนทางการและสร้างความเร่งด่วน หากเหยื่อหลงกรอกรหัสยืนยันหรือ Recovery Key ผู้โจมตีจะเข้าถึงบทสนทนาทั้งหมดได้ทันที องค์กรไทยจึงควรถือว่าการป้องกันบัญชีแอปแชตเป็นส่วนหนึ่งของความมั่นคงปลอดภัยข้อมูล ไม่ใช่เรื่องส่วนตัวของพนักงานเพียงอย่างเดียว
คำแนะนำ
ผู้ใช้และผู้ดูแลระบบควรหมั่นตรวจสอบเซสชันที่ใช้งานอยู่ของแอปรับส่งข้อความเป็นระยะ และออกจากระบบของการเชื่อมต่อที่ไม่รู้จัก เปิดใช้การยืนยันตัวตนสองชั้น (two-factor authentication) งดสแกน QR code ที่ได้รับจากผู้ใช้ที่ไม่รู้จัก ไม่เปิดเผยรหัสยืนยัน รหัส PIN รหัสผ่าน และกุญแจกู้คืนบัญชีให้ผู้ใด รวมถึงไม่คลิกลิงก์ที่น่าสงสัยหรือเปิดไฟล์จากแชตที่ไม่น่าไว้วางใจ พึงระลึกว่าทีมสนับสนุนทางการของแพลตฟอร์มแชตจะไม่ขอข้อมูลล็อกอินหรือ Recovery Key ผ่าน SMS เด็ดขาด หากได้รับข้อความลักษณะนี้ให้สันนิษฐานว่าเป็นการหลอกลวงไว้ก่อน
