สรุปสั้น

รายงานฉบับใหม่จาก Citizen Lab เปิดเผยว่า นาย Stelios Kouloglou อดีตสมาชิกรัฐสภายุโรป ถูกเจาะโทรศัพท์มือถือด้วยสปายแวร์ Pegasus อันฉาวโฉ่ซ้ำแล้วซ้ำเล่า ในช่วงที่เขากำลังทำหน้าที่ในคณะกรรมการซึ่งได้รับมอบหมายให้สอบสวนการใช้เครื่องมือสอดแนมเชิงพาณิชย์ในทางมิชอบภายในสหภาพยุโรป จากการวิเคราะห์ทางนิติวิทยาศาสตร์ของอุปกรณ์ นักวิจัยพบว่าผู้โจมตีอาจเข้าถึงเอกสารลับและการพิจารณาของคณะกรรมการได้ นับเป็นครั้งแรกที่มีสมาชิกของคณะกรรมการ PEGA ถูกระบุต่อสาธารณะว่าเป็นเหยื่อของ Pegasus ขณะปฏิบัติหน้าที่อยู่

การติดเชื้อยังไม่ถูกระบุว่าเป็นฝีมือของรัฐบาลใดในขณะนี้ และไม่มีหลักฐานว่ารัฐบาลกรีซอยู่เบื้องหลัง อย่างไรก็ตาม Citizen Lab ระบุว่าพบความทับซ้อนระหว่างการติดเชื้อครั้งแรกกับแคมเปญก่อนหน้าที่พุ่งเป้านักข่าวและนักกิจกรรมผู้ลี้ภัยที่พูดภาษารัสเซียและเบลารุสในยุโรป บ่งชี้ว่าลูกค้า Pegasus ที่มีสิทธิ์สอดแนมในหลายประเทศยุโรปน่าจะเป็นผู้รับผิดชอบ นาย Stelios Kouloglou เป็นสมาชิกคณะกรรมการสอบสวนการใช้ Pegasus และสปายแวร์สอดแนมที่เทียบเท่า (PEGA Committee) ตั้งแต่วันที่ 24 มีนาคม 2565 ถึง 18 กรกฎาคม 2566 ซึ่งตั้งขึ้นเพื่อสอบสวนการใช้สปายแวร์เชิงพาณิชย์ในทางมิชอบภายใต้กฎหมายของสหภาพยุโรป

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 3 กรกฎาคม 2569 ว่า Citizen Lab ได้วิเคราะห์หลักฐานทางนิติวิทยาศาสตร์ที่เก็บจาก iPhone ของ นาย Stelios Kouloglou ในเดือนพฤษภาคม 2569 และพบว่าเครื่องถูกเจาะด้วยสปายแวร์ Pegasus ราววันที่ 21 ตุลาคม 2565 และอีกครั้งในวันที่ 6 และ 7 มีนาคม 2566 นักวิจัยอธิบายว่า “เมื่อวันที่ 21 ตุลาคม 2565 เวลา 10:16 น. มีการค้นหาที่อยู่อีเมล HomeKit ชื่อ rauharepo888[@]gmail.com สองนาทีต่อมา โปรเซสของ Pegasus ก็ใช้ดาต้ามือถือ” โดยประเมินว่ามีการใช้ช่องโหว่ zero-click ในซอฟต์แวร์สมาร์ตโฮมของ Apple ที่มีชื่อรหัสว่า PWNYOURHOME เพื่อส่งสปายแวร์ ซึ่ง Apple ได้แก้ไขไปแล้วใน iOS 16.3.1

กิจกรรมของ Pegasus ในเดือนมีนาคม 2566 ก็อาศัยช่องโหว่เดียวกัน โดยทั้งสองครั้งเครื่องของ นาย Stelios Kouloglou รัน iOS 15.5 การวิเคราะห์เพิ่มเติมยังพบว่าเขาได้รับการแจ้งเตือนภัยคุกคามจาก Apple เรื่องการตกเป็นเป้าของสปายแวร์รับจ้างถึงสามครั้ง คือวันที่ 2 มีนาคม 2566, 29 สิงหาคม 2566 และ 10 เมษายน 2567 ที่น่าสนใจคือ ในการถูกเจาะครั้งแรก เขากำลังเข้ารับการผ่าตัดในโรงพยาบาลและได้รับการเยี่ยมจาก นาย Thanasis Koukakis นักข่าวสืบสวนชาวกรีกที่เครื่องของตัวเองเคยถูกเจาะด้วยสปายแวร์ Predator ของ Intellexa และเคยให้การต่อคณะกรรมการ PEGA ก่อนหน้านั้นหนึ่งเดือน

รายละเอียดการโจมตี

จังหวะเวลาของการติดเชื้อครั้งที่สองในเดือนมีนาคม 2566 ก็มีนัยสำคัญ เพราะตรงกับช่วงการหารืออย่างเข้มข้นเกี่ยวกับกระบวนการร่างรายงานฉบับสุดท้าย ตามด้วยการไต่สวนของ PEGA หลายครั้ง โดยเหตุการณ์เกิดขึ้นสองเดือนก่อนการรับรองรายงานฉบับแรกของคณะกรรมการ PEGA ความเชื่อมโยงระหว่างกรณีของ นาย Stelios Kouloglou กับแคมเปญที่พุ่งเป้านักข่าวอิสระและนักเคลื่อนไหวฝ่ายค้านที่พูดภาษารัสเซียและเบลารุสในยุโรป ตั้งอยู่บนการใช้ที่อยู่อีเมลเดียวกันคือ “rauharepo888[@]gmail.com” ซึ่ง Citizen Lab เชื่อว่าอีเมลเหล่านี้เป็นเอกลักษณ์เฉพาะของผู้ปฏิบัติการ (operator) แต่ละราย

จากความเข้าใจเรื่องการออกใบอนุญาตของ NSO Group นี่น่าจะบ่งชี้ว่าลูกค้ารายนี้มีใบอนุญาตที่เปิดให้เจาะได้ในหลายเขตอำนาจศาลของสหภาพยุโรป ซึ่งช่วยจำกัดวงรายชื่อผู้ปฏิบัติการ Pegasus ที่อาจรับผิดชอบต่อกรณีนี้ให้แคบลง ข้อค้นพบนี้ตอกย้ำความกังวลว่ารัฐบาลนำสปายแวร์ที่โฆษณาว่าใช้ปราบอาชญากรรมร้ายแรงอย่างการก่อการร้ายและการล่วงละเมิดทางเพศเด็ก ไปใช้สอดแนมการสื่อสารของนักข่าว ผู้ตรากฎหมาย ผู้เห็นต่าง และนักวิจารณ์แทน นอกจากนี้ Citizen Lab ยังเคยเปิดเผยว่าทางการรัสเซียใช้เครื่องมือนิติวิทยาศาสตร์ UFED ของ Cellebrite เจาะ iPhone ของนักเคลื่อนไหวฝ่ายค้านที่ถูกควบคุมตัว รวมถึงแคมเปญสอดแนมที่อาศัยจุดอ่อนของโครงสร้างโทรคมนาคมอย่าง SS7 และ Diameter เพื่อติดตามตำแหน่งของเป้าหมายโดยไม่ต้องติดตั้งมัลแวร์

ผลกระทบต่อไทย

แม้กรณีนี้จะเกิดในยุโรป แต่ประเด็นการใช้สปายแวร์เชิงพาณิชย์อย่าง Pegasus สอดแนมนักการเมือง นักข่าว และนักเคลื่อนไหว เป็นเรื่องที่ไทยคุ้นเคยโดยตรง เพราะเคยมีรายงานการพบร่องรอย Pegasus บนอุปกรณ์ของนักกิจกรรมและนักวิชาการในไทยมาก่อน กรณีของ นาย Stelios Kouloglou สะท้อนว่าแม้แต่ผู้ที่ทำหน้าที่สอบสวนการใช้สปายแวร์เองก็ยังตกเป็นเป้า และการโจมตีแบบ zero-click ผ่านช่องโหว่ใน iOS ทำให้เหยื่อแทบไม่มีทางป้องกันตัวหากไม่อัปเดตระบบให้ทันสมัย บทเรียนสำคัญสำหรับบุคคลที่มีความเสี่ยงสูงในไทย ทั้งนักการเมือง นักข่าว และภาคประชาสังคม คือการรักษาอุปกรณ์ให้อัปเดตล่าสุดเสมอ และให้ความสำคัญกับการแจ้งเตือนภัยคุกคามจากผู้ผลิตอุปกรณ์

คำแนะนำ

บุคคลที่มีความเสี่ยงสูงควรอัปเดต iOS และซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดเสมอ เพราะช่องโหว่ zero-click อย่าง PWNYOURHOME ถูกแก้ไขแล้วในเวอร์ชันใหม่ และควรเปิดใช้ Lockdown Mode ของ Apple ซึ่งออกแบบมาเพื่อลดพื้นผิวการโจมตีจากสปายแวร์รับจ้างโดยเฉพาะ หากได้รับการแจ้งเตือนภัยคุกคาม (threat notification) จาก Apple หรือผู้ผลิตอุปกรณ์ ควรถือเป็นเรื่องจริงจังและติดต่อผู้เชี่ยวชาญเพื่อตรวจสอบทางนิติวิทยาศาสตร์ องค์กรและภาคประชาสังคมที่ดูแลบุคคลกลุ่มเสี่ยงควรมีแนวทางตรวจสอบอุปกรณ์เป็นระยะ จำกัดข้อมูลอ่อนไหวบนโทรศัพท์ และตระหนักว่าการโจมตีสมัยใหม่อาจไม่ต้องอาศัยการคลิกลิงก์ใด ๆ เลย การเฝ้าระวังและการอัปเดตอย่างสม่ำเสมอจึงเป็นแนวป้องกันที่สำคัญที่สุด

แหล่งอ้างอิง