สรุปสั้น
ตำรวจแห่งชาติสเปนได้จับกุมผู้ต้องสงสัยที่คาดว่าเป็นสมาชิกของกลุ่มแฮ็กติวิสต์หนุนรัสเซียชื่อ Cyber Army of Russia Reborn (CARR) หรือที่รู้จักในอีกชื่อว่า Z-Pentest โดยเป็นปฏิบัติการที่ได้รับการสนับสนุนจาก FBI การจับกุมครั้งนี้เป็นส่วนหนึ่งของมาตรการต่อเนื่องเพื่อระบุตัวและสกัดกั้นบุคคลที่เกี่ยวข้องกับการโจมตีทางไซเบอร์ที่มุ่งเป้าโครงสร้างพื้นฐานสำคัญ ทาง FBI ยืนยันว่าสำนักงานภาคสนามลอสแอนเจลิสได้ทำงานร่วมกับตำรวจแห่งชาติสเปนในการประสานงานจับกุม โดยระบุว่าปฏิบัติการนี้อยู่ภายใต้ Operation Riptide ซึ่งเป็นความพยายามระดับนานาชาติที่มุ่งขัดขวางกิจกรรมไซเบอร์ที่เป็นอันตรายและเอาผิดผู้กระทำผิด
การจับกุมยังสอดคล้องกับแคมเปญ Operation Red Circus ที่กว้างกว่าของ FBI ซึ่งประกาศเมื่อเดือนธันวาคม พ.ศ. 2568 เพื่อรับมือภัยคุกคามไซเบอร์ที่มีรัสเซียหนุนหลังและกระทบต่อสหรัฐฯ กับพันธมิตร ก่อนหน้านี้ FBI พร้อมหน่วยงานภาครัฐหลายแห่งได้เผยแพร่คำแนะนำด้านความมั่นคงปลอดภัยไซเบอร์ร่วม เตือนว่ากลุ่มแฮ็กติวิสต์หนุนรัสเซียกำลังโจมตีโครงสร้างพื้นฐานสำคัญแบบฉวยโอกาส รวมถึงองค์กรในภาคน้ำประปา เกษตรกรรม และพลังงาน ทั้งนี้ตำรวจสเปนได้ประกาศการจับกุมในแถลงการณ์แยกต่างหาก แต่ยังไม่เปิดเผยตัวตนของผู้ต้องสงสัยต่อสาธารณะ และยังไม่ระบุข้อกล่าวหาหรือบทบาทที่แท้จริงของบุคคลดังกล่าวในกลุ่ม
รายละเอียดข่าว
เว็บไซต์ HackRead รายงานเมื่อวันที่ 7 กรกฎาคม พ.ศ. 2569 ว่า ตำรวจแห่งชาติสเปนได้จับกุมผู้ต้องสงสัยที่คาดว่าเป็นสมาชิกของกลุ่มแฮ็กติวิสต์หนุนรัสเซีย Cyber Army of Russia Reborn หรือ Z-Pentest ในปฏิบัติการที่ดำเนินร่วมกับการสนับสนุนของ FBI โดยการจับกุมนี้เป็นส่วนหนึ่งของความพยายามต่อเนื่องในการระบุตัวและขัดขวางบุคคลที่เกี่ยวข้องกับการโจมตีทางไซเบอร์ต่อโครงสร้างพื้นฐานสำคัญ
FBI ยืนยันว่าสำนักงานภาคสนามลอสแอนเจลิสได้ประสานงานกับตำรวจแห่งชาติสเปนในการจับกุมครั้งนี้ โดยทางการสหรัฐฯ ระบุว่าปฏิบัติการดังกล่าวอยู่ภายใต้ Operation Riptide ซึ่งเป็นความพยายามระดับนานาชาติที่มุ่งขัดขวางกิจกรรมไซเบอร์ที่เป็นอันตรายและเอาผิดผู้กระทำความผิด นอกจากนี้ยังเป็นส่วนหนึ่งของแคมเปญ Operation Red Circus ที่ประกาศเมื่อเดือนธันวาคม พ.ศ. 2568 เพื่อรับมือภัยคุกคามไซเบอร์ที่มีรัฐรัสเซียหนุนหลังต่อสหรัฐฯ และผลประโยชน์ของชาติพันธมิตร
ตำรวจแห่งชาติสเปนระบุในแถลงการณ์ว่า ผู้ถูกจับกุมเป็นผู้ต้องสงสัยให้ความร่วมมือกับกลุ่มแฮ็กติวิสต์ก่อการร้ายหนุนรัสเซีย CyberArmy of Russia Reborn (CARR) และ Z-Pentest ซึ่งอยู่เบื้องหลังการโจมตีหลายครั้งต่อโครงสร้างพื้นฐานสำคัญในสหรัฐฯ และยุโรป โดยผู้ต้องสงสัยรายนี้ยังมีการติดต่อกับสมาชิกจากกลุ่มต่าง ๆ อย่างไรก็ตามทางการยังไม่เปิดเผยตัวตน ข้อกล่าวหาที่ชัดเจน หรือรายละเอียดเกี่ยวกับบทบาทของบุคคลดังกล่าวในกลุ่ม และการสืบสวนยังคงดำเนินอยู่
รายละเอียดกลุ่มและการดำเนินคดี
กลุ่ม Cyber Army of Russia Reborn เคลื่อนไหวมาตั้งแต่รัสเซียบุกยูเครน และอ้างความรับผิดชอบซ้ำแล้วซ้ำเล่าต่อการโจมตีแบบปฏิเสธการให้บริการ (DDoS) และปฏิบัติการก่อกวนไซเบอร์อื่น ๆ ที่มุ่งเป้าหน่วยงานรัฐ บริการสาธารณะ และองค์กรเอกชนในประเทศที่สนับสนุนยูเครน นอกจากนี้นักวิจัยด้านความปลอดภัยยังเชื่อมโยงกลุ่มนี้กับแคมเปญที่พุ่งเป้าระบบควบคุมในโรงงานอุตสาหกรรม (ICS) และโครงสร้างพื้นฐานสำคัญ ซึ่งสะท้อนว่ากลุ่มไม่ได้จำกัดอยู่แค่การก่อกวนหน้าเว็บหรือ DDoS เท่านั้น แต่มีศักยภาพแตะระบบที่กระทบการทำงานจริงในโลกกายภาพได้ด้วย
การจับกุมครั้งนี้ไม่ใช่ครั้งแรกที่ทางการดำเนินการกับบุคคลที่เชื่อมโยงกับปฏิบัติการแฮ็กหนุนรัสเซีย ก่อนหน้านี้เมื่อเดือนธันวาคม พ.ศ. 2568 ทางการสหรัฐฯ ได้ควบคุมตัวหญิงชาวยูเครนชื่อ Victoria Dubranova หรือที่รู้จักในชื่อ “Vika” และฉายาอื่น ๆ อย่าง “Tory” และ “SovaSonya” ในข้อหาช่วยเหลือกลุ่มแฮ็กหนุนรัสเซีย NoName057(16) ซึ่งเป็นอีกกลุ่มที่ขึ้นชื่อเรื่องการโจมตี DDoS ต่อหน่วยงานรัฐและสถาบันสาธารณะในยุโรป การจับกุมล่าสุดจึงตอกย้ำถึงความร่วมมือที่ต่อเนื่องระหว่างหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ และยุโรปในการไล่ล่าผู้ที่เกี่ยวข้องกับอาชญากรรมไซเบอร์และการแฮ็กที่มีแรงจูงใจทางการเมือง
ผลกระทบต่อไทย
แม้เหตุการณ์นี้จะเกิดในยุโรปและสหรัฐฯ แต่รูปแบบภัยจากกลุ่มแฮ็กติวิสต์ที่มีแรงจูงใจทางการเมืองเป็นสิ่งที่องค์กรไทยควรจับตา เพราะกลุ่มลักษณะนี้มักโจมตีแบบฉวยโอกาสโดยไม่เจาะจงเป้าหมายล่วงหน้า และเลือกเหยื่อจากช่องโหว่ที่เปิดอยู่มากกว่าตัวประเทศ หน่วยงานโครงสร้างพื้นฐานสำคัญของไทย ทั้งภาคน้ำประปา พลังงาน และระบบควบคุมอุตสาหกรรม (ICS) จึงมีความเสี่ยงหากระบบที่เชื่อมต่ออินเทอร์เน็ตถูกตั้งค่าไม่รัดกุมหรือใช้รหัสผ่านเริ่มต้น การที่กลุ่มเหล่านี้เน้นทั้ง DDoS และการก่อกวนระบบ ICS ยังเป็นเครื่องเตือนว่าไทยควรเตรียมแผนรับมือทั้งด้านความต่อเนื่องของบริการและการแยกเครือข่าย OT ออกจากเครือข่ายทั่วไป
คำแนะนำ
ผู้ดูแลระบบโครงสร้างพื้นฐานสำคัญควรตรวจสอบว่าอุปกรณ์และระบบควบคุมที่เชื่อมต่ออินเทอร์เน็ต โดยเฉพาะระบบ ICS/SCADA และอุปกรณ์ที่เข้าถึงจากระยะไกล ไม่ได้เปิดเผยสู่สาธารณะโดยไม่จำเป็น และต้องเปลี่ยนรหัสผ่านเริ่มต้นทั้งหมดพร้อมเปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) ควรแยกเครือข่ายเทคโนโลยีปฏิบัติการ (OT) ออกจากเครือข่ายไอทีทั่วไป และจำกัดสิทธิ์การเข้าถึงเท่าที่จำเป็น สำหรับความเสี่ยงด้าน DDoS ควรจัดเตรียมบริการป้องกัน DDoS และแผนความต่อเนื่องทางธุรกิจไว้ล่วงหน้า รวมถึงเฝ้าระวังทราฟฟิกผิดปกติและติดตามคำแนะนำด้านความมั่นคงปลอดภัยจากหน่วยงานที่เกี่ยวข้องอย่างสม่ำเสมอ เพื่อให้สามารถรับมือการโจมตีแบบฉวยโอกาสได้ทันท่วงที
