สรุปสั้น
Turla ปฏิบัติการจารกรรมไซเบอร์ที่ดำเนินมายาวนานซึ่งทางการฝรั่งเศสเชื่อมโยงกับหน่วยงานความมั่นคงกลาง (Federal Security Service หรือ FSB) ของรัสเซีย กลับมาเป็นที่จับตาอีกครั้งหลังนักสืบสวนเปิดเผยรายละเอียดการเจาะระบบที่กระทบองค์กรในฝรั่งเศส กลุ่มนี้เคลื่อนไหวมานานกว่าสองทศวรรษและขึ้นชื่อเรื่องการขโมยข้อมูลอ่อนไหวอย่างเงียบเชียบจากเป้าหมายในภาครัฐ การทูต กลาโหม กระบวนการยุติธรรม และเทคโนโลยี แทนที่จะพึ่งวิธีเดียว ผู้ปฏิบัติการของ Turla ใช้ทั้งอีเมลฟิชชิง เว็บไซต์ที่ติดมัลแวร์ ระบบที่เปิดสู่อินเทอร์เน็ตซึ่งมีช่องโหว่ และอุปกรณ์เครือข่ายที่ถูกเจาะ เพื่อสร้างจุดตั้งหลัก โดยแคมเปญมักเริ่มจากไฟล์ที่ดูไม่มีพิษภัยหรือเซิร์ฟเวอร์ที่ป้องกันอ่อนแอ แล้วขยายเข้าสู่การเข้าถึงที่ลึกขึ้นทั่วเครือข่ายขององค์กร
สมาชิกของศูนย์ประสานงานวิกฤตไซเบอร์ของฝรั่งเศส (Cyber Crisis Coordination Center) ที่รู้จักในชื่อ C4 และ CERT-FR ระบุในรายงานที่แบ่งปันกับ Cyber Security News ว่าพวกเขาระบุกิจกรรมที่เชื่อมโยงกับชุดการบุกรุกของ Turla ต่อองค์กรฝรั่งเศสได้ ผลการสืบสวนแสดงให้เห็นว่าแคมเปญนี้ไม่ได้จำกัดอยู่แค่เครือข่ายรัฐบาลระดับสูง เพราะธุรกิจทั่วไป สมาคม และบุคคลก็ถูกใช้เป็นบันไดในโครงสร้างพื้นฐานของผู้โจมตีเช่นกัน โดยกรณีที่ร้ายแรงที่สุดเกี่ยวข้องกับระบบที่เก็บการสื่อสารและข้อมูลผู้ใช้ที่อ่อนไหว
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 ว่า Turla ได้โจมตีสภาพแวดล้อม Windows, Linux และ macOS รวมถึงแพลตฟอร์มอีเมล เว็บเบราว์เซอร์ แอปพลิเคชันทางธุรกิจ และเว็บเซิร์ฟเวอร์ ทำให้กลุ่มมีเส้นทางเข้าสู่องค์กรที่พึ่งพาเครื่องมือระดับองค์กรทั่วไปได้กว้างขวาง ย้อนกลับไปในปี 2019 นักสืบสวนพบว่าผู้ปฏิบัติการของ Turla ได้เจาะเซิร์ฟเวอร์ขององค์กรภาคยุติธรรมของฝรั่งเศส เซิร์ฟเวอร์นั้นให้บริการการศึกษาต่อเนื่องแก่เจ้าหน้าที่ ทำให้กลายเป็นจุดเข้าที่มีค่าสู่สภาพแวดล้อมที่เชื่อมต่อกับผู้ใช้จำนวนมาก
ผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ที่เชื่อมโยงกับ Microsoft SharePoint และติดตั้งมัลแวร์บนเซิร์ฟเวอร์ที่ได้รับผลกระทบ นักสืบสวนของ C4 สรุปว่าปฏิบัติการนี้อาจทำให้ผู้โจมตีเข้าถึงข้อมูลที่เกี่ยวข้องกับบัญชีผู้ใช้หลายพันบัญชี ซึ่งตอกย้ำว่าแพลตฟอร์มการทำงานร่วมกัน (Collaboration Platform) ที่เปิดเผยเพียงจุดเดียวสามารถสร้างปัญหาด้านความเป็นส่วนตัวและความปลอดภัยในวงกว้างกว่ามากได้อย่างไร ปฏิบัติการที่เชื่อมโยงกับ Turla ส่งผลกระทบต่อกระทรวงต่าง ๆ องค์กรการทูต หน่วยงานกลาโหม หน่วยงานภาคยุติธรรม และบริษัทเทคโนโลยีของฝรั่งเศสมาตั้งแต่ทศวรรษ 2010
รายงานยังบรรยายถึงเหยื่อระดับกลาง (Intermediate Victims) ที่ระบบถูกยึดและนำกลับมาใช้ซ้ำเป็นตัวส่งต่อ (Relay) ที่ซ่อนเร้นสำหรับการโจมตีในภายหลัง แนวทางนี้ทำให้เหตุการณ์ตรวจจับได้ยากขึ้น เพราะองค์กรที่ถูกเจาะอาจไม่ใช่เป้าหมายสุดท้ายของผู้โจมตี เซิร์ฟเวอร์ เว็บไซต์ หรืออุปกรณ์หนึ่ง ๆ สามารถถูกแปลงเป็นจุดปล่อยการโจมตีชั่วคราว ช่วยให้ผู้ปฏิบัติการกลมกลืนไปกับทราฟฟิกเครือข่ายที่ถูกต้องขณะไล่ล่าข้อมูลจากเหยื่อรายอื่น
ปฏิบัติการจารกรรมที่ยืนยง
Turla เชื่อมโยงกับชุดตระกูลมัลแวร์ที่พัฒนาขึ้นเอง รวมถึง Uroburos หรือที่เรียกว่า Snake และ Kazuar โดยนักวิจัยระบุว่า Kazuar ยังคงพัฒนาต่อเนื่องและถูกใช้งานในปี 2026 ขณะที่ผู้ปฏิบัติการของ Turla ยังใช้เครื่องมือที่หาได้ทั่วไปอย่าง Mimikatz และ Metasploit เมื่อสิ่งเหล่านั้นช่วยให้การบุกรุกกลมกลืนไปกับกิจกรรมการดูแลระบบตามปกติ กิจกรรมของกลุ่มยังคงดำเนินต่อไปต่อยูเครน ประเทศสมาชิก NATO และสหภาพยุโรป ในระหว่างสงครามที่รัสเซียทำต่อยูเครน
นักสืบสวนฝรั่งเศสระบุว่าปฏิบัติการเหล่านี้สนับสนุนการรวบรวมข่าวกรอง โดยเฉพาะต่อสถาบันของรัฐ องค์กรกลาโหม และเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีซึ่งอาจให้ข้อมูลเชิงยุทธศาสตร์ Turla ยังแสดงให้เห็นความสามารถในการผสมจุดอ่อนหลายจุดเข้าไว้ในห่วงโซ่การบุกรุกเดียว นอกจากการใช้ประโยชน์จากช่องโหว่ซอฟต์แวร์แล้ว ผู้ปฏิบัติการยังใช้การโจมตีแบบ Spearphishing และ Watering-Hole ที่ล่อเหยื่อให้ดาวน์โหลดไฟล์ที่นำเสนอว่าเป็นซอฟต์แวร์ที่ถูกต้อง เพิ่มความเสี่ยงต่อผู้ใช้ที่ไว้ใจเว็บไซต์หรือเอกสารที่ดูคุ้นเคย ขณะที่โครงสร้างพื้นฐานเบื้องหลังถูกออกแบบมาเพื่อปกปิดตัวผู้ปฏิบัติการ โดยใช้เซิร์ฟเวอร์ที่ถูกเจาะหรือเช่า เว็บไซต์ที่รันระบบจัดการเนื้อหา การสื่อสารผ่านดาวเทียม และเครือข่ายเครื่องที่ติดมัลแวร์แล้วในการจัดการคำสั่งและดึงข้อมูลที่ขโมยมา
ผลกระทบต่อไทย
แม้เป้าหมายหลักของ Turla จะอยู่ในยุโรปและประเทศ NATO แต่กรณีนี้เป็นบทเรียนสำคัญสำหรับองค์กรไทยที่ใช้ Microsoft SharePoint และแพลตฟอร์มการทำงานร่วมกันเป็นระบบกลาง ช่องโหว่บนเซิร์ฟเวอร์ SharePoint ที่เปิดสู่อินเทอร์เน็ตเพียงจุดเดียวสามารถกลายเป็นประตูสู่ข้อมูลบัญชีผู้ใช้หลายพันรายได้ ดังที่เกิดกับองค์กรภาคยุติธรรมฝรั่งเศส หน่วยงานรัฐและองค์กรขนาดใหญ่ของไทยที่เก็บข้อมูลอ่อนไหวบนแพลตฟอร์มลักษณะนี้จึงควรตระหนักว่าตนอาจเป็นทั้งเป้าหมายโดยตรงหรือถูกใช้เป็นจุดพักส่งต่อการโจมตี
ประเด็นที่ควรระวังเป็นพิเศษคือกลยุทธ์การใช้เหยื่อระดับกลางเป็น Relay ซึ่งหมายความว่าองค์กรไทยที่ถูกเจาะอาจไม่ใช่เป้าหมายสุดท้าย แต่โครงสร้างพื้นฐานของตนถูกยืมไปโจมตีองค์กรอื่น การมองว่าเหตุการณ์รั่วไหลเป็นเพียงข้อผิดพลาดทางเทคนิคที่โดดเดี่ยวจึงเป็นความเข้าใจที่อันตราย เพราะเมื่อผู้โจมตีเข้าถึงบริการที่ใช้ร่วมกันโดยคนหลายพันคน ผลกระทบอาจขยายไปไกลกว่าเซิร์ฟเวอร์ต้นทางมาก
คำแนะนำ
- แพตช์เซิร์ฟเวอร์ SharePoint และบริการที่เปิดสู่อินเทอร์เน็ตอย่างรวดเร็ว เพราะช่องโหว่บนแพลตฟอร์มที่เปิดเผยเป็นจุดเข้าที่ Turla ใช้บ่อย
- ตรวจสอบกิจกรรมของบัญชีและพฤติกรรมเซิร์ฟเวอร์ที่ผิดปกติ เพื่อค้นหาการฝังตัวหรือการเคลื่อนไหวที่กลมกลืนกับงานดูแลระบบปกติ
- จำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ (Administrative Access) และแยกส่วนระบบที่เก็บข้อมูลอ่อนไหวออกจากบริการที่เปิดสู่ภายนอก
- ประเมินว่าระบบที่ถูกเจาะอาจถูกใช้เป็นตัวส่งต่อ (Relay) ในปฏิบัติการที่ใหญ่กว่าหรือไม่ ไม่มองเหตุการณ์รั่วไหลเป็นข้อผิดพลาดทางเทคนิคที่โดดเดี่ยว
- เฝ้าระวังมัลแวร์ตระกูลของ Turla เช่น Kazuar และ Uroburos/Snake รวมถึงการใช้เครื่องมือ Mimikatz และ Metasploit ในทางที่ผิด
