สรุปสั้น
สหภาพยุโรป (European Union — EU) และสหราชอาณาจักรร่วมกันออกมาตรการคว่ำบาตร (Sanctions) เล่นงานบุคคลและองค์กรของรัสเซียหลายสิบราย พร้อมกล่าวหารัสเซียอย่างเป็นทางการว่าเป็นผู้ประสานงานเครือข่ายกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีทางไซเบอร์ทั่วทั้งยุโรป มาตรการชุดนี้ถือเป็นการคว่ำบาตรทางไซเบอร์ “ร่วมกันครั้งแรก” ของทั้งสองฝ่าย โดยคณะมนตรีแห่งสหภาพยุโรป (Council of the EU) ประกาศคว่ำบาตรบุคคล 9 รายและองค์กร 4 แห่ง ซึ่งรวมถึงเจ้าหน้าที่หน่วยข่าวกรองทหารรัสเซีย (GRU) และอาชญากรไซเบอร์ ขณะที่อังกฤษคว่ำบาตรแยกต่างหากอีก 24 รายทั้งบุคคลและองค์กร
จุดที่สำคัญที่สุดคือคณะมนตรีแห่งสหภาพยุโรปได้ระบุตัวหน่วย 16th Centre ของหน่วยงานความมั่นคงกลางรัสเซีย (Federal Security Service — FSB) อย่างเปิดเผยว่าเป็นผู้ควบคุมกลุ่มภัยคุกคามทางไซเบอร์หลายกลุ่ม รวมถึงกลุ่มแฮ็กเกอร์ชื่อดังอย่าง Turla เจ้าหน้าที่ระบุว่าหน่วยนี้ใช้เวลาหลายปีโจมตีเครือข่ายภาครัฐและโครงสร้างพื้นฐานสำคัญในฝรั่งเศส เยอรมนี โปแลนด์ ไซปรัส เนเธอร์แลนด์ ออสเตรีย สโลวาเกีย โรมาเนีย และฟินแลนด์ ดำเนินแคมเปญจารกรรมไซเบอร์ต่อเป้าหมายภาครัฐและกลาโหมมาตั้งแต่ปี 2010 นอกจากนี้ยังเชื่อมโยงแฮ็กเกอร์ FSB (ที่ถูกติดตามในชื่อ Static Tundra, Berserk Bear, Ghost Blizzard และ Dragonfly) เข้ากับความพยายามโจมตีโครงสร้างพื้นฐานสำคัญของโปแลนด์ที่ล้มเหลว
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 ว่าคณะมนตรีแห่งสหภาพยุโรปได้ประกาศคว่ำบาตรบุคคล 9 รายและองค์กร 4 แห่ง ซึ่งรวมถึงเจ้าหน้าที่ข่าวกรอง GRU อาชญากรไซเบอร์ กลุ่มที่อ้างตัวเป็นแฮ็กติวิสต์ (Hacktivist) และบริษัทเอกชนที่มีส่วนในความพยายามของรัสเซียเพื่อบ่อนทำลายเสถียรภาพของ EU รัฐสมาชิก และพันธมิตรระหว่างประเทศ ขณะที่สหราชอาณาจักรคว่ำบาตรแยกอีก 24 รายทั้งบุคคลและองค์กร ซึ่งรวมถึงนายทหาร GRU ระดับสูงอย่างนาย Vyacheslav Stafeyev นาย Ivan Senin และนาย Ivan Kasyanenko ที่เจ้าหน้าที่ระบุว่าเป็นผู้สั่งการปฏิบัติการทางไซเบอร์และปฏิบัติการแบบผสมผสาน (Hybrid Operations)
อังกฤษยังคว่ำบาตรสมาชิกของบริษัท IMPULS ที่ถูกกล่าวหาว่าคัดเลือกแฮ็กเกอร์จากมหาวิทยาลัยในรัสเซีย รวมถึงบุคคลที่เกี่ยวข้องกับปฏิบัติการมัลแวร์ Lumma Stealer ซึ่งทางการอังกฤษเชื่อมโยงกับเหยื่อในประเทศอย่างน้อย 2,100 รายในช่วง 6 เดือน และยังคว่ำบาตรบุคคล 10 รายที่เชื่อมโยงกับสำนักข่าว Rybar LLC ฐานเผยแพร่เนื้อหาต่อต้านยูเครนและถูกกล่าวหาว่าแทรกแซงการเลือกตั้งในมอลโดวาและอาร์เมเนีย มาตรการชุดนี้ตามมาหลังจากที่คณะกรรมาธิการยุโรปเสนอกฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่เมื่อเดือนมกราคม เพื่อเสริมการป้องกันอาชญากรรมไซเบอร์และกลุ่มภัยคุกคามที่รัฐหนุนหลังซึ่งมุ่งโจมตีโครงสร้างพื้นฐานสำคัญของยุโรป และก่อนหน้านี้ในเดือนมีนาคม คณะมนตรีแห่งสหภาพยุโรปยังเคยคว่ำบาตรบริษัทจีนและอิหร่านรวม 3 แห่งที่ประสานการโจมตีไซเบอร์ต่อรัฐสมาชิก EU มาแล้ว
กลุ่มแฮ็กเกอร์ที่ถูกคว่ำบาตร
การเปิดโปงหน่วย 16th Centre ของ FSB ถือเป็นหัวใจของมาตรการชุดนี้ เพราะเป็นการเชื่อมโยงหน่วยงานรัฐกับกลุ่มแฮ็กเกอร์ที่เคลื่อนไหวมานานอย่าง Turla ซึ่งเป็นกลุ่มจารกรรมไซเบอร์ที่มีชื่อเสียงในด้านเทคนิคซับซ้อนและการเจาะเป้าหมายภาครัฐและกลาโหมมาต่อเนื่องกว่าทศวรรษ ขณะที่กลุ่มแฮ็กเกอร์ FSB อีกชุดที่ถูกติดตามในชื่อ Static Tundra, Berserk Bear, Ghost Blizzard และ Dragonfly ถูกเชื่อมโยงเข้ากับความพยายามโจมตีโครงสร้างพื้นฐานสำคัญของโปแลนด์
ตามที่ BleepingComputer เคยรายงานไว้ก่อนหน้านี้ เหตุโจมตีทางไซเบอร์เมื่อปลายเดือนธันวาคมที่กระทบสถานีย่อยของโครงข่ายไฟฟ้าในโปแลนด์หลายสิบแห่ง และสร้างความเสียหายต่ออุปกรณ์ปฏิบัติการ (Operational Technology — OT) สำคัญด้วยมัลแวร์ล้างข้อมูล (Wiper — มัลแวร์ที่มุ่งลบทำลายข้อมูล) แบบทำลายล้างชื่อ DynoWiper อาจตัดไฟฟ้าให้ประชาชนราว 500,000 คนในช่วงฤดูหนาว แต่ปฏิบัติการนี้ล้มเหลวและไม่ก่อให้เกิดการหยุดชะงักจริง ต่อมาบริษัทด้านความมั่นคงปลอดภัยไซเบอร์อย่าง ESET และ Dragos ได้เชื่อมโยงเหตุนี้เข้ากับกลุ่มแฮ็กเกอร์ที่รัฐรัสเซียหนุนหลังชื่อ Sandworm ขณะที่ CERT-PL เชื่อมโยงเข้ากับกลุ่ม Berserk Bear ของ FSB ล่าสุดโปแลนด์ยังสกัดการโจมตีที่มุ่งเป้าไปยังโครงสร้างพื้นฐานไอทีของศูนย์วิจัยนิวเคลียร์แห่งชาติ (NCBJ) ซึ่งเป็นสถาบันวิจัยนิวเคลียร์หลักของรัฐบาลที่เชี่ยวชาญด้านฟิสิกส์นิวเคลียร์ เทคโนโลยีเครื่องปฏิกรณ์ และฟิสิกส์อนุภาคได้สำเร็จ
ผลกระทบต่อไทย
แม้มาตรการคว่ำบาตรครั้งนี้จะเป็นเรื่องระหว่าง EU–อังกฤษ–รัสเซียโดยตรง แต่สะท้อนแนวโน้มสำคัญที่ไทยควรจับตา นั่นคือการที่รัฐบาลตะวันตกเริ่มเปิดเผยตัวตนและเชื่อมโยงกลุ่มแฮ็กเกอร์อย่าง Turla, Sandworm และ Berserk Bear เข้ากับหน่วยข่าวกรองรัฐโดยตรง กลุ่มเหล่านี้มีประวัติโจมตีโครงสร้างพื้นฐานสำคัญทั้งพลังงาน ไฟฟ้า และหน่วยงานรัฐ ซึ่งไทยเองก็มีระบบ OT ในภาคพลังงานและสาธารณูปโภคที่เป็นเป้าหมายลักษณะเดียวกัน นอกจากนี้มัลแวร์ Lumma Stealer ที่ถูกคว่ำบาตรยังเป็นมัลแวร์ขโมยข้อมูล (Infostealer) ที่แพร่หลายทั่วโลกและพบการใช้งานโจมตีผู้ใช้ในภูมิภาคเอเชียตะวันออกเฉียงใต้ หน่วยงานในไทยจึงควรถือเป็นสัญญาณเตือนให้ทบทวนมาตรการป้องกันการจารกรรมและการโจมตีระบบควบคุมอุตสาหกรรมอย่างจริงจัง
คำแนะนำ
หน่วยงานที่ดูแลโครงสร้างพื้นฐานสำคัญและระบบ OT ควรแยกเครือข่าย OT ออกจากเครือข่ายไอทีทั่วไป (Network Segmentation) จำกัดการเข้าถึงระยะไกล และเฝ้าระวังพฤติกรรมผิดปกติที่อาจบ่งชี้การเจาะระบบเพื่อวางมัลแวร์ทำลายล้าง ผู้ดูแลระบบควรติดตามข้อมูลภัยคุกคาม (Threat Intelligence) เกี่ยวกับกลุ่ม Turla, Sandworm และ Berserk Bear เพื่อรู้เท่าทันเทคนิคและกลวิธี (TTP) ที่ใช้ พร้อมทั้งบังคับใช้การยืนยันตัวตนหลายปัจจัย (MFA) และเฝ้าระวังการติดมัลแวร์ประเภท Infostealer อย่าง Lumma Stealer ซึ่งมักเป็นจุดเริ่มต้นของการขโมยข้อมูลรับรองก่อนบุกรุกระบบในวงกว้าง
