มือถือไม่ใช่เซฟโซน ‘เพกาซัส’ สปายแวร์ขี้ส่องของเผด็จการ

• นักกิจกรรมจำนวน 30 คนในประเทศไทย ถูกโจมตีโดยเพกาซัส (Pegasus Spyware) ซึ่งเป็นสปายแวร์ที่รัฐบาลหลายประเทศนำมาใช้สอดส่องและจับตาดูกลุ่มนักเคลื่อนไหวด้านสิทธิมนุษยชน นักประชาธิปไตย นักข่าว นักหนังสือพิมพ์ หรือผู้ต่อต้านระบบการปกครอง
• เพกาซัสมีความสามารถลบร่องรอยของตนเองได้ประหนึ่งไม่เคยถูกติดตั้ง และยังกลับเข้ามาโจรกรรมอีกครั้งในอุปกรณ์เครื่องเดิมได้
• ผู้เชี่ยวชาญระบุว่า เพกาซัสเหมาะสำหรับจับตาดูกลุ่มเคลื่อนไหวทางการเมือง เนื่องจากช่วยให้ผู้ใช้งานสามารถทำแผนผังความสัมพันธ์ของเป้าหมายได้ง่าย และอาจมีการใช้งานอยู่อีกมาก นอกเหนือจากที่ตรวจพบ 
• ห้องปฏิบัติการสหวิทยาการ Citizen Lab จาก Munk School of Global Affairs ระบุว่าเพกาซัสถูกใช้ในไทยมาตั้งแต่ปี 2557 เป็นต้นมา แต่ยังระบุผู้ใช้งานไม่ได้ชัดเจน
• ขณะนี้ปฏิบัติการเพื่อตามหาข้อมูลและต้นตอของเพกาซัสในประเทศไทยยังอยู่ระหว่างการสืบสวนและรวบรวมข้อมูลเพิ่มเติม

ในช่วงเดือนพฤศจิกายน 2564 นักกิจกรรมกว่าสิบคนในประเทศไทย ได้รับอีเมลจากบริษัท Apple ซึ่งระบุว่าพวกเขากำลังตกเป็นเป้าโจมตีด้วยโปรแกรมที่ถูกสนับสนุนโดยรัฐ (State-sponsored attack) โดยที่มาของจดหมายเตือนภัยนี้เมื่อตรวจสอบภายหลังพบว่ามีผู้ได้รับความเสียหายถึง 30 คน และ Citizen Lab ระบุได้ว่า นี่คือการสอดแนมของสปายแวร์ ‘เพกาซัส’ (Pegasus Spyware) ซึ่งสามารถโจมตีอุปกรณ์สื่อสารจากระยะไกลด้วยวิธี Zero-click แทรกซึมเข้าไปทางโทรศัพท์มือถือของผู้ถูกโจมตีโดยไม่รู้ตัว สปายแวร์ดังกล่าวถูกนำมาใช้เป็นเครื่องมือของรัฐบาลหลายประเทศทั่วโลกในการสอดแนมประชาชน

จุดร่วมที่สำคัญของผู้ถูกสอดแนมในประเทศไทย คือการเป็นผู้ที่มีบทบาทในการต่อสู้เรียกร้องประชาธิปไตย สนับสนุนการปฏิรูปการเมืองและสถาบันพระมหากษัตริย์ และนั่นคือสัญญาณอันไม่ปลอดภัย จึงเป็นที่มาของการติดตามสืบสวนโดยความร่วมมือของ iLAW, DigitalReach และ Citizen Lab โดยนำข้อค้นพบนี้มาตีแผ่ในงานเสวนา ‘ปรสิตติดโทรศัพท์: วันนี้นักกิจกรรม พรุ่งนี้ประชาชน?’ เมื่อวันที่ 18 กรกฎาคม 2565

รู้จัก ‘Pegasus Spyware’ เครื่องมือสอดแนมผู้เห็นต่าง

‘เพกาซัส’ เป็นชื่อของสปายแวร์ชนิดใหม่ที่ถูกนำมาใช้ในการโจรกรรมข้อมูล จัดทำขึ้นโดยบริษัท NSO Group จากประเทศอิสราเอล จุดเด่นสำคัญของสปายแวร์ดังกล่าวคือ มีความสามารถในการเข้าถึงอุปกรณ์เป้าหมายโดยไม่จำเป็นต้องหลอกให้เป้าหมายคลิกลิงก์หรือปุ่มใดๆ (Zero-Click) และยังสามารถกลบร่องรอยตนเองได้อย่างแนบเนียนอีกด้วย อย่างไรก็ตาม รัฐบาลอิสราเอลและบริษัท NSO Group จะตัดสินใจขายสปายแวร์ชนิดนี้ให้เพียงรัฐบาลของประเทศที่ต้องการเท่านั้น และมักถูกนำไปใช้ในการสอดส่องและจับตาดูกลุ่มนักเคลื่อนไหวด้านสิทธิมนุษยชน นักประชาธิปไตย นักข่าว นักหนังสือพิมพ์ หรือผู้ต่อต้านระบบการปกครอง จนเป็นเหตุให้ NSO Group ถูกห้ามไม่ให้ทำการค้ากับสหรัฐอเมริกาอีกต่อไป รวมถึงยังนำมาซึ่งการฟ้องร้องเป็นคดีความอีกเป็นจำนวนมาก 

รัชพงษ์ แจ่มจิรชัยกุล ตัวแทนจาก iLAW กล่าวถึงจุดเริ่มต้นของความร่วมมือระหว่าง iLaw, DigitalReach และ Citizen Lab ว่า เกิดขึ้นในช่วงที่นักกิจกรรมในประเทศไทยและฝ่ายต่อต้านรัฐบาลได้รับอีเมลแจ้งเตือนจากบริษัท Apple ว่าอาจถูกสอดแนมโดยโปรแกรมที่ถูกสนับสนุนโดยรัฐ (State-sponsored attack) เมื่อเดือนพฤศจิกายน 2564 ซึ่งหลังจากเข้าสู่กระบวนการสืบสวน พบว่าระหว่างปี 2563-2564 มีผู้ที่ถูกสอดแนมโดยเพกาซัสขั้นต่ำ 30 คน เป็นนักเคลื่อนไหว 24 คน นักวิชาการ 3 คน และองค์กรอิสระ 3 คน

ข้อค้นพบสำคัญจากกระบวนการสืบสวนในครั้งนี้บ่งชี้ว่า รัฐบาลไทยคือผู้อยู่เบื้องหลังการมีอยู่ของสปายแวร์ดังกล่าว เนื่องจากเงื่อนไขสำคัญของ NSO Group คือจะจัดขายสปายแวร์เพกาซัสให้กับองค์การรัฐบาลเท่านั้น ซึ่งในทุกการซื้อขายจะต้องได้รับการอนุญาตจากรัฐบาลอิสราเอล โดยหลักฐานชิ้นสำคัญคือ การที่ผู้ถูกสอดแนมเป็นผู้ที่มีบทบาทในการเรียกร้องประชาธิปไตย สนับสนุนการปฏิรูปการเมืองและสถาบันพระมหากษัตริย์ อีกทั้งยังพบประวัติการจัดซื้ออุปกรณ์สอดแนมจากบริษัทต่างชาติของรัฐบาลไทย

รายงานยังได้คาดการณ์ถึงแรงจูงใจในการใช้งานเพกาซัสไว้ 3 ประการ โดยอ้างอิงข้อมูลจากผู้ที่ถูกสอดแนมในช่วงการประท้วงทางการเมืองที่ผ่านมา คือ

• ใช้เพื่อสอดส่องการเคลื่อนไหวบนโลกออนไลน์ของกลุ่มนักกิจกรรมทั้งเบื้องหน้าและเบื้องหลัง ซึ่งกรณีผู้ที่ถูกสอดแนมลักษณะนี้ ได้แก่ อานนท์ นำภา และเบนจา อะปัญ

• ใช้เพื่อตรวจสอบสถานการณ์การประท้วงของกลุ่มนักเคลื่อนไหว กรณีผู้ที่ถูกสอดแนม ได้แก่ ปนัสยา สิทธิจิรวัฒนกุล จุฑาทิพย์ ศิริขันธ์ และจตุภัทร์ บุญภัทรรักษา

• ใช้เพื่อสืบหาข้อมูลแหล่งเงินทุนของการจัดการประท้วง กรณีผู้ที่ถูกสอดแนม ได้แก่ อินทิรา เจริญปุระ นิราภร อ่อนขาว และปรมินทร์ รัศมีสวัสดิ์

ข้อสรุปหนึ่งจากการตรวจสอบ พบว่า ตัวเลขผู้ถูกสอดแนมโดยเพกาซัสจำนวน 30 คนนั้น อาจเป็นเพียงเสี้ยวหนึ่งของจำนวนทั้งหมดซึ่งยังตรวจสอบไปไม่ถึง อีกทั้งยังไม่มีข้อมูลที่แน่ชัดว่าประชาชนทั่วไปจะสามารถตรวจสอบการถูกสอดแนมโดยสปายแวร์ได้ด้วยตนเองหรือไม่ ทำให้ตัวเลขของผู้ที่ถูกสอดแนมมีโอกาสที่จะพุ่งสูงถึงหลักร้อย เนื่องจากเพกาซัสสามารถเข้าถึงข้อมูลของผู้ติดต่อคนอื่นๆ ของผู้ที่ถูกสอดแนมทั้ง 30 คน ซึ่งในส่วนนี้ยังคงอยู่ระหว่างการสืบสวนและหาทางรับมือต่อไป

บทบาทของ Pegasus ไทย ในงานศึกษาของ Citizen Lab

ห้องปฏิบัติการสหวิทยาการจาก Munk School of Global Affairs ชื่อ Citizen Lab ได้มีส่วนร่วมในกิจกรรมครั้งนี้ โดย จอห์น สก็อต-เรลตัน (John Scott-Railton) ตัวแทนจาก Citizen Lab ได้กล่าวว่า ภูมิทัศน์ปฏิบัติการสอดแนมของรัฐบาลทั่วโลกเปลี่ยนไปจากอดีตอย่างมาก เนื่องจากสมัยก่อนรัฐบาลจะต้องทุ่มเททรัพยากร เวลา และคนหลายสาขาวิชาชีพในหนึ่งปฏิบัติการ แต่ปัจจุบันรัฐบาลสามารถซื้อโปรแกรมเหล่านั้นมาใช้งานได้ทันที ตัวอย่างสำคัญที่กำลังเกิดขึ้นในขณะนี้ คือปฏิบัติการการใช้สปายแวร์เพกาซัสของ NSO Group ในประเทศไทย โดยมีเป้าหมายคือพลเรือนภายในประเทศเป็นหลัก 

งานศึกษาของ Citizen Lab เริ่มต้นจากการนำเครื่องมือสื่อสารของเป้าหมายที่ถูกโจมตีมาศึกษาหาเอกลักษณ์เฉพาะของสปายแวร์ (Spyware fingerprints) โดยกระบวนการเช่นนี้ทำให้ Citizen Lab ทราบลักษณะเฉพาะที่จำเป็นต้องหาในอุปกรณ์อื่นๆ ที่ต้องสงสัยว่าถูกโจมตีได้

จอห์นระบุว่า สปายแวร์ดังกล่าวได้เปลี่ยนแปลงรูปแบบของปฏิบัติการสอดแนมไปมาก นอกจากจะมีความสะดวกในการใช้งานแล้ว รูปแบบวิธีการใช้งานก็แตกต่างไปด้วยเช่นกัน โดยภาครัฐจะสามารถซื้อสปายแวร์ชนิดนี้ได้ในปริมาณจำกัดเท่านั้น ซึ่งจอห์นเรียกการจำกัดนั้นว่า ‘License’ โดยการซื้อ License จะถูกผูกไว้ด้วยวันเวลาของการใช้งาน เช่น หากภาครัฐซื้อ 20 License มาใช้งานในวันจันทร์ ก็จะสามารถควบคุมและสอดส่องอุปกรณ์สื่อสารได้เพียง 20 เครื่องเท่านั้นในวันเวลาดังกล่าว แต่หากต้องการที่จะสอดแนมอุปกรณ์สื่อสารเครื่องที่ 21 ก็จำเป็นจะต้องปิดการใช้งาน License ที่ใช้งานอยู่ก่อน แล้วจึงย้ายมาติดตั้งในเป้าหมายใหม่แทนต่อไป

จอห์นยังอธิบายเพิ่มเติมต่อไปว่า สปายแวร์ชนิดนี้ถูกออกแบบมาเพื่อให้ถูกตรวจพบได้ยาก เนื่องจากหลังการแทรกซึมเข้าสู่อุปกรณ์เป้าหมายเป็นที่เรียบร้อยแล้วจะทำการลบร่องรอยของตนเองออกไป รวมถึงยังสามารถหลบโปรแกรมต้านไวรัสได้อย่างดีอีกด้วย ดังนั้นการแจ้งเตือนจากบริษัท Apple จึงถือว่ามีนัยสำคัญต่อผู้ใช้งานเป็นอย่างมาก เนื่องจากกลายเป็นการจุดชนวนการสืบสวนสอบสวนต่อไปในอนาคต

จอห์นระบุว่า ในช่วงการทำงานของปฏิบัติการดังกล่าวระหว่างเดือนตุลาคม 2563 ถึงเดือนพฤศจิกายน 2564 พบว่า วิธีการแทรกซึมอุปกรณ์แบบ ‘Zero-Click’ แตกต่างกันออกไปถึง 2 รูปแบบ เนื่องจากวิธีการโจรกรรมข้อมูลภายใต้การสนับสนุนของ NSO Group มีการชะงักลง อันเป็นผลจากการอัปเดตระบบปฏิบัติการบนอุปกรณ์ของ Apple ผู้ใช้ปฏิบัติการดังกล่าวจึงพยายามปรับรูปแบบการเข้าถึงอุปกรณ์สื่อสารใหม่อีกครั้ง

ข้อค้นพบสำคัญจาก Citizen Lab คือการใช้สปายแวร์ดังกล่าวไม่ได้เพิ่งถูกใช้งานในไทยเมื่อไม่นานมานี้ แต่เริ่มต้นมาตั้งแต่ปี 2557 โดยขณะนั้นทาง Citizen Lab กำลังศึกษาเรื่องการตรวจสอบระบบเซิร์ฟเวอร์อินเทอร์เน็ต เพื่อดูว่าเซิร์ฟเวอร์แต่ละแห่งตอบสนองกับคำถามพื้นฐานอย่างไร และทำให้ได้รู้เอกลักษณ์ (Fingerprints) ของแต่ละเซิร์ฟเวอร์ผ่านการตอบคำถามเหล่านั้น จากการศึกษาดังกล่าวทำให้ตรวจพบสปายแวร์ที่มี ‘ความเป็นไปได้สูง’ ว่าคือเพกาซัส กำลังถูกใช้งานในบริเวณพื้นที่ของรัฐไทย หลักฐานสำคัญคือ เซิร์ฟเวอร์นั้นทำงานในเขตเวลาของประเทศไทย โดยมีชื่อธีมไทย เช่น อักษรย่อ TH เป็นต้น ข้อสังเกตนี้ได้จุดประกายความสงสัยจนทำให้ Citizen Lab ทำการศึกษาต่อ จนกระทั่งในปี 2559 ได้ตรวจพบเซิร์ฟเวอร์ที่มีเอกลักษณ์เหมือนเพกาซัสอีกครั้ง ซึ่งมีความเป็นไปได้สูงมากว่า อาจมีที่มาจากกองบัญชาการตำรวจปราบปรามยาเสพติด (บช.ปส.) แต่ก็ยังไม่สามารถพิสูจน์อย่างชัดเจนได้มากไปกว่านี้

ในปี 2561 มีการใช้เทคโนโลยีใหม่มาตรวจจับอีกครั้ง ซึ่งผลการตรวจสอบยังคงยืนยันว่ามีโอกาสสูงมากที่สปายแวร์เพกาซัสกำลังปฏิบัติการอยู่ในประเทศไทย และยังมีข้อค้นพบที่สำคัญว่า ผู้ปฏิบัติการดังกล่าวเลือกที่จะใช้สปายแวร์นี้กับอุปกรณ์ที่อยู่ในเขตประเทศไทยเท่านั้น อย่างไรก็ตาม จอห์นไม่สามารถสรุปได้ว่า กรณีการใช้สปายแวร์เพกาซัสในปัจจุบันมีความเชื่อมโยงโดยตรงกับการใช้งานในครั้งก่อนหน้า และยังไม่สามารถสรุปได้ว่าหน่วยงานของรัฐบาลเป็นผู้ใช้งานสปายแวร์ดังกล่าวโดยตรง แต่จากหลักฐานจำนวนมากที่มีในขณะนี้ ทำให้มีความเป็นไปได้ว่า มีการใช้งานสปายแวร์ชนิดนี้กับประชาชนพุ่งสูงขึ้น

ข้อควรระวังที่จอห์นเสนอคือ เมื่อเครื่องมือสื่อสารของปัจเจกบุคคลถูกโจมตีด้วยเพกาซัส จะทำให้เครือข่ายผู้ติดต่อของเป้าหมายถูกจับตาไปด้วย ไม่ว่าจะเป็นการติดต่อถึงกันแบบส่วนบุคคลหรือเป็นกลุ่มที่เชื่อมถึงกันก็ตาม หมายความว่าสปายแวร์ชนิดนี้กลายเป็นเครื่องมือที่มีประสิทธิภาพสูงมากสำหรับการโจมตีการรวมกลุ่มทางการเมือง เพราะช่วยให้ผู้ใช้งานสปายแวร์สามารถสร้างแผนผังความสัมพันธ์ของเป้าหมายได้ง่าย สิ่งเหล่านี้ทำให้จอห์นเชื่อว่ากรณีการตรวจพบในไทยอาจจะยังเป็นเพียงยอดของภูเขาน้ำแข็งเท่านั้น การทำให้เรื่องนี้กระจ่างมากขึ้นจึงต้องการความร่วมมือจากหลายภาคส่วนในการเปิดโปงผู้กระทำผิดต่อไป 

คำถามสำคัญที่น่าสนใจต่อมาคือ สปายแวร์ชนิดนี้มีระยะการทำงานที่ยาวนานแค่ไหน ซึ่งจอห์นระบุว่าการรีสตาร์ตอุปกรณ์สื่อสารสามารถหยุดการทำงานของสปายแวร์ได้ สาเหตุที่เป็นเช่นนี้เพราะเพกาซัสต้องทำลายหลักฐานการมีตัวตนอยู่บนอุปกรณ์เป้าหมายตลอดเวลา เพื่อจะนำ License ไปเริ่มต้นใช้งานซ้ำได้ใหม่ โดยจะไม่ผูกติดอยู่กับอุปกรณ์ถาวรเหมือนสปายแวร์ชนิดอื่นๆ อย่างไรก็ตาม ปัจจุบันยังมีข้อมูลน้อยมากเกี่ยวกับสปายแวร์ชนิดนี้บนอุปกรณ์สื่อสารในระบบปฏิบัติการแอนดรอยด์ และต้องทำการศึกษาต่อไปในอนาคต 

ข้อเสนอจากนักกิจกรรมไทยผู้ถูกสอดแนม

ในช่วงท้ายของเวทีเสวนาในหัวข้อ ‘เมื่อเรารู้ว่ามีคนติดตามเราทุกรายละเอียด’ มีนักกิจกรรมที่ถูกสอดแนมโดยเพกาซัส ร่วมกันแลกเปลี่ยนความคิดเห็นและแนวทางเพื่อรับมือการทำงานของสปายแวร์ 

สฤณี อาชวานันทกุล สมาชิกเครือข่ายพลเมืองเน็ต ได้ตั้งข้อสังเกตถึงเรื่องงบประมาณที่รัฐจะใช้ในการจัดซื้อสปายแวร์เพกาซัส โดยอ้างอิงจากตัวเลขผู้ถูกสอดแนมในประเทศเม็กซิโกที่ปรากฏในรายงานการสืบสวนจำนวน 50 คน ซึ่งมีความใกล้เคียงกับจำนวนในประเทศไทย โดยสฤณีระบุว่า รัฐบาลเม็กซิโกใช้งบประมาณในการจัดซื้อและใช้งานเพกาซัสไป 160 ล้านดอลลาร์สหรัฐ หากนำมาคำนวณเทียบบัญญัติไตรยางค์กับตัวเลขผู้ถูกโจมตีในประเทศไทยจะเป็นจำนวนเงินประมาณ 96 ล้านดอลลาร์สหรัฐ หรือราวๆ 3,500 ล้านบาท ทั้งนี้ สฤณียังได้เสนอให้สภาผู้แทนราษฎรเรียกเอกสารเพื่อหาหลักฐานสืบสาวถึงต้นตอในหน่วยงานรัฐบาลที่นำเพกาซัสเข้ามาใช้

รศ.ดร.พวงทอง ภวัครพันธุ์ อาจารย์คณะรัฐศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ได้เรียกร้องให้เกิดการประสานงานและร่วมมือกันของประชาชนจากทั่วโลกที่ถูกสอดแนมจากเพกาซัส โดยอาศัยความร่วมมือของ iLAW, DigitalReach และ Citizen Lab รวมไปถึง Amnesty International ซึ่งได้ยื่นข้อตกลงระดับโลกเพื่อยุติการขาย ส่งมอบ และใช้สปายแวร์จนกว่าจะมีการกำหนดมาตรการควบคุมและคุ้มครองสิทธิประชาชน เพื่อฟ้องร้อง NSO Group รวมไปถึงรัฐบาลอิสราเอลซึ่งเป็นผู้อนุมัติให้มีการใช้สปายแวร์ในประเทศไทย
ก่อนจบการเสวนา ปนัสยา สิทธิจิรวัฒนกุล แนวร่วมธรรมศาสตร์และการชุมนุม ปิยรัฐ จงเทพ กลุ่มมวลชนอาสาวีโว่ (We Volunteer) และ ยิ่งชีพ อัชฌานนท์ ตัวแทนจาก iLAW กล่าวว่า การวางแผนเพื่อรับมือต่อการถูกสอดแนมจากเทคโนโลยีโดยรัฐ จำเป็นอย่างยิ่งที่จะได้รับความร่วมมือจากองค์กรที่เกี่ยวข้องในประเทศไทย ทั้งองค์กรการตรวจสอบความปลอดภัยด้านดิจิทัล รวมไปถึงสื่อมวลชน เพื่อให้เกิดการตรวจสอบทั้งด้านงบประมาณและข้อเท็จจริงของการใช้เพกาซัสในประเทศไทย ทั้งยังคาดหวังว่าการเสวนาในครั้งนี้จะช่วยให้เกิดการกระจายข้อมูลอันเป็นประโยชน์ต่อประชาชนทั่วไปที่ยังไม่สามารถเข้าถึงข้อมูลเรื่องนี้ กระตุ้นให้เกิดการรับรู้และการตื่นตัว นำไปสู่การต่อสู้และรับมือในระยะยาว

• Facebook
• Twitter
• Line

Author

รพีพรรณ พันธุรัตน์
เกิดสงขลาแต่ไม่ใช่คนหาดใหญ่ จบสื่อสารมวลชนจากเชียงใหม่แล้วตัดสินใจลากกระเป๋าเข้ากรุง ชอบเขียนมากกว่าพูด ชอบอ่านมากกว่าดู มีคู่หูเป็นกระดาษกับปากกา

Author

ภูภุช กนิษฐชาต
คนหนุ่มผู้หลงใหลการตามหาสาระในเรื่องไร้สาระ คลั่งไคล้การถกเถียงเรื่องปรัชญาการเมืองยามเมามาย นิยมเสพสื่อบันเทิงแทบทุกชนิดที่มีบนโลก ขับเคลื่อนชีวิตด้วยคาเฟอีนและกลิ่นกระดาษหอมกรุ่นของหนังสือราวกับต้นไม้ต้องการแสงแดด ความฝันอันสูงสุดมีเพียงการได้มีชื่อของตนเองจารึกเอาไว้ใน Reading-list ของเหล่านักศึกษาในมหาวิทยาลัยเพียงเท่านั้น

Illustrator

ณขวัญ ศรีอรุโณทัย
อาร์ตไดเร็คเตอร์ผู้หนึ่ง ชอบอ่าน เขียน และเวียนกันเปิดเพลงฟัง