ปฏิบัติการพญามังกร เรื่องจริงยิ่งกว่าละครของ Dragon Force กลุ่มแฮกเกอร์ที่ป่วนโลกผ่านโลกไซเบอร์

ในเดือนพฤษภาคม Marks & Spencer บริษัทค้าปลีกชื่อดังของอังกฤษออกมาเปิดเผยว่า บริษัทถูกกลุ่มแฮกเกอร์โจมตีทางไซเบอร์ครั้งใหญ่ตั้งแต่เดือนเมษายน โดยกลุ่มแฮกเกอร์ติดตั้งแรนซัมแวร์ในระบบไอทีของบริษัท จนส่งผลกระทบต่อกำไรประมาณ 300 ล้านปอนด์ ทำให้ไม่สามารถรับคำสั่งซื้อออนไลน์ได้อยู่ระยะหนึ่ง และลูกค้าได้รับแจ้งว่าข้อมูลของพวกเขาอาจถูกขโมยไป

ซีอีโอของบริษัทเปิดเผยกับสำนักข่าว BBC ว่าเขาได้รับข้อความจากกลุ่มแฮกเกอร์ ส่งมาโดยใช้บัญชีอีเมลของพนักงานบริษัทตัวเอง ใจความหนึ่งของอีเมลระบุว่า

“เราได้เดินทัพมาถึงสหราชอาณาจักรและขยี้บริษัทของแกอย่างโหดเหี้ยม พร้อมทั้งเข้ายึดรหัสเซิร์ฟเวอร์ทั้งหมดแล้ว”

“พญามังกรต้องการเจรจากับแก ดังนั้นจงไปที่ (เว็บไซต์บนดาร์กเน็ตของเรา)  ซะ”

‘พญามังกร’ ในที่นี้ไม่ใช่คนเพ้อเจ้ออินซีรีส์อาชญากรรมมาจากไหน แต่ถูกวิเคราะห์ว่าเป็นกลุ่มแฮกเกอร์ชื่อ Dragon Force ซึ่งเมื่อค้นข้อมูลไปจะพบว่าพวกเขาเคยก่อเหตุในลักษณะนี้มาก่อนแล้ว เรียกว่าเป็นกลุ่มที่ถูกจับตามองไปทั่วโลกในขณะนี้ก็ว่าได้

เราจะเข้าใจสมรภูมิออนไลน์นี้ยังไงดี และพญามังกรไซเบอร์ตัวนี้มีพลังแค่ไหน – มาติดตามไปพร้อมกัน

Dragon Force เป็นใคร?

Dragon Force คือกลุ่มแฮกเกอร์ที่เชื่อกันว่ามีต้นกำเนิดใน ‘มาเลเซีย’ โดยเริ่มจากการเป็น Hacktivist กลุ่มนักเจาะระบบที่เคลื่อนไหวเพื่ออุดมการณ์ทางการเมือง (มาจากคำว่า Hacker + Activist)

ในแรกเริ่มพวกเขามักจะถูกเชื่อมโยงกับการสนับสนุนปาเลสไตน์ แต่เมื่อเวลาผ่านไป Dragon Force  ก็มี ‘วิวัฒนาการ’ ในเชิงอาชญากรรมมากขึ้น โดย Dragon Force ได้รับความสนใจไปทั่วโลกมาตั้งแต่ปี 2021 เพราะมีชื่อเสียง ด้านการโจมตีด้วยแรงจูงใจทางการเมือง โดยเฉพาะการโจมตีสถาบันของรัฐ บริษัทเชิงพาณิชย์ และก่อเหตุมาแล้วหลายครั้ง

ปฏิบัติการของ Dragon Force  มักจะถูกเรียกว่าเป็น ‘แรนซัมแวร์’ (Ransomware) อธิบายอย่างง่ายๆ ว่ามันคือ ‘มัลแวร์เรียกค่าไถ่’

ลองจินตนาการว่าวันหนึ่งคุณเปิดคอมพิวเตอร์หรือสมาร์ทโฟนขึ้นมา แต่กลับพบว่าไฟล์งานสำคัญ รูปภาพความทรงจำ หรือข้อมูลลูกค้าทั้งหมดถูก ‘ล็อค’ เอาไว้โดยที่คุณไม่มีกุญแจไข จากนั้นก็มีข้อความเด้งขึ้นมาบนหน้าจอว่า ‘ถ้าอยากได้ไฟล์คืน ก็ส่งเงินมาซะ!’ — นี่แหละการทำงานของแรนซัมแวร์

สิ่งที่ทำให้ DragonForce แตกต่างและน่ากลัว คือการพัฒนารูปแบบการโจมตีไปสู่โมเดลธุรกิจ หรือการให้บริการแรนซัมแวร์แบบครบวงจร เปรียบเสมือนการเปิดแฟรนไชส์ให้เหล่าอาชญากรไซเบอร์รายอื่นๆ เข้ามา ‘เช่า’ อาวุธเพื่อนำไปใช้โจมตีเป้าหมายของตนเอง แล้วแบ่งส่วนแบ่งรายได้ให้กับ Dragon Force

วิธีการของพวกเขาไม่ได้หยุดอยู่แค่การเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ แต่ยังใช้กลยุทธ์ Double Extortion (การขู่กรรโชกซ้ำซ้อน) คือไม่เพียงแต่จับข้อมูลเป็นตัวประกัน แต่ยังขู่ว่าจะนำข้อมูลที่ขโมยมาได้ไปเผยแพร่สู่สาธารณะ หากไม่ยอมจ่ายค่าไถ่ ซึ่งสร้างแรงกดดันให้เหยื่ออย่างมหาศาล เพราะอาจส่งผลกระทบต่อชื่อเสียงและความน่าเชื่อถือขององค์กร

เทคนิคที่ DragonForce นิยมใช้มีหลากหลาย ตั้งแต่การส่งอีเมลหลอกลวง (Phishing) เพื่อล่อให้เหยื่อคลิกลิงก์อันตราย, การโจมตีผ่านช่องโหว่ของซอฟต์แวร์ที่ยังไม่ได้รับการอัปเดต ไปจนถึงการใช้หลักจิตวิทยาหลอกลวงพนักงานให้เปิดเผยรหัสผ่าน อีกทั้งยังขึ้นชื่อเรื่องศิลปะแห่งการปกปิดร่องรอย หลีกเลี่ยงการตรวจจับและยืดระยะเวลาการโจมตีได้เสมอ

นอกจากนี้ Dragon Force ยังขยายขอบเขตไปทั่วโลก นอกจากจะกำหนดเป้าหมายไปที่หน่วยงานในท้องถิ่นแล้ว กลุ่มนี้ยังโจมตีทางไซเบอร์กับสถาบันของรัฐบาลและบริษัทต่างๆ ในหลายประเทศ รวมถึงอิสราเอล อินเดีย กิจกรรมของกลุ่มนี้มักกำหนดเป้าหมายไปที่หน่วยงานที่เกี่ยวข้องกับหน่วยงานทางการเมืองหรือเศรษฐกิจที่พวกเขาต่อต้าน ซึ่งยิ่งเน้นย้ำให้เห็นแรงจูงใจของพวกเขาว่ามีความเกี่ยวข้องกับสงครามไซเบอร์มากกว่าอาชญากรรมทางไซเบอร์แบบเดิม

พญามังกรแห่งไซเบอร์ก่อเหตุอะไรไว้บ้าง?

#OpsBedil (ปฏิบัติการเบดิล)

ในปี 2021 พวกเขาประกาศสงครามไซเบอร์ต่ออิสราเอล โดยสร้างความปั่นป่วนให้กับเว็บไซต์ของหน่วยงานอิสราเอลหลายแห่ง เหตุการณ์นี้สร้างชื่อเสียงให้ DragonForce กลายเป็นที่รู้จักในฐานะ Hacktivist

#OpsPatuk (ปฏิบัติการปาตุก)

ในปี 2022 พวกเขาโจมตีแบบสายฟ้าแลบตอบโต้กรณีที่โฆษกพรรคการเมืองในอินเดีย (BJP) กล่าวถ้อยคำดูหมิ่นต่อศาสนาอิสลาม จึงเกิดการโจมตีหน่วยงานรัฐบาลและบริษัทเอกชนในประเทศอินเดีย

การโจมตีวันคริสต์มาสต์อีฟ

ปี 2023 พวกเขาประกาศตัวในฐานะภัยคุกคามทางการเงินอย่างเต็มรูปแบบ ในวันคริสต์มาสอีฟ พวกเขาอ้างว่าเป็นผู้ก่อเหตุทางไซเบอร์ที่เปิดเผยข้อมูลส่วนบุคคลของผู้คนมากกว่า 500,000 ราย และเหยื่อรายใหญ่ที่โด่งดังในช่วงนั้นก็คือ ‘คณะกรรมการสลากกินแบ่งรัฐโอไฮโอ’ ของสหรัฐอเมริกา เหตุการณ์นี้กระตุกเตือนให้หลายคนหันมารีเซ็ตรหัสผ่านและใช้การยืนยันตัวตนสองขั้นตอนเพื่อป้องกันอันตรายทางไซเบอร์

Dragon Force VS Marks & Spencer จะเป็นยังไงต่อ

หลังจากถูกโจมตี Marks & Spencer ได้ระงับการสั่งซื้อออนไลน์ และแจ้งว่าบริการต่างๆ จะยังคงหยุดชะงักจนถึงเดือนกรกฎาคม แต่ไม่นานนี้พวกเขาก็ออกมาบอกว่าผลิตภัณฑ์เพื่อความงามและของใช้ในบ้านจะพร้อมจำหน่ายในอีกไม่กี่วันข้างหน้า และบริการในส่วนอื่นๆ จะกลับมาดำเนินการอีกครั้ง ‘ในอีกไม่กี่สัปดาห์ข้างหน้า’

ขณะนี้ Marks & Spencer ยังไม่ได้เผยความเคลื่อนไหว และไม่อาจทราบได้ว่าบริษัทตัดสินใจจ่ายค่าไถ่ให้กับกลุ่มแฮกเกอร์หรือไม่ และแม้ว่าตอนนี้เราจะรู้แล้วว่า DragonForce อยู่เบื้องหลัง แต่ก็ยังหาตัวจับ –หรือหาตัวจริง– ไม่ได้ ผู้เชี่ยวชาญหลายคนวิเคราะห์ว่าพวกเขามีฐานอยู่ในมาเลเซียหรือรัสเซีย ขณะที่อีเมลที่พวกเขาส่งถึง Marks & Spencer บ่งบอกว่ามาจากจีน อีกทั้งยังมีการคาดเดากันด้วยว่าพวกเขาอาจเกี่ยวข้องกับ Scattered Spider กลุ่มแฮกเกอร์ชาวตะวันตกรุ่นเยาว์อีกกลุ่มหนึ่ง

เหตุการณ์ Dragon Force vs Marks & Spencer เป็นตัวอย่างที่ชัดเจนว่าโลกไซเบอร์ได้กลายเป็นอีกสมรภูมิแทนที่ท้องถนน และนี่คือสงครามยุคใหม่ที่จับต้องไม่ได้แต่สร้างผลกระทบได้จริง

อาวุธคือโค้ดคอมพิวเตอร์ เป้าหมายคือโครงสร้างพื้นฐานทางดิจิทัล ความขัดแย้งอาจเกิดในตะวันออกกลาง แต่กลุ่มแฮกเกอร์อยู่ที่เอเชียตะวันออกเฉียงใต้ ส่วนบริษัทที่ตกเป็นเป้าหมายอาจอยู่ที่อังกฤษหรืออินเดีย

และบางทีเราอาจต้องหันมาทำความเข้าใจอาชญากรรมประเภทใหม่นี้กันให้ดีกว่าเก่า

อ้างอิง: 

https://www.bbc.com/news/articles/cr58pqjlnjlo

https://www.bbc.com/news/articles/c4gevk2x03go

https://www.infosecurity-magazine.com/news/dragonforce-goup-ms-coop-harrods/

https://cyble.com/threat-actor-profiles/dragonforce-ransomware-group/

https://specopssoft.com/blog/dragonforce-ransomware-as-a-service/