คณะกรรมการสิทธิมนุษยชนแห่งชาติ (กสม.) ระบุว่าหลังจากมีผู้ร้องไปยังกสม. ว่าอุปกรณ์ถูกแฮกโดยมัลแวร์ Pegasus และกสม. พิจารณาข้อมูลแล้ว เชื่อได้ว่าผู้ร้องถูกแฮกโดยมัลแวร์นี้จริง ประกอบกับข้อมูลการจัดซื้อมัลแวร์แบบเดียวกันโดยหน่วยงานรัฐ จึงไม่อาจปฎิเสธว่าหน่วยงานรัฐไม่เกี่ยวข้อง

ตัวกสม. เองไม่ได้มีอำนาจสอบสวนโดยตรง แต่จะทำข้อเสนอไปยังคณะรัฐมนตรีเพื่อให้สั่งการสอบสวนการใช้งานมัลแวร์นี้ทางที่อาจจะไม่เป็นไปตามกรอบของกฎหมาย รวมถึงให้ศึกษาเพื่อวางกฎหมายหรือระเบียบต่างๆ เพื่อควบคุมการใช้มัลแวร์แบบเดียวกัน

สัปดาห์ที่ผ่านมา Citizen Lab รายงานถึงช่องโหว่ที่ใช้เจาะ iPhone ผ่านทาง iMessage ได้โดยเหยื่อไม่ต้องคลิกใดๆ ตอนนี้แอปเปิลก็พบว่าช่องโหว่นี้ที่จริงแล้วเป็นช่องโหว่ heap overflow ของ libwebp ซึ่งกระทบเบราว์เซอร์อื่นๆ ด้วย ตอนนี้ทั้ง Chrome ก็ออกแพตช์แก้ไขช่องโหว่นี้แล้ว ในเวอร์ชั่น 116.0.5845.187 และ 116.0.5845.188

แพตช์เดียวกันถูกส่งเข้า Firefox แล้ว คาดว่าจะออกเป็นเวอร์ชั่น 117.0.1 ภายในเร็วๆ นี้

Citizen Lab รายงานถึงช่องโหว่ CVE-2023-41064 และ CVE-2023-41061 เรียกชื่อรวมว่า BLASTPASS สามารถเจาะโทรศัพท์ iPhone ผ่านการยิงข้อความเข้าโทรศัพท์ทาง iMessage โดยที่เหยื่อไม่ต้องคลิกใดๆ ทาง Citizen Lab ระบุว่าช่องโหว่นี้ใช้ส่งมัลแวร์ของ NSO Group

ช่องทางเจาะระบบของ NSO Group ที่เคยพบมานั้นมีความซับซ้อนสูง และน่าจะต้องใช้ทรัพยากรพัฒนาอย่างมาก

ตอนนี้ยังไม่มีการเปิดเผยรายละเอียดช่องโหว่ ทาง Citizen Lab และแอปเปิลระบุว่าช่องโหว่ส่วนแรกเป็นช่องโหว่ของการประมวลภาพด้วย ImageIO หลังจากนั้นก็อาศัยช่องโหว่รันโค้ดใน Wallet

แอปเปิลออกแพตช์แก้ไขช่องโหว่ทั้งหมดแล้ว ใน iOS 16.6.1 และ iPadOS 16.6.1

ยิ่งชีพ อัชฌานนท์ ผู้อำนวยการโครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน (iLaw) และอานนท์ นำภา ทนายความสิทธิมนุษยชน ยื่นฟ้องหน่วยงานรัฐ 9 หน่วยงาน โดยระบุว่าหน่วยงานทั้ง 9 หน่วยนี้เป็นหน่วยงานที่อาจมีส่วนเกี่ยวข้องกับการใช้มัลแวร์ Pegasus เจาะโทรศัพท์เหยื่อทั่วโลก รวมถึงนักกิจกรรมในประเทศไทย

พรรคก้าวไกลเปิดเอกสารพิจารณางบประมาณปี 2566 ในโครงการระบบรวบรวมและประมวลผลข่าวกรองชั้นสูง ของกองบัญชาการตำรวจปราบปรามยาเสพติด (ป.ป.ส.) งบประมาณประมาณ 350 ล้านบาท ภาพรวมโครงการแสดงให้เห็นว่าเป็นโครงการยิงมัลแวร์เข้าไปยังโทรศัพท์มือถือเป้าหมายโดยใช้เพียงหมายเลขโทรศัพท์เท่านั้น

เมื่อวานนี้ iLaw เปิดรายงานการใช้มัลแวร์ Pegasus ในประเทศไทย ทาง Citizen Lab ที่ร่วมสอบสวนเหตุการณ์ครั้งนี้ก็ออกรายงานของตัวเองมาเหมือนกัน โดยนอกจากจะมีลำดับเหตุการณ์เหมือนกับรายงานของ iLaw แล้วก็ยังมีข้อมูลของเซิร์ฟเวอร์ Pegasus ที่ใช้ควบคุมมัลแวร์เหล่านี้เพิ่มเติมเข้ามา อย่างไรก็ดีทาง Citizen Lab ไม่ได้ยืนยันตรงๆ ว่าโทรศัพท์ของนักกิจกรรมในไทยถูกควบคุมผ่านเซิร์ฟเวอร์เหล่านี้หรือไม่

iLaw องค์กรไม่หวังผลกำไรด้านกฎหมายในประเทศไทยออกรายงานถึงการใช้งานมัลแวร์ Pegasus ที่นับเป็นการรวบรวมรายชื่อจำนวนมาก หลังจากเมื่อปลายปี 2021 แอปเปิลได้ส่งอีเมลแจ้งเตือนไปยังผู้ที่อาจจะเป็นเหยื่อของมัลแวร์ Pegasus นี้ และมีนักกิจกรรมทั่วโลกออกมาเปิดเผยว่าได้รับอีเมลจากแอปเปิลรวมถึงบุคคลในประเทศไทยจำนวนหนึ่ง

รัฐบาลสเปนแถลงข่าวระบุว่าโทรศัพท์ของ Pedro Sánchez นายกรัฐมนตรี และ Margarita Robles รัฐมนตรีกระทรวงกลาโหม ถูกเจาะด้วยมัลแวร์ Pegasus ของ NSO Group ในช่วงปี 2021 และคนร้ายสามารถดึงข้อมูลออกไปจากโทรศัพท์ได้สำเร็จ ตอนนี้กำลังสอบโทรศัพท์ของเจ้าหน้าที่รัฐบาลอื่นๆ เพิ่มเติม

เมื่อปี 2021 ทาง NSO Group ถูกโจมตีจากสื่อหลายสำนักเพราะพบว่ามัลแวร์ Pegasus ถูกใช้กับกลุ่มนักข่าวและนักสิทธิมนุษยชน แต่บริษัทก็ออกมายืนยันว่าตรวจสอบและไม่พบการใช้งานอย่างไม่ถูกต้อง แถลงของ NSO Group สับสนในตัว เพราะระบุว่าบริษัทไม่รู้ว่าลูกค้าซื้อ Pegasus ไปแฮกใครบ้าง แต่บริษัทก็ออกมาระบุว่าหน่วยงานที่ซื้อไปใช้มัลแวร์เพื่อหยุดกลุ่มก่อการร้าย

หลังจาก Project Zero รายงานถึงการโจมตีของมัลแวร์ Pegasus ในขั้นแรกคือการส่งไฟล์ PDF เพื่อให้ iOS พยายามเรนเดอร์ภาพ แล้วอาศัยกระบวนการถอดรหัสภาพกลายเป็นตัวรันโค้ด วันนี้ Project Zero ก็ออกรายงานตอนที่สองว่าโค้ดที่รันอยู่ในตัวถอดรหัสภาพนั้นเจาะโทรศัพท์มือถือได้อย่างไร

บริษัท NSO Group จากอิสราเอล ผู้สร้างมัลแวร์ Pegasus ใช้เจาะ iPhone กลายเป็นข่าวใหญ่ช่วงปลายปีนี้ หลังโดนสหรัฐอเมริกาสั่งแบนห้ามทำการค้าด้วย ตามด้วยการโดนแอปเปิลฟ้องร้อง และส่งอีเมลเตือนผู้ใช้ที่มีความเสี่ยงจาก Pegasus

หนังสือพิมพ์ Financial Times รายงานเบื้องหลังเหตุการณ์ที่ทำให้ NSO Group โดนสหรัฐอเมริกาแบน เป็นเพราะมีลูกค้าของ NSO ในประเทศยูกันดา นำ Pegasus ไปเจาะโทรศัพท์ของนักการทูตสหรัฐในยูกันดา 11 คน

จากกรณี แอปเปิลแจ้งเตือนเหล่านักกิจกรรม นักข่าวและบุคคลที่อาจตกเป็นเป้าหมายโจมตีของมัลแวร์ที่ได้รับการสนับสนุนโดยรัฐ ซึ่งมีนักกิจกรรมไทยได้รับแจ้งเตือนจำนวนหนึ่งนั้น

แอปเปิลออกมาชี้แจงเพิ่มเติมว่า การแจ้งเตือนดังกล่าว ออกแบบมาเพื่อแจ้งและช่วยเหลือผู้ใช้ที่อาจตกเป็นเป้าหมาย ซึ่งคนเหล่านี้ถูกกำหนดเป้าหมายโดยอิงจากการที่พวกเขาเป็นใคร ทำอะไร เป็นการเจาะจงไปที่บุคคลนั้น ซึ่งต่างจากอาชญากรไซเบอร์ทั่วไป ถือเป็นการโจมตีที่ลงทุนสูงและมีความซับซ้อน ทำให้การโจมตีเหล่านี้ยากต่อการตรวจจับและป้องกัน

หลัง Apple ฟ้อง NSO Group บริษัทอิสราเอลผู้สร้างมัลแวร์ Pegasus และการเจาะช่องโหว่ด้วย FORCEDENTRY พร้อมระบุในแถลงการณ์ ว่า Apple กำลังส่งแจ้งเตือนผู้ใช้ที่บริษัทพบว่าอาจตกเป็นเป้าหมายของ FORCEDENTRY และเมื่อตรวจพบการดำเนินการที่เข้าข่ายว่าเป็นการโจมตีโดยสปายแวร์ที่ได้รับการสนับสนุนจากรัฐ Apple จะแจ้งให้ผู้ใช้ที่ได้รับผลกระทบทราบ

แอปเปิลยื่นฟ้องบริษัท NSO Group ผู้สร้างมัลแวร์ Pegasus ที่สามารถเข้าควบคุมเครื่องเหยื่อได้อย่างสมบูรณ์โดยที่เหยื่อไม่รู้ตัว และสามารถแฮกได้ทั้ง Android และ iOS โดยแอปเปิลนับเป็นบริษัทล่าสุดที่ยื่นฟ้อง หลังจาก WhatsApp ของเฟซบุ๊กฟ้องเป็นบริษัทแรกๆ เมื่อปี 2019 และตามมาด้วยบริษัทไอทีใหญ่ๆ เช่น ไมโครซอฟท์, ซิสโก้, กูเกิล, และเดลล์ เมื่อปลายปี 2020

กระทรวงพาณิชย์สหรัฐฯ ประกาศเพิ่มรายชื่อ NSO Group และบริษัทด้านความปลอดภัยไซเบอร์ รวม 4 บริษัทเข้าในรายการ Entity List (รายการเดียวกับหัวเว่ย) ส่งผลให้บริษัทสหรัฐฯ ไม่สามารถติดต่อหรือขายสินค้าให้บริษัทเหล่านี้ได้อีก

เฉพาะ NSO Group นั้นเป็นที่รู้จักกันในฐานผู้ผลิตมัลแวร์ Pegasus ที่ขายให้กับรัฐบาลต่างๆ ทั่วโลก โดย Pegasus มีความสามารถในการฝังมัลแวร์ลงสู้เครื่องโดยเหยื่อไม่ต้องคลิกใดๆ จากนั้นสามารถเก็บข้อมูลกลับเซิร์ฟเวอร์รายงานความเคลื่อนไหวของเหยื่อได้อย่างต่อเนื่อง มีรายงานหลายต่อหลายครั้งว่ามัลแวร์ Pegasus ถูกติดตั้งในโทรศัพท์ของนักเคลื่อนไหว, นักข่าว, และนักการเมือง

แม้ Pegasus สปายแวร์นั้นมีความอื้อฉาว โดยก่อนหน้านี้ สำนักข่าวรวมตัวแฉสปายแวร์ Pegasus ว่ามีรัฐบาลเผด็จการซื้อไปใช้สอดส่องนักข่าว นักเคลื่อนไหว แต่สำนักงานตำรวจแห่งชาติของเยอรมัน หรือ BKA ก็ยังซื้อสปายแวร์ Pegasus จากบริษัท NSO ในอิสราเอลมาใช้ โดยยืนยันว่าใช้เพื่อการสอบสวนคดีอาชญากรรมและการก่อการร้าย

NSO Group ออกแถลงการณ์บนเว็บไซต์ ระบุว่ารายการอุปกรณ์มากกว่า 50,000 รายที่มีร่องรอยถูกโจมตีด้วยมัลแวร์ Pegasus นั้นไม่เป็นความจริง และรายการเหล่านี้ไม่ใช่เป้าหมายของ Pegasus หลังสื่อหลายสำนักระบุว่ามีนักข่าวและนักสิทธิ์มนุษยชนถูกโจมตี

ตอนนี้กำลังมีประเด็นใหญ่เรื่องความปลอดภัยไซเบอร์ โดย Amnesty International และสำนักข่าวใหญ่ 17 แห่ง เช่น The Guardian, Washington Post ออกรายงานเปิดโปงว่ามัลแวร์ Pegasus ของบริษัท NSO Group ในอิสราเอล มีรัฐบาลหลายประเทศนำไปใช้งานสอดส่อง โดยพบว่ามี นักเคลื่อนไหว นักข่าว นักการเมือง ถูกติดตามตัวด้วย แม้ NSO Group จะยืนยันว่าขายเครื่องมือให้รัฐบาลไปติดตามกลุ่มก่อการร้ายและอาชญากร

Citizen Lab ร่วมมือกับไมโครซอฟท์วิเคราะห์มัลแวร์จากบริษัท Candiru ในอิสราเอล โดยไมโครซอฟท์เรียกกลุ่มมัลแวร์นี้ว่า SOURGUM ให้บริการมัลแวร์ DevilsTongue ในรูปแบบ hacking-as-a-service แก่รัฐบาลทั่วโลก

ไมโครซอฟท์พบว่าเหยื่อของมัลแวร์ DevilsTongue กระจุกตัวอยู่ในแถบปาเลสไตน์ประมาณครึ่งหนึ่ง ที่เหลืออยู่ใน อิสราเอล, อิหร่าน, เลบานอน, เยเมน, สเปน, สหราชอาณาจักร, ตุรกี, อาร์เมเนียร์, และสิงคโปร์ โดยไม่แน่ชัดว่าผู้ว่าจ้างให้โจมตีมาจากชาติใดบ้าง

บริษัทไอทีขนาดใหญ่ได้แก่ ไมโครซอฟท์, ซิสโก้, กูเกิล, เดลล์, และ Internet Association ร่วมมือกับเฟซบุ๊กในการยื่นฟ้องบริษัท NSO Group บริษัทความมั่นคงไซเบอร์จากอิสราเอล ที่เฟซบุ๊กระบุว่าเป็นผู้แฮกโทรศัพท์ ผ่านทางบริการ WhatsApp

NSO Group อ้างว่าให้บริการแฮกโทรศัพท์ของตนนั้นขายให้กับหน่วยงานรัฐเท่านั้น เจ้าหน้าที่รัฐจึงสามารถใช้งานได้ตามกฎหมายทำให้ NSO Group ก็ไม่ใช่ผู้กระทำความผิด แต่ทางบริษัทก็ไม่ยอมเปิดเผยว่ารัฐบาลใดเป็นผู้แฮกโทรศัพท์กว่า 1,400 รายการตามรายงานของเฟซบุ๊ก

Citizen Lab ออกรายงานถึงสินค้าของบริษัท Circles ผู้พัฒนาระบบแฮกเครือข่ายโทรศัพท์มือถือผ่านทางช่องโหว่โปรโตคอล SS7 ที่เปิดทางให้แฮกเกอร์สามารถดักฟังทั้งโทรศัพท์และข้อความ SMS ของเหยื่อได้ โดย Circles ระบุว่าบริษัทจะขายสินค้าให้กับรัฐเท่านั้น ไม่เปิดขายเอกชนทั่วไป รายงานระบุรายชื่อรัฐบาลที่ใช้งานสินค้าของ Circles ทั่วโลก รวมถึงรัฐบาลไทยที่มีกองทัพบกและตำรวจปราบปรามยาเสพติดใช้งาน

เมื่อปีที่แล้วผู้ใช้ WhatsApp จำนวนหนึ่งถูกแฮกด้วยโทรเข้าผ่านแอป โดยทาง WhatsApp ระบุว่าเป้าหมายกว่า 1,400 เครื่องถูกแฮกโดยใช้เครื่องมือของ NSO group และ Q Cyber จนบริษัทยื่นฟ้อง แต่ที่ไม่เป็นข่าวในตอนนั้นคือเฟซบุ๊กบล็อคบัญชีผู้เกี่ยวข้องกับ NSO Group ออกทั้งหมด จนทำให้พนักงานต้องยื่นฟ้องบริษัทเพื่อขอบัญชีกลับมา

ล่าสุดศาลอิสราเอลสั่งเฟซบุ๊กให้คืนบัญชีส่วนตัวของพนักงาน NSO Group คนหนึ่งแล้ว โดยคาดว่าพนักงานคนอื่นๆ จะได้คำสั่งศาลแบบเดียวกันในภายหลัง โดยพนักงานยื่นฟ้องเฟซบุ๊กมาตั้งแต่เดือนพฤศจิกายนที่ผ่านมา

WhatsApp ยื่นฟ้องบริษัท NSO Group และ Q Cyber บริษัทความปลอดภัยไซเบอร์จากอิสราเอล คำฟ้องระบุว่าทั้งสองบริษัทยิงมัลแวร์ผ่านเซิร์ฟเวอร์ของ WhatsApp ไปยังเครื่องเป้าหมายประมาณ 1,400 เครื่อง เพื่อดักฟังข้อความแชตของเครื่องเหล่านั้น

คำฟ้องระบุว่าทั้งสองบริษัทสร้างไคลเอนต์จำลองเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ของ WhatsApp โดยยิงโค้ดผ่านทางการยิงสัญญาณโทรศัพท์ ช่องโหว่นี้ทรงประสิทธิภาพมากพอที่จะฝังโค้ดบนหน่วยความจำของเครื่องเหยื่อได้ แม้เหยื่อจะไม่ได้กดรับสายก็ตาม โค้ดที่โหลดเข้าหน่วยความจำจะรอคำสั่งผ่านเซิร์ฟเวอร์ WhatsApp เมื่อได้คำสั่งก็จะดาวน์โหลดมัลแวร์ตัวเต็มมาติดตั้ง มัลแวร์ตัวเต็มจะเปิดทางให้เข้าดูข้อมูลในเครื่อง รวมถึงแชตได้

กูเกิลออกมาเผยว่าล่าสุด ทีม Project Zero ได้พบช่องโหว่ที่ยังไม่ได้แพทช์และถูกโจมตีแล้ว (0-day) บนแอนดรอยด์หลายรุ่น ซึ่งช่องโหว่นี้สามารถใช้เจาะเข้าถึง Root ของแอนดรอยด์ได้และทีม Threat Analysis Group (TAG) พบการโจมตีช่องโหว่นี้แล้ว

ช่องโหว่นี้เป็นบั๊กที่แก้ไขไปตั้งแต่ปลายปี 2017 แต่กลับพบว่าเคอร์เนลที่ติดตั้งไปกับโทรศัพท์หลายรุ่นกลับมีช่องโหว่นี้อยู่ โดยทีม TAG ระบุว่าได้ข้อมูลว่า บริษัท NSO Group ความปลอดภัยไซเบอร์สัญชาติอิสราเอล ได้ใช้ช่องโหว่นี้แล้ว เนื่องจากช่องโหว่กระทบถึงโค้ดที่รันใน sandbox ของ Chrome ทำให้การโจมตีสามารถทำได้ผ่านเว็บ

โดยสมาร์ทโฟนรุ่นที่เข้าข่ายมีรายชื่อดังนี้:

มัลแวร์ Pegasus สำหรับการเจาะไอโฟนเพื่อเข้าควบคุมแทบทุกฟังก์ชั่น เป็นสินค้าของบริษัทอิสราเอลที่ชื่อว่า NSO Group ที่ขายให้กับรัฐบาลต่างๆ ตอนนี้ทาง The New York Times หาข้อมูลบริษัทนี้เพิ่มเติมมาได้ ตั้งแต่ราคาและกระบวนการขาย

Lookout ร่วมกับ Citizen Lab รายงานถึงมัลแวร์ Pegasus ที่สร้างโดยบริษัทอิสราเอล NSO Group โดยใช้ช่องโหว่ที่ยังไม่ได้เปิดเผยก่อนหน้านี้ และตอนนี้แอปเปิลออกแพตช์ iOS 9.3.5 มาอุดช่องโหว่ทั้งหมดแล้ว

ทาง Citizen Lab ได้รับตัวอย่างมัลแวร์เพราะนักเคลื่อนไหวด้านสิทธิมนุษยชนรายหนึ่งใน UAE ได้รับลิงก์ระบุว่าเป็นข้อมูลผู้ถูกทรมานเมื่อต้นเดือนสิงหาคที่ผ่านมา แต่จากความสงสัยว่าลิงก์จะมีมัลแวร์จึงส่งลิงก์ให้ทาง Citizen Lab เมื่อตรวจแล้วจึงพบว่าลิงก์นั้นจะเจลเบรคอุปกรณ์ iOS และติดตั้งซอฟต์แวร์ดักฟัง