CyberSecurity Foundation EP.06 — ระบบนิเวศของโจร: ใครคือใคร ทำไมแฮกได้

Series: CyberSecurity Foundation — รากฐาน Security สำหรับยุค AI (ภาษาคน)

Part 0 — WHY: เมืองนี้ทำไมต้องมียาม

EP.01 — Cybersecurity คือเรื่องของคุณ

EP.02 — 4 เคสที่เปลี่ยนวงการ

EP.03 — CIA Triad

EP.04 — Defense in Depth + Diversity

EP.05 — Assume Breach + Risk

Part 1 — HOW: ระบบนิเวศของเมือง 6. EP.06 — ระบบนิเวศของโจร ← คุณอยู่ตรงนี้ 7. EP.07 — ระบบนิเวศของผู้ป้องกัน: Blue/Red/Purple Team (เร็วๆ นี้) 8. EP.08 — Framework: ISO/NIST/COBIT/CIS (เร็วๆ นี้) 9. EP.09 — Compliance Theater (เร็วๆ นี้)

Part 2-6 (Identity / Data / Infrastructure / Operations / Governance) — กำลังเขียนต่อ

Part 0 ของซีรีส์ปิดไปเมื่อ EP ที่แล้วครับ — 5 EP รวบ 3 เครื่องมือคิด ที่จะใช้กรองทุก decision เรื่อง security จากนี้ไป: CIA Triad (เป้าหมาย 3 ขา), Defense in Depth + Diversity (ป้อมปราการหลายชั้นต่างเทคนิค), และ Assume Breach + Risk (สมมติโจรเข้ามาแล้ว + ลงทุนตาม Likelihood × Impact). 3 เครื่องมือนี้ตอบ “ทำไม” ของวงการ cybersecurity — ทำไมเมืองนี้ต้องมียาม + มียามแบบไหน + ตั้งงบให้ยามยังไง

แต่ผมปิด EP.05 ด้วยคำถามค้างไว้ครับ — เราใช้เวลา 5 EP สร้างป้อมเพื่อกัน “โจร” — แต่เราเคยรู้จัก “โจร” ของเราจริงๆ ไหม? โจรในเมืองนี้มีกี่ประเภท? ใครเก่งตรงไหน? ทำไม Lazarus Group ของเกาหลีเหนือถึงปล้นธนาคารกลางบังกลาเทศได้ $81 ล้านในวันศุกร์เดียว? ทำไม Conti ของรัสเซียถึงปิดประเทศ Costa Rica ได้ทั้งประเทศ? ทำไม Anonymous ถึงล้มเว็บใหญ่ๆ ทั่วโลกได้ทั้งที่ไม่ได้รวยขนาดนั้น? ทำไม Twitter โดนพนักงาน 2 คนขายข้อมูลให้ซาอุดิอาระเบีย?

คำตอบของคำถามพวกนี้ไม่ได้อยู่ที่ “เทคนิคป้องกัน” ครับ — แต่อยู่ที่ เข้าใจระบบนิเวศของฝั่งโจร. เพราะของกินของโจรแต่ละกลุ่มไม่เหมือนกัน, motive (แรงจูงใจ) ไม่เหมือนกัน, ทรัพยากรไม่เหมือนกัน, วิธีล่าไม่เหมือนกัน. ถ้าคุณป้องกันบริษัทตัวเองโดยคิดว่า “โจรคือก้อนเดียวเหมือนกันหมด” — คุณจะลงทุนผิดที่. บริษัท SME ขายของออนไลน์ลงทุน defense แบบเดียวกับ Lockheed Martin = เปลือง. ธนาคารใหญ่ลงทุน defense แบบเดียวกับร้านขายของชำ = พังแน่นอน

นี่คือ Part 1 ครับ — HOW: ระบบนิเวศของเมือง. และ EP แรกของ Part 1 ผมจะเปิดด้วยฝั่งโจรก่อนผู้ป้องกัน — เพราะวิชา military strategy ทุกตำราในประวัติศาสตร์เริ่มที่ “รู้จักศัตรู” ก่อนเสมอ. EP.07 ถัดไปค่อยว่าด้วยฝั่งเรา

สวนสัตว์ของโจร — ไม่ใช่สัตว์ตัวเดียวทั้งหมด#

ก่อนเริ่ม ผมอยากให้คุณเปลี่ยนภาพในหัวสักนิดครับ

เวลาเราพูดคำว่า “โจร” หรือ “hacker” ในชีวิตประจำวัน — ภาพในหัวคนทั่วไปคือผู้ชายใส่ฮู้ดดีดำ นั่งหน้าจอเขียวๆ ในห้องมืด พิมพ์ tag ดังๆ. นั่นคือภาพจากหนัง Hollywood ที่ถ่ายทอดผิดมา 30 ปีครับ. ของจริงไม่ใช่แบบนั้นเลย

ของจริงคือ สวนสัตว์

ลองนึกภาพป่าใหญ่ที่มีนักล่าหลากหลายชนิด — เสือ ล่าเป็นกลุ่ม เลือกเหยื่อตัวใหญ่ที่คุ้มค่า ใช้แผนการ ใช้เวลานานในการสตอล์ค. หมาป่า ล่าเป็นฝูง วิ่งไล่ ใช้จำนวนเอาชนะ. จิ้งจอก ฉลาด หลอกเหยื่อ เข้าจังหวะที่ไม่ทันระวัง. นกแร้ง ไม่ล่าด้วยซ้ำ — รอเหยื่อตายก่อนแล้วค่อยกินซาก. งูพิษ รอนิ่งๆ ในที่ซ่อน เหยื่อเดินผ่านจึงฉก. หมัด ตัวเล็กมากแต่กัดเหยื่อทุกตัวที่เดินผ่าน

ไม่มีนักล่าตัวไหนเหมือนตัวอื่น — เพราะ ของกินคนละแบบ + เครื่องมือคนละแบบ + จังหวะคนละแบบ. และคนที่จะเอาตัวรอดในป่านี้ ไม่ใช่คนที่ “กลัวทุกตัวเท่ากัน” — แต่คือคนที่ รู้ว่าตัวเองเป็นเหยื่อในฝันของตัวไหน แล้วเตรียมการรับมือเฉพาะตัวนั้น

นี่คือสาเหตุที่ EP นี้ผมอยากให้คุณอ่านจบทั้งหมด — ไม่ใช่เพื่อจำชื่อโจรทั้ง 6 กลุ่ม แต่เพื่อให้คุณเห็นว่า บริษัทของคุณเป็นเหยื่อของกลุ่มไหน — และไม่ใช่กลุ่มไหน. เพราะมันเปลี่ยน strategy ของการลงทุน security ของคุณทั้งหมดเลย

โอเคครับ — เข้าสวนสัตว์กันเลย

มุมผู้บริหาร: ก่อนอ่านต่อ ลองนึกในใจครับ — บริษัทของคุณตอนนี้ ถ้าโจรจะเลือกบริษัทไหนในประเทศไทย พวกเขาจะเลือกคุณเพราะอะไร? เพราะคุณเก็บข้อมูลบัตรเครดิตลูกค้าหลายหมื่นใบ? เพราะคุณมี cash flow รายเดือนพอจะจ่ายค่าไถ่หลักล้าน? เพราะคุณเก็บข้อมูลคนที่วิจารณ์การเมือง? เพราะคุณเป็น vendor ของบริษัทใหญ่ที่โจรอยากเข้า? คำตอบของคำถามนี้ = บอกว่าคุณเป็นเป้าของกลุ่มไหนใน 6 กลุ่มข้างล่าง. ถ้าตอบไม่ได้เลย — แปลว่าคุณยังบริหาร security โดยไม่รู้จักศัตรู

เด็กแว้นดิจิทัล — กลุ่มที่ปริมาณเอาชนะคุณภาพ#

เริ่มจากกลุ่มที่อันตรายน้อยที่สุดในแง่ทักษะ แต่อันตรายมากในแง่ปริมาณก่อนครับ — Script Kiddie (เด็กแว้นดิจิทัล — บางคนแปลว่า “เด็กที่ใช้สคริปต์ของคนอื่น”)

ใน EP.01 ผมเล่ารู้จักกลุ่มนี้คร่าวๆ ไปแล้ว — ตอนนี้ขอลงลึก. คำว่า “kiddie” ในวงการ security ไม่ได้แปลว่าต้องเป็นเด็กจริงๆ — แต่หมายถึงคนที่ ใช้เครื่องมือแฮกที่คนอื่นเขียนไว้แล้ว (script) โดยที่ตัวเองไม่ได้เข้าใจว่ามันทำงานยังไงในระดับลึก. กลุ่มนี้ส่วนใหญ่เป็นวัยรุ่นจริงๆ ครับ — อายุ 13-22 — เพิ่งหัด ดู YouTube สอนแฮก ดาวน์โหลด tool ฟรีๆ จาก GitHub หรือ dark forum แล้วลองยิงเล่น

ภาพ: เด็กวัยรุ่นในซอย ที่เดินดูทั่วซอยว่ารถคันไหนไม่ล็อกประตู. เขาไม่ได้เก่งระดับงัดล็อกเป็น ไม่ได้รู้จักรถยี่ห้อไหนขายราคาแพง — เขาแค่เดินดู เจอประตูเปิดอยู่ ก็ขับเอาไปขับเล่น. ถ้าคุณจอดรถ Toyota Vios ของลูกสาวข้างถนนคืนหนึ่งโดยลืมล็อกประตู — คนที่จะหยิบเอาไป 90% คือเด็กกลุ่มนี้ ไม่ใช่แก๊งขโมยรถมืออาชีพ. เพราะแก๊งมืออาชีพไม่กินรถ Vios — กินรถ Mercedes คันใหม่กว่า

Motive (แรงจูงใจ): ส่วนใหญ่ไม่ใช่เงิน — เป็น ความสะใจ + อวดเพื่อน + ชื่อเสียงใน dark forum. ในวงการ underground มี ranking ของ hacker ที่คล้ายๆ ระบบ ranking ในเกม — ใครเจาะเว็บใหญ่ๆ ได้ ได้คะแนน. ใครยิง DDoS ล่มเว็บดังๆ ได้ ได้เครดิต. เด็กกลุ่มนี้ส่วนใหญ่อยากได้ ranking นั้น เพื่อเข้าวงในของกลุ่มที่เก่งกว่า — เป็นบันไดอาชีพของวงการเลยครับ

เคสที่ดังที่สุดในประวัติศาสตร์ของกลุ่มนี้: Michael Calce (Mafiaboy) ปี 2000. เด็กชายชาวแคนาดาอายุ 15 ปี ใช้ tool DDoS ที่หาได้บนอินเทอร์เน็ต ยิงเว็บใหญ่ที่สุดในยุคนั้น — Yahoo, Amazon, CNN, eBay, Dell, E*TRADE — ล่มไปทีละเว็บในเวลา 1 สัปดาห์. ความเสียหายรวมประเมินไว้ราว $1.2 พันล้านดอลลาร์ (estimate ของบริษัทวิเคราะห์ Yankee Group ในยุคนั้น). ตลาดหุ้นเทคโนโลยีอเมริกาช่วงนั้นสั่น ผู้บริหาร Yahoo ถูกเรียกขึ้นรัฐสภา. FBI สืบสวน 2 เดือนกว่าจะจับได้ — ปรากฏว่าคือเด็กวัยรุ่นที่นั่งในห้องนอนที่บ้าน อวดในห้อง IRC ว่าตัวเองทำได้. เครื่องมือที่ใช้เป็น tool DDoS ที่หาได้ทั่วไปบนอินเทอร์เน็ตในยุคนั้น — ไม่ใช่ของที่เขียนขึ้นเอง

นี่คือสิ่งที่ทำให้ Script Kiddie อันตรายในแง่ที่บริษัทเล็กๆ ในไทยส่วนใหญ่ไม่เข้าใจครับ — เด็กกลุ่มนี้ไม่ได้เลือกเหยื่อ. แก๊งโจรอาชีพเลือกเหยื่อตามมูลค่าก่อน — Lockheed Martin > โรงพยาบาลใหญ่ > บริษัท SME ขายของออนไลน์. แต่ Script Kiddie ใช้ mass scanner — เครื่องมือที่สแกน IP ทั้งอินเทอร์เน็ตเป็นล้านๆ IP ต่อวัน หาประตูที่เปิดอยู่ — ไม่สนว่าเจ้าของเป็นใคร. ถ้าบริษัทคุณมี server เปิด port ที่ไม่ควรเปิด หรือใช้ default password ของ router หรือลืม patch ระบบที่มี known vulnerability — เด็กกลุ่มนี้เจอแน่นอนใน 24-48 ชั่วโมง

ตัวเลขจริง: ผู้ให้บริการ honeypot (ระบบล่อโจร) ทั่วโลกรายงานว่า — server ใหม่ที่เปิดบน internet โดยที่ port 22 (SSH) เปิดอยู่ จะโดน brute-force login attempt ภายในไม่กี่นาทีเฉลี่ย (SANS Internet Storm Center honeypot data) — เร็วกว่าที่คุณจะกินกาแฟแก้วแรกเสร็จ. และส่วนใหญ่ของ attempt พวกนั้นมาจาก mass scanner ของกลุ่ม Script Kiddie ที่ใช้ tool สำเร็จรูป

ผมยังจำเคสบริษัทไทยรายหนึ่งครับ — เปิด server ใหม่บน AWS เพื่อทดสอบ web application ใช้ default password ของ root account. ทดสอบเสร็จในวันศุกร์ กะปิดวันจันทร์. เช้าวันจันทร์มาเจอว่า — server โดนยึดในคืนวันเสาร์ ติดตั้ง crypto miner กินทรัพยากร CPU 100% ตลอด 36 ชั่วโมง. ค่า AWS bill กระโดดจากเดือนละพันเป็น 80,000 บาทใน 36 ชั่วโมง. ใครยึด? — Script Kiddie ที่สแกน AWS public IP range อยู่แล้ว เจอ port เปิด default password ก็เอา. ไม่ได้สนใจว่าเป็นใคร ไม่ได้ขโมยข้อมูลด้วยซ้ำ — แค่ขุดคริปโตเอาเงินไม่กี่บาท. แต่บริษัทเจ้าของจ่ายค่า AWS 80,000 บาทแทน

มุมผู้บริหาร: Script Kiddie คือกลุ่มที่ บริษัทไทยทุกขนาดเจอแน่นอน — ไม่ใช่คำถามว่าจะเจอไหม แต่เป็นคำถามว่าเจอเมื่อไหร่. และข่าวดีคือ — กลุ่มนี้ป้องกันง่ายที่สุดในบรรดาทั้ง 6 กลุ่ม เพราะเขาใช้ known tool + known vulnerability. ถ้าบริษัทคุณ patch ระบบเป็น routine + ปิด port ที่ไม่จำเป็น + เปิด MFA + ไม่ใช้ default password + ลบ orphan account — Script Kiddie สแกนเจอเข้ามาก็ไม่มีอะไรให้เขา. งบประมาณที่ใช้ป้องกันกลุ่มนี้คือ patch management + basic hygiene — ราคาแสนต่อปีสำหรับบริษัทขนาดกลาง. และเป็นการลงทุนที่ ROI สูงที่สุดในทุก security investment เพราะมันป้องกัน 70-80% ของ attack ปริมาณทั้งหมดที่บริษัทคุณจะเจอ

แก๊งโจรอาชีพ — บริษัทที่จดทะเบียนไม่ได้ แต่ทำงาน 9-to-5#

ขึ้นมาอีกขั้นในห่วงโซ่อาหารครับ — กลุ่มที่ บริษัททั่วไปต้องกลัวที่สุด. ไม่ใช่ Lazarus Group ของเกาหลีเหนือ — เพราะ Lazarus ไม่ได้สนใจร้านขายของออนไลน์ของคุณ. ไม่ใช่ Anonymous — เพราะ Anonymous เลือกเป้าตาม “อุดมการณ์”. แต่คือ Cybercrime Gang (แก๊งโจรอาชีพ) — กลุ่มที่เห็นบริษัทของคุณเป็น “เงินที่ยังไม่ได้เก็บ”

ภาพ: ลองนึกภาพบริษัทจริงๆ ครับ — บริษัทจดทะเบียนในประเทศที่ไม่ส่งผู้ร้ายข้ามแดน (รัสเซีย, เบลารุส, อิหร่าน, เกาหลีเหนือ บางส่วน), มีออฟฟิศจริงในเซนต์ปีเตอร์สเบิร์ก หรือ มินสค์, มีฝ่าย HR ที่รับคนใหม่ มีฝ่าย IT support ของบริษัทตัวเอง มีฝ่ายบัญชี มีโบนัสปลายปี มีปาร์ตี้คริสต์มาส. พนักงาน developer ของบริษัทนี้ทำงาน 9 โมงเช้าถึง 6 โมงเย็น จันทร์-ศุกร์ มีวันหยุดประจำชาติ มีลาป่วยลากิจตามกฎหมายแรงงานรัสเซีย. มีตำแหน่งงาน “Penetration Tester”, “Reverse Engineer”, “Customer Support Specialist (Russian-English bilingual)” — โพสต์รับสมัครงานจริงๆ ใน dark forum

ฟังดูเหมือนเรื่องตลกใช่ไหมครับ? แต่นี่คือสภาพจริงของ Conti ransomware group

Conti — กลุ่มที่ปล้น Costa Rica ทั้งประเทศ ปี 2022. Conti โจมตี Ministry of Finance ของ Costa Rica เมษายน 2022 — เข้ารหัสระบบของกระทรวงการคลังทั้งหมด + เรียกค่าไถ่ $10 ล้าน. รัฐบาล Costa Rica ปฏิเสธจ่าย. Conti ตอบโต้โดยเข้ารหัสระบบของ ประกันสังคม, กระทรวงสาธารณสุข, ระบบศุลกากร — เกือบทั้งรัฐบาล. ประธานาธิบดี Costa Rica ประกาศ state of national emergency ในวันที่ 8 พฤษภาคม 2022 — ครั้งแรกในประวัติศาสตร์โลกที่ประเทศหนึ่งประกาศภาวะฉุกเฉินแห่งชาติเพราะ cyberattack. ระบบศุลกากรของ Costa Rica ล่มเป็นเดือน ผู้ประกอบการต้องส่งของแบบ manual ความสูญเสียทางเศรษฐกิจจากระบบศุลกากรอย่างเดียวรัฐบาล Costa Rica ระบุว่าตกหลายสิบล้านดอลลาร์ต่อวัน

แล้วเรารู้เรื่องในของ Conti ได้ยังไงครับ? เพราะ Conti โดนแฮก เอง. กุมภาพันธ์ 2022 หลังจาก Conti ออกแถลงการณ์สนับสนุนรัฐบาลรัสเซียในสงคราม Ukraine — มีคนใน (เชื่อว่าเป็น Ukrainian developer ของ Conti เอง) ปล่อย internal chat log 60,000 ข้อความ + source code ของ ransomware + payroll ของพนักงาน ออกสู่อินเทอร์เน็ตทั้งหมด. โลก security ได้อ่านชีวิตประจำวันของแก๊งโจร ransomware ระดับ top of the world เป็นครั้งแรก. และมันเป็นเหมือนบริษัทจริงๆ ทุกประการ:

Conti ปี 2021 ทำรายได้ ~$180 ล้านดอลลาร์ (Chainalysis on-chain estimate และตัวเลขที่ leak ออกมาจาก internal accounting ของตัวเอง)
มีพนักงาน 100+ คน แบ่งทีม: HR / Developer / Reverse Engineer / Sysadmin / Negotiator (คนคุยกับเหยื่อ) / OSINT (หาข้อมูลเหยื่อ) / Coder (เขียน malware ใหม่)
เงินเดือน developer สาย reverse engineer = $5,000-$ 10,000 ต่อเดือน (สูงกว่า developer ทั่วไปในรัสเซีย 3 เท่า)
มี Customer Support — ตอบคำถามเหยื่อที่ “จ่ายค่าไถ่ไม่เป็น” หรือ “ลืมว่าจะใช้ key ยังไง”
บริษัทมีระบบ KPI ของพนักงาน — ใครรับเงินค่าไถ่ได้เยอะ ได้โบนัส

อ้าวครับ — เห็นภาพแล้ว. นี่ไม่ใช่ “hacker นั่งห้องมืด” — นี่คือ บริษัทเทคโนโลยีที่ทำธุรกิจผิดกฎหมาย ในระดับ revenue เท่ากับ SME ขนาดใหญ่ของไทยทั้งหมด

Business model ของ Cybercrime Gang ปี 2025-2026 มี 3 แบบหลัก:

(1) Ransomware (โจรเรียกค่าไถ่) — model ดั้งเดิม. เข้าระบบ → เข้ารหัสไฟล์ทั้งบริษัทเหยื่อ → เรียกค่าไถ่เป็น Bitcoin / Monero. รุ่นปัจจุบันมี double extortion — ขโมยข้อมูลออกก่อนแล้วค่อยเข้ารหัส เพื่อให้แม้เหยื่อมี backup ก็ยังต้องจ่าย (ไม่งั้นข้อมูลจะถูกประกาศต่อสาธารณะ). กลุ่มที่ดังในรุ่นนี้: LockBit, BlackCat/ALPHV, Royal

(2) Ransomware-as-a-Service (RaaS — เช่า ransomware) — แทนที่จะปล้นเอง บริษัทแม่เขียน ransomware ขายให้ “affiliate” (ลูกค้า) ใช้ปล้น แล้วแบ่งกำไรกัน (เจ้าของ ransomware ได้ 20-30%, affiliate ได้ 70-80%). LockBit คือ RaaS ที่ใหญ่ที่สุดในประวัติศาสตร์ — affiliate ของ LockBit ปล้นไปแล้วกว่า 2,000 บริษัททั่วโลก เรียกค่าไถ่รวมหลักพันล้านดอลลาร์ — รายรับจริงที่ FBI/CISA ระบุได้คือ ~$120 ล้านในรอบ ~4 ปี (FBI/CISA Joint Advisory Feb 2024) — ก่อนถูก FBI + Europol ทลายโครงสร้างกลาง (Operation Cronos ก.พ. 2024); LockBit พยายามกลับมาแต่ในขนาดที่ลดลงมาก. model นี้เป็น uber ของวงการ ransomware — แม่ไม่ปล้นเอง แค่ให้ platform คนอื่นมาเช่าใช้

(3) Initial Access Broker (IAB) — เราจะคุยเป็น section แยกข้างล่าง

กลุ่มอื่นที่ต้องรู้จัก:

REvil (Sodinokibi) — กลุ่มรัสเซีย. โจมตี JBS Foods (บริษัทเนื้อใหญ่ที่สุดในโลก) มิถุนายน 2021 — เรียกค่าไถ่ $22.5 ล้าน. JBS จ่าย$ 11 ล้าน. และ Kaseya supply chain attack กรกฎาคม 2021 — เจาะ Kaseya VSA (ระบบ management ที่บริษัท IT ใช้ดูแลลูกค้า) แล้วกระจาย ransomware ไปยังลูกค้าของลูกค้า Kaseya — 1,500 บริษัททั่วโลกโดนพร้อมกันในวันเดียว
BlackCat/ALPHV — กลุ่มที่เขียน ransomware ด้วยภาษา Rust (modern + เร็ว). โจมตี Change Healthcare กุมภาพันธ์ 2024 — ระบบประมวลผลค่ารักษาพยาบาลทั่วอเมริกาล่ม 2 สัปดาห์. ค่าไถ่ที่จ่าย $22 ล้าน. แต่หลังจากจ่ายเสร็จ affiliate ของ ALPHV เอาเงินหนีโดยไม่แบ่งกับ main group (exit scam) — บริษัทแม่ ALPHV เลยปิดตัวเอง

ตัวเลขที่ผู้บริหารต้องรู้: 90%+ ของ data breach ในโลกตอนนี้ motivated by money (Verizon DBIR 2024). หมายความว่า — กลุ่มที่บริษัทของคุณต้องกลัวที่สุด ไม่ใช่ Nation-State, ไม่ใช่ Anonymous, ไม่ใช่ Insider — แต่คือ Cybercrime Gang กลุ่มนี้แหละครับ. พวกเขาเลือกเหยื่อตามสูตรง่ายๆ: มี cash flow รายเดือนสูงพอจ่ายค่าไถ่หลักล้าน + พึ่ง IT system มากจน downtime แพง + ไม่มี backup ที่ดี. ฟังดูเหมือนใคร? — โรงพยาบาลใหญ่ในไทย, manufacturer ขนาดกลาง, logistics company, retail chain. นี่คือเหยื่อในฝันของ LockBit / ALPHV / Royal

เรื่องที่บริษัทไทยส่วนใหญ่ไม่รู้: กลุ่มนี้ไม่ใช่ “โจรปล้นแล้วหนี” — เป็น บริษัท ที่มี customer relationship management. ถ้าเหยื่อจ่ายค่าไถ่แล้วลืมว่า decryption key ใช้ยังไง — ทักไป Telegram support ของ Conti จริงๆ มีคน reply ภาษาอังกฤษ. ถ้าเหยื่อต่อราคา — มี negotiator มืออาชีพคุยกันหลายรอบ บางเคสคุยกัน 2 สัปดาห์ก่อนจ่าย. ถ้าเหยื่อจ่ายแล้วประกาศต่อสาธารณะ — group นั้นจะถูก “downgrade reputation” ใน dark forum เพราะถือว่า “ไม่รักษาคำพูด” (ใช่ครับ ในโลกของโจรก็มี reputation system)

มุมผู้บริหาร: ถ้าบริษัทคุณมี cash flow รายเดือนเกิน 10 ล้านบาท + ระบบ IT critical + ลูกค้าหลายพันราย — คุณคือเหยื่อในฝันของ Cybercrime Gang. ไม่ใช่ “ถ้าโดน” แต่ “เมื่อโดน”. คำถามเดียวที่ผู้บริหารต้องถามตัวเองคือ — “ถ้าโดน ransomware พรุ่งนี้ — เรา restore ระบบใน 24 ชั่วโมงได้ไหมโดยไม่ต้องจ่ายค่าไถ่?” ถ้าตอบไม่ได้ = existential risk ลำดับแรกที่ต้องแก้ ก่อนทุก control อื่น

นักเคลื่อนไหวที่ใช้คีย์บอร์ดแทนป้ายประท้วง — Hacktivist#

กลุ่มที่ 3 มาแล้วครับ — กลุ่มเล็กแต่ทำเรื่องใหญ่: Hacktivist (มาจาก hacker + activist — “นักแฮกที่เป็นนักเคลื่อนไหว”)

ภาพ: ลองนึกภาพม็อบประท้วงหน้าตึกของบริษัทที่กลุ่มผู้ประท้วงไม่ชอบ. ปาก้อนหิน เขียน graffiti บนผนัง ตะโกนใส่ผู้บริหารตอนเดินเข้าออก. ในยุค digital — ก้อนหินกลายเป็น DDoS, graffiti กลายเป็น website defacement (เปลี่ยนหน้าเว็บเหยื่อเป็นข้อความประท้วง), การตะโกนกลายเป็น dox (เปิดเผยข้อมูลส่วนตัวของบุคคลที่กลุ่มไม่ชอบ — ที่อยู่ เบอร์โทร อีเมล รูป). ทุกอย่างเหมือนเดิม — แค่เครื่องมือเปลี่ยน

Motive (แรงจูงใจ): อุดมการณ์ + revenge + protest — ไม่ใช่เงิน. กลุ่มนี้ไม่เรียกค่าไถ่ ไม่ขายข้อมูลที่ขโมย — เป้าหมายคือ embarrass (ทำให้ขายหน้า) + disrupt (รบกวน) + เผยความผิดที่ groupเชื่อว่าเหยื่อทำ

กลุ่มที่ดังที่สุดในประวัติศาสตร์: Anonymous

Anonymous ไม่ใช่ “องค์กร” ในความหมายปกติครับ — เป็น collective (กลุ่มหลวมๆ) ที่ใครจะอ้างว่าเป็นสมาชิกก็ได้ ถ้าทำตาม mask of Guy Fawkes (หน้ากากขาวๆ ในหนัง V for Vendetta — สัญลักษณ์ของกลุ่ม). ไม่มีหัวหน้า ไม่มีสมาชิกประจำ — เป็น “ใครก็ตามที่เห็นปฏิบัติการแล้วอยากเข้าร่วม”. ลักษณะนี้ทำให้ Anonymous ทลายไม่ได้ ในแง่องค์กร — เพราะไม่มีองค์กรให้ทลาย

Operation Tunisia (2011) — ช่วง Arab Spring (การลุกฮือของประชาชนในประเทศอาหรับ) Anonymous สนับสนุนการประท้วงโดยล้มเว็บของรัฐบาล Tunisia + Egypt + Libya + Syria ที่ใช้บล็อก social media ของผู้ประท้วง. การกระทำของ Anonymous กลายเป็น “infrastructure ของการประท้วง” — ช่วยให้ผู้ประท้วงสื่อสารกับโลกได้ในช่วงที่รัฐบาลพยายามตัดเน็ต. นักประวัติศาสตร์บางคนถือว่า Operation Tunisia เป็น first time hacktivism reshaped geopolitics

Sony PlayStation Network คริสต์มาส 2014 — Lizard Squad (กลุ่มที่ทำงานในแนวเดียวกับ Anonymous) โจมตี PSN — ผู้เล่นเกมทั่วโลก 100+ ล้านคนต่อ PSN ไม่ได้ในวันคริสต์มาส. แรงจูงใจ? — “เพื่อความสนุก + เพื่อทดสอบว่า Sony มี security ดีพอไหม”

ตัวเลขจริง: Anonymous ไม่ใช่กลุ่มที่ “ปริมาณ attack เยอะ” — กลุ่มนี้เลือก high-profile target ที่กระตุ้น media coverage ได้สูงสุด. มี attack แค่ 10-20 ครั้งต่อปี แต่แต่ละครั้งขึ้นข่าวระดับโลก. ของแบบนี้บริษัท SME ทั่วไปไม่ต้องกลัวครับ — แต่ถ้าคุณเป็นบริษัทที่อยู่ในข่าวประเด็นการเมือง, สิ่งแวดล้อม, สิทธิมนุษยชน, หรือเรื่องอ่อนไหวอื่นๆ — คุณอยู่ในรายการเฝ้าระวัง

LulzSec — กลุ่มที่ระยะเวลาเปิดบริษัทสั้นที่สุดในประวัติศาสตร์ ครับ. LulzSec (จาก “lulz” = ความสนุก + “sec” = security) เปิดตัวพฤษภาคม 2011 — โจมตี Sony Pictures, PBS, US Senate, CIA. ปิดตัวเองมิถุนายน 2011. 50 วัน. ที่ตลกคือ — LulzSec บอกเอาเองว่า “เราโจมตีไม่ใช่เพื่ออุดมการณ์ — เพื่อความสนุก”. เปิดเว็บไซต์ตัวเอง โพสต์รูปการ์ตูน ออกแถลงการณ์เป็นเพลง. FBI ใช้เวลา 14 เดือนกว่าจะจับสมาชิกหลักได้

ในไทยมีเหตุการณ์ของกลุ่มนี้ไหมครับ? — มี แต่น้อย. เคสที่ดังที่สุดในไทยคือ เว็บของหน่วยงานราชการบางหน่วย ที่โดน DDoS หรือ defacement หลายครั้งในช่วง 10 ปีที่ผ่านมา ที่ตรงกับเหตุการณ์ทางการเมือง — ส่วนใหญ่ไม่มีใครออกมารับ. ลักษณะของกลุ่มนี้คือ — ถ้าคุณไม่ได้เป็นเป้าทางอุดมการณ์ คุณจะไม่โดน. ถ้าคุณเป็น — คุณจะโดนแน่นอนในช่วงเวลาที่อ่อนไหว

มุมผู้บริหาร: Hacktivist เป็นกลุ่มที่ บริษัทส่วนใหญ่ไม่ต้องลงทุนป้องกันเฉพาะกลุ่มนี้ — defense กัน Cybercrime Gang ครอบคลุมอยู่แล้ว. ยกเว้นคุณอยู่ในอุตสาหกรรม controversial (น้ำมัน / ยาสูบ / weapons / mining) หรือเป็นหน่วยงานรัฐ — ตรงข้อไหน ลงทุนเพิ่มที่ DDoS protection + WAF + PR crisis playbook เพราะ Hacktivist ใช้ media coverage เป็นอาวุธหลัก ไม่ใช่ technical อย่างเดียว

คนใน — กำแพง 10 ชั้นไร้ความหมายเมื่อพนักงานเปิดประตูจากในเอง#

มาถึงกลุ่มที่ อันตรายที่สุดในแง่ผลกระทบต่อบริษัท แต่กลับเป็นกลุ่มที่บริษัทไทยลงทุนป้องกันน้อยที่สุด — Insider Threat (ภัยจากคนใน)

ภาพ: ลองคิดดูครับ — บริษัทคุณสร้างป้อมปราการ 10 ชั้น มี Defense in Depth ครบ มี Diversity of Controls มี Assume Breach mindset. กำแพงนอกสูง 20 เมตร คูน้ำลึก 10 เมตร ยามเฝ้าทุกประตู. และวันหนึ่ง — พนักงานในป้อมเปิดประตูจากด้านใน. ทุกชั้นที่ลงทุนสร้างมาไร้ความหมายในวินาทีนั้น

นี่คือ Insider Threat ครับ — และมัน ไม่ใช่กลุ่มเดียว มี 3 sub-type ที่ผู้บริหารต้องแยกออก เพราะ defense ของแต่ละแบบไม่เหมือนกัน

Sub-type 1 — Malicious Insider (คนในที่หวังร้าย)#

พนักงานที่ ตั้งใจ ทำลายบริษัท / ขายข้อมูล / โกง. แรงจูงใจ: เงิน, แค้น, อุดมการณ์

เคส Twitter 2019 — พฤศจิกายน 2019 กระทรวงยุติธรรมสหรัฐฯ ตั้งข้อหา Ahmad Abouammo (อดีต Media Partnership Manager) และ Ali Alzabarah (วิศวกร Site Reliability) ว่าทำหน้าที่เป็น agent ของซาอุดิอาระเบียโดยไม่แจ้งรัฐ — ใช้สิทธิ์ที่มีอยู่ในระบบดึงข้อมูลส่วนตัวของผู้ใช้ Twitter ที่วิจารณ์รัฐบาลซาอุดิ — ข้อมูลรวมถึง IP address, เบอร์โทรที่ผูกบัญชี, email. Abouammo ถูกระบุว่าได้รับเงินสดและนาฬิกาหรูราคา ~$20,000. ผู้ใช้คนหนึ่งที่ถูก query ข้อมูลคือ Omar Abdulaziz — activist ชาวซาอุดิที่ลี้ภัยในแคนาดา เพื่อนสนิทของ Jamal Khashoggi ที่ถูกฆาตกรรมในสถานกงสุลซาอุดิที่อิสตันบูล ตุลาคม 2018. นักวิจารณ์บางส่วนตั้งข้อสังเกตว่าการเฝ้าระวัง activist กลุ่มนี้อาจเชื่อมโยงกับโศกนาฏกรรมที่ตามมา — แต่ความเชื่อมโยงโดยตรงระหว่างข้อมูลที่ Twitter insider ดึงออกไปกับการเสียชีวิตของ Khashoggi ยังไม่เคยได้รับการพิสูจน์ในชั้นศาล — Abouammo และ Alzabarah ถูกตั้งข้อหาเกี่ยวกับการทำหน้าที่ agent ต่างชาติ + wire fraud เท่านั้น ไม่ใช่ข้อหาที่เกี่ยวกับการฆาตกรรม

Abouammo ถูกตัดสินว่ามีความผิดในเดือนสิงหาคม 2022 และถูกพิพากษาในเดือนธันวาคม 2022 ที่ จำคุก 6 เดือน + คุมประพฤติ 3 ปี. Alzabarah หนีกลับซาอุดิก่อนถูกจับ. เคสนี้เปลี่ยนวงการ — เพราะมันแสดงให้เห็นว่า insider 1-2 คนใน big tech ที่มี standing access ก็สามารถถูกใช้เป็นเครื่องมือ geopolitical ได้. หลังจากนั้น Twitter (และ FAANG ทั้งหมด) revamp internal access control แบบ Zero Trust + ลด standing privilege ของพนักงาน + ติด audit log ทุก query ของ user data

เคส Tesla 2018 — Elon Musk ส่งอีเมลภายในบริษัทมิถุนายน 2018 แจ้งว่า พนักงาน Tesla 1 คน ทำ “extensive and damaging sabotage” — ขโมย source code ของ Manufacturing Operating System ออก + ทำลายข้อมูล production + ส่ง code ไปยังบุคคลภายนอก. คนคนนั้น (Martin Tripp) อ้างว่าเป็น whistleblower ที่เปิดเผยการเสีย material ของ Tesla ที่ผู้บริหารปกปิดผู้ลงทุน. เรื่องลงเอยที่ศาลและจบที่ Tripp ยอมจ่าย $400,000 + ยอมรับว่าทำผิด (2020). แต่ผลกระทบ — Tesla ใช้เวลาเป็นเดือนหา insider + แก้ระบบที่ถูก sabotage + ต้องรีวิว trust model กับพนักงานทุกคน

เคส Capital One 2019 ที่เราคุยใน EP.02 — Paige Thompson อดีตพนักงาน AWS. ตรงนี้ขอเสริมว่าทำไมเคสนี้เป็น insider — Paige ทำงานที่ AWS มาก่อนหน้า → รู้ระบบ AWS ในระดับลึก → รู้ว่า WAF (Web Application Firewall) ของ Capital One config ผิดยังไง → ใช้ insider knowledge นั้นโจมตี. แม้ตอนที่ Paige โจมตี เธอไม่ใช่พนักงาน AWS หรือ Capital One แล้ว — insider knowledge ตามตัวไป. นี่คือสาเหตุที่หลายบริษัทมี non-compete + non-disclosure ที่ยาวเป็นปีหลังพนักงานออก

Sub-type 2 — Negligent Insider (คนในที่เผลอ)#

พนักงานที่ ไม่ได้ตั้งใจ ทำผิด — แต่เผลอ. ส่งไฟล์ผิดคน. กดลิงก์ phishing. ใช้ password อ่อน. ใช้ USB ที่เก็บได้จากที่จอดรถมาเสียบกับเครื่องที่ทำงาน. ใช้ Wi-Fi ฟรีในร้านกาแฟแล้ว login เข้าระบบบริษัท

ตัวเลขจริง: Verizon DBIR 2024 รายงานว่า — 68% ของ data breach เกี่ยวข้องกับ “non-malicious human element”. หมายความว่าใน 100 เคส breach — 68 เคสเกิดเพราะคนเผลอ ไม่ใช่คนตั้งใจ. และในกลุ่มเผลอนี้ — phishing คือเครื่องมือที่โจรชอบที่สุด เพราะใช้ negligent insider เป็นทางเข้า

Negligent insider ไม่ได้รับโทษเหมือน malicious insider ครับ — เพราะกฎหมายและ HR แยกออก. แต่ ผลกระทบเหมือนกันเป๊ะ. โจรที่เข้าผ่าน Sub-type 2 ได้ — ในระบบของบริษัท เห็นไม่ต่างจากที่เข้าผ่าน Sub-type 1 ตอนแรก. นี่คือเหตุผลที่ security awareness training สำคัญมาก — และเป็น layer 6 ของ Defense in Depth ที่ EP.04 พูดถึง

Sub-type 3 — Compromised Insider (คนในที่ account ถูกขโมย)#

พนักงานที่ ตัวเองไม่รู้ ว่าตัวเองเป็น insider แล้ว — เพราะ account ของเขาถูกโจรขโมยมาตั้งแต่เมื่อไหร่. โจรใช้ login ของเขาเข้าระบบ ใช้สิทธิ์ของเขา ทำในนามของเขา — ในขณะที่พนักงานคนนั้นนั่งทำงานตามปกติ ไม่รู้ว่ามีคนใช้บัญชีเดียวกัน

ส่วนใหญ่เกิดจาก credential stuffing (โจรเอา password ที่หลุดจากเว็บอื่นมาลองกับบัญชีบริษัทคุณ — เพราะคนใช้ password ซ้ำกัน) หรือจาก phishing ที่สำเร็จ (พนักงานกดลิงก์ใส่ password ในเว็บปลอม)

ในมุม security ของบริษัท — Sub-type 3 จับยากที่สุดในทั้ง 3 แบบ ครับ. เพราะ “พฤติกรรม” ดูเหมือนพนักงานจริง — login จากที่อยู่ใกล้เคียง, เปิดไฟล์ปกติ, ส่งอีเมลปกติ. ที่ดูผิดปกติคือ — ทำงานในเวลาที่พนักงานคนนั้นไม่เคยทำงาน, หรือ download ไฟล์ที่พนักงานคนนั้นไม่เคย download มาก่อน. นี่คือเหตุผลที่ระบบ UEBA (User and Entity Behavior Analytics — ระบบวิเคราะห์พฤติกรรมของผู้ใช้) ถึงขายดีในวงการ — เพราะมันจับ Sub-type 3 ได้

รวม 3 Sub-types#

ตัวเลขรวม: ~30% ของ breach เกี่ยวข้องกับ insider ในรูปแบบใดรูปแบบหนึ่ง (Verizon DBIR + Ponemon Cost of Insider Threats 2023). และเฉลี่ย cost ของ insider incident = $15.4 ล้านดอลลาร์ต่อเคส (Ponemon 2023) — สูงกว่า ransomware เฉลี่ยถึง 3 เท่า. เพราะ insider เข้าได้ลึกกว่า + จับได้ช้ากว่า + ความเสียหายต่อ reputation มากกว่า

มุมผู้บริหาร: บริษัทที่ไม่มี offboarding process = open invitation to malicious insider. คำถาม quick win ที่สุดที่ผู้บริหารควรถาม HR + IT — “พนักงานคนล่าสุดที่ลาออก — account ของเขาถูก disable ภายในกี่ชั่วโมงหลังออก?” มาตรฐานสากลคือภายใน 1 ชั่วโมงสำหรับพนักงานทั่วไป + ทันทีที่แจ้งลาออกสำหรับตำแหน่งสำคัญ. ถ้าตอบ “หลายวัน” — เริ่มที่ offboarding ก่อนเรื่องอื่นทั้งหมด

หน่วยจารกรรมของรัฐ — APT คือเครื่องจักรที่เวลาและงบไม่จำกัด#

ขึ้นถึงยอดของห่วงโซ่อาหารแล้วครับ — กลุ่มที่ทรัพยากรเยอะที่สุด อดทนนานที่สุด และมีเป้าหมายที่ไม่ใช่เงิน: Nation-State Actor / APT (Advanced Persistent Threat — ภัยคุกคามที่ก้าวหน้าและคงอยู่)

ภาพ: ลองนึกถึง หน่วยข่าวกรองของประเทศ — KGB ของรัสเซีย, CIA ของอเมริกา, Mossad ของอิสราเอล, MSS ของจีน. หน่วยพวกนี้มี งบประมาณไม่จำกัด + คนเก่งที่สุดของประเทศ + เป้าหมายระดับ geopolitical + เวลาที่ไม่เร่งรีบ. ในยุค pre-internet หน่วยพวกนี้ส่งสายลับเข้าประเทศศัตรู. ในยุค internet — มีหน่วย cyber operations ที่ทำงานเหมือนสายลับ แต่ผ่านคีย์บอร์ด

APT ย่อจาก Advanced Persistent Threat — ชื่อนี้บอกทุกอย่างของกลุ่ม:

Advanced (ก้าวหน้า) — มี zero-day (ช่องโหว่ที่โลกยังไม่รู้) + เครื่องมือเฉพาะที่เขียนเองไม่ใช่ download จากเน็ต
Persistent (คงอยู่) — เข้าระบบเหยื่อแล้วอยู่ข้างในเป็นเดือนเป็นปี ไม่รีบขโมยอะไร. รอ
Threat (ภัยคุกคาม) — เป้าหมายชัด ไม่ใช่ random

วงการ security ใช้ตัวเลขกำกับ APT — APT1, APT28, APT29, APT41 — แล้วบางตัวมีชื่อเล่นที่ตั้งโดยบริษัท security ที่ค้นพบ (CrowdStrike ตั้งเป็น “Bear” สำหรับรัสเซีย, “Panda” สำหรับจีน, “Chollima” สำหรับเกาหลีเหนือ, “Kitten” สำหรับอิหร่าน, “Buffalo” สำหรับเวียดนาม)

APT29 / Cozy Bear (รัสเซีย — SVR)#

หน่วยข่าวกรองภายนอกของรัสเซีย (Foreign Intelligence Service — เทียบเท่า CIA ของอเมริกา). เป้าหมาย: espionage (จารกรรม) — ขโมยข้อมูลรัฐบาลตะวันตก

SolarWinds 2020 ที่เราเล่าใน EP.02. APT29 ฝัง backdoor ใน update ของ SolarWinds Orion → 18,000 บริษัท + รัฐบาลอเมริกาหลายกระทรวงติด → APT29 เลือก 100 เป้าที่สนใจจริง (เกือบทั้งหมดเป็น US government agencies) → อยู่ในระบบ 9 เดือนก่อนถูกค้นพบ. ขโมยอีเมลของกระทรวงต่างประเทศ, กระทรวงการคลัง, กระทรวงพลังงาน, ทำเนียบขาว

DNC Hack 2016 — ก่อน SolarWinds. APT29 (และ APT28) เจาะเข้า Democratic National Committee ของอเมริกา — ขโมยอีเมลของ Hillary Clinton campaign → ปล่อยผ่าน WikiLeaks → ส่งผลต่อบรรยากาศการเลือกตั้งประธานาธิบดี 2016. นี่คือครั้งแรกที่ cyberattack ของ nation-state เข้าแทรกแซงการเลือกตั้งของประเทศมหาอำนาจอย่างเปิดเผย (US Intelligence Community Assessment ม.ค. 2017 สรุปว่ารัสเซีย ตั้งใจ แทรกแซง ส่วนผลกระทบต่อคะแนนเสียงจริงยังคงเป็นที่ถกเถียง)

APT28 / Fancy Bear (รัสเซีย — GRU)#

หน่วยข่าวกรองทหารของรัสเซีย (เทียบเท่า DIA ของอเมริกา). ก้าวร้าวกว่า APT29. เป้าหมาย: disruption + influence operation

Election interference 2016-2024 ทั่ว Western democracies. WADA hack 2016 (ขโมยข้อมูลแพทย์ของนักกีฬาโอลิมปิกเพื่อตอบโต้การแบนนักกีฬารัสเซีย). TV5Monde 2015 (ปิดสถานีโทรทัศน์ฝรั่งเศสทั้งวันโดยอ้างชื่อ ISIS — ภายหลังพบว่าคือ APT28)

Lazarus Group (เกาหลีเหนือ)#

นี่คือกลุ่มที่ แปลกที่สุด ใน APT ทั้งหมด — เพราะเป้าหมายไม่ใช่จารกรรมหรือ disruption แต่เป็น หาเงินเข้ารัฐบาล

เกาหลีเหนือถูก sanction ทางเศรษฐกิจจนแทบไม่มี foreign currency. รัฐบาลแก้ปัญหานี้โดยตั้ง Bureau 121 — หน่วย cyber ของกองทัพ ที่ทำหน้าที่ ปล้นเงินทาง cyber ส่งให้รัฐบาล. หน่วยนี้คือต้นกำเนิดของ Lazarus Group

Bangladesh Bank Heist กุมภาพันธ์ 2016 — เคสที่ทุกคนในวงการ security เรียนรู้ครับ ทั้งในแง่ technical execution และ business lesson

Lazarus แทรกซึมเข้าระบบของ Bangladesh Central Bank (ธนาคารกลางบังกลาเทศ) ตั้งแต่มกราคม 2015 — อยู่ในระบบ 12+ เดือนก่อนลงมือ. ใช้เวลานานนั้นเรียนรู้ระบบ SWIFT (Society for Worldwide Interbank Financial Telecommunication — ระบบโอนเงินระหว่างธนาคารทั่วโลก) ที่ Bangladesh Bank ใช้

แล้ววันที่ลงมือ — คืนวันพฤหัสที่ 4 กุมภาพันธ์ 2016 (เวลาบังกลาเทศ) — Lazarus ส่งคำสั่งโอนเงินผ่าน SWIFT จำนวน 35 คำสั่ง รวม $951 ล้านดอลลาร์ ออกจากบัญชีของ Bangladesh Bank ที่ฝากไว้ที่ Federal Reserve Bank of New York

ทำไมเลือกคืนวันพฤหัสครับ? — เพราะ:

วันพฤหัสในบังกลาเทศ = วันธรรมดา — คนทำงาน
วันพฤหัสในนิวยอร์ก = วันธรรมดา ก็จริง แต่…
วันถัดมา (ศุกร์) = วันหยุดของบังกลาเทศ (ที่ใช้ปฏิทินอิสลามวันหยุดคือศุกร์-เสาร์)
วันถัดมาอีก (เสาร์) = วันหยุดของอเมริกา
วันถัดมาอีก (อาทิตย์) = วันหยุดทั่วโลก

แปลว่า — window ที่ใครก็ตามจะเห็นและหยุดการโอนทัน = 8 ชั่วโมงเท่านั้น ก่อนทั้งโลกปิดทำการ 3 วัน. และจนถึงวันจันทร์ — เงินที่โอนไปแล้วจะถูกย้ายต่อหลายชั้นจน track ไม่ทัน. นี่คือ timing operation ระดับมืออาชีพ — เป็นไปได้เพราะ Lazarus ศึกษาระบบมา 12 เดือน

บังเอิญหนึ่งในคำสั่งใส่ชื่อผู้รับว่า “Jupiter Street” — และคำว่า Jupiter ตรงกับชื่อเรือบรรทุกน้ำมันของอิหร่านที่ถูก US sanction. ระบบ compliance ของ Fed New York หยุดคำสั่งนั้น + ตรวจคำสั่งอื่นๆ ในชุดเดียวกัน → บล็อกได้ 30 ใน 35 คำสั่ง (ระงับเงินไว้ได้กว่า $850 ล้าน)

**แต่ 5 คำสั่งที่ผ่านได้รวม $101 ล้าน — ไหลออกไปแล้ว** —$ 20 ล้านไปบัญชีในศรีลังกา (โชคดีถูก reverse กลับเกือบทั้งหมด) + $81 ล้านไปยังบัญชีในฟิลิปปินส์ (RCBC Bank)** → แลกเป็นชิป casino ที่มะนิลา → แลกเป็น cash → หายเข้าระบบเศรษฐกิจของฟิลิปปินส์. **เงินคืน Bangladesh ได้กลับมาประมาณ$ 15-18 ล้าน จาก $81 ล้านนั้น

นี่คือคืนวันที่เป็น cyber heist ครั้งใหญ่ที่สุดเท่าที่เคยมีมา — 8 ชั่วโมง = $81 ล้าน. และอีกเรื่องที่ใหญ่กว่า — Lazarus กลุ่มเดียวกันคือคนที่อยู่เบื้องหลัง:

Sony Pictures Hack 2014 (เพื่อตอบโต้หนัง “The Interview” ที่ล้อ Kim Jong-un)
WannaCry ransomware 2017 — ยิงทั่วโลก 200,000 ระบบใน 150 ประเทศ ใน 1 สัปดาห์ — รวมระบบของ NHS UK (โรงพยาบาลทั่วประเทศ) — ใช้ exploit EternalBlue ที่หลุดมาจาก NSA ของอเมริกา (เราจะคุยข้อนี้ในส่วนถัดไป)
WazirX 2024 — ขโมย crypto ประมาณ $230 ล้าน จากตลาดแลกเปลี่ยน crypto ของอินเดีย (on-chain analysts จาก Elliptic วิเคราะห์ว่าเข้าข่ายงาน Lazarus)

นักวิเคราะห์ของ Chainalysis และรายงานของ UN Panel of Experts ประเมินว่า Lazarus หาเงินเข้ารัฐบาลเกาหลีเหนือได้รวม ~$3 พันล้านดอลลาร์ในช่วง 2017-2023 จากการขโมย crypto + cyber heist + ransomware

APT41 (จีน)#

กลุ่มที่ สวมสองหมวก — กลางวันเป็น espionage ให้รัฐบาลจีน (ขโมย IP จากบริษัทเทคโนโลยีตะวันตก), กลางคืนเป็น cybercrime หาเงินเข้ากระเป๋าตัวเอง. โดน DOJ อเมริกาตั้งข้อหา 5 คนในปี 2020 — กล่าวหาว่าโจมตี 100+ บริษัทใน 14 ประเทศ

Equation Group (US — เกี่ยวข้องกับ NSA)#

หน่วยของอเมริกาที่วงการเชื่อว่าเป็น NSA’s Tailored Access Operations (TAO). เครื่องมือของกลุ่มนี้ที่ดังที่สุด: Stuxnet (US-Israel ปฏิบัติการร่วม) — worm ที่เจาะเข้าโรงงานเสริมสมรรถนะยูเรเนียมที่ Natanz ของอิหร่าน ปี 2010 — ทำให้เครื่องปั่นเหวี่ยง centrifuge หมุนผิดจังหวะจนเสียหายไป 1,000+ เครื่อง ในขณะที่หน้าจอ monitor แสดงว่าทุกอย่างปกติ. Stuxnet เป็น cyber weapon ตัวแรกในประวัติศาสตร์ที่ทำลายอุปกรณ์ physical — ก่อนหน้านี้ malware ทำได้แค่ขโมยข้อมูล/ทำลายข้อมูล

เรื่องที่สำคัญที่สุดของกลุ่ม APT สำหรับ SME ไทย#

บริษัทธรรมดาไม่ใช่เป้าโดยตรงของ APT — APT29 ไม่สนใจร้านขายของออนไลน์ของคุณ. แต่ “ของแถม” จาก APT จะตกลงในมือกลุ่ม 1-2 เสมอ

ตัวอย่างที่ดังที่สุด: EternalBlue. NSA ของอเมริกาค้นพบ zero-day ใน Windows SMB protocol — ใช้เป็นเครื่องมือลับมา 5 ปี. ปี 2017 กลุ่มที่เรียกตัวเองว่า Shadow Brokers (เชื่อว่าเป็น Russian intelligence) ขโมยเครื่องมือของ NSA ออกมา → leak ลง internet ฟรี

3 เดือนต่อมา — WannaCry (Lazarus Group เกาหลีเหนือ) เอา EternalBlue ที่ leak ออกมาใช้ — ติด 200,000 ระบบทั่วโลกใน 1 สัปดาห์. 6 เดือนต่อมา — NotPetya (Sandworm — APT ของรัสเซีย) เอา EternalBlue + อาวุธอื่นใช้โจมตี Ukraine — ระบายไปทั่วโลก สร้างความเสียหาย $10+ พันล้านดอลลาร์. เครื่องมือลับของ NSA → 2 ปีต่อมา = อยู่ในมือ Lazarus + Sandworm + Script Kiddie ทั่วโลก

นี่คือเหตุผลที่ APT สำคัญกับบริษัทไทยทุกขนาดครับ — อาวุธของ APT จะกลายเป็นอาวุธของคนทั่วไปในเวลา 1-3 ปี. patch ระบบให้ทัน — ไม่งั้น exploit ที่ APT ใช้ปีนี้ จะถูกใช้โดย Script Kiddie ในปีถัดไป

มุมผู้บริหาร: ถ้าบริษัทคุณไม่ใช่ defense contractor / รัฐ / critical infrastructure / R&D เทคโนโลยีขั้นสูง — คุณไม่ใช่เป้าโดยตรงของ APT — ไม่ต้องลงทุน threat intel feed รายปีหลักล้าน. แต่ของเล่นจาก APT จะมาถึงคุณในรูป Cybercrime Gang ในที่สุด. คำถามที่ต้องตอบได้ — “patch cadence ของบริษัทเป็นยังไง — critical CVE เราลงภายใน 30 วันได้ไหม?” ถ้าทีม IT ตอบไม่ได้ = เปิดประตูให้ APT spillover

นายหน้าขายประตู — กลุ่มที่เปลี่ยน economics ของ cybercrime ทั้งหมด#

กลุ่มสุดท้ายที่ผมอยากให้คุณรู้จัก — Initial Access Broker (IAB — นายหน้าจัดหาประตูเข้า). กลุ่มนี้ใหม่กว่ากลุ่มอื่น (โผล่มาเด่นจริงๆ ในปี 2018-2019) — แต่เปลี่ยนวงการทั้งหมดเหมือน Uber เปลี่ยนวงการแท็กซี่

ภาพ: ลองนึกถึงโลก crime ดั้งเดิมครับ — ถ้าโจรอยากปล้นร้านทอง โจรต้องทำ ทุกขั้นเอง: หาทำเลร้านที่เหมาะ, สำรวจระบบรักษาความปลอดภัย, หาวิธีปลดล็อก, ขับรถหนี, ฟอกทองที่ขโมยมา. เก่งทุกอย่างหรือไม่ก็ปล้นไม่สำเร็จ

ในโลก crime ยุคใหม่ของ cyber — specialize ได้. คนคนหนึ่งไม่ต้องเก่งทุกอย่าง — เก่งอย่างเดียวพอ. นี่คือที่มาของ IAB

IAB = โจรที่เก่งแค่อย่างเดียว — หาประตูเข้าระบบบริษัท. ไม่สนใจว่าในระบบมีอะไร. ไม่ปล้นเอง. ไม่เข้ารหัสเอง. ไม่เรียกค่าไถ่. แค่ เจาะให้ได้ + เก็บไว้ + ขายในตลาดมืด

วิธีหาประตู: brute-force RDP / SSH ของ server บริษัท, เก็บ credential ที่หลุดจาก phishing campaign, ใช้ vulnerability ใน VPN appliance ที่บริษัทยังไม่ patch, เก็บ session token ที่ขโมยจาก info-stealer malware. ขั้นตอนเหล่านี้ใช้ automation + scale — IAB หนึ่งคนเก็บประตูได้เป็นพันบริษัทต่อปี

ตลาดของ IAB: dark forum อย่าง Exploit.in, XSS.is, RAMP มีกระดานซื้อขาย “corporate network access” อย่างเปิดเผย. ราคาขึ้นกับ (1) ขนาดของบริษัทเหยื่อ (revenue), (2) ระดับ privilege ที่เข้าได้ (พนักงานทั่วไป vs domain admin), (3) อุตสาหกรรม (healthcare มีราคาสูงกว่า retail เพราะ ransomware จ่ายมากกว่า), (4) ประเทศ (US/EU แพงกว่า emerging market)

ราคาตลาดปี 2024:

บริษัท SME ( $1M-$ 10M revenue) — access ระดับพนักงาน = $500-$ 3,000
บริษัทขนาดกลาง ( $10M-$ 100M revenue) — access ระดับ admin = $5,000-$ 30,000
บริษัทใหญ่ (> $100M revenue) — domain admin access = **$ 30,000-$100,000+**
Critical infrastructure / government — คุยส่วนตัว (ไม่ขายเปิดเผย)

ทำไม IAB เปลี่ยน economics ของ cybercrime ทั้งหมด?

ในยุค pre-IAB — ransomware gang ต้องทำเองทุกขั้นตอน. หา target + เจาะ + ขโมยข้อมูล + เข้ารหัส + เจรจาค่าไถ่. bottleneck = หาคนเก่ง initial access

ในยุค IAB — ransomware gang ซื้อ access จาก IAB แล้ว focus ที่สิ่งที่ตัวเองเก่ง = post-exploitation + extortion. เร็วขึ้น + scale ได้ + ต้นทุนต่อ attack ต่ำลง. ผลคือ:

Ransomware victim เพิ่มเป็น 5 เท่า ในช่วง 2019-2023
Time-to-ransom เร็วขึ้น — เคยใช้ 200+ วัน ลดเหลือ 90-120 วัน
บริษัทเล็กกลายเป็นเป้าได้ — เพราะ IAB ขาย bulk access ของ SME ในราคาถูก ransomware gang กินเหยื่อเล็กในปริมาณมากก็คุ้ม

Analogy ที่ผมชอบที่สุด: ค้าส่ง vs ค้าปลีก. IAB = wholesaler (ค้าส่ง) — เก่งขโมยกุญแจ. Ransomware gang = retailer (ค้าปลีก) — เก่งใช้กุญแจขโมยของ + ขายของ. ในตลาดดั้งเดิม คนหนึ่งทำทั้งสองอย่างเอง — ในตลาดยุคใหม่ specialize ดีกว่า. ทุกฝ่ายกำไรมากขึ้น

ตัวอย่างเคสจริง — Conti chat leak 2022 ที่เราคุยไปก่อนหน้า. ใน chat log เห็น Conti ซื้อ access จาก IAB เป็นรายวัน — ใช้งบจัดซื้อหลายแสนดอลลาร์ต่อเดือนแค่ค่า access. แสดงให้เห็นว่า IAB เป็น vendor หลักของ Ransomware-as-a-Service

มุมผู้บริหาร: IAB (Initial Access Broker) อันตรายในมุมที่ผู้บริหารไม่เคยคิดถึง — ประตูของบริษัทคุณอาจถูกขายในตลาดมืดอยู่แล้ว โดยที่คุณยังไม่รู้. quick win เดียวที่ลดความเสี่ยงนี้ 99% — บังคับ MFA ทุก remote access (VPN / RDP / SSH) ไม่มียกเว้น เพราะ IAB ส่วนใหญ่เจาะผ่าน remote access service. ถ้ายังมี VPN account ที่ไม่มี MFA อยู่แม้แต่ตัวเดียว = ประตูเปิดรอขาย

ตารางสรุป — สวนสัตว์ของโจรในมุมเดียว#

ก่อนปิด EP — ผมอยากให้คุณเห็น 6 กลุ่มในภาพเดียวครับ. ลองดูตารางนี้:

กลุ่ม	Motive หลัก	เป้าหมาย	งบ/เวลา	เหยื่อในฝัน	มาตรการรับมือหลัก
Script Kiddie	สะใจ + ชื่อเสียง	สุ่มทั่วอินเทอร์เน็ต	น้อย / สั้น	ใครที่ประตูเปิด	Patch + Basic hygiene + MFA
Cybercrime Gang	เงิน	บริษัทที่จ่ายค่าไถ่ได้	สูง / ปานกลาง	SME-Large ที่ cashflow ดี	Backup + EDR + IR retainer + Insurance
Hacktivist	อุดมการณ์	บริษัทที่อยู่ในประเด็น	ปานกลาง / สั้น	บริษัท controversial + รัฐ	DDoS protection + WAF + PR playbook
Insider	เงิน / แค้น / เผลอ	ข้อมูลในบริษัทตัวเอง	varies	ทุกบริษัท	Offboarding + UEBA + DLP + Awareness
Nation-State APT	geopolitical + เงิน (NK)	รัฐ + critical infra + tech	ไม่จำกัด / ยาวปี	Defense / Gov / Critical infra	Patch ไว + threat intel + monitor
Initial Access Broker	เงิน	ใครก็ได้ที่ขายต่อได้	ปานกลาง / ปานกลาง	บริษัทมี remote access	MFA + Dark web monitoring + Vuln mgmt

สังเกตอะไรไหมครับ? — มาตรการพื้นฐาน 3 อันที่ปรากฏซ้ำเกือบทุกกลุ่ม:

MFA (Multi-Factor Authentication) — กัน Script Kiddie + Cybercrime + Insider Sub-3 + IAB
Patch management — กัน Script Kiddie + Cybercrime + APT spillover + IAB
Basic hygiene (password policy, offboarding, awareness) — กันทุกกลุ่ม

ถ้าบริษัทคุณยังไม่มีครบ 3 อันนี้ — เริ่มที่นี่ก่อนซื้ออะไรอื่น. งบรวม 3 อันสำหรับบริษัทขนาดกลาง = หลักแสนต่อปี. แต่ป้องกัน 70%+ ของ attack ทั้งหมดที่บริษัทคุณจะเจอ. ROI ของ 3 อันนี้สูงกว่า firewall ตัวแพง 10 ล้านบาทที่หลายบริษัทซื้อ

มุมผู้บริหาร: เปิด security budget ของปีนี้ดูครับ — แล้วลองแยกตามว่าแต่ละบรรทัดป้องกัน กลุ่มไหน ในตารางข้างบน. ถ้า 80% ของงบลงไปที่ “firewall + antivirus” ที่ส่วนใหญ่ป้องกัน Script Kiddie กับ Cybercrime ระดับล่าง — แสดงว่าคุณกำลัง over-invest ในกลุ่มที่ป้องกันง่ายสุด + under-invest ในกลุ่ม Insider + IAB ที่ damage สูงสุด. การปรับสัดส่วนเป็น 40/30/30 (Prevention / Detection / People & Process) ที่ EP.05 พูดถึง — มันมาจากตรรกะนี้แหละ

สรุป — ป้องกันใคร ก่อนจะสร้างป้อม#

ถ้าให้สรุป EP นี้เป็นภาพเดียวครับ — เมืองที่ของมีค่ามาก ไม่ได้มีโจรประเภทเดียว. มีเด็กแว้นที่เดินดูประตูที่ลืมล็อก, มีแก๊งโจรอาชีพที่ทำงาน 9-to-5 มีโบนัสปลายปี, มีนักเคลื่อนไหวที่ปาก้อนหิน, มีพนักงานในเมืองที่ขายข้อมูล, มีหน่วยจารกรรมรัฐต่างชาติที่อยู่ในเงา, มีนายหน้าขายกุญแจในตลาดมืด. ป้อมที่ดีที่สุด ไม่ใช่ป้อมที่กลัวทุกตัวเท่ากัน — แต่คือป้อมที่ รู้ว่าตัวเองเป็นเหยื่อในฝันของตัวไหน แล้วลงทุนเฉพาะกลุ่มนั้นเป็นพิเศษ — บนพื้นฐานของ basic hygiene ที่ป้องกันทุกกลุ่ม

ในป่าใหญ่ใบนี้:

Script Kiddie เก่งที่ปริมาณ. ป้องกันด้วย patch + basic hygiene + MFA. 70% ของ noise ที่บริษัทคุณเจอบนอินเทอร์เน็ตคือกลุ่มนี้ — ตอบโจทย์ได้ในงบหลักแสน

Cybercrime Gang คือกลุ่มที่ บริษัททั่วไปต้องกลัวที่สุด. 90%+ ของ breach motivated by money. ป้องกันด้วย backup + EDR + Cyber Insurance + IR retainer. Conti / LockBit / ALPHV / Royal เป็นบริษัทระดับ revenue $100M+ ที่ทำงานจริง

Hacktivist คือกลุ่มที่ ส่วนใหญ่ไม่ต้องกลัว เว้นแต่บริษัทคุณอยู่ในอุตสาหกรรมหรือมีสถานะ public ที่ controversial. ป้องกันด้วย DDoS protection + WAF + PR playbook

Insider คือกลุ่มที่ บริษัทไทยลงทุนป้องกันน้อยที่สุดทั้งที่ damage สูงสุด. 3 sub-types (Malicious / Negligent / Compromised) — ทุกบริษัทมีความเสี่ยงทั้ง 3. ป้องกันด้วย offboarding ใน 1 ชั่วโมง + privilege review ทุก 6 เดือน + DLP + security awareness training

Nation-State APT คือกลุ่มที่ เกือบทุกบริษัทไม่ใช่เป้าโดยตรง — แต่ อาวุธของ APT จะตกในมือคนทั่วไปในเวลา 1-3 ปี. ป้องกันด้วย patch ที่ทันต่อ CVE + threat intelligence + monitoring

Initial Access Broker คือกลุ่มที่ เปลี่ยน economics ของ cybercrime ทั้งวงการ. เป็น wholesaler ที่ขายประตูในตลาดมืด. ป้องกันด้วย MFA ทุก remote access + dark web monitoring + vulnerability management แบบ aggressive

สิ่งที่ผู้นำต้องจำ#

ข้อแรก — รู้ว่าตัวเองเป็นเหยื่อของกลุ่มไหน ก่อนตัดสินใจงบ security ปีหน้า. เปิด security budget ที่ผ่านมาดู — มันลงไปที่ป้องกันกลุ่มไหน? ส่วนใหญ่จะลงที่ Script Kiddie + Cybercrime ระดับล่าง — เพราะ vendor ขายของกลุ่มนั้นเก่ง. กลุ่มที่ damage สูงสุดของบริษัทคุณ — มีงบไหม? Insider + IAB + Cybercrime ระดับบน (ransomware) ต้องการการลงทุนที่ ไม่ใช่แค่ซื้อของ — ต้อง process + people + monitoring. ลองแบ่ง budget ใหม่ตามตาราง 6 กลุ่ม — บริษัทไทยส่วนใหญ่จะเห็นทันทีว่าผิดสัดส่วนตรงไหน

ข้อสอง — Basic hygiene 3 อันคือ ROI สูงสุดในทุก security budget. MFA + Patch management + Offboarding/awareness — รวมหลักแสนต่อปีสำหรับบริษัทขนาดกลาง — แต่ป้องกัน 70%+ ของ attack ทั้งหมดที่บริษัทคุณจะเจอจาก 6 กลุ่ม. ก่อนเซ็นซื้อ firewall ตัวต่อไป — ถามตัวเองว่า 3 อันนี้ครบและทำงานจริงในบริษัทตอนนี้ไหม. ถ้ายัง — เลื่อนซื้อ firewall ออกไปก่อน. ลงเงินที่ 3 อันนี้ให้เสร็จก่อน. นี่ไม่ใช่คำแนะนำของ vendor ที่ไหน — เพราะ 3 อันนี้ไม่มี vendor ไหนได้ commission สูง — เลยไม่มีใครเดินมาบอกผู้บริหาร

ครับ EP.06 จบแล้ว. เราเดินสำรวจ “สวนสัตว์ของโจร” ทั้ง 6 กลุ่มเรียบร้อย — รู้ว่าใครคือใคร ใครเก่งตรงไหน ใครคือเป้าของบริษัทแบบไหน. คำถามถัดมาที่หนีไม่พ้นคือ — “แล้วฝั่งของเราล่ะ? ใครจะป้องกันเราจาก 6 กลุ่มนี้?”. เรารู้แล้วว่าโจรมีหลายประเภท — งั้นฝั่งผู้ป้องกันของเรามีหลายประเภทเหมือนกันไหม? ตำรวจในเมืองมีกี่แบบ? Blue Team / Red Team / Purple Team คืออะไร? เมื่อไหร่บริษัทควรสร้างทีมเอง เมื่อไหร่ควร outsource ให้ MDR/MSSP? คำตอบของคำถามพวกนี้คือ ระบบนิเวศของผู้ป้องกัน — เรื่องของ EP.07

→ EP.07 — ระบบนิเวศของผู้ป้องกัน: Blue / Red / Purple Team + เมื่อไหร่ต้อง outsource (เร็วๆ นี้)