บทความต่างประเทศ

 

‘เปกาซัส’

สปายแวร์ละเมิดสิทธิ

หรือเพื่อความมั่นคง?

 

“เปกาซัส” (Pegasus) เป็นชื่อของสปายแวร์ชนิดหนึ่งที่กลายเป็นข่าวโด่งดังเมื่อต้นสัปดาห์ที่ผ่านมา โดยเฉพาะเมื่อมีรายงานของนักวิจัยด้านความปลอดภัยไซเบอร์

ไม่ว่าจะเป็น Citizen Lab กลุ่มเฝ้าระวังไซเบอร์จากแคนาดา

Digital Reach องค์กรปกป้องสิทธิทางดิจิตอลในภูมิภาคเอเชียตะวันออกเฉียงใต้

iLaw องค์การพัฒนาเอกชนด้านสิทธิมนุษยชนของไทย รวมไปถึงรายงานจากแอมเนสตี้ อินเตอร์เนชั่นแนล เปิดเผยข้อมูลตรงกันว่า นักกิจกรรมเคลื่อนไหวสนับสนุนประชาธิปไตย นักวิชาการ และภาคประชาสังคมในไทยอย่างน้อย 30 คน ตกเป็นเหยื่อของการติดตั้งสปายแวร์ “เปกาซัส” ลงในสมาร์ตโฟนเพื่อเก็บข้อมูลสอดแนมความเคลื่อนไหวระหว่างเดือนตุลาคม 2020 ถึงเดือนพฤศจิกายน 2021 ช่วงเวลาเดียวกันกับการเคลื่อนไหวทางการเมือง

แน่นอนว่าที่น่าตกใจก็คือการติดตั้ง “เปกาซัส” ไปบนสมาร์ตโฟนของพลเรือนโดยเฉพาะบรรดานักเคลื่อนไหวโดยไม่ได้รับอนุญาตนั้นเป็นการสอดแนมที่ล่วงล้ำความเป็นส่วนตัว ละเมิดเสรีภาพด้านการแสดงออกกลับเป็นการกระทำของรัฐบาลเสียเอง

 

สําหรับ “เปกาซัส” เป็นสปายแวร์ที่สร้างขึ้นโดยบริษัท NSO Group บริษัทเอกชนด้านความปลอดภัยไซเบอร์จากประเทศอิสราเอล

โดยข้อมูลระบุเอาไว้บนเว็บไซต์บริษัทว่า เป็นสปายแวร์ที่โดยทั่วไปจะขายใบอนุญาตให้เพียงแต่กับหน่วยข่าวกรองหรือหน่วยงานบังคับใช้กฎหมายของรัฐบาล เพื่อใช้ในการสืบสวนคดีก่อการร้ายและอาชญากรรมร้ายแรงเท่านั้น

ตามรายงานของ Citizen Lab เดิมที “เปกาซัส” จำเป็นที่ทีมปฏิบัติการ (Operator) จะต้องติดตั้งด้วยการหลอกล่อให้เป้าหมายคลิก “ลิงก์” ที่จดทะเบียนโดเมนเนมเอาไว้ โดยอาจใช้รูปแบบของเว็บไซต์ผู้ให้บริการมือถือ บริการออนไลน์ หรือเว็บไซต์ของรัฐที่ปลอมแปลงขึ้นมาลวงเหยื่อ

แต่ล่าสุดตามรายงานของสำนักข่าวเอพีระบุว่า เปกาซัสถูกพัฒนาให้สามารถติดตั้งลงบนอุปกรณ์ของเป้าหมายได้โดยที่เป้าหมายไม่จำเป็นต้องคลิกลิงก์ใดๆ ก่อน (zero-click exploits)

นั่นหมายความว่าทีมปฏิบัติการสามารถติดตั้งเปกาซัสไปบนสมาร์ตโฟนของเป้าหมายได้จากระยะไกลโดยที่เป้าหมายไม่รู้ตัว

หลังจากเปกาซัสถูกติดตั้งลงไปบนสมาร์ตโฟนของเป้าหมายแล้ว เปกาซัสจะเริ่มเชื่อมต่อกับเซิร์ฟเวอร์สั่งการและควบคุม (C&C) ของทีมปฏิบัติการ เพื่อให้สามารถสั่งการและรับข้อมูลจากเป้าหมายได้ ไม่ว่าจะเป็นข้อมูลส่วนตัว เช่น รหัสลับ รายชื่อติดต่อ กิจกรรมที่บันทึกในปฏิทิน ข้อความ รวมไปถึงเสียงพูดคุยสดๆ จากแอพพลิเคชั่นส่งข้อความต่างๆ ด้วย

นอกจากนี้ ทีมปฏิบัติการยังทำได้ถึงขั้นสั่งการให้สมาร์ตโฟนเปิดกล้องหรือไมโครโฟนเพื่ออัดเสียงหรือบันทึกภาพเหตุการณ์พื้นที่โดยรอบสมาร์ตโฟนของเป้าหมายได้ด้วย

 

รายงานของ Citizen Lab ที่ทำการตรวจสอบไอพีแอดเดรส และโดเมนเนม ที่เกี่ยวข้องกับเปกาซัส พบว่ามีจำนวนมากถึง 45 ประเทศที่มีทีมปฏิบัติการใช้ “เปกาซัส” ในการสอดแนมเป้าหมาย ในจำนวนนี้มี 6 ประเทศที่มีประวัติใช้สปายแวร์โดยมีเป้าหมายที่ภาคประชาสังคมอย่างเข้มข้น ไม่ว่าจะเป็นบาห์เรน, คาซัคสถาน, เม็กซิโก, โมร็อกโก, ซาอุดีอาระเบีย รวมถึงสหรัฐอาหรับเอมิเรตส์

นอกจากนี้ ยังพบข้อบ่งชี้ในการใช้ “เปกาซัส” ในทางการเมืองในหลายประเทศ อย่างเช่นที่เกิดขึ้นในประเทศไทย ส่งผลให้เกิดคำถามขึ้นว่าเทคโนโลยีดังกล่าวนั้นถูกใช้ในการสืบสวนอาชญากรรมโดยชอบธรรมจริงหรือไม่?

หนึ่งในผู้ที่ตกเป็นเป้าหมายของเปกาซัสนั้น Citizen Lab รายงานว่า คือนายอาห์เหม็ด มานซูร์ นักเคลื่อนไหวเพื่อสิทธิมนุษยชนในสหรัฐอาหรับเอมิเรตส์ ที่ถูกติดตั้งเปกาซัสบนไอโฟน ตั้งแต่เมื่อปี 2016

ไม่เท่านั้น ยังมีรายงานนักเคลื่อนไหวเพื่อสิทธิมนุษยชนชาวปาเลสไตน์ 6 คนถูกติดตั้งเปกาซัสในสมาร์ตโฟนเมื่อปี 2021 ที่ผ่านมา

ขณะที่ในเม็กซิโกก็พบทนายความ สื่อมวลชน นักเคลื่อนไหวเพื่อสิทธิมนุษยชน นักการเมืองฝ่ายค้าน นักเคลื่อนไหวต่อต้านการทุจริต และทีมสืบสวนนานาชาติหลายสิบคน ที่ตกเป็นเหยื่อด้วย

นอกจากนี้ ยังมีข้อกล่าวหาด้วยว่าสปายแวร์ที่เป็นผลงานของ NSO Group นั้นอาจนำไปสู่การสังหารจามาล คาช็อกกี คอลัมนิสต์ชาวซาอุฯ ของหนังสือพิมพ์วอชิงตันโพสต์ ที่มักวิพากษ์วิจารณ์รัฐบาลซาอุดีอาระเบีย

ข้อกลาวหาซึ่ง NSO Group ปฏิเสธ โดยยืนยันว่าการขายเปกาซัสนั้นต้องผ่านการตรวจสอบจริยธรรมอย่างเข้มงวด และเปกาซัสนั้นจะถูกขายให้กับรัฐบาลเพื่อนำไปใช้ด้านความมั่นคงเท่านั้น

 

เปกาซัสที่มีความคลุมเครือในการใช้งานระหว่างการละเมิดสิทธิประชาชนและความมั่นคงของรัฐ ของรัฐบาลหลายประเทศ ส่งผลให้กระทรวงพาณิชย์สหรัฐประกาศ “ขึ้นบัญชีดำ” บริษัท NSO Group ทันทีเมื่อเดือนพฤศจิกายนที่ผ่านมา จำกัดไม่ให้เข้าถึงส่วนประกอบและเทคโนโลยีของสหรัฐ โดยหากจะมีการส่งออกสินค้าและบริการจะต้องขออนุญาตรัฐบาลสหรัฐก่อน

ด้านบริษัทเอกชนสหรัฐอย่าง Meta เจ้าของ Facebook ก็ยื่นฟ้องร้อง NSO Group ด้วยเช่นกันที่ออกแบบให้เปกาซัสเจาะเข้าสู่ระบบของแอพพลิเคชั่นส่งข้อความชื่อดังอย่าง WhatsApp เป็นการละเมิดกฎหมายของสหรัฐและละเมิดสิทธิส่วนบุคคล

เช่นเดียวกับ Apple ผู้ผลิตไอโฟนที่มีชื่อเสียงด้านความปลอดภัยของข้อมูลและความเป็นส่วนตัวก็ฟ้องร้อง NSO Group ด้วยในฐานใช้สปายแวร์เจาะเข้าสู่อุปกรณ์ของลูกค้าโดยไม่ได้อนุญาต

ก่อนที่ Apple จะปล่อยอัพเดต iOS ฉุกเฉินที่ป้องกันไม่ให้ถูกเจาะโดยสปายแวร์ของ NSO Group ได้อีก และส่งแจ้งเตือนให้กับผู้ใช้ iPhone ที่ตกเป็นเป้าหมายของ “เปกาซัส” ด้วยจำนวนหนึ่ง

หลังจากการตีแผ่พฤติกรรมการใช้งาน “เปกาซัส” ที่น่าสงสัยในหลายประเทศ รวมไปถึงกรณีในประเทศไทย ล่าสุด แอมเนสตี้ อินเตอร์เนชั่นแนล เรียกร้องให้มีข้อตกลงระดับโลกเพื่อยุติการขาย ส่งมอบ และใช้สปายแวร์ จนกว่าจะมีการกำหนดมาตรการควบคุมและคุ้มครองสิทธิ เพื่อกำกับดูแลการใช้งานของสปายแวร์อย่างเหมาะสมต่อไป

จากนี้ไปคงต้องจับตาดูว่าแนวทางในระดับนานาชาติจะจัดการ “สปายแวร์” ที่ถูกใช้ในนามความมั่นคงของชาติเหล่านี้อย่างไร

รวมไปถึงคำถามสำคัญว่า รัฐบาลไทยอยู่เบื้องหลังการติดตั้ง “เปกาซัส” กับบรรดานักเคลื่อนไหวเพื่อประชาธิปไตยด้วยหรือไม่?