เทศมองไทย

 

‘เปกาซัส สปายแวร์’

ในประเทศไทย

 

“เปกาซัส” สปายแวร์ หรือซอฟต์แวร์เพื่อการจารกรรมข้อมูล ผลงานของเอ็นเอสโอ กรุ๊ป บริษัทสัญชาติอิสราเอล เคยโด่งดังไปทั่วโลกเมื่อปีเศษที่ผ่านมา หลังจากถูกเปิดโปงว่ามีรัฐบาลของหลายประเทศใช้มันเป็นเครื่องมือในการจารกรรมข้อมูลของฝ่ายตรงข้ามโดยมิชอบด้วยกฎหมาย

การเปิดโปงดังกล่าวใช้ชื่อว่า “เปกาซัส โปรเจ็กต์” ซึ่งเป็นผลจากการทำงานข่าวสืบสวนสอบสวนร่วมกันขององค์กรณ์ข่าวระดับโลกเป็นจำนวนมาก

เปกาซัสอาศัยช่องโหว่ของแอพพลิเคชั่นหรือระบบปฏิบัติการต่างๆ ที่ยังไม่เป็นที่รู้จักกันมาก่อน นิยมเรียกกันในแวดวงผู้เชี่ยวชาญว่า “ซีโร เดย์ เอ็กซ์พลอยต์” แทรกตัวเข้าไปติดตั้งในอุปกรณ์เป้าหมาย ไม่ว่าจะเป็นแท็บเบล็ต, สมาร์ตโฟน หรือคอมพิวเตอร์

จากนั้นก็จะทำหน้าที่เป็นเหมือน “สปาย” ที่แฝงตัวอยู่ในอุปกรณ์เหล่านั้น รวบรวมข้อมูลทุกอย่างเพื่อจัดส่งกลับไปยัง “ต้นทาง” ไม่ว่าจะเป็นข้อมูลที่เป็นเสียง, ภาพ, ตัวอักษร หรือพาสเวิร์ดทั้งหลาย เพราะเปกาซัสสามารถเข้าถึงและควบคุมการทำงานของไมโครโฟน, กล้อง และอื่นๆ ของตัวอุปกรณ์ได้

ดังนั้น ผู้ที่ปล่อยเปกาซัสออกไป สามารถทำได้แม้แต่จะบังคับให้อุปกรณ์ที่ติดตั้งสปายแวร์ตัวนี้อยู่ ทำหน้าที่เป็นเหมือน “เครื่องดักฟัง” ทั้งภาพและเสียงของเหตุการณ์ที่เกิดขึ้นได้เลยทีเดียว หากต้องการ

 

ผลจากการเปิดโปงในครั้งนั้น ส่งผลให้เมต้า บริษัทแม่ที่เป็นเจ้าของแอพพ์ “วอทส์แอพพ์” กับแอปเปิล ที่เป็นเจ้าของ “ไอโฟน” ยื่นฟ้องร้องดำเนินคดีกับเอ็นเอสโอ กรุ๊ป

เอ็นเอสโออ้างในเวลานั้นว่า เปกาซัสขายให้เฉพาะรัฐบาลหรือหน่วยงานของรัฐ และใช้ด้วยวัตถุประสงค์เพื่อ “ช่วยไม่ให้เกิดการล้มตาย” ขึ้นเท่านั้น

แต่เอ็นเอสโอและเปกาซัสก็ไม่วายถูกกล่าวหาว่า ทำตัวเป็น “เครื่องมือของลัทธิเผด็จการอำนาจนิยม” ในการควบคุมนักเคลื่อนไหวและฝ่ายตรงข้ามกับตน โดยมิชอบ

ถูกรัฐบาลสหรัฐอเมริกา “ขึ้นบัญชีดำ” ห้ามนำเข้า จำหน่ายและใช้งานในประเทศ

 

ในเวลานั้น ไทยถูกพาดพิงถึงเพียงแค่ว่า เป็นไปได้ที่อาจเป็นพื้นที่หนึ่งซึ่งมีเปกาซัสปรากฏอยู่

เพิ่งปรากฏเมื่อ 17 กรกฎาคมที่ผ่านมานี้นี่เอง เมื่อมีการนำเสนอรายงานที่ได้จากการทำงานร่วมกันของ 3 หน่วยงาน ตั้งแต่ “ไอลอว์” ในไทย, ซิติเซนแล็บ องค์กรเพื่อการวิจัยด้านความปลอดภัยทางไซเบอร์ ในสังกัดมหาวิทยาลัยโตรอนโต ประเทศแคนาดา กับห้องปฏิบัติการทดลองด้านความปลอดภัยทางไซเบอร์ ขององค์การนิรโทษกรรมสากล หรือแอมเนสตี้ อินเตอร์เนชั่นแนล

ไอลอว์ทำหน้าที่ตรวจสอบแสวงหาผู้ที่ต้องสงสัยว่าจะเป็นเหยื่อในไทย, ส่งอุปกรณ์ต้องสงสัยเหล่านั้นไปให้ซิติเซนแล็บ ทำหน้าที่ตรวจสอบ เพื่อค้นหาร่องรอยและสืบค้นที่มาของการจารกรรมทางไซเบอร์ดังกล่าว โดยมีผู้เชี่ยวชาญแอมเนสตี้ทำหน้าที่ตรวจสอบข้อมูลต่างๆ ซ้ำอีกครั้ง ด้วยกรรมวิธีที่แตกต่างออกไป

ผลที่ได้ถูกนำมาแถลงต่อสาธารณะเมื่อ 17 กรกฎาคมที่ผ่านมา โดยตัวแทนของทั้ง 3 องค์กรที่สโมสรผู้สื่อข่าวต่างประเทศประจำประเทศไทย ที่ต่อมาถูกหยิบไปนำเสนอไว้ในวอชิงตันโพสต์ และเดอะ การ์เดียน รวมถึงสื่อออนไลน์อย่าง “เรสต์ ออฟ เดอะ เวิร์ลด์” จากจาการ์ตา อินโดนีเซีย

สาระสำคัญระบุว่า มีนักเคลื่อนไหวรณรงค์เพื่อประชาธิปไตยในไทย 30 ราย ตกเป็นเหยื่อของสปายแวร์ตัวนี้ ต่างกรรมต่างวาระกัน แต่เกิดขึ้นในช่วงตั้งแต่ปี 2020 เรื่อยมาจนถึงปลายปี 2021

และแม้จะไม่มีหลักฐานระบุแน่ชัด

แต่จากหลักฐานแวดล้อมต่างๆ ชี้ให้เห็นว่า ผู้ลงมือกระทำการจารกรรมดังกล่าว คือหน่วยงานของทางการไทย อย่างน้อย 1 แห่ง หรืออาจมากกว่านั้น

 

จอห์น สก็อต-เรลตัน ตัวแทนของซิติเซนแล็บ ระบุว่า สามารถสรุปได้ว่า บุคคลเหล่านี้ตกเป็นเหยื่อของเปกาซัส เพื่อ “แสวงหาข้อมูลจำเพาะ” บางอย่าง มากกว่าที่จะใช้เพื่อเป็นการสอดแนมขนานใหญ่ต่อผู้ที่มีความเห็นไม่ลงรอยกับทางการ

ข้อมูลที่นำมาเปิดเผยนอกจากแสดงให้เห็นถึงการเจาะระบบ จำนวนครั้งที่มีการเจาะและจำนวนของเหยื่อแล้ว ยังแสดงให้เห็นถึงการ “หยุดชะงัก” เป็นช่วงๆ อย่างน้อย 2 ครั้ง ครั้งแรกเมื่อเปกาซัส โปรเจ็กต์ ได้รับการเผยแพร่ และอีกครั้งเมื่อแอปเปิลอุดช่องโหว่ในระบบปฏิบัติการไอโอเอส เมื่อ 23 พฤศจิกายนปีที่ผ่านมา และนำไปสู่การที่แอปเปิลส่งข้อมูลแจ้งให้กับผู้ใช้ทั้งในไทยและอีกหลายประเทศทั่วโลก ว่า โทรศัพท์ของคนเหล่านั้น อาจตกเป็นเป้าของเปกาซัส

สก็อต-เรลตัน ยังคงยืนยันว่า เปกาซัสและเอ็นเอสโอ “ส่งเสริมเผด็จการอำนาจนิยม” ในขณะที่เอ็นเอสโอก็ยังคงยืนยันเช่นกันว่า จำหน่ายให้กับรัฐทั้งหลายเพื่อวัตถุประสงค์ในการช่วยชีวิตและเพื่อใช้ในกิจการ “ที่เกี่ยวเนื่องกับความมั่นคง” ของประเทศ

สก็อต-เรลตัน เตือนว่า ถึงเวลาแล้วที่ทุกชาติต้องช่วยกันยับยั้งบริษัทนี้ ไม่ให้ “หลุดออกนอกการควบคุม” มากไปกว่านี้

สำหรับผมแล้ว เรื่องนี้เลอะเทอะเลื่อนเปื้อนออกนอกเหนือการควบคุมไปนานแล้ว มากพอแล้ว

และไม่อำนวยประโยชน์ให้เกิดขึ้นกับใครหรือหน่วยงานไหน รวมทั้งสถาบันใดๆ เลยจริงๆ