แฮกเกอร์อิหร่านผนึกอาชญากรไซเบอร์โลก ใช้ MaaS ยกระดับโจมตีโลก

กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านกำลังหันเข้าหาระบบนิเวศอาชญากรรมมากขึ้น โดยมีการกระชับความสัมพันธ์กับกลุ่มอาชญากรไซเบอร์ใต้ดินอย่างแน่นแฟ้น   การเปลี่ยนแปลงนี้เห็นได้ชัดเจนในกลุ่มที่มีความเชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคง (Ministry of Intelligence and Security หรือ MOIS) เช่น วอยด์ แมนติคอร์ (Void Manticore) หรือที่รู้จักในชื่อ ฮันดาลา แฮก (Handala Hack) และ มัดดี้วอเตอร์ (MuddyWater) การบูรณาการเครื่องมือ บริการ และโครงสร้างพื้นฐานอาชญากรรมเข้ากับการปฏิบัติงาน ช่วยให้แฮกเกอร์อิหร่านขยายขีดความสามารถและทำให้การสืบทิศทางที่มาของการโจมตีทำได้ยากขึ้น

การวิวัฒนาการของการปฏิบัติการไซเบอร์โดยรัฐ

เป็นเวลาหลายปีที่หน่วยข่าวกรองของอิหร่านใช้อาชญากรรมไซเบอร์และการเคลื่อนไหวทางการเมืองบนโลกไซเบอร์ (Hacktivism) เป็นฉากบังหน้าสำหรับการปฏิบัติการลับ โดยปกติแฮกเกอร์อิหร่านจะพรางตัวด้วยการสวมรอยเป็นอาชญากรหรือเลียนแบบกลยุทธ์อาชญากรรมไซเบอร์ทั่วไป เช่น การใช้มัลแวร์เรียกค่าไถ่เพื่ออำพรางวัตถุประสงค์ที่แท้จริง

อย่างไรก็ตาม กิจกรรมล่าสุดในปี 2569 เผยให้เห็นการมีส่วนร่วมโดยตรงกับระบบนิเวศอาชญากรรมมากขึ้น ชี้ให้เห็นว่าสำหรับกลุ่มอิหร่านบางกลุ่ม อาชญากรรมไซเบอร์ไม่ได้เป็นเพียงเรื่องโกหกเพื่อบังหน้าอีกต่อไป แต่ได้กลายเป็นทรัพยากรหลักในการปฏิบัติงาน ในอดีตแฮกเกอร์ของระบอบการปกครองอิหร่านใช้วิธีการทางอาชญากรรมเพื่อการพรางตัวเพื่อขัดขวางคู่ต่อสู้หรือโจมตีด้วยแรงจูงใจทางการเมือง แต่ในปัจจุบันกลุ่มเหล่านี้กำลังใช้ประโยชน์จากเครื่องมือและเทคนิคจากโลกใต้ดินเพื่อขยายอิทธิพลและขีดความสามารถ ซึ่งช่วยเพิ่มศักยภาพทางเทคนิคและเสนอวิธีใหม่ๆ ในการปกปิดต้นตอของการโจมตี ทำให้ผู้ป้องกันติดตามร่องรอยกลับไปยังรัฐบาลอิหร่านได้ยากขึ้น

ยุทธศาสตร์ MaaS: เช่าคลังแสงถล่มเป้าหมาย

หัวใจสำคัญของการขยายขีดความสามารถครั้งนี้คือการปรับใช้โมเดล Malware-as-a-Service (MaaS) ซึ่งเป็นธุรกิจมืดที่กลุ่มแฮกเกอร์อิหร่านไม่ต้องเสียเวลาพัฒนาซอฟต์แวร์โจมตีเอง แต่ใช้วิธี "เช่าซื้อ" บริการมัลแวร์พร้อมใช้จากตลาดมืดแทน โมเดลนี้ช่วยให้อิหร่านเข้าถึงอาวุธไซเบอร์ที่ทันสมัยที่สุด มีระบบสนับสนุนทางเทคนิค และโครงสร้างพื้นฐานในการควบคุมมัลแวร์ที่พร้อมใช้งานทันที

การใช้ MaaS ยังเป็นกลยุทธ์สำคัญในการพรางตัว เพราะมัลแวร์เหล่านี้ถูกใช้งานอย่างแพร่หลายโดยอาชญากรไซเบอร์ทั่วไป ทำให้ยากต่อการระบุว่าผู้ที่อยู่เบื้องหลังการโจมตีคือหน่วยงานระดับรัฐบาล หรือเป็นเพียงกลุ่มโจรกรรมข้อมูลเพื่อเงินทอง ส่งผลให้การตอบโต้ทางการเมืองและระหว่างประเทศทำได้ซับซ้อนขึ้น

เจาะลึกความเชื่อมโยงอิหร่านและอาชญากร

หนึ่งในตัวอย่างที่ชัดเจนที่สุดคือกลุ่ม วอยด์ แมนติคอร์ (Void Manticore) ซึ่งเริ่มใช้เครื่องมือขโมยข้อมูลเชิงพาณิชย์ (Infostealers) อย่าง ราดาแมนธีส (Rhadamanthys) ที่หาซื้อได้ในโลกใต้ดิน มัลแวร์ชนิดนี้มีความสามารถสูงในการดึงรหัสผ่านและข้อมูลละเอียดอ่อน ก่อนที่กลุ่มแฮกเกอร์จะส่ง ไวเปอร์ (Wipers) เข้าไปทำลายระบบในขั้นตอนสุดท้าย โดยพบการใช้งานในแคมเปญฟิชชิ่งที่มุ่งเป้าไปยังองค์กรในอิสราเอล ผ่านการปลอมแปลงประกาศอัปเดตระบบที่ดูน่าเชื่อถือ

อีกกลุ่มคือ มัดดี้วอเตอร์ (MuddyWater) ที่เชื่อมโยงกับ MOIS ซึ่งพบความทับซ้อนกับเครือข่าย สึนเดเระ บอตเน็ต (Tsundere Botnet) หรือ ดินดอร์ (DinDoor) โดยใช้เทคโนโลยีอาชญากรรมไซเบอร์รุ่นใหม่อย่าง Node.js และ Deno ในการสร้างเครือข่ายบอตเน็ตเพื่อโจมตีเหยื่อวงกว้าง

องค์กรเป้าหมายในยุคสงครามไซเบอร์ไร้พรมแดน

ในปัจจุบัน ภัยคุกคามนี้ไม่ได้จำกัดวงอยู่เพียงแค่คู่ขัดแย้งในภูมิภาคตะวันออกกลางเท่านั้น แต่ได้ขยายวงกว้างไปยัง องค์กรในสหรัฐอเมริกา อิสราเอล และกลุ่มประเทศพันธมิตร อย่างชัดเจน โดยเป้าหมายถูกยกระดับจากหน่วยงานของรัฐไปสู่ภาคส่วนที่มีผลกระทบต่อความมั่นคงในวงกว้าง ได้แก่:

• โครงสร้างพื้นฐานวิกฤต (Critical Infrastructure): ระบบพลังงาน ไฟฟ้า ประปา และระบบการสื่อสารที่ความผิดปกติเพียงเล็กน้อยอาจส่งผลกระทบต่อประชาชนจำนวนมาก
• สถาบันการเงินและอุตสาหกรรมพลังงาน: มุ่งโจมตีเพื่อสร้างความเสียหายทางเศรษฐกิจและกดดันการดำเนินนโยบายระหว่างประเทศ
• ห่วงโซ่อุปทาน (Supply Chain): โดยเฉพาะบริษัทไอทีหรือผู้ให้บริการซอฟต์แวร์รายย่อย ซึ่งถูกใช้เป็น "ทางผ่าน" เข้าสู่ระบบขององค์กรขนาดใหญ่ที่มีการป้องกันหนาแน่นกว่า

ความร่วมมือที่เพิ่มขึ้นระหว่างตัวแสดงระดับรัฐและเครือข่ายอาชญากรไซเบอร์ผ่านแพลตฟอร์ม MaaS ทำให้อิหร่านสามารถยกระดับการปฏิบัติการได้อย่างก้าวกระโดด องค์กรทั่วโลกจึงต้องตื่นตัว รับรู้ถึงลักษณะของภัยคุกคามที่เปลี่ยนไป และเร่งปรับปรุงระบบป้องกันให้ทันต่อเครือข่ายโจมตีสมัยใหม่ที่มีความซับซ้อนสูงนี้

เรียบเรียงจาก Cyberpress