สรุปเหตุการณ์การโจมตีทางไซเบอร์จากแคมเปญ “OptThailand”

แคมเปญ “OptThailand”

ในปี 2566 เกิดความขัดแย้งระหว่างประเทศไทยและประเทศกัมพูชา เกี่ยวกับข้อกล่าวหาทางวัฒนธรรมอยู่บ่อยครั้ง แต่เหตุการณ์ที่สร้างกระแสทางออนไลน์คือ ในเดือนกรกฎาคม 2566 ผู้ใช้งานอินเทอร์เน็ตชาวกัมพูชา นำรูปวัดภูม่านฟ้าที่อยู่ระหว่างการก่อสร้างในพื้นที่จังหวัดบุรีรัมย์ แชร์ต่อกันในวงกว้างและกล่าวอ้างว่าเป็นการสร้างเลียนแบบนครวัดของประเทศกัมพูชา จนเกิดเป็นแฮชแท็ก #JusticeCambodia และ #savecambodiaculture หลักจากนั้นไม่นาน กลุ่มแฮกเกอร์จากประเทศกัมพูชาประกอบไปด้วย Anonymous Cambodia, K0LzSec และ NDT SEC ได้เริ่มแคมเปญ “OptThailand” ที่มีเป้าหมายโจมตีหน่วยงานในประเทศไทยทั้งภาครัฐและภาคเอกชน แต่ไม่นานจากนั้นเกิดเหตุการณ์ความขัดแย้งระหว่าง อิสราเอลและปาเลสไตน์ ทำให้แคมเปญ “OptThailand” เลือนหายไป
แต่ความขัดแย้งยังคงดำเนินต่อไป โดยล่าสุดได้เกิดขึ้นอีกครั้งในวันที่ 28 พฤษภาคม 2568 เกิดข้อพิพาทในพื้นที่ชายแดน “ช่องบก” พื้นที่จังหวัดอุบลราชธานีของประเทศไทย ทำให้กลุ่มแฮกเกอร์จากประเทศกัมพูชา ประกอบด้วย NDTSEC 2.0, NXBBSEC, BL4CK CYB3R และ H3C4KEDZ ได้ประกาศว่ากำลังเตรียมการแฮกข้อมูลและเอกสารของหน่วยงานสำคัญในประเทศไทย และจะสามารถเข้าควบคุมระบบปฏิบัติการกว่า 17 ระบบของหน่วยงานดังกล่าว และได้ทำการเข้ารหัสเรียบร้อยแล้ว เป็นการเปิดฉากแคมเปญ “OptThailand” ระลอกใหม่ โดยมีเป้าหมายหลักคือหน่วยงานของรัฐและเอกชนในประเทศไทย
โดยเหตุการณ์ทวีความรุนแรงขึ้น เมื่อวันพุธที่ผ่านมา (4 มิ.ย. 2568) แฮกเกอร์จากประเทศไทย ก่อตั้งกลุ่ม “CyberSafe TH” และประกาศเตือนให้กลุ่มแฮกเกอร์จากประเทศกัมพูชา ให้หยุดการโจมตีทางไซเบอร์และโครงสร้างพื้นฐานดิจิทัลในประเทศไทย หากการยังดำเนินต่อไปจะมาตรการตอบโต้ ซึ่งก่อให้เกิดการโจมตีทางไซเบอร์ที่ลุกลามระหว่าง 2 ประเทศ

เทคนิคที่ใช้ในการโจมตี

เทคนิคที่แฮกเกอร์ประเทศกัมพูชา ใช้ในการโจมตีคือ DDoS attack โดยกำหนดเป้าหมายเป็นเว็บไซต์ของหน่วยงานต่างๆ ในประเทศไทย ซึ่งหากเว็บไซต์เหล่านั้นมีช่องโหว่ ก็จะถูกโจมตีและนำข้อมูลที่ได้เผยแพร่ในกลุ่ม Telegram ต่อไป
อีกหนึ่งวิธีที่กลุ่มแฮกเกอร์ ประเทศกัมพูชา นำมาใช้คือ ใช้เครื่องมือที่สามารถค้นหา Credential leak ของเว็บไซต์เป้าหมายและนำ Credential นั้นมา login เข้าระบบงานต่างๆ
โดยทุกการโจมตีจะมีการ Capture ภาพไม่ว่าจะเป็น ภาพเว็บไซต์เป้าหมายที่เข้าใช้งานไม่ได้, หน้าระบบงานภายในที่ต้อง Login รวมถึงเอกสารที่สามารถขโมยออกมาก็จะถูกโพสท์ลงบน Telegram ของกลุ่มแฮกเกอร์เพื่อเป็นการตอกย้ำว่าการโจมตีนี้สำเร็จแล้ว

หน่วยงานที่ตกเป็นเป้าหมายการโจมตี

เป้าหมายหลักของแคมเปญ “OptThailand” คือหน่วยงานของรัฐ ทั้งภาคการศึกษา, การปกครองส่วนท้องถิ่น, โรงพยาบาลและกองทัพ แต่มีหลายกรณีที่หน่วยงานเอกชนก็ได้รับผลกระทบด้วยเช่นกัน

แนวทางการป้องกันการโจมตี

• เนื่องจากระบบหลักที่ตกเป็นเป้าหมายการโจมตีมักจะอยู่ใน Internet Zone การนำอุปกรณ์เพื่อป้องกันไม่ให้แฮกเกอร์เข้าถึงอุปกรณ์หรือระบบสำคัญได้ง่าย เช่น Next-Gen Firewall หรือ Web Application Firewall จะสามารถป้องกันการโจมตีที่มุ่งตรงมาที่อุปกรณ์หรือระบบสำคัญได้
• Update Patch อุปกรณ์ที่ใช้งานอยู่ในหน่วยงาน ไม่ใช่เพียง Update Patch เฉพาะอุปกรณ์สำคัญ เพื่อปิดช่องโหว่ที่อาจถูกใช้ในการโจมตี
• อบรม Cybersecurity Awareness ให้กับเจ้าหน้าที่ทุกระดับเพื่อให้ตระหนักถึงความสำคัญของคุกคามทางไซเบอร์

นอกจากนี้ การเฝ้าระวังระบบสารสนเทศขององค์กรในรูปแบบ 24×7 เพื่อตรวจสอบพฤติกรรมที่ผิดปกติและแจ้งเตือนก่อนที่จะก่อให้เกิดความเสียหายก็เป็นสิ่งจำเป็น โดยทีมงาน NT cyfence ที่มาพร้อมกับบริการ Cybersecurity Monitoring ที่จะเฝ้าระวังการโจมตีที่เกิดขึ้นจากแคมเปญ “OptThailand” ได้ทำแผนรับมือโดยจัดทำ Use case ไว้ดังนี้

• ตรวจจับพฤติกรรมการเข้าถึงระบบในปริมาณสูง ทั้ง DoS และ DDoS attack
• การโจมตีแบบ Brute force และ Password Guessing แฮกเกอร์นำ Credential ที่มีการเปิดเผยใน Dark Web มาทดสอบการเข้าถึงระบบ
• ตรวจสอบการโจมตีหน้าเว็บไซต์แบบ Web Defacement โดยใช้ Web monitoring tool รวมถึงพฤติกรรมการโจมตี เว็บไซต์ในรูปแบบต่างๆ

NT cyfence ยังมีกลไกสำหรับอัปเดตข้อมูล IP Address ต้นทางที่โจมตีเข้ามาแบบอัตโนมัติ ทำให้ผู้ใช้บริการนำฐานข้อมูลนี้ไปปรับใช้เพื่อป้องกันการโจมตี

แหล่งข้อมูลอ้างอิง
https://www.cyfence.com
https://www.one31.net
https://www.thairath.co.th
Telegram
NXBBSEC
BL4CK CYB3R
CyberSafe TH