ไม่ใช่แฮกเกอร์ธรรมดา! เอกสารลับเผย APT35 ทำงานเหมือนบริษัท มี KPI-โอที-ระบบจัดการแบบกองทัพ
วงการ Threat Intelligence ทั่วโลกต้องจับตามอง เมื่อมีการรั่วไหลครั้งใหญ่ของเอกสารภายในจากกลุ่ม APT35 (หรือที่รู้จักกันในชื่อ Charming Kitten, Phosphorus) กลุ่มแฮกเกอร์ระดับพระกาฬที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งเผยให้เห็นไส้ในของปฏิบัติการจารกรรมไซเบอร์ที่มีระเบียบวินัยราวกับกองทัพ
จาก “แฮกเกอร์ใต้ดิน” สู่ “พนักงานกินเงินเดือน”
สิ่งที่น่าตกใจจากเอกสารหลุดชุดนี้ คือภาพลักษณ์ของ APT35 ที่ไม่ใช่กลุ่มแฮกเกอร์หัวขบถที่นั่งทำงานในห้องมืดๆ อีกต่อไป แต่พวกเขามีโครงสร้างการทำงานแบบ “Bureaucratic Military Unit” ภายใต้สังกัดหน่วยข่าวกรองของกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC)
- มีระบบ KPI ชัดเจน: เจ้าหน้าที่แต่ละคนต้องทำรายงานผลงานรายเดือน (Monthly Reviews) มีการตั้งเป้า (Quota) จำนวนเหยื่อที่ต้องเจาะให้ได้
- ทำงานเข้า-ออกเป็นกะ: มีบันทึกเวลาการทำงาน (Logbook) และทำงานจากศูนย์ปฏิบัติการที่มีการรักษาความปลอดภัยเข้มงวด ไม่ใช่ทำงานจากบ้าน
- แบ่งแผนกเชี่ยวชาญเฉพาะ: แยกทีมชัดเจนระหว่างฝ่ายพัฒนา Exploit, ฝ่ายเจาะรหัส (Credential Theft), ฝ่าย Phishing และฝ่ายรวบรวมข่าวกรองบุคคล (HUMINT)
เป้าหมายและคลังแสงทางเทคนิค
เอกสารระบุชัดเจนว่าภารกิจหลักของ APT35 คือการจารกรรมข้อมูลจากหน่วยงานรัฐ, โทรคมนาคม และโครงสร้างพื้นฐานสำคัญในประเทศที่เป็น “ไม้เบื่อไม้เมา” หรือมีความสำคัญเชิงยุทธศาสตร์กับอิหร่าน เช่น ซาอุดีอาระเบีย, อิสราเอล, ตุรกี และสหรัฐฯ
กลยุทธ์การโจมตีที่เป็นระบบ (Attack Lifecycle):
- Mass Reconnaissance: สแกนหาช่องโหว่แบบปูพรม โดยเฉพาะใน Microsoft Exchange (ใช้ช่องโหว่ ProxyShell)
- Credential Harvesting: ดูดรายชื่ออีเมล (GALs) เพื่อนำไปใช้ทำ Phishing ต่อ
- Rapid Exploitation: ทีมพัฒนาจะรีบนำ CVE ใหม่ๆ มาสร้างเครื่องมือโจมตีทันทีที่ช่องโหว่ถูกเปิดเผย
- Persistent Access: ฝัง Web Shell (เช่น
m0s.php) เพื่อยึดเครื่องเหยื่อไว้ใช้งานระยะยาว
ไม่ใช่แค่สปายต่างชาติ แต่คุมเข้มคนในชาติด้วย
นอกจากภารกิจต่างประเทศแล้ว เอกสารยังเผยว่า APT35 มีหน้าที่สอดแนมและจัดการกับ “ศัตรูของระบอบการปกครอง” ภายในประเทศอิหร่านเอง รวมถึงมีการส่งเจ้าหน้าที่ไปอบรมด้านสงครามจิตวิทยา (Psychological Warfare) สะท้อนถึงรากฐานทางอุดมการณ์ที่เข้มข้น
การรั่วไหลครั้งนี้ถือเป็น “ขุมทรัพย์” ของนักวิจัยความปลอดภัยไซเบอร์ ที่จะได้ศึกษาวิธีคิดและกระบวนการทำงานของ State-Sponsored Hacker อย่างละเอียด เพื่อนำไปวางแผนป้องกันที่มีประสิทธิภาพมากขึ้น แต่มันก็เป็นเครื่องเตือนใจว่า “ศัตรู” ในโลกไซเบอร์ทุกวันนี้ ไม่ใช่วัยรุ่นสร้างตัว แต่เป็นองค์กรระดับชาติที่มีทรัพยากรและวินัยทัดเทียมกับบริษัทยักษ์ใหญ่