เปิดแฟ้มคดีเพกาซัส กาเนม นักกิจกรรมซาอุฯ ฟ้องประเทศบ้านเกิดฐานใช้สปายแวร์สอดส่อง

รัฐบาลซาอุดิอาระเบียเป็นลูกค้าอีกรายของบริษัท เอ็นเอสโอ กรุ๊ป (NSO) ผู้ผลิตเพกาซัส สปายแวร์สอดส่องสัญชาติอิสราเอล มีเป้าหมายเป็นผู้เห็นต่างที่วิจารณ์ราชวงศ์อัล ซะอูด (Al Saud) ของซาอุดิอาระเบีย ต่อมาในปี 2019 กาเนม อัล มาซาริร (Ghanem Al masarir) หนึ่งในเหยื่อการสอดแนมด้วยเพกาซัส สปายแวร์เป็นโจทก์ยื่นฟ้องคดีแพ่งต่อซาอุดิอาระเบีย (Kingdom of Saudi Arabia) ที่ศาลในสหราชอาณาจักร เริ่มแรกซาอุดิอาระเบียแต่งตั้งทนายมาต่อสู้ในประเด็นเอกสิทธิ์การคุ้มกันแห่งรัฐเพื่อไม่ให้คดีดำเนินกระบวนพิจารณาต่อไปได้ ในเดือนสิงหาคม 2022 ศาลปัดตกข้อโต้แย้งดังกล่าวทำให้คดีดำเนินต่อไปได้ หลังจากนั้นซาอุดิอาระเบียถอนทนายและปัจจุบันคดีสิ้นสุดลงแล้ว

ใครคือกาเนม อัล มาซาริร เป้าหมายสอดส่องของรัฐบาลซาอุฯ

กาเนม อัล มาซาริร เป็นนักกิจกรรมสิทธิมนุษยชนชาวซาอุดิอาระเบีย พำนักในลอนดอน สหราชอาณาจักรตั้งแต่ปี 2003 มีการทำวิดีโอที่เสียดสีและวิจารณ์ราชวงศ์อัล ซะอูด โดยเฉพาะอย่างยิ่งกษัตริย์ซัลมานและมกุฎราชกุมารโมฮัมเหม็ด บิน ซัลมาน ปี 2012 กาเนมยื่นขอลี้ภัยในอังกฤษ ต่อมาวันที่ 31 สิงหาคม 2018 กาเนมถูกติดตามและทำร้ายที่ไนท์บริดจ์ ลอนดอน เหตุการณ์เริ่มจากที่กาเนมดื่มกาแฟกับเพื่อนแถวห้างสรรพสินค้าแฮร์รอด หลังจากพวกเขาออกจากคาเฟ่ก็มีชายสองคนเข้ามาหาพวกเขาถามทำนองว่า คุณเป็นใครถึงได้มาพูดเกี่ยวกับราชวงศ์อัล ซะอูด มีการขู่ว่าจะให้บทเรียนและกล่าวคำพูดดูหมิ่นแม่และคนในครอบครัวของกาเนมด้วยคำหยาบคาย[3]

ในเดือนตุลาคม 2018 กาเนมได้รับสถานะผู้ลี้ภัยและมีการตรวจสอบไอโฟนทั้งสองเครื่องของเขาพบว่า ถูกโจมตีจากสปายแวร์เพกาซัส จากการตรวจสอบทางเทคนิคชี้ให้เห็นถึงความเกี่ยวข้องกับการใช้งานของซาอุดิอาระเบีย ปีถัดมากาเนม ในฐานะโจทก์ยื่นฟ้องแพ่งต่อซาอุดิอาระเบียต่อศาลในสหราชอาณาจักร ข้อกล่าวหาโดยสรุปคือ หนึ่ง การใช้ข้อมูลส่วนตัวในทางที่ไม่ถูกต้อง (Misuse of private information) กล่าวคือ การใช้งานสปายแวร์ทำให้เข้าถึงและส่งต่อข้อมูลจากไอโฟนของเขาโดยปราศจากความยินยอม สอง การคุกคามที่หมายรวมตั้งแต่การส่งข้อความที่เป็นอันตราย (Malicious message) เข้ามาในไอโฟน การโจมตีด้วยสปายแวร์ การสอดส่องและการทำร้ายที่ไนท์บริดจ์ สาม การบุกรุกทรัพย์สิน (Trespass to good) และสี่ การเรียกร้องค่าเสียหายจากการบาดเจ็บส่วนบุคคล คือ การบาดเจ็บทางจิตใจที่เป็นผลพวงมาจากการทราบว่า ข้อความที่ส่งมายังไอโฟนของโจทก์นั้นเป็นการกระทำโดยหรือกระทำในนามของรัฐบาลซาอุดิอาระเบีย การรับรู้ว่า ตัวเองตกเป็นเป้าของการสอดส่องและการโจมตีที่ไนท์บริดจ์ และการบาดเจ็บทางกายภาพจากการถูกทำร้ายที่ไนท์บริดจ์

ผลตรวจทางเทคนิค-ข้อมูลแวดล้อมชี้ชัดไปที่รัฐบาลซาอุฯ 

คดีนี้กาเนมมีผู้เชี่ยวชาญคอมพิวเตอร์คือ บิล มาร์แซค (Bill Marczak) จาก Citizen Lab ให้การเพื่อสนับสนุนว่า ไอโฟนของกาเนมถูกแฮ็กจากเพกาซัส สปายแวร์ที่เกี่ยวข้องกับซาอุดิอาระเบีย จากคำให้การของบิลเล่าถึงภูมิหลังการใช้งานสปายแวร์สอดส่อง ซึ่งรวมถึงสปายแวร์เพกาซัสของซาอุดิอาระเบียว่า ช่วงประมาณปี 2012-2015 มีหน่วยงานของซาอุดิอาระเบียสามแห่งใช้งานสปายแวร์ที่ผลิตโดยแฮ็คกิ้ง ทีม (Hacking team) ที่มีฐานในอิตาลี ในปี 2014 และ 2015 ในซาอุดิอาระเบียมีเซิร์ฟเวอร์หลายแห่งมีการใช้งานซอฟต์แวร์ที่ผลิตโดยฟินฟิชเชอร์ (FinFisher GmbH and/or the Gamma Group) ที่อนุมานได้ว่า เป็นการใช้งานของซาอุดิอาระเบีย ในฤดูร้อนปี 2017 รัฐบาลซาอุดิอาระเบียได้มีการลงนามในข้อตกลงเพื่อให้ได้สปายแวร์ตัวนี้มาใช้งานและในช่วงเดือนตุลาคม 2018 ผู้บริหารของ NSO ยอมรับโดยปริยายว่า ซาอุดิอาระเบียเป็นลูกค้า

ประเด็นการตรวจสอบทางเทคนิคเริ่มจากวันที่ 6 พฤศจิกายน 2018 บิลได้รับการติดต่อจากนักข่าวของนิตยสารฟอร์บส (Forbes) แจ้งเตือนเขาเกี่ยวกับคดีของกาเนม ในวันถัดมานักข่าวคนดังกล่าวได้ส่งภาพข้อความในเครื่องของกาเนมที่มีลิงค์ของเว็บไซต์ซึ่งเป็นหนึ่งในลิงค์ที่บิลเคยระบุว่า มีความเกี่ยวข้องกับระบบปฏิบัติการที่ชื่อว่า “KINGDOM” และวันที่ 16 ธันวาคม 2018 บิลตรวจไอโฟนของกาเนมทั้งสองเครื่องและมีหลักฐานที่ชี้ว่า ทั้งสองเครื่องถูกโจมตีจากเพกาซัสโดยระบบปฏิบัติการ “KINGDOM” รวมทั้งยังตรวจสอบพบว่า ไอโฟนทั้งสองเครื่องของกาเนมไม่สามารถอัพเดทซอฟต์แวร์ได้  กลไกการอัพเดทของโทรศัพท์ถูกปิดใช้งานก็ต่อเมื่อดาวน์โหลดสปายแวร์ขั้นสุดท้าย (ขั้นที่ 3) สำเร็จแล้วเท่านั้น 

บิลอธิบายถึงเป้าหมาย (เหยื่อ) ของ “KINGDOM” ที่ปรากฏต่อสาธารณะอีกห้าคนได้แก่ หนึ่ง โอมาร์ อับดุลอาซิส (Omar Abdulaziz) ที่มีการทำโชว์เสียดสีและมีความใกล้ชิดกับจามาล คาชอกกี นักข่าวชาวซาอุดิอาระเบียที่ถูกสังหารในสถานกงสุลซาอุดิอาระเบียในอิสตันบูล ซึ่งในภายหลังซีไอเอระบุว่า เป็นการสั่งการจากมกุฎราชกุมารโมฮัมเหม็ด บิน ซัลมาน สอง ยะห์ยา อัซซิริ (Yahya Assiri) เป็นทหารอากาศเก่าและเป็นผู้ก่อตั้งองค์กรด้านสิทธิมนุษยชนในลอนดอน สาม เบน ฮับบาร์ด (Ben Hubbard) หัวหน้าสำนักงานกรุงเบรุต เลบานอนของนิวยอร์กไทมส์ ตอนที่เขาตกเป็นเป้าหมายกำลังเขียนงานเรื่องการขึ้นสู่อำนาจของมกุฎราชกุมารโมฮัมเหม็ด บิน ซัลมาน สี่ นักกิจกรรมชาวซาอุดิอาระเบีย และห้า ลูกจ้างของแอมเนสตี้ อินเตอร์เนชั่นแนล เห็นได้ว่า ภูมิหลังและความสนใจของเป้าหมายของ “KINGDOM” แทบทั้งหมดเกี่ยวพันกับซาอุดิอาระเบีย

ข้อเท็จจริงทางเทคนิคและพยานแวดล้อมอีกประการคือ ลักษณะของข้อความที่โจทก์ได้รับ สปายแวร์เพกาซัสสามารถติดตั้งในอุปกรณ์ในหลายรูปแบบรวมถึงการที่ผู้ใช้ของอุปกรณ์ดังกล่าวกดไปที่ลิงค์ที่มีข้อความอันประกอบด้วยเนื้อหาที่จะกระตุ้นหรือเร้าความสนใจเป็นการเฉพาะของผู้ใช้ เช่น กรณีของฮับบาร์ดที่ได้รับเนื้อหาและลิงค์ทำนองว่า “เบน ฮับบาร์ดและเรื่องของราชวงศ์ซาอุฯ” หรือเจ้าหน้าที่แอมเนสตี้ที่ได้รับข้อความถามถึงความเป็นได้ว่า “เขาจะรายงานเกี่ยวกับการชุมนุมเพื่อพี่น้องของคุณที่ถูกคุมขังในซาอุดิอาระเบียที่หน้าสถานทูตซาอุฯ ในกรุงวอร์ชิงตัน ดีซี?” 

ตามล่า “ลายนิ้วมือ” ปลายทางเป็น NSO 

ทั้งนี้เมื่อสปายแวร์ถูกติดตั้งลงบนโทรศัพท์การทำงานของสปายแวร์จะเป็นลักษณะที่ทำให้อุปกรณ์ดังกล่าวเชื่อมโยงกับเซิร์ฟเวอร์ควบคุมและสั่งการ (command and control (C&C) server) ที่ควบคุมโดยปลายทางผ่านทางเซิร์ฟเวอร์ตัวกลาง (Proxy server) ที่ทำให้ไม่สามารถตรวจสอบโค้ดของสปายแวร์ที่จะชี้ปลายทางไปยังเซิร์ฟเวอร์ควบคุมและสั่งการได้ อย่างไรก็ตามการทำงานสืบสวนการใช้งานสปายแวร์เพกาซัสของบิลและ Citizen Lab มีมาอย่างยาวนาน เขาศึกษาและตรวจสอบทางเทคนิคการสอดส่องโดยสปายแวร์ที่เกิดขึ้นในหลายประเทศทั่วโลก ชิงไหวชิงพริบกันตลอดมา เช่นเดียวกันกับกรณีนี้ที่เซิร์ฟเวอร์ตัวกลางอาจซ่อนการตรวจสอบถึงประเทศผู้ใช้ปลายทางได้แต่ไม่ตลอดไป

ย้อนกลับไปในปี 2016 บิลเชื่อมโยง NSO กับลิงค์ในข้อความที่ส่งมายังเครื่องเป้าหมายได้เป็นครั้งแรกต่อสาธารณะ จากการวิเคราะห์พฤติกรรมของอุปกรณ์ที่กดลิงค์ ซึ่งอะห์เหม็ด มันซูร (Ahmed Mansoor) นักปกป้องสิทธิมนุษยชนในสหรัฐอาหรับเอมิเรตส์ได้รับนั้นบิลพบว่า มันมีลายนิ้วมือหรือรูปแบบชัดเจนที่มีการเชื่อมโยงและตอบสนองกับชุดไอพีแอดเดรส บางส่วนของไอพีแอดเดรสนั้นชี้ไปที่ชื่อโดเมนที่จดทะเบียนโดย NSO นอกจากนี้ในการใช้เทคนิคการสืบสวนระบบชื่อโดเมน (DNS probing)  สามารถค้นหาและระบุเซิร์ฟเวอร์ที่เกี่ยวข้องกับการปฏิบัติการของสปายแวร์เพกาซัส และด้วยวิธีการเดียวกันนี้เขาสามารถค้นหาอุปกรณ์อื่นๆ ที่ค้นหาเซิร์ฟเวอร์ของสปายแวร์เพกาซัส และอุปกรณ์ที่อาจจะถูกโจมตีหรือติดสปายแวร์ดังกล่าว ซึ่งวิธีการนี้ทำให้เขาสามารถระบุได้ว่า โทรศัพท์ของโอมาร์ อัลดุลอาซิส (Omar Abdulaziz) ถูกโจมตีจากเพกาซัสด้วย

จากการสืบสวนทางเทคนิคบิลแบ่งเซิร์ฟเวอร์ออกเป็น 36 กลุ่มหรือระบบปฏิบัติการที่แต่ละกลุ่มนั้นจะเป็นตัวแทนของเซิร์ฟเวอร์ตัวกลางที่สื่อสารกับเซิร์ฟเวอร์ที่ควบคุมและสั่งการของเพกาซัส จากการตรวจสอบบิลสามารถระบุว่า เซิร์ฟเวอร์บางกลุ่มเชื่อมโยงกับประเทศใดประเทศหนึ่งเป็นการเฉพาะ การระบุมีการอ้างอิงจากข้อมูลเช่น ชื่อโดเมนที่เกี่ยวข้องกับแต่ละระบบปฏิบัติการ อัตลักษณ์ของเป้าหมายที่ได้รับข้อความที่มีลิงค์ไปสู่ชื่อโดเมนที่เกี่ยวข้องกับแต่ละระบบปฏิบัติการ และการตรวจสอบแคชของระบบชื่อโดเมน (DNS cache probing) ที่สามารถแสดงประเทศที่มีระบบปฏิบัติการที่อาจจะกำลังทำงานสอดส่องอยู่ บิลระบุว่า มีระบบปฏิบัติการหนึ่งที่เชื่อมโยงกับซาอุดิอาระเบียชื่อว่า “KINGDOM” จากผลการตรวจแคชของระบบชื่อโดเมนพบว่า “KINGDOM” เป็นระบบปฏิบัติการเดียวที่มีชื่อโดเมนซึ่งแสดงให้เห็นการโจมตีในซาอุดิอาระเบีย (this was the only operator whose domain names showed likelyinfections in Saudi Arabia based on Dr Marczak’s DNS Cache Probing results) เป้าหมายล้วนทำงานในประเด็นที่เกี่ยวข้องกับซาอุดิอาระเบีย และชื่อโดเมนที่ใช้ในระบบปฏิบัติการนี้มีการบ่งชี้ถึงราชอาณาจักรอาหรับ

📍ร่วมรณรงค์

JOIN : ILAW CLUB

ช่องทางการติดตาม

FACEBOOK PAGE

วิดีโอแนะนำ