
ทางการรัสเซียใช้เครื่องมือ Universal Forensic Extraction Device (UFED) ของบริษัท Cellebrite เพื่อเจาะเข้าไปยัง iPhone ของ Andrey Pivovarov นักการเมืองฝ่ายค้านของรัสเซีย เมื่อเดือนมิถุนายน 2021 แม้ว่า Cellebrite บริษัทด้านเทคโนโลยีเฝ้าระวังจากอิสราเอล จะประกาศยุติสัญญาทั้งหมดกับลูกค้าในรัสเซียต่อสาธารณะไปแล้วหลายเดือนก่อนหน้านั้น ตามผลการตรวจพิสูจน์ทางนิติวิทยาศาสตร์ดิจิทัล (forensic investigation) ที่เผยแพร่โดย Citizen Lab แห่ง University of Toronto
เมื่อวันที่ 31 พฤษภาคม 2021 Andrey Pivovarov อดีตผู้อำนวยการขององค์กรไม่แสวงหาผลกำไรที่สนับสนุนประชาธิปไตย Open Russia ถูกเจ้าหน้าที่นำตัวลงจากเที่ยวบินที่สนามบิน St. Petersburg และถูกควบคุมตัวโดยหน่วยงานความมั่นคงของรัสเซีย
ไม่นานก่อนถูกจับกุม เขาได้ประกาศยุบสาขาของ Open Russia ในรัสเซีย เพื่อปกป้องเจ้าหน้าที่ขององค์กรจากความเสี่ยงในการถูกดำเนินคดี หลังรัสเซียแก้ไขกฎหมายว่าด้วย “องค์กรที่ไม่พึงประสงค์” (undesirable organizations) ซึ่งเพิ่มอำนาจในการดำเนินคดีกับองค์กร และผู้ที่เกี่ยวข้องมากขึ้น
ระหว่างการสอบปากคำ iPhone 12 และ Apple MacBook ของ Pivovarov ถูกเจ้าหน้าที่ยึดไปโดยที่เขาไม่ได้ให้ความยินยอม และไม่ได้เปิดเผยรหัสผ่านของอุปกรณ์ทั้งสอง เครื่องของเขาถูกเก็บไว้ในความดูแลของทางการจนถึงปี 2023 ก่อนจะถูกส่งคืนให้ทนายความ หลังจากเขาถูกตัดสินจำคุก 4 ปี ในข้อหาบริหารจัดการ “องค์กรที่ไม่พึงประสงค์” (undesirable organization) ต่อมา เขาได้รับการปล่อยตัวจากการแลกเปลี่ยนนักโทษครั้งประวัติศาสตร์ระหว่างสหรัฐฯ และรัสเซีย เมื่อเดือนสิงหาคม 2024
ในปี 2025 Pivovarov ได้ติดต่อทีมนักวิจัยของ Citizen Lab ระหว่างเข้าร่วมงาน World Liberty Congress ที่กรุงเบอร์ลิน โดยการตรวจสอบ iPhone ของเขาในเบื้องต้นพบร่องรอยที่บ่งชี้ว่าอุปกรณ์เคยถูกทำ forensic extraction จึงนำไปสู่การวิเคราะห์เชิงนิติวิทยาศาสตร์ดิจิทัล (forensic analysis) อย่างละเอียด
รัสเซียใช้เครื่องมือของ Cellebrite
นักวิจัยพบหลักฐานที่บ่งชี้ว่ามีการใช้ UFED ของ Cellebrite กับอุปกรณ์ของ Pivovarov เมื่อประมาณวันที่ 17 มิถุนายน 2021 ซึ่งเกิดขึ้นราว 3 เดือนหลังจากที่ Cellebrite ประกาศว่าจะ “ยุติการจำหน่ายผลิตภัณฑ์ให้กับหน่วยงานของรัสเซีย และเบลารุสโดยมีผลทันที”
หลักฐานสำคัญที่ยืนยันการทำ forensic extraction คือการพบ Host ID เฉพาะค่า 9016926980658937761372207 ในบันทึกการเชื่อมต่อ USB ของ MobileLockdown บนอุปกรณ์ โดยก่อนหน้านี้ Citizen Lab เคยระบุว่า Host ID ดังกล่าวเป็นของเครื่องมือ Cellebrite จากการสืบสวนอีกคดีหนึ่งที่เกี่ยวข้องกับภาคประชาสังคมในจอร์แดน จึงถือเป็นหลักฐานเชิงนิติวิทยาศาสตร์ที่เชื่อมโยงการใช้งาน UFED กับอุปกรณ์เครื่องนี้ได้อย่างชัดเจน
ที่สำคัญ ผลการสืบสวนครั้งนี้ไม่ได้อาศัยเพียงหลักฐานทางนิติวิทยาศาสตร์ (forensic artifacts) เท่านั้น แต่ยังได้รับการยืนยันจากเอกสารทางการของรัสเซียเองด้วย หลักฐานนี้ยังได้รับการยืนยันจากรายงานทางการของรัสเซีย ชื่อ “ЗАКลЮЧЕНИЕ ЭКСПЕРТА Nº 1269-17” ซึ่งจัดทำขึ้นโดย Forensic Expert Center สังกัดกระทรวงมหาดไทยรัสเซีย (MVD) เอกสารนี้ถูกส่งมอบให้ Pivovarov ระหว่างการดำเนินคดี และระบุไว้อย่างชัดเจนว่า เจ้าหน้าที่ใช้ UFED Physical Analyzer และ UFED 4PC ของ Cellebrite ในการดึงข้อมูลจากอุปกรณ์ของเขา
จากรายงานดังกล่าว ผู้ตรวจสอบได้ดึงข้อมูลการสื่อสารจาก WhatsApp, Telegram และ Viber รวมถึงใช้เครื่องมือของ Cellebrite ค้นหาข้อมูลในอุปกรณ์ด้วยคีย์เวิร์ดที่เกี่ยวข้องกับการเมือง โดยมีทั้งชื่อของบุคคลฝ่ายค้าน เช่น Mikhail Khodorkovsky และ Anastasiya Burakova ทนายความด้านสิทธิมนุษยชน
เมื่อเดือนมีนาคม 2021 Cellebrite ประกาศต่อสาธารณะว่าจะยุติสัญญากับลูกค้าในรัสเซีย ท่ามกลางแรงกดดันจากกลุ่มผู้สนับสนุนสิทธิมนุษยชน โดย David Gee ประธานเจ้าหน้าที่ฝ่ายการตลาดของบริษัท ยืนยันจุดยืนดังกล่าว พร้อมระบุว่า “การใช้งานฮาร์ดแวร์ Cellebrite รุ่นเดิมในรัสเซียหลังเดือนมีนาคม 2021 ถือเป็นการใช้งานที่ไม่ได้รับอนุญาตทั้งหมด”
อย่างไรก็ตาม ผลการสืบสวนของ Citizen Lab ซึ่งสอดคล้องกับรายงานก่อนหน้านี้ของ Haaretz และ Mediazona ชี้ให้เห็นว่า หน่วยงานของรัสเซียยังคงสามารถใช้งานแพลตฟอร์ม UFED ได้อย่างต่อเนื่อง แม้บริษัทจะประกาศยุติการดำเนินธุรกิจในรัสเซียแล้วก็ตาม
สาเหตุสำคัญมาจากความสามารถของเครื่องมือในการทำงานแบบ offline รวมถึงสถาปัตยกรรมของระบบที่ยังคงรองรับการใช้งานฟังก์ชันหลักได้ แม้จะไม่ได้รับการอัปเดตจากผู้ผลิต ส่งผลให้การยกเลิกสัญญาของ Cellebrite แทบไม่มีผลในการหยุดยั้งการใช้งานเครื่องมือดังกล่าวในทางปฏิบัติ
นักวิจัยจาก Citizen Lab ยังพบประเด็นที่อาจน่ากังวลเกี่ยวกับผลกระทบที่ตามมา โดยบุคคลหลายรายที่ชื่อถูกใช้เป็นคีย์เวิร์ดในการค้นหาบนเครื่องของ Pivovarov รวมถึง Anastasiya Burakova ภายหลังตกเป็นเป้าหมายของการโจมตีแบบ Phishing โดยกลุ่มแฮ็กเกอร์ COLDRIVER ซึ่งเชื่อมโยงกับ Federal Security Service (FSB) ของรัสเซีย ตามผลการสืบสวนร่วมระหว่าง Citizen Lab และ Access Now ที่เผยแพร่ในปี 2024
นักวิจัยระบุว่า ความเชื่อมโยงดังกล่าวควรได้รับการสืบสวนเพิ่มเติม เพื่อพิจารณาว่าข้อมูลที่ถูกดึงออกมาด้วยเครื่องมือ Cellebrite อาจถูกนำไปใช้เป็นข้อมูลตั้งต้นสำหรับปฏิบัติการเฝ้าระวังของ FSB ที่มุ่งเป้าไปยังผู้ที่ต่อต้านรัฐบาลรัสเซียซึ่งอาศัยอยู่ในต่างประเทศหรือไม่
กรณีนี้เป็นส่วนหนึ่งของหลักฐานทางนิติวิทยาศาสตร์ที่เพิ่มขึ้นอย่างต่อเนื่อง โดยก่อนหน้านี้นักวิจัยได้ยืนยันการนำเทคโนโลยีของ Cellebrite ไปใช้งานในทางที่ผิดในหลายประเทศ ได้แก่ เซอร์เบีย, เคนยา, จอร์แดน, เมียนมา, บาห์เรน และบอตสวานา ซึ่งในบางกรณี Cellebrite ได้ยกเลิกสัญญากับลูกค้าในประเทศเหล่านั้น แต่บางประเทศก็ยังไม่มีการดำเนินการดังกล่าว
Access Now และ Citizen Lab ได้ส่งจดหมายอย่างเป็นทางการถึง Cellebrite เพื่อเรียกร้องให้บริษัทชี้แจงข้อเท็จจริง พร้อมเรียกร้องให้เพิ่มมาตรการป้องกันทางเทคนิค เช่น “kill switch” สำหรับปิดการใช้งานผลิตภัณฑ์จากระยะไกล รวมถึงดำเนินกระบวนการ Human Rights Due Diligence อย่างเข้มงวดก่อนการจำหน่ายผลิตภัณฑ์ในอนาคต อย่างไรก็ตาม Cellebrite ซึ่งจดทะเบียนในตลาดหลักทรัพย์ Nasdaq ยังไม่ได้ประกาศการปรับเปลี่ยนโครงสร้างมาตรการควบคุมการส่งออก เพื่อตอบสนองต่อผลการสืบสวนในคดีของ Pivovarov
ที่มา : Cybersecuritynews

You must be logged in to post a comment.