แฮ็กเกอร์ข่มขู่ในคดี Snowflake อาจเป็นทหารสหรัฐฯ
(krebsonsecurity.com)- แม้จะมีการจับกุมผู้ต้องหา 2 รายในคดีขโมยและข่มขู่ข้อมูลของลูกค้า Snowflake แล้ว แต่ผู้ต้องหาที่หลบหนีอยู่ Kiberphant0m ยังคงกดดันเหยื่อผ่านตัวตนออนไลน์หลายรูปแบบ
- ผู้โจมตีอาศัยช่องโหว่ที่ปลายปี 2023 หลายบริษัทปกป้องบัญชี Snowflake ด้วยเพียงชื่อผู้ใช้และรหัสผ่าน โดยไม่มีการยืนยันตัวตนหลายปัจจัย ทำให้สามารถเจาะคลังข้อมูลของบริษัทขนาดใหญ่ได้
- บริษัทที่ตกเป็นเหยื่อมี AT&T รวมอยู่ด้วย โดย AT&T เปิดเผยในเดือนกรกฎาคมว่ามีการขโมยข้อมูลส่วนบุคคลและบันทึกการโทร·ข้อความของผู้ใช้ราว 110 ล้านราย และยังมีรายงานว่ามีการจ่ายเงิน 370,000 ดอลลาร์เพื่อลบข้อมูลบันทึกการโทรที่ถูกขโมยไป
- บัญชีที่เชื่อมโยงกับ Kiberphant0m บน BreachForums, Telegram และ Discord โปรโมตการ ขายข้อมูล Snowflake, บอตเน็ต DDoS, การสลับซิม และการขายสิทธิ์เข้าถึงเซิร์ฟเวอร์ของหน่วยงานรัฐ·ผู้ให้บริการโทรคมนาคม
- นามแฝงหลายชื่อเชื่อมโยงไปถึงกองทัพบกสหรัฐฯ การประจำการในเกาหลีใต้ South Korea Telecom, Wi‑Fi ฐานทัพ และหน้าจอการสมัครงานกับ NSA แต่ Kiberphant0m ปฏิเสธว่าไม่ได้รับราชการทหารสหรัฐฯ หรืออาศัยอยู่ในเกาหลี และอ้างว่าเป็นตัวตนปลอมที่สร้างไว้มานาน
ผู้ต้องหาที่ยังไม่ถูกจับในคดีข่มขู่ Snowflake
- แม้จะมีการจับกุมผู้ต้องหา 2 รายในข้อหาขโมยข้อมูลลูกค้า Snowflake และข่มขู่เรียกค่าไถ่ แต่บุคคลที่สามซึ่งรู้จักกันในชื่อ Kiberphant0m ยังไม่ถูกจับ และยังข่มขู่เหยื่ออย่างเปิดเผย
- บันทึกการสนทนาหลายรายการที่ยังคงอยู่บนฟอรัมอาชญากรรมไซเบอร์, Telegram และ Discord บ่งชี้ว่าบุคคลนี้อาจเป็นทหารกองทัพบกสหรัฐฯ หรืออย่างน้อยก็ เคยประจำการอยู่ในเกาหลีใต้ จนถึงไม่นานมานี้
- ผู้โจมตีพบว่าในช่วงปลายปี 2023 หลายบริษัทนำข้อมูลลูกค้าที่อ่อนไหวจำนวนมากขึ้นไปเก็บบนบัญชี Snowflake โดยไม่ได้บังคับใช้ การยืนยันตัวตนหลายปัจจัย
- จากนั้นจึงค้นหาข้อมูลรับรองบัญชี Snowflake ที่ถูกขโมยจากตลาดมืด และใช้เพื่อเจาะคลังข้อมูลของบริษัทใหญ่ทั่วโลก
ความเสียหายของ AT&T และการจับกุมผู้ต้องสงสัยก่อนหน้า
- หนึ่งในบริษัทที่ตกเป็นเหยื่อคือ AT&T ซึ่งเปิดเผยในเดือนกรกฎาคมว่าอาชญากรไซเบอร์ได้ขโมยข้อมูลส่วนบุคคลรวมถึงบันทึกการโทรและข้อความของผู้ใช้ราว 110 ล้านราย
- ตามรายงานของ Wired ระบุว่า AT&T จ่ายเงินให้แฮ็กเกอร์ 370,000 ดอลลาร์ เพื่อแลกกับการลบบันทึกการโทรที่ถูกขโมยไป
- เมื่อวันที่ 30 ตุลาคม ทางการแคนาดาจับกุม Alexander Moucka หรือ Connor Riley Moucka ที่เมือง Kitchener รัฐ Ontario ตามหมายจับชั่วคราวของสหรัฐฯ
- ต่อมาสหรัฐฯ ตั้งข้อหาเขา 20 กระทงที่เกี่ยวข้องกับการเจาะระบบ Snowflake
- ผู้ต้องสงสัยอีกรายในคดีแฮ็ก Snowflake คือ John Erin Binns ชาวอเมริกันที่กำลังถูกคุมขังอยู่ในตุรกี
- ผู้สืบสวนเชื่อว่า Moucka ใช้แฮนเดิล Judische และ Waifu และมอบหมายให้ Kiberphant0m นำข้อมูลของลูกค้า Snowflake ที่ไม่ยอมจ่ายค่าไถ่ไปขายต่อ
การข่มขู่สาธารณะที่ดำเนินต่อหลังการจับกุม
- ไม่นานหลังข่าวการจับกุม Moucka, Kiberphant0m ได้โพสต์ข้อมูลบน BreachForums โดยอ้างว่าเป็น บันทึกการโทรของ AT&T ของ Donald J. Trump ว่าที่ประธานาธิบดี และรองประธานาธิบดี Kamala Harris
- ในวันเดียวกันยังโพสต์ข้อมูลที่อ้างว่าเป็น “data schema” ของ U.S. National Security Agency
- วันที่ 5 พฤศจิกายน เขาเสนอขายบันทึกการโทรของลูกค้า Verizon PTT ซึ่งส่วนใหญ่เป็นหน่วยงานรัฐบาลสหรัฐฯ และหน่วยกู้ภัยฉุกเฉิน
- วันที่ 9 พฤศจิกายน เขาโพสต์บน BreachForums เพื่อขายบริการ สลับซิม ที่มุ่งเป้าไปยังลูกค้า Verizon PTT
- การสลับซิมคือการใช้ข้อมูลรับรองที่ถูกฟิชชิงหรือขโมยมาจากพนักงานค่ายมือถือ เพื่อย้ายการควบคุมโทรศัพท์และข้อความของเหยื่อไปยังอุปกรณ์ที่ผู้โจมตีควบคุม
ความเชื่อมโยงระหว่าง Buttholio, Kiberphant0m และ Shi-Bot
- Kiberphant0m สมัครใช้งาน BreachForums ในเดือนมกราคม 2024 และในโพสต์แรกระบุว่าสามารถติดต่อได้ผ่าน Telegram แฮนเดิล @cyb3rph4nt0m
- บัญชี @cyb3rph4nt0m โพสต์ข้อความมากกว่า 4,200 ข้อความนับตั้งแต่มกราคม 2024 โดยหลายข้อความเป็นการรับสมัครคนเผยแพร่มัลแวร์เพื่อแพร่เชื้อไปยังโฮสต์ในบอตเน็ต IoT
- บน BreachForums ยังมีการขายซอร์สโค้ดของบอตเน็ต DDoS บน Linux แบบคัสตอมที่พัฒนาจาก Mirai ชื่อ Shi-Bot
- ก่อนที่การโจมตี Snowflake จะถูกเปิดเผยในเดือนพฤษภาคม โพสต์ขายของ Kiberphant0m บน BreachForums มีไม่มากนัก และจำนวนมากเกี่ยวข้องกับฐานข้อมูลที่ขโมยมาจากบริษัทเกาหลี
- วันที่ 5 มิถุนายน 2024 ผู้ใช้ชื่อ “Buttholio” เข้าร่วมช่อง Telegram เกี่ยวกับการหลอกลวงชื่อ Comgirl และอ้างว่าตนคือ Kiberphant0m
- ผู้ใช้นี้บอกให้ลองค้นหา “kiberphant0m” บน Google พร้อมอ้างว่ามีข่าวมากกว่า 50 ชิ้นและการเจาะผู้ให้บริการโทรคมนาคมมากกว่า 15 แห่ง
- ยังอ้างว่ามีหมายเลข IMSI ของทุกคนที่ลงทะเบียนกับ Verizon, T-Mobile, AT&T และ Verifone
บันทึกการสนทนาที่ชี้ไปยังการประจำการของทหารสหรัฐฯ ในเกาหลีใต้
- วันที่ 17 กันยายน 2023 Buttholio พูดใน Discord ของผู้เล่น Escape from Tarkov ว่าเซิร์ฟเวอร์เกาหลีแทบไม่มีพวก extract camper หรือ cheater
- ในข้อความอีกชุดวันเดียวกัน เขาอธิบายว่าตนซื้อเกมในสหรัฐฯ แต่เล่นบนเซิร์ฟเวอร์เอเชีย
- เขาทิ้งข้อความในทำนองว่าตนเป็น u.s. soldier จึงซื้อเกมในสหรัฐฯ แต่ต้องใช้เซิร์ฟเวอร์เอเชียเพราะการหมุนเวียนกำลังพล
- บัญชี @Kiberphant0m ที่เชื่อมโยงกับ Telegram ID 6953392511 ยังปรากฏในช่อง Telegram ด้าน DDoS ชื่อ Dstat
- เมื่อ Kiberphant0m เข้าไปใน Dstat ผู้ใช้อีกรายพูดว่า “hi buttholio” และ Kiberphant0m ตอบว่า “wsg”
- เว็บไซต์ Dstat ที่ dstat[.]cc ถูกยึดเมื่อวันที่ 1 พฤศจิกายน ในปฏิบัติการบังคับใช้กฎหมายระหว่างประเทศ Operation PowerOFF
บัญชี Reverseshell และคำพูดที่เกี่ยวข้องกับทหาร
- ตามข้อมูลของ Flashpoint ระบุว่า @kiberphant0m บอกในเดือนเมษายน 2024 ในช่อง Telegram ชื่อ Dstat และ The Jacuzzi ว่าชื่อผู้ใช้ Telegram อื่นของตนคือ @reverseshell
- Telegram ID ของบัญชี @reverseshell คือ 5408575119
- วันที่ 15 พฤศจิกายน 2022 @reverseshell บอกในช่อง Telegram ชื่อ Cecilio Chat ว่าตนเป็นทหาร U.S. Army
- เขายังแชร์ภาพที่เห็นกางเกงเครื่องแบบทหารและกระเป๋าเป้ลายพราง
- ในเดือนกันยายน 2022 ผู้ใช้อีกรายขู่ว่าจะโจมตี DDoS ไปยังที่อยู่อินเทอร์เน็ตของ Reverseshell และเมื่อการโจมตีเกิดขึ้น Reverseshell ตอบในทำนองว่าอีกฝ่ายกำลังโจมตี “Wi‑Fi ตามสัญญาของฐานทัพ”
- ในบทสนทนาเดือนตุลาคม 2022 เขาอวดความเร็วของเซิร์ฟเวอร์ที่ใช้อยู่ และตอบว่าใช้ South Korea Telecom สำหรับการเชื่อมต่ออินเทอร์เน็ต
- วันที่ 23 สิงหาคม 2022 Reverseshell บอกว่าตนใช้เครื่องมืออัตโนมัติค้นหาข้อมูลล็อกอินที่ยังใช้ได้ของเซิร์ฟเวอร์อินเทอร์เน็ตแล้วนำไปขายต่อ
- เขาอ้างว่าเจาะระบบเซิร์ฟเวอร์รัฐบาลสหรัฐฯ, เซิร์ฟเวอร์ควบคุมโทรคมนาคม, โรงงานเครื่องจักร และเซิร์ฟเวอร์ ISP ของรัสเซีย ด้วยข้อมูลรับรองเริ่มต้น
- วันที่ 29 กรกฎาคม 2023 เขายังโพสต์ภาพหน้าจอล็อกอินของผู้รับเหมาด้านกลาโหมรายใหญ่ของสหรัฐฯ และอ้างว่ากำลังขายข้อมูลรับรองของบริษัทอากาศยานและอวกาศ
Proman557, Vars_Secc และประวัติการขายบอตเน็ต
- Telegram ID 5408575119 ใช้นามแฝงหลายชื่อมาตั้งแต่ปี 2022 รวมถึง Reverseshell และ Proman557
- Intel 471 ยืนยันบันทึกว่า “Proman554” บน Hackforums สมัครเมื่อเดือนกันยายน 2022 และบอกผู้ใช้อื่นว่าสามารถติดต่อได้ทางบัญชี Telegram ชื่อ Buttholio
- Proman557 เป็นหนึ่งในนามแฝงหลายชื่อที่ใช้ขายมัลแวร์บอตเน็ตบน Linux บนฟอรัมแฮ็กภาษารัสเซีย Exploit
- Proman557 ถูกแบนจากข้อหาฉ้อโกง 350 ดอลลาร์ และผู้ดูแล Exploit เตือนว่าผู้ใช้นี้เคยสมัครด้วยชื่อเล่นอื่นหลายชื่อ รวมถึง Vars_Secc
- กิจกรรม Telegram ของ Vars_Secc มุ่งไปที่เกมออนไลน์, การปฏิบัติการบอตเน็ต DDoS และการโฆษณาขายหรือให้เช่าบอตเน็ต
- Vars_Secc ระบุว่าบอตเน็ตถูกใช้สำหรับโจมตีเซิร์ฟเวอร์, DDoS เพื่อกู้ไอเท็มในเกม, ช่องโหว่ desync RCE ฝั่งเซิร์ฟเวอร์, การข่มขู่ และความบันเทิง
การขายสิทธิ์เข้าถึงเซิร์ฟเวอร์ของรัฐและโทรคมนาคม
- ในเดือนมิถุนายน 2023 Vars_Secc กล่าวในช่อง SecHub ว่าตนทำกิจกรรมนี้มา 4 ปีแล้ว และรัฐบาลคงไม่จ่ายเงินหลายล้านดอลลาร์ให้กับผู้ดูแล “บอตเน็ต DDoS ไร้สาระ” แน่
- ตลอดหลายเดือนในปี 2023 Vars_Secc เคลื่อนไหวบนฟอรัมอาชญากรรมภาษารัสเซีย XSS และขายสิทธิ์เข้าถึงเซิร์ฟเวอร์รัฐบาลสหรัฐฯ ในราคา 2,000 ดอลลาร์
- ต่อมาเขาพยายามขายสิทธิ์เข้าถึง Rostelecom ผู้ให้บริการโทรคมนาคมของรัสเซีย และถูกแบนจาก XSS
- ฟอรัมอาชญากรรมที่ตั้งอยู่ในรัสเซียมีกฎห้ามแฮ็กหน่วยงานหรือพลเมืองรัสเซีย หรือขายข้อมูลของพวกเขา
- วันที่ 20 มิถุนายน 2023 Vars_Secc โพสต์ขายบนฟอรัม Ramp 2.0 หัวข้อ “Selling US Gov Financial Access”
- เขาโพสต์ว่าขายสิทธิ์เข้าถึงเซิร์ฟเวอร์ภายในเครือข่าย, การเชื่อมต่อ subroute 3–5 เส้น, ราคา 1,250 ดอลลาร์
- ในเดือนเดียวกันบน Ramp เขายังโพสต์ขายสิทธิ์เข้าถึงเซิร์ฟเวอร์ภายในของ “Vietnam government Internet Network Information Center” ในราคา 500 ดอลลาร์
บั๊กบาวน์ตีและช่องโหว่ของ Naver
- Vars_Secc อ้างบน Telegram ในเดือนพฤษภาคม 2023 ว่าตนหาเงินจากการรายงานช่องโหว่ซอฟต์แวร์ผ่าน HackerOne
- เขาบอกว่าได้รับรางวัล บั๊กบาวน์ตี จากมากกว่า 30 แห่ง เช่น reddit.com, กระทรวงกลาโหมสหรัฐฯ และ Coinbase
- หนึ่งเดือนก่อนหน้านั้น เขาบอกว่าตนทำให้แคชของ reddit.com ปนเปื้อน และจะหาประโยชน์จากมันเพิ่มเติมก่อนค่อยรายงานให้ reddit ทราบ
- HackerOne ตอบว่าจะตรวจสอบคำกล่าวอ้างที่เกี่ยวข้อง
- แฮนเดิล Telegram ของ Vars_Secc ยังอ้างว่าเป็นเจ้าของสมาชิก BreachForums ชื่อ Boxfan
- ตามข้อมูลของ Intel 471 ลายเซ็นในโพสต์แรก ๆ ของ Boxfan บน BreachForums มีบัญชี Telegram ของ Vars_Secc อยู่ด้วย
- Boxfan เปิดเผยช่องโหว่ด้านความปลอดภัยของเสิร์ชเอนจินเกาหลี Naver บน BreachForums ในเดือนมกราคม 2024
- โพสต์ดังกล่าวมีถ้อยคำเชิงลบอย่างรุนแรงต่อวัฒนธรรมเกาหลี
การปฏิเสธและความไม่แน่นอนที่ยังเหลืออยู่
- ตัวตนหลายรูปแบบที่เชื่อมโยงกับ Kiberphant0m ชี้อย่างหนักแน่นว่าบุคคลนี้อาจเป็น ทหารกองทัพบกสหรัฐฯ หรืออย่างน้อยก็เพิ่งประจำการอยู่ในเกาหลีใต้จนไม่นานมานี้
- นามแฝงที่เชื่อมโยงกันไม่ได้ระบุยศทหาร, กรมกอง หรือสายงานเฉพาะทาง
- วันที่ 1 เมษายน 2023 Vars_Secc โพสต์ภาพหน้าจอเว็บไซต์ NSA ลงในช่อง Telegram สาธารณะ และภาพดังกล่าวดูเหมือนหน้าจอการสมัครงานบางตำแหน่งของ NSA
- NSA ยังไม่ได้ตอบคำขอความเห็น
- Kiberphant0m ซึ่งถูกติดต่อผ่าน Telegram ยอมรับว่าการเชื่อมโยงกับนามแฝงในอดีตนั้นเป็นเรื่องจริง แต่ปฏิเสธการรับราชการทหารสหรัฐฯ หรือการอยู่ในเกาหลี
- เขาอ้างว่าเป็นเพอร์โซนาปลอมที่สร้างไว้มานาน และเป็น “Epic opsec troll”
- เมื่อถูกถามถึงความเป็นไปได้ที่จะถูกจับ เขาตอบว่า “ฉันไม่มีทางถูกจับได้อย่างแท้จริง” และอ้างว่าไม่ได้อาศัยอยู่ในสหรัฐฯ
1 ความคิดเห็น
ความเห็นบน Hacker News
ถ้า Kiberphant0m เป็น ตัวตนที่แต่งขึ้น เพื่อหลอกเจ้าหน้าที่สืบสวนจริง ๆ ก็คงไม่มีทางยอมรับแบบนั้นแน่
ฟังดูเหมือนคนที่โดนจับได้แล้วพยายามแก้ตัว และสุดท้ายก็ดูมีโอกาสสูงที่จะถูกจับ
ท้ายบทความของ Krebs ยังมี ภาพ mind map ที่แสดงความเชื่อมโยงระหว่างนามแฝงต่าง ๆ ด้วย
เพราะทุกการกระทำของเป้าหมาย รวมถึงการหลอกล่อ ล้วนปล่อยข้อมูลหรือสร้างความเสี่ยงที่จะปล่อยข้อมูลออกมา
ถ้าควบคุมสถานการณ์ได้จริง ต่อให้มั่นใจ 99% ว่าเป็นของปลอม ก็ยังทำให้อีกฝ่ายเสียทรัพยากรไปกับการตรวจสอบต่อได้ ดังนั้นคงไม่ทำลายฉากบังหน้าของตัวเองทิ้ง
โดยเฉพาะถ้าสร้างเพอร์โซนานี้มานานและกำลังถูกตามรอยอยู่ แค่หายตัวไปแล้ววางแผนเริ่มใหม่ด้วยเพอร์โซนาใหม่ยังดูสมเหตุสมผลกว่ามาก
อย่านำสิ่งที่คนนั้นพูดมาใช้ตัดสินข้อเท็จจริง ควรดูเฉพาะ หลักฐาน ที่ตรวจสอบได้เท่านั้น
ถ้าตั้งใจทำเป็นเหยื่อล่อ น่าจะใช้ฉากหลังที่ต่างกันไปเลย เช่น ทหารสหรัฐฯ 1 คน รัสเซีย 1 คน แอฟริกัน 1 คน มากกว่า
ดูเหมือนรัฐบาลจะจำกัดขอบเขตได้ค่อนข้างง่าย
ตรวจล็อกของคนที่ สมัครงาน NSA ช่วงก่อนและหลังวันที่มีการโพสต์สกรีนช็อต แล้วเทียบกับคนที่เคยอยู่หรืออยู่ในเกาหลี รายชื่อก็น่าจะสั้นลงมาก
คนนี้ดูหยิ่ง และความหยิ่งก็นำไปสู่ความประมาท น่าจะถูกจับได้ในที่สุด
ยังไง NSA ก็อาจรับเข้าทำงานก็ได้
คำพูดทำนองว่า “ลองค้นหา ‘kiberphant0m’ ใน Google โดยใส่เครื่องหมายคำพูดดูสิ ฉันจะรอ มีบทความเกิน 50 ชิ้น และฉันเจาะผู้ให้บริการโทรคมนาคมมากกว่า 15 ราย ฉันมีหมายเลข IMSI ของทุกคนที่ลงทะเบียนกับ Verizon, Tmobile, ATNT, Verifone” นี่คือการ ทำลายตัวเองระดับ SBF
การถูกจับเป็นแค่เรื่องของเวลา และหน่วยสืบสวนกลางคงจะบี้ไอ้ตัวตลกนี้ให้แห้งไปเลย
เพราะพวกเขาคงตัดสินว่าการโดนเจาะถูกกว่าการลงทุนด้านความปลอดภัย
ตอนที่ Kiberphant0m ล็อกอินเข้าแชนแนล Dstat แล้วผู้ใช้อีกคนพูดว่า “hi buttholio” จากนั้น Kiberphant0m ตอบว่า “wsg” ดูเป็นเรื่องโชคร้ายสำหรับเจ้าตัวอยู่บ้าง
ถ้าอ้างอิง Beavis and Butt-Head ได้ดีกว่านี้ก็คงดีกว่า
ถ้าชื่อผู้ใช้เป็น “Cornholio” หรือ “Bungholio” มันอาจถูกอ่านว่าเป็นชื่อที่อ้างถึงรายการโดยตรง ทำให้คำปฏิเสธว่าไม่เกี่ยวกับบัญชีอื่นฟังดูน่าเชื่อขึ้นอีกนิด
อีกไม่นานคงได้รู้ว่า NSA normalize ฐานข้อมูลเก่งแค่ไหน
ถึงเวลาโชว์สคีมาแล้ว
ถ้าดูเวลาที่คนนี้โพสต์ โดยเฉพาะ ฮิสโตแกรมเขตเวลา ของโพสต์ที่ตอบกลับบทความก่อนหน้าแบบทันที อาจเห็นอะไรบางอย่างก็ได้
เพราะมันเป็นสัญญาณว่าเขาตื่นอยู่ ไม่ใช่คำตอบที่หน่วงเวลาไว้เทียม ๆ
Krebs ก็น่าจะรู้เทคนิควิเคราะห์เขตเวลา เลยสงสัยว่าไม่ได้ตรวจ หรือว่าตรวจแล้วสรุปไม่ได้
ในหมู่คนที่ใช้คอมพิวเตอร์นานเกินไป มีหลายคนที่รูปแบบการนอนพังจนดูเหมือนกำลังใช้งานอยู่ใน เขตเวลา ที่ต่างออกไปโดยสิ้นเชิง
ดีแล้วที่ อาชญากรไซเบอร์ อิสระพวกนี้หยิ่งเกินไปจนทำพลาดเรื่องความมั่นคงปลอดภัยเชิงปฏิบัติการขั้นพื้นฐานที่สุด และเปิดโปงตัวเอง
ความเชื่อมโยงที่ Krebs หรือ Unit 221B ค้นเจอและข้อมูลที่ร้อยเรียงกันออกมาน่าสนใจมากจริง ๆ อ่านแล้วเหมือนอ่าน นิยายสืบสวน
คนนี้ดูเหมือนจะจบแล้ว และแค่วันที่สมัคร NSA ก็น่าจะระบุตัวตนได้แทบแน่นอน
ถ้าทำด้วยมือจะใช้เวลามหาศาล
หมอนั่นใจกล้ามาก
ถ้าพลเรือนถูกจับจากการกระทำผิดกฎหมาย ยังมีสิทธิได้รับการพิจารณาคดีอย่างเป็นธรรมโดยคณะลูกขุนที่เป็นคนรุ่นราวคราวเดียวกัน แต่ถ้าทหารถูกจับว่าทำเรื่องเดียวกัน ศาลทหาร แทบจะเป็นพิธีการ และโดยข้อเท็จจริงก็จะได้เข้าคุกนานมากแทบจะทันที
สงสัยว่าตอนสมัครทหารมีการอธิบายเรื่องนี้ให้คนเข้าใจชัดเจนไหม
การเป็นอาชญากรตัวใหญ่เป็นเรื่องยากเกินไป
แค่พลาดครั้งเดียวก็โดนเจาะได้แล้ว และมีโอกาสให้พลาดเป็นล้านครั้ง แถมเจ้าหน้าที่สืบสวนก็มีโอกาสเดาถูกโดยโชคช่วยเป็นล้านครั้งเช่นกัน
จริง ๆ แล้วอยากรู้ว่าสัดส่วนของอาชญากรที่ถูกจับเพราะ ความมั่นคงปลอดภัยเชิงปฏิบัติการที่หละหลวม มีมากแค่ไหน