تعرّف على قصة أخطر برنامج تجسس تستخدمه الحكومات

تعرّف على قصة أخطر برنامج تجسس تستخدمه الحكومات – علاء الدين السيد

في الصيف الماضي، تعثر بيل مارزاك في برنامج فريد من نوعه، يمكنه التجسس على قائمة الاتصال الموجودة بجهاز الآيفون الخاص بك، والرسائل، وحتى تسجيل المكالمات التي تجريها. هذا الأمر ألقى الضوء بقوة على تلك الشركات التي تعمل في الخفاء، وتبيع برامج التجسس إلى الحكومات الفاسدة في جميع أنحاء العالم.

تكشف قصة مارزاك لنا ساحة جديدة من الحرب الإلكترونية، فما هي القصة بالضبط؟

بداية الاكتشاف

كان منتصف ليلة العاشر من أغسطس (آب)، عندما كان بيل مارزاك وصديقته يجلسان حتى وقت متأخر لمشاهدة فيلم ستار تريك في تلك الشقة ذات الغرفة الواحدة بالمجمع السكني التابع لجامعة كاليفورنيا بمدينة سيريتو، التابعة لولاية كاليفورنيا الأمريكية. ومارزاك ليس مجرد طالب دكتوراه متحمس فقط، لكنه كان محللًا رائدًا في مسرح جديد وغير مألوف من الحرب الإلكترونية، هو الصراع بين نشطاء الحرية في الشرق الأوسط والحكومات الاستبدادية في بلدان مثل البحرين ومصر، بالإضافة إلى كونه زميلًا كبيرًا في مختبرات سيتزن، وهي مختبرات متعددة التخصصات تابعة لجامعة تورنتو الكندية.

ومختبرات سيتزن هي تلك الجهة التي قامت بمفردها تقريبًا باكتشاف وتنبيه العالم لكيفية مراقبة الحكومات للمعارضين مع برامج تجسس يجري تسويقها بهدوء من قبل مجموعة من الشركات الأوروبية والإسرائيلية الغامضة التي جرى وصفها بأنها «تجار الأسلحة السيبرانية» الأوائل.

وقبل الذهاب إلى النوم، كان مارزاك دائمًا صبيًا مهووسًا، عادًة ما يقوم من سريره ليتفقد الرسائل على هاتفه. كان مارزاك في هذه الليلة يتفقد رسائله كالمعتاد، وعندما رآها، صرخ قافزًا «يا إلهي»، وعيناه مشرقتان أكثر من المعتاد. قال مارزاك أنه وجد شيئًا كبيرًا واتجه مسرعًا نحو حاسوبه المحمول، وظل يعمل عليه حتى صباح اليوم التالي بلا انقطاع.

وجد مارزاك شيئًا كبيرًا بالفعل، فقد أرسل له أحد أصدقائه النشطاء في دولة الإمارات العربية المتحدة رسالة بالبريد الإلكتروني تحتوي على رابط صفحة إنترنت واحد، وهو الرابط الذي إذا قمت بالضغط عليه فمن شبه المؤكد أنك ستفرج عن برامج التجسس الخبيثة لتخترق هاتفك المحمول.

وتمكن مارزاك من عزل جزء من التعليمات البرمجية الخاصة بهذه البرمجيات الخبيثة، ولكنها كانت على درجة من التعقيد اضطرته لإحالة نسخة للمهندسين المتخصصين في إحدى الشركات الأمنية التي يطلق عليها اسم «لوك أوت». وكان اثنان من المهندسين هما أول من اطلع على هذه البرمجية الخبيثة في الشركة، وهما أندرو بلايش، المتخصص في الشؤون الأمنية عبر الإنترنت، وماكس بازالي، وهو طالب دراسات عليا من أوكرانيا.

سيء جدًّا

وقد استغرق الأمر يوم الإثنين بطوله، ليدرك المهندسون مدى سوء هذه البرمجية الخبيثة، فمن النادر جدًا أن تجد نقطة ضعف لم تسبق رؤيتها من قبل، تسمح للقراصنة اختراق نظام التشغيل لجهاز الكمبيوتر أو الهاتف المحمول، لكن الأمر المثير للدهشة، هو أن هذه البرمجية الخبيثة التي حصل عليها مارزاك كانت تستهدف ليس ثغرة واحدة، ولكن ثلاث ثغرات كاملة.

وبحلول الليل، كان المهندسان يحدقان في البرمجية وعلامات عدم التصديق البالغة تكسو وجهيهما، فقد اكتشفا أن هذه البرمجية يمكنها التجسس على المكالمات الصوتية، والبريد الإلكتروني والرسائل النصية؛ باختصار كل شيء على هاتفك. وكان المهندسان واثقين من أن هذه البرمجية استغرق شخص أو أشخاص الكثير من الوقت لصناعتها. وذكر بازالي أن هذه البرمجية رغم خبثها، إلا إنها أجمل برمجية رآها في حياته على الإطلاق، فلم يسبق له رؤية مثل هذا الشيء على الإطلاق.

كان هناك وقت، قبل بضع سنوات، عندما كانت أدوات الحرب الإلكترونية الأكثر تطورًا لا يزال يجري تطويرها واستخدامها حصرًا من قبل مقاتلي الحرب الإلكترونية الأكثر تطورًا في العالم: وكالات التجسس الحكومية، مثل وكالة الأمن القومي الأمريكية فائقة السرية ونظرائها في إسرائيل وغيرها من الدول المتقدمة، بالإضافة للغريمين التقليديين للولايات المتحدة، الصين وروسيا.

كانت قدرات المراقبة والرصد التي كشف النقاب عنها إدوارد سنودن للعالم في عام 2013 صادمة وغير مفهومة إلى حد كبير، ولكن المواطن العادي يمكنه على الأقل أن يتنفس الصعداء بأنه غير مستهدف طالما أنه ليس مجرمًا ولا جاسوسًا، وبالتالي فإنه من غير المحتمل أن تستخدم هذه الأدوات ضده.

لكن ذلك كان فيما مضى. فمنذ سنودن، وحتى قبله، راقب خبراء في الأمن السيبراني بحذر كيف أن حفنة من الشركات الغامضة بدأت تبذل جهودًا لاستنساخ وبيع سلاح التجسس الخاص باستعمال الحكومات لمن يدفع أكثر. وعرف خبراء الأمن أن الجائزة الكبرى وراء هذا كانت القدرة على الاختراق عن بعد لأدمغة الأجهزة الرقمية الأبرز في العالم، أجهزة الكمبيوتر المكتبية وأجهزة الكمبيوتر المحمولة، وخصوصًا الهواتف النقالة الأكثر شعبية في العالم المصنوعة من قبل شركة أبل. الأمر لا يقتصر فقط على اقتحام أجهزة أبل ولكن في الواقع السيطرة عليها.

كان القراصنة يحلمون بالقدرة على مراقبة الاتصالات الخاصة بمستخدم أجهزة أبل في نفس لحظة وقوعها، وأيضًا تشغيل الميكروفون الخاص بالجهاز وتسجيل هذه المحادثات.

جيلبريك

أطلق المبرمجون على عملية الاختراق هذه اسم «كسر الحماية» أو «جيلبيرك – JailBreak». هذا المصطلح مشهور ومعروف جدًا بين مستخدمي أجهزة أبل، ويحب الكثير من المستخدمين تفعيل هذه العملية بغية تحكم أكبر في أجهزتهم وتنزيل بعض التطبيقات «المهكرة» والتعديل في بعض خصائص النظام. غالبًا ما يسمع المهتمون بكلمة جيلبريك هذه مرة أو مرتين في السنة، عندما يعلن عادة القراصنة أو شركات أمن الكمبيوتر الناشئة أنها عثرت على ثغرة أمنية في نظام التشغيل الخاص بأبل، مما يسمح بتنزيل برمجيات الجيلبريك هذه. أبل عادة تصدر تحديثات لنظام تشغيلها في غضون أسابيع لغلق هذه الثغرة.

وقبل أسبوعين فقط من عثور مارزاك على برمجيته الخبيثة، أعلنت شركة صينية اسمها «بانغو» أنها أصدرت برمجية كسر حماية مقيدة لأنظمة تشغيل الهواتف المحمولة أبل بين إصداري 9.2 و 9.3.3، وكان هذا هو أول إعلان عن الجيلبيرك منذ خمسة أشهر.

ولكن كانت الكأس المقدسة للراغبين في قرصنة أجهزة أبل تتمثل في الحصول على الجيلبريك هذا بشكل غير مقيد عن بعد، دون الحاجة لاستخدام أسلاك، لتجري عملية القرصنة في أي مكان في العالم. هناك برمجية واحدة من هذا النوع هي التي ظهرت للعالم، والتي جرى إنشاؤها عام 2007، وتسمى «jailbreakme»، لكنها كانت بحاجة إلى الاستخدام الطوعي من قبل المستخدم كي يدخل القراصنة إلى الجهاز، بالإضافة إلى أنها لم تحدث منذ عام 2010.

وفي سبتمبر (أيلول) 2015 تمكنت شركة غير معروفة تسمى «Zerodium» من إحداث ضجة في وادي السليكون، بعد إعلانها أنها ستدفع مكافأة قدرها مليون دولار أميركي لمن يتمكن من إنشاء نظام جيلبريك لأجهزة أبل عن بعد. بعد شهرين، ودون الكشف عما تعتزم الشركة القيام به بعد ذلك، أعلنت «Zerodium» أن شخصًا ما قد ربح المكافأة.

في أغسطس (آب) 2016، جاء تأكيد مذهل من أبل نفسها: نظام كسر حماية نظام تشغيل أبل عن بعد، أصبح موجودًا في الواقع، هذا النظام هو الذي حصل عليه مارزاك. لكن المفاجأة كانت أن هذا النظام يعمل في الخفاء منذ سنوات ماضية.

يقول مايك موراي، نائب رئيس مركو «لوك أوت» لأبحاث الأمن، إن هذه القصة أقرب لقصص جيمس بوند، مضيفًا: «الرجال الذين فعلوا هذا هم الأشرار في قصص جيمس بوند، هم تجار أسلحة أشرار يهاجمون المعارضين في العالم الحقيقي. إنه أمر حقيقي. هذه الأسلحة السيبرانية يمكن أن تستخدم ضد أي شخص في العالم الحقيقي».

وأضاف سيث هاري، الباحث الأمني بنفس الشركة، إن هذه البرمجيات أشبه بالقنبلة الشبح، هي شيء موجود ويمكن أن يصيب فناءك الخلفي دون أن تدري.

القبعات السوداء والقبعات البيضاء

في البداية، ظهر في ثمانينيات وتسعينيات القرن العشرين قراصنة الكمبيوتر، معظمهم كانوا من الهواة، والذين جذبوا الكثير من اهتمام وسائل الإعلام نتيجة تسللهم إلى أنظمة الحكومة وأجهزة الكمبيوتر للشركات وتشغيل وإطفاء بعض البرامج والأوامر بشكل خفي. وكان ينظر لهذه الحوداث، مع بعض الاستثناءات البارزة، بأنها مجرد متعة غير ضارة.

لكن هذه النظرة بدأت تتغير في عام 1993، عندما قامت مجموعة من القراصنة المجتمعة بوضع اتفاقية ما في مدينة لاس فيغاس الأمريكية، في عطلة نهاية الأسبوع في أواخر شهر يوليو (تموز) أو أغسطس (أب)، عندما كانت أسعار الفنادق متدنية، وأطلقوا عليها اسم ديفكون (DefCon). تصاعدت هذه المجموعة بقوة وحصلت على سمعة بأنها مجموعة مشاغبة، بعد اختراقهم عدد من آلات الصراف الآلي. وفي أواخر تسعينيات القرن العشرين، بدأ عدد قليل من رجال الحكومة ينظر للأمر بفضول، ليتحول الأمر إلى ما يشبه اللعبة بين الطرفين.

ومع ظهور التجارة الإلكترونية، تساءلت الشركات عما يمكن لهؤلاء القراصنة المتطفلين فعله مع أجهزة الكمبيوتر الخاصة بهم والخاصة بغيرهم من الشركات. ونتيجة لذلك، ظهرت عدة شركات أمن كمبيوتر، وضعت فيما بينها ميثاقًا أو اتفاقية سميت (القبعة السوداء).

كان وصول شركات أمن الكمبيوتر المتخصصة إلى مثل هذه الاتفاقية وما صاحبها من عمليات تدريب مكثفة، يمثل علامة فارقة. فقد كان العالم لديه الكثير من الأموال المتدفقة عبر الكمبيوتر بدءًا من أموال الأحزاب وحتى أموال بيع الموسيقى، وهو ما جعلها تصبح هدفًا لشركات قرصنة وليس مجرد أفراد.

وكانت العلاقة بين القراصنة وبين مجمع التكنولوجيا العسكرية دائمًا غير سهلة. فلكل قرصان ذي قبعة بيضاء الذي يوقع على عقد لمساعدة شركات مثل «سيمانتك أو شركة لوكهيد مارتن» (ويقصد بهذا القرصان المتسلل الطيب وليس الشرير الذي يستخدم علمه لإفادة شركات البرمجيات)، هناك قبعة سوداء من القراصنة الذين يحاولون التجسس عليهم. ومع بدايات القرن الحادي والعشرين، ظهرت القبعات السوداء بقوة باعتبارها مصدر إزعاج شديد على شبكة الإنترنت الآخذة في التوسع. ما بدأ في فترة التسعينيات على أنه مجرد عمليات تشويه لصفحات الإنترنت تحول الآن إلى وباء، مع مئات من المتسللين، العديد منهم من روسيا وأوروبا الشرقية،الذين يتنافسون لمعرفة من الذي يمكن قرصنة المواقع الحكومية والتجارية، وإطلاق الفيروسات الضارة والديدان الإلكترونية التي يمكنها وقف أو تدمير البرامج.

بدأت الفوضى المتزايدة تغذي نفسها. وتسبب قراصنة القبعات السوداء في مزيد من المتاعب على شبكة الإنترنت، وهو ما جعل شركات أمن كمبيوتر أكبر تنمو وتتطور لمحاربتهم، في كثير من الأحيان مع مساعدة من قراصنة القبعات البيضاء. وجاءت نقطة التحول في عام 2006، عندما تسلل شخص لأجهزة الكمبيوتر في شركة (T. J. Maxx and Marshalls) ، وسرقوا الآلاف من أرقام بطاقات الائتمان.

في هذا الوقت كانت هذه جريمة مميزة، ففي حين كانت هناك هجمات على البنوك على مر السنين، أظهرت هذه العملية لكل من أصحاب القبعات السوداء وأصحاب القبعات البيضاء، أن هناك أموالًا طائلة تتعلق بالجرائم السيبرانية أو بمحاربتها. وبالنسبة للشركات الأمنية، فإن وجود واحد من القراصنة لم يعد ترفًا بل ضرورة.

جواسيس حكوميون والربيع العربي

في ذلك الوقت، لم يكن بيل مارزاك يعلم الكثير عن مثل هذه التفاصيل المعقدة، وتفاصيل أخرى تتعلق بتقنيات القراصنة المختلفة، فهو مجرد طالب دراسات عليا، يدرس البيانات الكبيرة. ولد مارزاك في نيويورك، وكان والده يعمل في مجال التمويل، وانتقلت الأسرة أولًا إلى هونج كونج ثم إلى مملكة البحرين، حيث قضى مارزاك سنوات دراسته الثانوية.

عندما اندلع الربيع العربي في أواخر عام 2010، سرعان ما أصبحت البحرين منطقة اشتعال ظهر على السطح فيها متظاهرون شباب يسعون باتجاه إصلاحات من خلال مطالبات على النمط الغربي عبر المواجهة في الشوارع ضد القوات الحكومية. وكان مارزاك في ذلك الوقت في بيركلي، حيث انتشار العنف. وعندما قام نشطاء على تويتر بمحاولة الحصول على معلومات عن أنواع الغازات المسيلة للدموع والأسلحة التي تستخدمها الحكومة ضدهم، نقب مارزاك الإنترنت للحصول على إجابات، فبدأ بكتابة تدوينات تحمل هذه المعلومات، مما دفعه واثنين آخرين ليكونا بين ناشطين في عام 2012، بدأوا في تكون مجموعة سميت (Bahrain Watch).

حصلت أشياء غريبة في مايو (أيار) 2012، عندما قام ثلاثة من زملاء مارزاك الجدد في كل من واشنطن ولندن، والعاصمة البحرينية المنامة، يتلقون رسائل بريد إلكتروني مشبوهة من مرسلين لم يكونوا يعرفونهم سابقًا. وتمكن مارزاك من دراسة هذه الرسائل من خلال باحث أمني يدعى مورغان ماركيز بوار، الذي كان يعمل في مختبر سيتزن.

كان هناك رابط في هذه الإيميلات يأخذ من يضغط عليه إلى صفحة مستند (Microsoft Word) فارغة مرفقة، وقد اكتشف اثنان من الباحثين الشباب فيما بعد أن هذا المستند من شأنه تحميل برامج التجسس سرًا على جهاز الكمبيوتر الخاص بالمستخدم. وبالتعمق أكثر وأكثر، لاحظ الشباب استخدام متكرر لكلمة (FinSpy) في الكود الخاص بهذه البرمجيات الخبيثة.

وقد جرى تحديد (FinSpy) بسرعة باعتباره جزءًا من منتج تجسس يسمى (FinFisher)، والذي أنشأته وسوقته شركة بريطانية تدعى جاما جروب، التي أدخلت (FinFisher) باعتبارها وسيلة جديدة للشرطة ووكالات الاستخبارات لمراقبة المجرمين والجواسيس.

ومثل العديد من الداخلين الجدد في مجال برامج التجسس، وصفت جاما منتجاتها بأنها أدوات «اعتراض قانوني». ولكن قبل هذا بسنة، حمل المتظاهرون الذين اقتحموا مقر أمن الدولة الرئيسي في مصر صناديق من الوثائق الحكومية الداخلية، واحدة من هذه الوثائق أظهرت عرضًا من الشرطة السرية المصرية لشراء برنامج (FinFisher) بمبلغ 353 ألف دولار أمريكي. هذا الاكتشاف أظهر أن شركة جاما كانت بعيدة عن الحد الخاص بعملائها الذين من المفترض أنهم يستهدفون، وأنها كانت تسوق بهدوء لمنتجها للحكومات الاستبدادية لمراقبة المعارضين، وساهم عمل مارزاك في تأكيد هذا الأمر. لكن الشركة، في اتصال مع مراسل وكالة أنباء بلومبرج، نفت بيع (FinFisher) للحكومة البحرينية، مما يشير إلى أنها كانت تستخدم نسخة مسروقة.

لكن فريقًا من الباحثين في إحدى شركات البرمجيات الأمنية في الولايات المتحدة أثبت كذب شركة جاما، فعندما اختبروا الكود الخاص ببرنامج (FinFisher)، وتحققوا من عنوان (IP)، جاءتهم استجابة غير عادية باعتبارها ردًّا على الضغط على بعض الخواديم المرتبطة بالبرنامج بعنوان «أهلا وسهلا شتيفي». وقام الباحثون بعملية مسح لما يقرب من 75 مليون عنوان خادوم (IP) في عشرة بلدان بينها قطر وإثيوبيا والإمارات، لعدة أسابيع، للبحث عن استجابات مماثلة، وهو ما أكد الأمر.

شركة إسرائيلية

ولكن جاما لم تكن بمفردها، ففي يوليو (تموز) 2012، وبعد أيام نشر مختبر سيتيزن تقريره حول شركة جاما على الإنترنت، وتلقت مجموعة ناشطة مغربية اسمها (Mamfakinch)، التي كانت تنشر مقالات تنتقد الحكومة، رسالة مجهولة عبر البريد الإلكتروني. ووصلت رسالة مماثلة تزعم أنها من موقع «ويكيليكس العربية» إلى الإماراتي المنشق أحمد منصور، الذي كان قد سجن لإهانته أفراد الحكومة. وعندما نقر منصور على مرفقات الرسالة، حدثت عملية تحميل لبرامج التجسس على جهاز الكمبيوتر الخاص به التي رصدت كل ضغطة واتصال قام به.

اتصل أعضاء (Mamfakinch) ومنصور بشركة مكافحة فيروسات روسية، تسمى (الدكتور ويب)، التي كانت أول من نشر تحليلًا يؤكد أن أجهزتهم احتوت على برمجيات تجسس تسوقها شركة مقرها مدينة ميلانو الإيطالية تسمى (Hacking Team). وعلى عكس جاما، كانت هذه الشركة معروفة في العالم السيبراني، والتي تأسست من قبل اثنين من المبرمجين الإيطالين في عام 2003، وأصبحت واحدة من أوائل البائعين في مجال القرصنة التجارية وأدوات المراقبة التي استخدمتها الشرطة للتجسس المواطنين الإيطاليين. هذه الشركة لها مكاتب في ثلاثة بلدان، بما في ذلك الولايات المتحدة، وربما كانت الشركة الأشهر للسلالة الجديدة من شركات الأسلحة السيبرانية، ورغم أنها تصر أنها لا تبيع منتجاتها للدول الموضوعة في القائمة السوداء لحلف شمال الأطلسي، إلا إن تقرير اختبار لسيتزن أوضح أن أدواتها استخدمت من قبل حكومات المغرب والإمارات.

لكن الشركة تعرضت لما أطلق عليه اسم القصاص العادل بصورة ساخرة، فقد تمكن شخص يدعى فينس فيشر من السيطرة على حساب تويتر الخاص بالشركة، وتسبب في خرق بياناتها بصورة ضخمة، ونشر عبر حساب الشركة على تويتر روابط لأكثر من 400 جيجابايت من البيانات، بما في ذلك رسائل البريد الإلكتروني وملفات الشركات المتعاملة، والفواتير، وشفرة المصدر. وأظهرت التسريبات أن عملاءها كانوا: حكومات المغرب، وماليزيا، والمملكة العربية السعودية، وأوغندا، ومصر، وعمان، وتركيا، وأوزبكستان، ونيجيريا، وإثيوبيا، والسودان، وكازاخستان، وأذربيجان، والبحرين، وألبانيا، ناهيك عن ثلاثة عملاء من الولايات المتحدة هم: مكتب التحقيقات الفدرالي، وإدارة مكافحة المخدرات، ووزارة الدفاع.

بعد هذه التسريبات بشهر تقريبًا، ظهرت لنا شركة (Zerodium)، لتعلن عن تقديمها مكافأة المليون دولار، للشخص الذي تمكن من توفير جيلبريك لأجهزة أبل عن بعد.

بعد ذلك ببضعة أيام، تلقى مارزاك رسالة من روري دوناجي، وهو كاتب عن قضايا حقوق الإنسان في الشرق الأوسط ويقيم في لندن، والذي كان قد نشر مقالات تنتقد حكومة دولة الإمارات العربية المتحدة لموقع يسمى (Middle East Eye). وقد تلقى دوناجي دعوة للانضمام لحلقة نقاشية مع مجموعة لم يسمع عنها، وهو ما أثار ريبته، في طبيعة الرسالة الإلكترونية، يكتشف مارزاك أن وجود برامج تجسس بالرسالة، وبفحص عدد من معارضي دول الخليج، تبين تلقيهم نفس الرسالة الإلكترونية، ومنح مارزاك هذا المهاجم اسم (Stealth Falcon).

وبمجرد تمكن مارزاك من معرفة الخادوم الذي أرسل هذه الرسائل، تمكن من صناعة ما يشبه البصمة الخاصة به كي يقارنها ويبحث عن كل ما يتعلق بهذا الخادوم ورسائله الموجودة في امتدادات (Domains) أخرى، وقد كان هناك المئات من هذه الامتدادات التي تحمل هذا الخادوم بأسماء مستعارة مختلفة ذات حماية. عشرة منها لم تكن مؤمنة بشكل كافٍ ليتمكن مارزاك من التحقق من أسماء وعناوين الجهات التي سجلت في هذه المواقع، ليدرك أن الأسماء وهمية، وهو ما جعله يبحث عن مواقع أخرى جرى تسجيلها بنفس هذه الأسماء.

وجد مارزاك اسمًا من بين الأسماء استخدم في التسجيل لثلاثة امتدادات كلها تشمل مواقع عربية إخبارية. وبالبحث أعمق، وجد أنها كلها مرتبطة مع ما يسمى (SMSer.net)، ووجد أن كلمة «SMS» وجدت في 120 امتدادًا، كلها تقريبًا تتعلق بشركات الهاتف المحمول في البلدان النامية مثل المكسيك وموزمبيق، وقد كانت معظم الامتدادات في هذه منطلقة من دولة إسرائيل، وتحديدًا من شركة تسمى (NSO).

هذه الشركة تمثل مجموعة تجسس إسرائيلية تبلغ من العمر ست سنوات، وهي سرية جدًا لدرجة أنه ليس لها موقع على الإنترنت. وعرف مارزاك هذه الشركة من خلال مدخل وحيد على موقع وزارة الدفاع الإسرائيلية، التي ادعت الشركة أنها وضعت أحدث برامج التجسس عليه. وبمزيد من التدقيق، تفاجأ أنه منذ عامين قامت الشركة ببيع حصة تمنح السيطرة لحاملها، إلى شركة بالولايات المتحدة اسمها فرانسيسكو بارتنرز، مقابل 120 مليون دولار.

مارزاك شك أن هذه الشركة الإسرائيلية الأصل هي مهاجمه المجهول (Stealth Falcon)، والتي تمكنت من جعل 400 شخص يضغطون على روابطها الخبيثة. واستهدفت الشركة 24 شخصًا في الإمارات عبر حساباتهم على تويتر، منهم ثلاثة جرى إلقاء القبض عليهم بعد ذلك بوقت قصير.

استمرار البحث

كنا ذكرنا في البداية إن البريد الإلكتروني الذي تلقاه مارزاك في أغسطس (آب) الماضي، جاءه من أحمد منصور، وهو إماراتي منشق، وقع تحت التحرش بلا هوادة من قبل حكومته. تعرض منصور للسجن والضرب في الشارع، وصودر جواز سفره، وسرق شخص ما سيارته، واستنزف حسابه المصرفي بمقدار 140 ألف دولار، بينما كان يقاتل ضد المحاولات المتعددة التي تحاول بها حكومة الإمارات اختراق حاسوبه وهاتفه.

ولاحظ مارزاك وجود عنوان موقع ويب في آخر رسالة منصور (sms.webadv.co)، تتبع مارزاك هذا العنوان، و قام بكتابة برنامج يسمح لحاسوبه المحمول بانتحال صفة الهاتف المحمول، نفس الجهاز الذي استخدمه منصور، وبذلك، يمكنه الدخول إلى برنامج التجسس دون إصابة جهاز الكمبيوتر الخاص به. لكن الفكرة لم تكن صحيحة، وتمكن مارزاك بالفعل من متابعة أولى مراحل تحميل برنامج التجسس على حاسوبه، ليقطع الاتصال سريعًا قبل حدوث أي تلف.

عرف مارزاك في هذه المحاولة أن برنامج التجسس يدخل عبر متصفح سفاري في أنظمة تشغيل «iOS 9.3.3»، وبسبب عدم تغيير شركة أبل أي شيء في برمجة متصفح سفاري في إصدار «iOS 9.3.4» أيضًا، واستنتج أن هذا البرنامج الخبيث يستخدم تقنية مذهلة تسمى (Zero Day).

هذه التقنية تعد الأكثر قيمة في ترسانة القراصنة والتي تمثل بابًا رقميًّا سريًّا إلى داخل نظام التشغيل، وهو يشير إلى أن الهدف عليه تثبيت نظام القرصنة الذي يستخدم هذه التقنية بالكامل قبل إمكانية التسبب بالضرر. ويجب هنا أن يحافظ القراصنة على سرية هذا المدخل أو الباب السري، لأنه لو أصبح معروفًا للشركة فإنها ستقوم بإغلاقه على الفور.

مارزاك كان بحاجة لعقلية أقوى وأكثر خبرة، فلجأ لسيث هاردي، المحلل السابق بمختبرات سيتزن والمتخصص في الهواتف المحمولة، والذي عمل في (شركة لوك أوت)، وبعد فحص ومساعدة من عدة أشخاص لم يتمكنوا من معرفة تفصيل هذه البرمجية الخبيثة وما تفعله بالتحديد نتيجة عشوائية الكود الخاص بها، لذلك لم يكن أمامهم إلا الشك في أنها برمجية جيلبريك عن بعد.

برامج التجسس تعمل من خلال ثلاث مراحل، الأولى تسرب البرمجية إلى جهاز المستخدم، والثانية إعداد الجهاز للرصد، والثالثة استدعاء برنامج التجسس نفسه من الخادوم وتثبيته على الجهاز. ما حدث مع مارزاك كان يدل على أنه تعرض للمرحلة الأولى فقط، ولكن فكرة استهداف متصفح سفاري تعني أن هذه البرمجية يمكنها التجسس على أي جهاز أبل في العالم.

ورغم محاولات مجموعة المتخصصين المساعدة لمعرفة طبيعة المرحلة الثانية والثالثة، إلا إن هذا بالفعل كان مستحيلًا، نظرًا لأن الرابط الذي يُضغط عليه كان مخصصًا لاستخدام واحد فقط، ثم يقوم بإتلاف نفسه. لكنهم تمكنوا من تتبع الخادوم الذي جاء منه البرنامج الخبيث عبر الروابط التي ظهرت في المرحلة الأولى، ليعرفوا أنه قادم من أحد الأجهزة في منطقة الشرق الأوسط.

وباستخدام تقنية (VPN) لإخفاء مصدر الاتصال عبر الإنترنت، تمكنوا من معرفة أكواد المرحلة الثانية. ولاحظوا أنه يشبه الجيلبيرك لكنه مشفر، والتشفير هذا يعد مشكلة بالنسبة لهم، كونهم لا يعلمون أي شيء عن لوغاريتمية هذه الشفرة. لكنهم فوجئوا بأن اللوغاريتيمة كانت أمامهم بالفعل، كون المرحلة الأولى تملك فك شفرة المرحلة الثانية المشفرة كي يمكنها التثبيت على الجهاز في المرحلة الثالثة.

برنامج صياد

بعد فكه شفرته، بدأ الفريق البحثي في معرفة تفاصيل البرنامج. المفتاح الرئيسي الخاص بمخ وعقل أجهزة أبل – مثلها مثل بقية الشركات المنتجة للهواتف – يسمى النواة (Kernel)، والتي تقوم الشركة بحمايتهما من خلال العشوائية، أو عملية التغير المستمرة لعنوانها الداخلي، وتقوم النواة بالاختباء سريعًا بمجرد ملاحظتها لوجود برنامج قرصنة يحاول الاقتراب منها.

المدهش في الأمر، كان أن الفريق اكتشف كون البرمجية الخبيثة التي بين أيديهم تقوم بالمناداة على النواة، مثل صياد ينادي على البط باستخدام أداة تطلق صوت بط كي يقترب منه، وبالتالي تأكد لهم أن هذه البرمجية الخبيثة عبارة عن جيلبريك وأن مرحلتها الثانية تتعلق فقط بالنداء على النواة وكسر حمايتها.

الأكثر إدهاشًا هنا، كان اكتشافهم أن البرمجية تحتوي على برنامج فرعي آخر بتقنية (ZERO-DAY)، وهو ما لم يره أحد من قبل، ليعتقدوا أنهم أمام جيلبريك عن بعد، لكن التأكيد لن يأتي إلا عبر المرحلة الثالثة، وهو أمر أصبح مستحيلًا. لكنهم كانوا محظوظين لوصول رسالة ثانية من أحمد منصور، تحمل رابطًا جديدًا يصلهم بنفس الخادوم، ويبدو أن حكومة الإمارات لم تعد تهتم إذا ما اكتشف الأمر.

بحث مارزاك عن هاتف أبل مشابه للذي يحمله منصور (أيفون 5)، حتى يستخدمه في الضغط على الرابط الخبيث. بدأ الفريق يصل الهاتف بجهاز الحاسوب من خلال شبكة واي فاي محدودة، واستخدموا تقنية (VPN) للإيحاء بأن جهاز التليفون موجود في الإمارات (حتى لا يشك الخادوم في أن الجهاز ليس بجهاز أحمد منصور).

وفي الوقت الذي كان جهاز الأيفون هادئًا، ظهرت أكواد وخطوط ملونة عديدة على الحاسوب تعني أن هناك غزو يتم على الأيفون. تمت المرحلتين الأولى والثانية بنجاح، ثم بدأت المرحلة الثالثة التي أرسلت خلالها البرمجية الخبيثة اتصالًا للخادوم كي يتم تحميل البرمجية الأساسية. الغريب أن الاتصال لم تحدث له أي استجابة من الخادوم في خمس محاولات، ليتأكد الفريق أنه أمام جيلبريك عن بعد لكن دون استجابة نهائية.

لكن وعند المحاولة السادسة تمت الإجابة لتصل برمجية التجسس الرئيسية إلى نواة الأيفون. وخلال مراقبة الفريق للعملية بدهشة كبيرة، أدركوا أنه من الممكن أن البرمجية تنقل للخادوم الآن التفاصيل الحقيقية لموقعهم، ليقوموا بفصل اتصال الإنترنت عن الهاتف بعد تحميل البرمجية الخبيثة بالكامل، ويقوموا بعدها بدراسة البرمجية بالتفصيل.

ولاحظوا وجود برنامج فرعي ثالث بتقنية (zero-day) في مرحلتها الثانية، ووجدوا أيضًا مراجع واضحة تجاه شركة (NSO)، مما يؤكد أن الشركة الإسرائيلية هي التي تقف خلف البرنامج المرعب.

وفي تعليق لأحد مسؤولي الشركة في مجلة فوربس قال «تبيع الشركة منتجاتها فقط إلى الوكالات الحكومية المصرح بها. تتطلب الاتفاقات الموقعة مع عملاء الشركة أن منتجات الشركة تستخدم فقط بطريقة قانونية. على وجه التحديد، يمكن استخدام المنتجات فقط لمنع الجرائم والتحقيق فيها».

وتمكن الفريق الصغير من معرفة تفاصيل ما يقوم به هذا البرنامج بواسطة الهندسة العكسية، والتجسس على البريد الإلكتروني والهاتف، واستخدام الإنترنت، ومعرفة ضربات المفاتيح، وأحاديث سكايب، ومجموعة كبيرة من التطبيقات الأخرى. كما يمكنه فتح الميكروفون والاستماع إلى محادثات المستخدم، وهم لا يعتقدون أن أحدًا شهد مثل هذه القطعة من البرمجيات في أي وقت مضى.

المرعب في الأمر هو أن غالبية برامج التجسس هذه تستهلك كمية كبيرة من البطارية، ويمكن للبعض معرفة أن أجهزتهم مصابة عند تكرار ظهور رسالة نقص البطارية، لكن البرمجية المكتشفة يمكنها أن تكون واعية تجاه البطارية وتنتظر الاتصال عبر شبكة واي فاي لنقل المعلومات وعدم استهلاك جزء كبير من البطارية.

الخطوة التالية كانت اتصال الفريق بشركة أبل وإخبارهم بوجود جيلبريك عن بعد، في البداية أخذوا الأمر بروتينية، لكنهم أصبحوا في منتهى الجدية عندما رأوا ما توصل إليه الفريق الصغير. وبعد مرور عشرة أيام فقط أطلقت أبل تحديثًا لنظام تشغيلها أغلقت من خلاله الأبواب الخلفية الثلاثة (zero-day).

ربما تكون القصة طويلة ومجهدة، لكن الحقيقة هي أن أبل وشركات تصنيع الحواسيب الأخرى تخوض معركة خاسرة، فطالما يوجد قراصنة كمبيوتر، فإنهم سوف يستمرون في إيجاد طرق اختراق أي جهاز. وجرى تسليط الضوء على هذه المخاطر في خريف هذا العام عندما وجدت شركة «نيو إنغلاند» نفسها هدفًا لهجوم شامل من قبل من الأجهزة غير الكمبيوترية المتصلة عبر الإنترنت.

المصدر: ساسة بوست

هذا المقال لا يعبر سوى عن رأي كاتبه، ولا يعبر بالضرورة عن رأي فريق المكتبة العامة.

هذا المقال لا يعبر سوى عن رأي كاتبه، ولا يعبر بالضرورة عن رأي فريق المكتبة العامة







تعليقات الفيسبوك