سلاح إلكتروني مرعب “لا دفاع ضده”: خبراء يتحدثون عن برنامج التجسس الذي طورته مجموعة NSO
بحث
تحقيق

سلاح إلكتروني مرعب “لا دفاع ضده”: خبراء يتحدثون عن برنامج التجسس الذي طورته مجموعة NSO

إن المآثر التقنية للشركة "مذهلة جدًا" و "مرعبة جدًا" ، كما يقول خبراء؛ المستخدم يكون "خاملا ، فلا داعي للنقر على أي شيء، وليس لديه سيطرة"

في هذه الصورة من 28 أغسطس، 2016، تظهر امراة إسرائيلية تستخدم هاتفها امام مبنى في هرتسليا يضم مجموعة "ان اس او".  (Jack Guez/AFP
في هذه الصورة من 28 أغسطس، 2016، تظهر امراة إسرائيلية تستخدم هاتفها امام مبنى في هرتسليا يضم مجموعة "ان اس او". (Jack Guez/AFP

قال خبراء وباحثون في مجال الأمن السيبراني هذا الأسبوع إن تقنية برنامج التجسس “الذكية” الذي طورته مجموعة NSO تقدم سلاحا إلكترونيا “لا يوجد دفاع ضده” ويرقى إلى “عمل رائع، من منظور هندسي”.

يُعتبر برنامج التجسس الرائد للشركة الإسرائيلية، “بيغاسوس” (Pegasus)، أحد أقوى أدوات المراقبة الإلكترونية المتوفرة في السوق، مما يمنح المشغلين القدرة على التحكم بشكل فعال في هاتف الشخص المستهدف، أو تنزيل جميع البيانات من الجهاز، أو تشغيل الكاميرا أو الميكروفون دون علم المستخدم. تصدرت الشركة عناوين الأخبار مرة أخرى في الأسابيع الأخيرة مع استمرار تراكم الاكتشافات حول مدى وصول تقنيتها والعواقب الناتجة عنها.

في تحليل تقني عميق حول كيفية عمل برنامج التجسس، قال باحثا الأمن السيبراني، إيان بير وصامويل غروس، إن NSO طورت قدرات تستخدم “واحدة من أكثر عمليات استغلال الثغرات تطورا من الناحية الفنية التي رأيناها على الإطلاق”، وكان يُعتقد في السابق أنها ستكون “في متناول يد” مجموعة قليلة من الدول”.

بير وغروس هما خبيران في برنامج “Project Zero” (المشروع صفر) التابع لشركة “غوغل”، وهو فريق من المحللين الأمنيين التابع للشركة والمكلف بإيجاد ثغرات يوم الصفر ونقاط الاختراق المحتملة في البرامج التي قد تكون غير معروفة للمطورين ولم يتم تطوير تصحيح لها بعد. يمكن استغلال هذه الثغرات الأمنية من قبل قراصنة إلكترونيين في هجوم إلكتروني.

غطى تحليلهما على وجه التحديد قدرات NSO ضد أجهزة آيفون، وهو ما دفع شركة “آبل” إلى رفع دعوى قضائية ضد الشركة التي يقع مقرها في هرتسليا. قال الباحثون إن NSO لديها إمكانيات مماثلة يمكنها أيضا استهداف أجهزة “أندرويد” دون الحاجة للنقر على الجهاز.

وقال بير وغروس إن NSO تقدم لعملائها “تقنية استغلال مع نقرة صفرية” حيث لا يدرك الأفراد المستهدفون، حتى أولئك المتمرسين تقنيا، أنهم مستهدفون. وأضافوا أن البرنامج في الأساس هو “سلاح إلكتروني لا يوجد دفاع ضده”.

وكتب بير وغروس، “في سيناريو النقرة الصفرية لا توجد هناك حاجة لتفاعل المستخدم، ما يعني أن المهاجم لا يحتاج إلى إرسال رسائل تصيد (phishing)؛ يعمل استغلال الثغرة بصمت في الخلفية”.

يبدأ الاختراق في اللحظة التي يتلقى فيها الهدف رسالة نصية، سواء رآها أم لا، في استغلال ثغرة يصفه بير وغروس بأنه “رائع جدا، وفي نفس الوقت مرعب جدا”.

فرع لشركة NSO الإسرائيلية، بالقرب من بلدة سابير جنوب إسرائيل، في 24 أغسطس 2021 (AP Photo / Sebastian Scheiner)

وقال غيلي مولر، المدير العام في إسرائيل لشركة Acronis متعددة الجنسيات للأمن السيبراني التي تتخذ من سويسرا مقرا لها، أنه من خلال النقرة الصفرية، “يكون المستخدم خاملا تماما، ولا تكون هناك حاجة إلى أن ينقر على أي شيء، وليس لديه سيطرة”. افتتحت شركة الحماية الإلكترونية مؤخرا مركزا للابتكار في إسرائيل، حيث كانت الصناعة المحلية واحدة من أفضل ثلاثة قطاعات رائدة للاستثمارات العالمية هذا العام.

قال مولر للتايمز أوف إسرائيل هذا الأسبوع إن استغلال الثغرة، كما صممته NSO ، كان “عملا رائعا، من منظور هندسي”. يتعلق الخلل بكيفية قيام آبل بتحليل (أو معالجة) صور GIF – الصور المتحركة الصغيرة الشائعة على وسائل التواصل الاجتماعي وثقافة “الميم” (meme) – التي يتم إرسالها واستلامها عبر iMessage، منصة المراسلة الأصلية في أجهزة آيفون.

إلا أن NSO استخدمت ثغرة “GIF مزيفة”، وقامت بإخفاء ملف PDF تحت غطاء ملف GIF وإدخاله عن طريق رمز لتنفيذ عملية الاختراق لهاتف الشخص المستهدف.

وقال مولر إن المطورين في آبل أعادوا استخدام رمز لتحليل ملفات PDF كتبته أولا Xerox، وهي ممارسة شائعة جدا. تمكن برنامج التجسس الخاص بـ NSO من “إخفاء رمز على مستوى البكسل بحيث عند تلقي الرسالة النصية، يتم تنشيط رمز وتنتهي اللعبة بطريقة ما”.

وفسر مولر قائلا: “الأمر شبيه بالخيال العلمي. الهدف لم يفعل شيئا، كل ما فعله هو تلقي رسالة، ويكتسب المهاجم السيطرة الكاملة”.

وأضاف أن العثور على مثل هذه الثغرات أمر صعب للغاية ويتطلب عملا طويلا وشاقا.

يقول المستشار الأمني غابريئل أفنير إن استغلال الثغرة كان “هجوما ذكيا ومتقنا يقوض الاحتياطات التي يمكن للناس اتخاذها”.

وقال أفنير للتايمز أوف إسرائيل: “الخبراء الأمنيون يقولون منذ زمن طويل ’لا تنقر على الروابط المشبوهة حتى من أشخاص قد تعرفهم’، فجاءتهم NSO” مع ثغرة النقرة الصفرية.

كانت الشركة الإسرائيلية قد استخدمت في السابق عمليات استغلال ثغرات بنقرة واحدة، حيث يتعين على الأهداف النقر فعليا على رابط كجزء من هجوم التصيد الاحتيالي، لتنشيط برامج التجسس ووظائف التحكم القوية لشركة بيغاسوس على الهاتف.

كتب جون سكوت رايلتون ، كبير الباحثين في Citizen Lab، وهي منظمة مراقبة للأمن السيبراني في تورنتو، على تويتر هذا الأسبوع أن تحليل غوغل أظهر مدى “التعقيد الهائل” و”الخطورة” الكامنين في برنامج التجسس.

وكتب رايلتون إن “هذا النوع من القدرات كان يُرى سابقا فقط لدى قوى الإنترنت من المستوى الأول، وينبغي أن يجعلك تشعر بالقشعريرة بعمودك الفقري”.

سيل من النقد

تجري Citizen Lab تحقيقات بشأن NSO وغيرها من شركات التجسس الإلكتروني منذ عدة سنوات، وتتبع بعض تقنياتها في جميع أنحاء العالم.

هذا الصيف، كشفت Citizen Lab ومنظمة العفو الدولية النقاب عن تحقيق معمق وجد أن برنامج الشركة قد تم استخدامه من قبل العديد من البلدان ذات سجلات حقوق الإنسان السيئة لاختراق هواتف الآلاف من نشطاء حقوق الإنسان والصحافيين والسياسيين من المملكة العربية السعودية وصولا إلى المكسيك.

منصة “العنف الرقمي: كيف يسرت مجموعة إرهاب الدولة”، التي تعرض تفاصيل أنشطة الشركة الإسرائيلية NSO، كجزء من تحقيق في يوليو 2021 أجرته منظمة العفو الدولية وسيتزن لاب.(Courtesy)

وتواجه شركة NSO سيلا من الانتقادات الدولية بشأن هذه المزاعم. أصبحت القضية مصدر قلق دبلوماسي للعديد من حلفاء إسرائيل، مثل فرنسا، الذين طالبوا بإجابات بعد أن كشفت التقارير أن البرنامج كان يستخدم داخل بلدانهم.

في أوائل نوفمبر، أدرجت وزارة التجارة الأمريكية NSO على القائمة السوداء، وقيدت علاقات الشركة مع الشركات الأمريكية بسبب مزاعم بأنها “مكنت الحكومات الأجنبية من ممارسة القمع العابر للحدود”. كما وضعت الولايات المتحدة شركة إسرائيلية ثانية، Candiru، على القائمة السوداء.

يُقال إن هذه الخطوة لعبت دورا في دفع إسرائيل أخيرا لتقليص عدد الدول التي يمكن للشركات المحلية أن تبيع إليها تقنيات الإنترنت وفرض قيود جديدة على تصدير أدوات الحرب الإلكترونية. شركات التجسس الإلكتروني الإسرائيلية ملزمة بالحصول على إذن من وزارة الدفاع الإسرائيلية لبيع منتجاتها في الخارج.

في غضون ذلك، استمرت الاتهامات في الظهور. في هذا الأسبوع فقط، ذكرت صحيفة “واشنطن بوست” أن برنامج التجسس Pegasus الخاص بـ NSO قد تم وضعه على الهاتف المحمول لزوجة الصحفي جمال خاشقجي قبل أشهر من مقتله في القنصلية السعودية في اسطنبول في عام 2018. وسبق هذا التطور تقارير أفادت بأن برنامج التجسس استهدف أيضا سياسيين بولنديين معارضين وناشطا هنديا.

نفت الشركة الإسرائيلية مرارا استخدام برنامج التجسس الخاصة بها لاستهداف خاشقجي أو المقربين منه، وأصرت على أن منتجاتها تهدف فقط إلى مساعدة الدول في مكافحة الجرائم الخطيرة والإرهاب. ومع ذلك، نظرا للتعريفات الواسعة التي تستخدمها بعض البلدان المتعاملة معها لهذه الجرائم، يبدو أن البرنامج قد تم استخدامه ضد مجموعة واسعة من الشخصيات.

أشخاص يحملون لافتات تحمل صورة الصحفي السعودي المقتول جمال خاشقج ، بالقرب من القنصلية السعودية في اسطنبول ، بمناسبة مرور عامين على وفاته ، الجمعة 2 أكتوبر 2020. التجمع خارج مبنى القنصلية بدأ في الساعة 1:14بعد الظهر بالتوقيت المحلي (10:14 بتوقيت غرينتش) في الوقت نفسه لذي دخل فيه خاشقجي المبنى حيث لقي مصرعه. (AP Photo / Emrah Gurel)

أثرت التداعيات التي أعقبت ذلك بشكل كبير على الشركة، التي كانت معرضة لخطر التخلف عن سداد ديون تبلغ حوالي 500 مليون دولار وتعرض تصنيفها الائتماني لضربة كبيرة، مما أدى إلى مشاكل تتعلق بالقدرة على الوفاء بالالتزامات المالية داخل الشركة.

في الأسبوع الماضي، أفاد موقع “بلومبرغ”، نقلا عن مسؤولين مشاركين في المحادثات، أن NSO تدرس الآن إغلاق وحدة تطوير Pegasus الخاصة بها وبيع الشركة بأكملها إلى صندوق استثمار أمريكي.

ليس NSO فقط

قال تيم ويليس، رئيس Project Zero في غوغل، إن هناك “العديد من الشركات التي تقدم إمكانات وخدمات استغلال ثغرات مماثلة”، وأن “اتخاذ إجراءات ضد شركة واحدة (NSO)، رغم كونه خطوة نبيلة وتشجع المناقشة، لا تعالج جذر هذه المشكلة “.

وكتيب ويليس على تويتر أن “الاستنتاج هنا ليس ’استثنائية NSO’. إلا أنه تم الإمساك بـ NSO هذه المرة وحصلنا على فرصة لإلقاء نظرة خاطفة على كيفية مهاجمتهم لـ iOS/iMessage”، مضيفا “ينبغي علينا مواصلة جعل صفر يوما (0-day) أكثر صعوبة على المهاجمين”.

وأعاد مولر، من شركة Acronis، التأكيد على أن NSO ليست في الواقع الشركة الوحيدة التي تمتلك مثل هذه القدرات الهجومية للمراقبة الإلكترونية، ولكن كان هناك “أثر كرة الثلج على NSO”.

كشفت Citizen Lab الأسبوع الماضي في تحقيق جديد أن شركة إسرائيلية أخرى، Cytrox، طورت أيضا برنامج تجسس تجاري تم العثور عليه مؤخرا على جهاز آيفون تابع لمعارض مصري. استهدف برنامج Predator الذي طورته Cytrox نظام التشغيل iOS الخاص بشركة آبل باستخدام روابط بنقرة واحدة مرسلة عبر تطبيق “واتساب” (التابع لـشركة Facebook / Meta)، وفقا لأبحاث المؤسسة. رفعت فيسبوك دعوى قضائية ضد مجموعة NSO في عام 2019 بزعم اختراقها لتطبيق واتساب.

توضيحية: تطبيق واتساب على جهاز آيفون، 15 نوفمبر، 2018. (AP / Martin Meissner)

لكن الاكتشاف الأكبر، في تحقيق مشترك لـCitizen Lab مع Facebook / Meta، كان أن لدى شركة Cytrox عملاء في بلدان خارج مصر، بما في ذلك أرمينيا واليونان وإندونيسيا ومدغشقر وعُمان والمملكة العربية السعودية وصربيا.

أعلنت Meta يوم الخميس الماضي عن سلسلة من عمليات الإزالة للحسابات التابعة لسبع شركات تجسس إلكتروني- من ضمنها Cytrox وأربع شركات إسرائيلية أخرى – وأبلغت حوالي 50000 شخص في أكثر من 100 دولة بما في ذلك صحافيين ومعارضين ورجال دين الذين ربما يكونون مستهدفين من قبل هذه الشركات. وقالت Meta إنها حذفت حوالي 300 حساب على فيسبوك و إنستغرام مرتبطة بـ Cytrox، والتي يبدو أنها تعمل خارج مقدونيا الشمالية.

وقال بيل مارزاك، الباحث في Citizen Lab، لوكالة “أسوشيتد برس” إن برنامج Cytrox الخبيث يستخدم كما يبدو نفس الحيل مثل منتج Pegasus الخاص بمجموعة NSO – على وجه الخصوص، تحويل الهاتف الذكي إلى جهاز تنصت واستخراج بياناته الحيوية. وقال إن إحدى الوحدات التي تم التقاطها تسجل جميع أطراف المحادثة الحية.

كانت Cytrox جزءا من تحالف غامض لشركات تجسس إلكتروني المعروف باسم Intellexa الذي تم تشكيله لمنافسة مجموعة NSO. تأسست شركة Intellexa في عام 2019 من قبل ضابط سابق في الجيش الإسرائيلي ورجل أعمال يُدعى طال ديليان، وتضم شركات تورطت في مشاكل مع السلطات في بلدان مختلفة بسبب الانتهاكات المزعومة.

تعرّف Intellexa عن نفسها على موقعها الإلكتروني بأن “مقرها الاتحاد الأوروبي وأنها شركة منظمة، ولها ستة مواقع ومختبرات للبحث والتطوير في جميع أنحاء أوروبا”، ولكنها لا تذكر أي عنوان. موقعها الإلكتروني غامض بشأن عروضه، على الرغم من أنه ذكر مؤخرا في شهر أكتوبر أنه بالإضافة إلى “جمع كم كبير [من البيانات] بشكل سري”، فإنها توفر أنظمة “للوصول إلى الأجهزة والشبكات المستهدفة” عبر Wi-Fi والشبكات اللاسلكية. وقالت Intellexa إن أدواتها تستخدم من قبل وكالات إنفاذ القانون والاستخبارات ضد الإرهابيين والجرائم بما في ذلك الاحتيال المالي.

الدفاع السيبراني

يقول أفنر، مستشار الأمن، إنه على المستوى الفردي، “لا داعي للقلق بشأن عمليات استغلال النقرات الصفرية”. وأضاف أن المستخدمين يحتاجون فقط إلى “ممارسة النظافة [الإلكترونية] بشكل أفضل، مثل التحقق من عناوين URL عن كثب، واستخدام القنوات الثانية للاتصالات” للتحقق من أي رسائل تبدو مشبوهة من أشخاص قد نعرفهم.

وقال أفنر “يمكن منع معظم الهجمات الإلكترونية من خلال المصادقة ذات العاملين” أو “2fa”، وهي طريقة تضيف طبقة إضافية من الحماية لضمان أمان الحسابات عبر الإنترنت بما يتجاوز اسم المستخدم وكلمة المرور.

وقال مولر “إذا أرادت وكالة أمنية دخول هاتفك، فمن المرجح أن تدخله. لا يوجد شيء اسمه حماية بنسبة 100٪”.

لكن الهجمات الإلكترونية ليست مصيرا محددا سلفا، كما يقول مولر، ويوضح أنه يمكن للشركات والمؤسسات حماية نفسها من خلال نشر خدمات الأمن السيبراني التي تقلل من أسطح الهجوم، وعدد جميع النقاط الممكنة التي يمكن لمستخدم غير مصرح له الوصول إليها، واختبار أنظمتها، وتثقيف القوى العاملة لديها ضد الهندسة الاجتماعية.

الهندسة الاجتماعية هي تقنية تلاعب تستخدمها شركات الاستخبارات والمراقبة الإلكترونية لخداع الأشخاص لإفشاء معلومات خاصة أو سرية أو ارتكاب أخطاء متعلقة بالأمن.

وقال مولر: “يمكن للأفراد والشركات منع غالبية عمليات الاختراق التي قد تكون كارثية من خلال إدراك المخاطر واعتماد نهج ’الدفاع المتعمق’. على سبيل المثال، الحفاظ على بروتوكول تدبير وقائي، مثل تحديث البرامج بانتظام بأحدث وأكبر إصدار من البرنامج، واستخدام المصادقة ذات العاملين (2fa)، وعدم إعادة استخدام كلمات المرور وما إلى ذلك. يمكن للشركات الاستعانة بمصادر خارجية لهذه المكونات واستخدام حلول إدارة التصحيح (مثل تلك التي توفرها Acronis)”.

“بالإضافة إلى ذلك، كإجراءات ما بعد الاختراق (أو عند الاشتباه في وجود اختراق)، هناك خدمات تتيح استخراج معلومات تحليل جنائي من الجهاز (مثل الهاتف الذكي) لمعرفة ما إذا كان قد تم اختراقه”.

وقال مولر إن حماية الأفراد يجب أن تأتي من الحكومات والهيئات التنظيمية.

“مثلما لدينا الشرطة والجيش والشاباك (جهاز الأمن العام الإسرائيلي)، يجب أن يكون هناك مدافعون في مجال السايبر، ويتعين على السلطات تحمل المسؤولية وتوفير مزيد من الرقابة على ممارسات الشركات “.

ساهمت في هذا التقرير وكالات وطاقم تايمز أوف إسرائيل. 

اقرأ المزيد عن
تعليقات على هذا المقال