هذا تقرير مختصر قامت به الجزيرة مع محمد عبد الباسط، خبير الأمن السيبراني ومؤسس شركة "seekurity".
|
NSO Group |
على غير المعتاد، تبدأ فصول حكايتنا اليوم من المكسيك، حيث زعم مؤسسا شركة "إن إس أو (NSO)" الإسرائيلية أن برنامجهم الجديد "بيغاسوس (Pegasus)"، وهو منتجُهم الرئيس، ساعد في القضاء على العديد من زعماء عصابات المخدرات الكبرى هناك، بفضل امتلاكه القدرة على التسلُّل إلى الهواتف المُستهدَفة وجمع البيانات ومعلومات الموقع، وحتى تسجيل الأحاديث التي تدور في نطاق الهاتف المستهدف، ما مكّن السلطات من القبض على تجار المخدرات وإدانتهم.
كان ذلك في السنوات الأولى، ووقتها لم يكن العالم يسمع بـ"بيغاسوس"، ولكن بعد ذلك بسنوات قليلة، كانت التقنية الإسرائيلية قادرة على التحدُّث عن نفسها في أرجاء العالم كافة، خاصة في الشرق الأوسط، حيث استُخدمت لتعقُّب الناشط الحقوقي الإماراتي الشهير أحمد منصور، ثم في مقتل صحافي الواشنطن بوست السعودي "جمال خاشقجي" أواخر عام 2018 في قنصلية بلاده بإسطنبول بتركيا، ومن ثم نال "بيغاسوس" شهرته بوصفه أحد أهم وسائل التجسُّس الإلكتروني في العالم.
فما هو بيغاسوس ؟
"بيغاسوس بكل بساطة هو تطبيق تجسس عادي جدا، ولكن هدفه الأساسي هو إصابة الهواتف العاملة بأنظمة "Android" و"iOS"، وتكمن قوته فى كمية البيانات التي يجمعها وقدرته العالية على جمع البيانات حتى في أوضاع عدم الاتصال بالإنترنت"، هكذا يخبرنا محمد عبد الباسط، خبير الأمن السيبراني ومؤسس شركة "seekurity"، عن هوية الجاسوس بيغاسوس في حديث خاص مع ميدان.
تستفيد برامج التجسس، مثل بيغاسوس، من مدى تغلغل الهواتف الذكية المتصلة بالشبكات (WiFi 3G ،4G) في حياتنا، وكذا من الاتصالات الصوتية، والكاميرا، والبريد الإلكتروني والرسائل النصية، ونظام تحديد المواقع العالمي (GPS)، وحتى كلمات المرور وقوائم جهات الاتصال. مع هذه الإمكانات، فإن ولوج بيغاسوس إلى هاتفك يحوله إلى جهاز مراقبة، بتلك البساطة.
يتابع عبد الباسط: "نقطة قوة بيغاسوس والتي تميزه عن أيّ تطبيق تجسس آخر (لأنها كثيرة) هو استخدامه للثغرات غير المعروفة لمالكي أنظمة التشغيل والتطبيقات أو ما يعرف بثغرات اليوم صفر أو "Zero-Day Exploits"، وهذه هي أولى مراحل تلويث الهاتف أو إصابته بالبرمجية الخبيثة.
يبدو هجوم بيغاسوس بسيطا للغاية في طبيعته وصامتا في تسليم حمولته. تبدأ الهجمة عندما يرسل المهاجم عنوان URL لموقع ويب (عبر الرسائل القصيرة أو البريد الإلكتروني أو وسائل التواصل الاجتماعي أو أي رسالة أخرى) إلى هدف محدد. يتعين على المستخدم اتخاذ إجراء واحد فقط، وهو النقر على الرابط.
يقول عبد الباسط لميدان: "هجمات الهندسة الاجتماعية (Social Engineering Attacks) تعني إقناع الهدف بالضغط على رابط معين داخل محتوى الرسالة، ومثال على ذلك ما حدث مع استهداف عمر عبد العزيز، المواطن الكندي، ومن ثَم أدّى لمعرفة موقع صديقه جمال خاشقجي". يحدث ذلك حتى لو أغلق الهدف المتصفح بعد النقر على الرابط.
لكن الأمر ليس بهذه البساطة فقط، فهناك طرق أخرى لتلويث الهاتف، يشرح عبد الباسط أوضاع التلويث لميدان قائلا: "إحدى هذه الطرق تحدث بشكل صامت دون تدخل صاحب الهاتف أو تفاعله، وهو ما يسمى تقنيا بـ[الهجوم الصامت دون نقر] أو [Silent Zero-Click Attacks]. يحدث هذا النوع من الهجمات عن طريق الاتصال فقط على رقم هاتف الشخص المستهدف ودون لمس الهاتف من قبل مالكه، لأن الاتصال نفسه قام بعملية التلويث عبر تطبيقات مثل فيس تايم وواتسآب. يتابع عبد الباسط قائلا: "الطريقة الثانية تحتوي على تدخل بسيط أو تفاعل من صاحب الهاتف، وتسمى [Less Interactive Attacks]، ويكفي فيها للإصابة عرض الرسالة المستلمة فقط بدون حتى الضغط على أيّ روابط موجودة فيها، ومثال على ذلك ما حدث بالفعل فى خدمات [Apple iMessages] وكذلك [Android Media Messaging Service]".
بمجرد أن ينفذ البرنامج بصمت إلى الهاتف، تبدأ سلسلة من عمليات الانتهاك ضد جهاز الضحية لكسر الحماية عن بعد، بحيث يمكن تثبيت حُزَم برامج التجسس، لا يقوم برنامج التجسس بكسر حماية هاتف المستخدم فقط، بل يضر بالتطبيقات الأصلية المثبتة بالفعل على الجهاز، يتضمن ذلك التطبيقات المثبتة مسبقا، مثل فيس تايم والتقويم وتلك التي تحصل عليها من متجر التطبيقات الرسمي.
لكن كيف يصل بيغاسوس إلى حدّ تلويث التطبيقات في نظام التشغيل نفسه؟ يجيب عبد الباسط لـميدان: "بيغاسوس -مثلما شُرح سابقا- مجرد تطبيق تجسس عادي في طريقة دخوله الهاتف، سواء آيفون أو أندرويد، ولكن ما يميزه هو طريقة تلويثه للهاتف وقدرته على ترقية نفسه لكسب أكبر عدد ممكن من الصلاحيات في عملية تسمى [Privileges Escalation]". يضيف عبد الباسط أن ذلك يحدث من خلال الملوثات المدمجة بداخله والتي تعمل على استغلال ثغرات النظام لعمل إعادة إعطاء الصلاحيات (Root) بالنسبة إلى الهواتف العاملة بنظام أندرويد، أو كسر حصار (Jailbreak) للهواتف العاملة بنظام iOS، وهذا -كما ذكرنا سابقا- للحصول على أعلى الصلاحيات، ومن ثم كسر حمايات النظام للوصول لبيانات التطبيقات المختلفة.
قاتل بلا أثر .
اكتشف اختراق بيغاسوس لنظام iOS -المستخدم في هواتف آبل- في أغسطس/آب 2016، حيث تلقى ناشط حقوق الإنسان الاماراتي أحمد منصور رسالة نصية تشي بـ"أسرار" حول التعذيب الذي يحدث في سجون الإمارات العربية المتحدة يمكنه الوصول إليها بالضغط على رابط أرسل إليه. أرسل منصور الرابط إلى "سيتزن لاب (Citizen Lab)"، وهو معهد بحثي متخصص في مجال الأمن السيبراني، وشركة "لوك آوت (Lookout)" المتخصصة في المجال نفسه، والتي أكدت أنه إذا اتبع منصور الرابط لاختُرق هاتفه وزُرع برنامج التجسس فيه
|
الرسالة الملغمة التي ارسلت الى ناشط حقوق الانسان الاماراتي احمد منصور |
لكن البداية الفعلية لم تكن في 2016، بل قبل ذلك. أوضحت شركة لوك آوت في تدوينة: "نعتقد أن برنامج التجسس بيغاسوس كان منتشرا لفترة طويلة من الوقت بناء على بعض المؤشرات داخل الكود".
ذكرت صحيفتا نيويورك تايمز وتايمز أوف إسرائيل أن الإمارات العربية المتحدة يبدو أنها كانت تستخدم البرنامج منذ عام 2013.
وفيما يبدو، استُخدم في بنما من قبل الرئيس السابق ريكاردو مارتينيلي بين عامي 2012 و2014، وقبلها في المكسيك كما أشرنا
حتى الآن، يعد بيغاسوس مسؤولا عن أكثر الهجمات تطورا، لذلك من المفهوم أن يُكلّف بيغاسوس سعرا مرتفعا بمتوسط يزيد عن 25 ألف دولار لكل هدف. في حالة واحدة على الأقل، باعت شركة NSO حوالي 300 ترخيص للبرمجية مقابل 8 ملايين دولار أميركي
أضف إلى ذلك أن برامج التجسس مثل بيغاسوس لا تخترق مستخدم الهاتف المصاب فحسب، بل توقع دائرته الاجتماعية بأكملها بما يشمل أصدقاءه وعائلته وزملاءه، مثلما حدث مع خاشقجي الذي تم الوصول إليه عبر هاتف صديقه عمر عبد العزيز. بعبارة أخرى، نحن نتجه نحو أن نكون محكومين من قبل دول تعرف كل ما يمكن معرفته عن الناس، وعن الأشخاص الذين يعرفون أقل عن أنفسهم، أقل حتى مما تعرفه حكومات دول عنهم.
لعلك تتساءل: كم يبلغ سعر هذه الثغرات الآن؟ يعلق عبد الباسط على الأمر قائلا: "بالنسبة إلى ثمن الثغرات، يبدأ بمليون دولار فما فوق، لا يوجد حدود تحديدا مع حكومات أو أشخاص مهتمين ولديهم ميزانية مفتوحة".
عمر عبد العزيز كان على تواصل مستمر مع الراحل خاشقجي (الجزيرة)
لكن الأمر ليس بهذه البساطة فقط، فهناك طرق أخرى لتلويث الهاتف، يشرح عبد الباسط أوضاع التلويث لميدان قائلا: "إحدى هذه الطرق تحدث بشكل صامت دون تدخل صاحب الهاتف أو تفاعله، وهو ما يسمى تقنيا بـ[الهجوم الصامت دون نقر] أو [Silent Zero-Click Attacks]. يحدث هذا النوع من الهجمات عن طريق الاتصال فقط على رقم هاتف الشخص المستهدف ودون لمس الهاتف من قبل مالكه، لأن الاتصال نفسه قام بعملية التلويث عبر تطبيقات مثل فيس تايم وواتسآب. يتابع عبد الباسط قائلا: "الطريقة الثانية تحتوي على تدخل بسيط أو تفاعل من صاحب الهاتف، وتسمى [Less Interactive Attacks]، ويكفي فيها للإصابة عرض الرسالة المستلمة فقط بدون حتى الضغط على أيّ روابط موجودة فيها، ومثال على ذلك ما حدث بالفعل فى خدمات [Apple iMessages] وكذلك [Android Media Messaging Service]".
نعم، بيغاسوس هو أكثر بكثير من مجرد وجود جاسوس في جيبك، إنه يشبه امتلاك كامل حياتك، أو ما هو أسوأ من ذلك، امتلاك عقلك وأفكارك، بما في ذلك تلك التي تشاركها خلال فترات الاستراحة التي يتعذر الوصول إليك فيها.
كيف حققت الشركة الإسرائيلية كل هذا؟ يعلق عبد الباسط لميدان: "الثغرات التي يتم اكتشاف أنّها تصلح لاختراق التطبيقات والأجهزة يتم تداولها ما بين المخترقين غير الأخلاقيين (Blackhat Exploit Developers) الذين يبيعون هذه الثغرات لأعلى سعر، أو مضاربي الثغرات (Exploit Brokers)، وهؤلاء شركات كبرى تشتري الثغرات من المخترقين المهتمين ببيعها لهم، ومن ثم يبيعها المضاربون لشركات أخرى عديدة تعيد استخدامها على حسب رغبتها".
يضيف عبد الباسط أنه فى حالة شركات بحجم NSO، والتي يكون تمويلها كبيرا للغاية، فإنهم يعتمدون على أنفسهم بشكل كامل في عملية تجنيد مطورين استغلال الثغرات لاكتشاف وكتابة أكواد لكيفية استغلال هذه الثغرات بحيث يكون كل شيء داخل الشركة (in-house)، حتى لا تعتمد على أيّ مصادر خارجية تعرض العملية كلها لأيّ خطر.
موضوع : شاهد كيف يخترق نظام التجسس بيغاسوس هواتفنا
عندما وجهت انتقادات علنية للشركة المالكة لبيغاسوس، كانت إستراتيجية الشركة دوما هي الإنكار والابتعاد. وقالت لصحيفة نيويورك تايمز إن منتجاتها "مرخصة فقط لتزويد الحكومات ووكالات إنفاذ القانون بالقدرة على مكافحة الإرهاب والجريمة بشكل قانوني".
تفتخر الشركة بأن منتجاتها تخضع للفحص والترخيص من قبل الحكومة الإسرائيلية، وأنها لا تتسامح مع إساءة استخدام منتجاتها قائلة: "إذا كان هناك اشتباه في إساءة الاستخدام، فإننا نحقق فيه ونتخذ الإجراءات المناسبة، بما في ذلك تعليق العقد أو إنهاؤه".
ولكن ادعاءات الشركة الإسرائيلية تبدو بعيدة كل البعد عن الصحة. ولإبهار الإمارات بوصفها عميلا محتملا ، اخترقت الشركة هاتف أمير قطر، بالإضافة لأحد أمراء السعودية. وتظهر قائمة المستهدفين أنهم غالبا ما يكونون نشطاء حقوقيين ومعارضين سياسيين، وليسوا مجرمين كما تزعم الشركة والأنظمة التي تستخدم منتجاتها.
الأمر أكثر تعقيدا مما قد تظن، ولا يمكن كشفه بسهولة. استثمرت "NSO" جهودا كبيرة في جعل برمجياتها صعبة الاكتشاف، وأصبح من الصعب جدا الآن تحديد إصابات بيغاسوس. يشك باحثو الأمن في أن الإصدارات الأحدث من البرنامج تشغل فقط الذاكرة المؤقتة للهاتف، ما يعني أنه بمجرد إيقاف تشغيل الهاتف، يختفي كل أثر للبرنامج تقريبا. في الواقع يمتلك البرنامج قدرة التدمير الذاتي في حال تم اكتشافه.
يقول عبد الباسط لميدان: "التدمير الذاتي (self-destruction) يعني أنه عند محاولة كشف البرمجية نفسها أو عند وجود خطأ فى عملية الاستهداف أو عندما تستنتج البرمجية بأن هاتف الهدف فقد الاتصال بالإنترنت لمدة زمنية معينة (لأن هذا دليل على وجود الجهاز فى معامل تقنية لتحليله) تحذف البرمجية نفسها بشكل تلقائي وكامل من الجهاز دون ترك أيّ أثر يُمكّن من تعقبها".
رصاص جديد
مؤخرا، تحدث الرئيس الفرنسي إيمانويل ماكرون إلى رئيس الوزراء الإسرائيلي نفتالي بينيت، للتأكد من أن الحكومة الإسرائيلية "تحقق بشكل صحيح" في مزاعم أن الرئيس الفرنسي كان أحد المستهدفين ببرامج تجسس إسرائيلية الصنع من قبل أجهزة الأمن المغربية.
ظهر رقم ماكرون باعتباره أحد الأرقام المستهدفة في قاعدة البيانات المسربة.
في الوقت الذي أعربت فيه الشركة عن أن ماكرون لم يكن "هدفا" لأي من عملائها، ما يعني أن الشركة تنفي اختياره للمراقبة باستخدام بيغاسوس. تقول الشركة إن حقيقة ظهور رقم في القائمة لا تشير بأي حال من الأحوال إلى ما إذا كان هذا الرقم قد اختير للمراقبة باستخدام برامجها.
ولكن إذا كان الأمر قد طال الرؤساء والأمراء، أفلم يجد أحدهم طريقة للوقاية منه؟
يجيب عبد الباسط ميدان: "بيغاسوس تطبيق تجسس متطور جدا ويعتمد على الثغرات غير المعلنة، وهذا أخطر جزء في الموضوع، بالنسبة للشخص العادي لا أعتقد أنّه بالإمكان فعل شيء هنا غير رفع الوعي الأمني لعدم الوقوع في مخاطر تطبيقات التجسس في العموم، أو التطبيقات الأقل من بيغاسوس في خطورتها، أما مع بيغاسوس فمستحيل حتى مع وجود وعي أمني عالي".
يضيف عبد الباسط أنه بالنسبة إلى الأشخاص المستهدفين، مثل الشخصيات ال
عامة والحكام وما إلى ذلك، فإن بعضهم لديه وعي أمنى كبير، والبعض الآخر لا، ولكن على حسب أهمية الشخصية المستهدفة يكون الوضع مختلفا. على سبيل المثال، فإن جيف بيزوس، المؤسس والمدير التنفيذي السابق لشركة أمازون، حتى مع كل الحيطة والحذر وتزويد هاتفه بأدوات مراقبة من قبل شركة أمن معلوماتي، فإنه يزعم بأن اختُرق بواسطة برمجية بيغاسوس الخطيرة، لذلك فإن الأشخاص المستهدفين فى بعض الأحيان يتعمدون عدم استخدام التكنولوجيا التي تستهدفها البرمجيات الخبيثة لتجنب المشكلات.
إدوارد سنودن، مستشار ذكاء الكمبيوتر المنشق الذي سرّب بيانات بالغة السرية عندما كان يعمل في وكالة الأمن القومي الأميركية في عام 2013، كان بالكاد في الثلاثينيات من عمره حين تنبأ بالواقع الكئيب: "لا يمكن إرجاع التكنولوجيا من حيث أتت، لن تعود للوراء، بل ستكون أرخص وأكثر فعالية، ومتاحة أكثر. إذا لم نفعل شيئا، فإننا نسير نوعا ما نحو حالة مراقبة كاملة مع قدرة غير محدودة على جمع المعلومات. وهذه تركيبة خطيرة للغاية، هذا هو اتجاه المستقبل".
يعلق محمد عبد الباسط، الخبير التقني لميدان، في هذا الصدد قائلا: "الثغرات التقنية التي يمكنها أن تتسبب في إزهاق روح إنسان، لا تقل خطورتها عن طلقة المسدس التي تقتل شخصا في الحياة الواقعية".
____