أعلنت شركة «فيسبوك» يوم 21 أبريل (نيسان) 2021 إيقافها لأنشطة شبكتي تجسس مُنفصلتين، إحداهما تابعة لجهاز الأمني الوقائي الفلسطيني التابع للسلطة الفلسطينية، والثانية مجموعة باسم «الأفعى القاحلة – Arid Vapir».

وذكر تقرير «فيسبوك» أن أنشطة المجموعة تدعمها «دولة»، دون ذكر أية تفاصيل أخرى عن هذه الدولة. وقالت بعض التقارير إن هذه المجموعة تابعة للجيش السيبراني لـ«حركة المقاومة الإسلامية (حماس)»، ولكن فريق «فيسبوك» أشار في تقريره إلى أنّه «لا يستطيع تأكيد هذه المعلومة بناءً على الأدلة والمعطيات» المتوفرة لديه.

نستعرض في هذا التقرير التفاصيل التي تضمنتها تقارير «فيسبوك» عن أنشطة المجموعتين وكيفية عملهما على الإيقاع بالأهداف المطلوب اختراقها، بتوظيف أدوات وطرق مختلفة منها تطبيقات المواعدة، أو تطبيقات الدردشة.

الأمن الوقائي يتجسس في الداخل والخارج بأساليب «بدائية»

لم يتضمن تقرير «فيسبوك» تفاصيل كثيرة عن مجموعة الاختراق التابعة لجهاز الأمن الوقائي، وهو جهاز أمني تابع للسلطة الفلسطينية ونطاقه الأمني الأساسي في داخل الضفة الغربية، واقتصر تقرير «فيسبوك» على ذكر الفئات التي استهدفتها المجموعة، مع مختصرٍ عن طرق الاختراق التي اعتمدتها المجموعة، ولربما السبب في ذلك هو بدائية الأساليب المتبعة، بحسب التقرير.

كانت أنشطة مجموعة الأمن الوقائي متركزة ضمن المناطق الفلسطينية، بالإضافة إلى أهداف في الخارج، في دولٍ مثل: العراق، وسوريا، «وتركيز قليل» على تركيا. وكانت المجموعة تستهدف معارضين، وصحافيين، وحقوقيين، وبعض العسكريين من المعارضة السورية، والجيش العراقي.

اعتمدت المجموعة على «الهندسة الاجتماعية» بشكل أساسي لجذب المُستهدفين، وإغرائهم بفتح روابط أو تنزيل تطبيقات تستخدمها المجموعة لرصد الأجهزة واختراقها.

اتَّبعت مجموعة الأمن الوقائي إستراتيجيتين للهندسة الاجتماعية، الأولى الاعتماد على «تطبيقات الدردشة» لجذب الضحايا، بإنشاء حسابات مزيفة تحمل بيانات شخصيات وهمية تبدو حقيقية، وبعد بدء التواصل تبدأ الحسابات الوهمية بالإيقاع بالضحية لتنزيل تطبيق دردشة معين، وبعد تحميل الضحية لهذا التطبيق، تُحمَّل «البرمجيات الخبيثة (التجسسية) – Malware» على جهازه، وتسحبُ البيانات المطلوبة.

شعار جهاز الأمن الوقائي التابع للسلطة الفلسطينية. مصدر الصورة: ويكيبيديا

الإستراتيجية الثانية هي تصميم صفحات على منصة «فيسبوك»، وجمع عدد متابعين كبير لتبدو الصفحة حقيقية، مع نشر محتويات ساخرة عن قضايا متعلقة بالشرق الأوسط، ومن هذه الصفحات يجري رصد المستهدفين وتتبعهم والتواصل معهم.

ويتحدث تقرير «فيسبوك» عن برمجيات طوَّرتها المجموعة لاختراق أنظمة أندرويد وويندوز. طورت المجموعة برمجيات التجسس والاختراق لأنظمة الأندرويد بنفسها، وصممت البرمجية على أنَّه متى ما حمَّلت الضحية تطبيق الدردشة، تقوم البرمجية بجمع المعلومات المطلوبة، مثل الأسماء، والرسائل، وتسجيل كُلَّ ما يكتب على لوحة المفاتيح، واعتمدت المجموعة على برمجيات تجسسية معروفة مثل «SpyNote» لمراقبة المكالمات.

أما بالنسبة للبرمجيات الخاصة بأنظمة الويندوز، فقد اعتُمدت برمجيتان، الأولى «HWorm»، والثانية «NJRat»، وفي هذه الطريقة كان يجري استهداف الصحافيين والحقوقيين، عن طريق تطبيق (يستخدم كالطعم) ليقوموا بإرسال مقالاتهم عليه.

مجموعة «الأفعى القاحلة»

نشر «فيسبوك» تقريرًا تقنيًّا مفصلًا يرصد فيه أنشطة مجموعة «الأفعى القاحلة»، وكشفَ عن البنية التحتية السيبرانية لهذه المجموعة، والأساليب والطرق التي اعتمدوها لإيقاع المُستهدفين، بالإضافة إلى البرمجيات التي طوروها لاختراق جميع أنواع الأجهزة من نظام «الآي أو إس – iOS» إلى أندرويد وويندوز.

عُنوان هذا التقرير هو «مواجهة الأفعى القاحلة»، وخلص تقرير «فيسبوك» إلى أنَّ البنية التحتية لهذه المجموعة تحتوي على:

  • 10 برمجيات تجسسية لنظام الأندرويد.
  • برمجيتين تجسسيتين لنظام «آي أو إس».
  • ثماني برمجيات تجسسية لأجهزة الكمبيوتر.
  • 179 موقعًا إلكترونيًّا.

وبحسب تقرير «فيسبوك» فإنَّ معظم الفئات المستهدفة من مجموعة الأفعى القاحلة يعيشون داخل فلسطين، ويصنِّفها كالآتي: وزارة الداخلية الفلسطينية، وقوات الشرطة الخاصة الفلسطينية، والأمن الوقائي، ومنظمة التحرير الفلسطينية، وحركة فتح، وتجمعات طلابية منتسبة لحركة فتح، ووزارات مثل: وزارة التعليم، ووزارة الاقتصاد الوطني.

اعتمدت المجموعة على الهندسة الاجتماعية للإيقاع الأولي بالضحايا، بتوظيف «المحتويات المغرية» لجذبهم، ويقول التقرير إن «فيسبوك» اكتشف حتى الآن 41 موقعًا مصممًا لخداع الضحايا.

خطٌّ زمني لعمليات «الأفعى القاحلة»

بدأ رصد «فيسبوك» لعمليات المجموعة مطلع عام 2019. وما بين يناير (كانون الثاني) إلى أغسطس (آب)؛ حاولت المجموعة باستمرار نشرَ مواقع التصيد، مع نشر البرمجيات التجسسية لاختراق أنظمة الأندرويد، ولاحظت منصة «فيسبوك» في تلك الفترة نشاطًا متزايدًا من المجموعة وإنشاء عشرات الحسابات الوهمية على «فيسبوك» و«إنستجرام»، تستخدمُ لتصيُّد الضحايا.

وفي نهاية عام 2019، طوَّرت مجموعة الأفعى القاحلة إمكانياتها ونشرت برمجيات تجسسية لنظام «الآي أو إس» عن طريق «مواقع خارجية»، ويذكر التقرير أنَّ «فيسبوك» أعلمت «شركاءها» لإيقاف هذه المواقع.

ومن نوفمبر (تشرين الثاني) 2019 إلى منتصف 2020، توقف أسلوب اختراق نظام «آي أو إس» عن طريق مواقع خارجية، وطورت مجموعة الأفعى القاحلة تطبيقًا يحمله الضحية على جهازه دون الحاجة لوجود «Jailbreak» عليه، وبعد تحميله يجمع التطبيق بيانات الشخص المُستهدف، ولكن يذكر تقرير «فيسبوك» أنّ محاولات نشر التطبيق عبر «فيسبوك» كانت ضعيفة.

ثم استمرَّت محاولات نشر مواقع تصيد ضحايا الأندرويد بقية عام 2020 واختفت خلال العام.

اختراق أنظمة «آي أو إس»

ابتكرت مجموعة الأفعى القاحلة نظامًا للتجسس على أنظمة «آي أو إس»، ويحمل هذا النظام عنصرًا يُسمى «الفيناكيت – Phenakite»، المشتقة اسمها من كلمة إغريقية تعني الخداع.

ما الذي يفعله الفيناكيت عندما يُحمَّل على جهاز الآيفون؟ ببساطة، يُحمِّل الفيناكيت «ملفات تعريف التكوين – Mobile Configuration Profile» على الجهاز، التي تسمح لهذا التطبيق المُزيَّف بجمع البيانات، وتستهدف الأفعى القاحلة ضحايا «آي أو إس» عن طريق «تطبيق دردشة»، إذ توجه البرمجيات التجسسية الضحية لفتح صفحات فيسبوك و«آي كلاود – iCloud» الخاصة به.

الصورة التالية لتطبيق اسمه «Magic Smile»، تحفز المجموعة الضحايا لتنزيله، ويبدو التطبيق حقيقيًّا مثل بقية التطبيقات.

/
ملفات تعريف التكوين التي يحمّلها التطبيق على جهاز الشخص المُستهدف. مصدر الصورة: تقرير فيسبوك

يجمع الفيناكيت 12 نوعًا من البيانات، منها جمع الصور، وملفات الوورد و«بي دي إف»، وغيرها، ويذكر تقرير «فيسبوك» أنَّ عددًا قليلًا من الأشخاص وقعوا ضحية هذا الأسلوب.

واكتشفَ «فيسبوك» أنَّ هذه البرمجيات التجسسية على نظام «آي أو إس» استعملت سابقًا من جهة صينية أخرى.

اختراق «أندرويد»

اعتمدت مجموعة الأفعى القاحلة على برامج المواعدة أو «مواقع تصيد» لاختراق أنظمة الأندرويد، وتعد أنظمة الأندرويد أسهل اختراقًا من «آي أو إس».

واعتمدت البرمجيات التجسسية الخاصة بأنظمة الأندرويد على أخذ موافقة الضحية، وإيقاف أنظمة حماية الأجهزة المُستهدفة، وتجذب المجموعةُ المُستهدفين لإنزال تطبيقات المواعدة، ومعها تنزل البرمجيات التجسسية مثل برمجية «Micropsia» لاختراق الضحايا، وتقوم البرمجية بجمع الكثير من البيانات المحملة على الجهاز مثل تصوير شاشة الهاتف وتسجيلها «Screenshots»، ونسخ ونقل أو مسح ملفات معينة، والتقاط صور من الكاميرا للضحية، ورصدَ «فيسبوك» تسعة تطبيقات مواعدة صممتها مجموعة الأفعى القاحلة، أحدها مثلًا باسم «Wine Talk».

/
تطبيق «Wine Talk»، تطبيق مواعدة إلكتروني صمّمته مجموعة «الأفعى القاحلة» لإيقاع الشخصيات المستهدفة. المصدر: تقرير لفيسبوك

 

أحد الأساليب لاختراق أنظمة الأندرويد هي «مواقع التصيد»؛ تُصمم المجموعة مواقع لتطبيقات هاتفية تبدو حقيقية، وتُطوِّر لها تصاميم تعطي طابعًا احترافيًّا للموقع، وتطلب بعض هذه المواقع من الضحايا إدخال بيانات بنكية أو كوبونات لتحميل التطبيق، ويقول تقرير «فيسبوك» إن محلليه يعتقدون أن مجموعة «الأفعى القاحلة» كانت توفر أرقام كوبونات للضحية بطرق أخرى ليسهل على الضحية تحميل التطبيق.

/
عيّنة من مواقع التصيد التي استخدمتها مجموعة «الأفعى القاحلة» للإيقاع بالضحايا. مصدر الصورة: تقرير فيسبوك

وبعد دخول البرمجيات التجسسية على جهاز الأندرويد، تقوم البرمجية بتنزيل اختصار (shortcut) لتثبيت نفسها على الجهاز، وبهذا تحمي نفسها من الحذف في حال أُعيد تسطيب الجهاز من جديد. وتخترق مجموعة «الأفعى القاحلة» أنظمة الويندوز بطرق مشابهة لطرق الأندرويد.

مواقع مزيفة ومصيدة الانتخابات

علمًا من مجموعة «الأفعى القاحلة» بضعف اللغة الإنجليزية عند بعض الشرائح التي تستهدفها، أنشأت المجموعة مواقع روابطها تشبهُ بالاسم روابط منصات شهيرة مثل «فيسبوك» و«ياهو»، فقد أنشأت مواقع مثل fasebook[.]com، وautlook[.]com، و log-yoahao[.]com، قد تُوقع هذه المواقع بالمُستهدف إن لم يكن منتبهًا، وتجمع بياناته، ولكن تعد هذه الطريقة بدائية جدًّا في أساليب الاختراق.

ومع اقتراب موعد الانتخابات الفلسطينية في مايو (أيار) 2021، بدأت المجموعة مسلسلًا جديدًا من أنشطتها التجسسية، فبعدما أعلن الرئيس محمود عباس بالمجلس العمومي عام 2019، أنَّه يريد عقد انتخابات فلسطينية مع بداية 2020، يذكر تقرير «فيسبوك» أنَّ المجموعة أسَّست موقعًا اسمه enti5abat[.]pw ويقلد الموقع بتصميمه موقع لجنة الانتخابات المركزية الفلسطينية، ويحمل لوجو اللجنة، والتعريفات الرسمية بها.

ويطلب الموقع من الضحايا تسجيل دخولهم عن طريق وسائل التواصل الاجتماعي بهدف التصويت، وعند ضغط الضحية على إحدى الوسائل التي يرغب باستخدامها، توجهه الصفحة إلى مواقع مزورة أيضًا، فتسحبُ المجموعة بياناته.

موقع enti5abat[.]pw وخيارات تسجيل الدخول للتصويت للإيقاع بالضحايا. مصدر الصورة: تقرير فيسبوك

يحتوي تقرير «فيسبوك» على أكواد البرمجة التي اعتمدت عليها مجموعة «الأفعى القاحلة»، ويختم التقرير بتقييمه لمستوى التقنيات التي اعتمدتها المجموعة بأنها من ضعيفة إلى متوسطة، ويلخص التقرير عمليات اختراق الأنظمة الثلاثة بالرسم البياني المبسط التالي.

/
رسوم توضيحية للعمليات المرصودة لمجموعة «الأفعى القاحلة» من قبل فيسبوك. مصدر الصورة: تقرير فيسبوك

 

وختامًا، لا يُشير تقرير «فيسبوك» إلى أي جهات محتملة مرتبطة بمجموعة «الأفعى القاحلة»، رغم وصفه الصريح بأنَّها أنشطة مدعومة من دولة، ونفيه وجود أدلة تؤكد ارتباط المجموعة وأنشطتها بحركة حماس.

المصادر

عرض التعليقات
تحميل المزيد