هكذا يخترقون الهواتف في لبنان

كشف تقرير نشرته شركة "لوك آوت" المتخصصة بأمن الهواتف المحمولة، ومؤسسة "الكترونيك فرونتير" المعنية بالحقوق الرقمية، وجود شبكة من القراصنة يُعتقد حتى تاريخ كتابة التقرير أنها تعمل بالتنسيق المباشر أو بمساعدة المديرية العامة للأمن العام في بيروت.

وأطلق الباحثون على هذه الشبكة اسم "السنور الأسود" نسبة إلى القط البري المنتشر في منطقة الشرق الأوسط، الذي تصعب ملاحظته، خصوصاً أن الشبكة التي أكتشفت بقيت متخفية لوقت طويل. واستطاع الباحثون ملاحظة هذه الشبكة منذ تموز 2017، رغم أنها موجودة منذ 2012.

واستهدفت الشبكة أشخاصاً ومؤسسات عادة ما تستهدفها الدول، مثل الحكومات والأهداف العسكرية والمؤسسات المالية ومتعهدي الدفاع. وكشف التقرير معلومات محددة مرتبطة بأشخاص عسكريين وشركات وأطباء وناشطين وصحافيين ومحامين، إضافة إلى مؤسسات تعليمية.

وشملت المعلومات التي تم الحصول عليها ملفات شخصية وتسجيلات للاتصالات وتسجيلات صوتية ورسائل من تطبيقات مشفرة، معلومات شخصية، رسائل نصية وصور ومعلومات الحسابات الشخصية.

وأشار معدو التقرير إلى أن هذه العملية تُعد من أكثر العمليات غزارة بالمعلومات التي رأوها منذ 2007 حتى اليوم. كما يعتقدون أن النشاط الذي لاحظه التقرير مباشرة يُمثل نسبة صغيرة من عملية التجسس، خصوصاً أن حملات عدة متزامنة أطلقتها الشبكة لاستهداف الأشخاص والمعلومات.

ولفت التقرير إلى أن المعلومات المسحوبة من الضحايا تجاوزت مئات الجيغابايت، من أكثر من 21 بلداً في أميركا الشمالية وأوروبا وآسيا والشرق الأوسط.

واستعملت الشبكة بشكل رئيسي شبكات وسائل التواصل الاجتماعي وعمليات التصيّد. وفي بعض الحالات لجأت إلى الوصول المباشر إلى أجهزة الأشخاص المراد اختراقهم.

ووجد التقرير أن الشبكة لجأت إلى تقنيات عدة للوصول إلى المعلومات، من ضمنها برنامج مراقبة للهواتف مصمم خصيصاً يدعى "بالاس"، يتم ادخاله في بعض التطبيقات المزورة التي يتم تنزيلها من متجر غوغل. وتطرق التقرير لهذه البرمجية بالتفاصيل. إضافة إلى هذا البرنامج، استعملت الشبكة أداة "فين فيشر" مصممة من شركة "للاعتراض القانوني". واستعملت بكثرة برمجية خبيثة تدعى "باندوك رات"، مخصصة لبرنامج ويندوز للتشغيل، إضافة إلى برمجية خبيثة مجهولة أطلق عليها الباحثون اسم "كرس رات"، تستهدف برامج ويندوز ولينوكس وآبل (أو اس اكس)، وبرمجيات عدة أخرى.

واستطاع الباحثون تحديد بعض البنية التحتية التي تستعملها الشبكة. ما أتاح الوصول إلى معلومات أساسية للعملية الكاملة.

وتستعمل الشبكة على خوادم "سي 2" الخاصة بها، وهي خوادم يستخدمها المهاجمون للتواصل مع الأنظمة المخترقة ضمن شبكة مستهدفة، منصات "ويندوز" و"Xampp". وهو ما يسمح بإنشاء خادم "سيرفر" محلي على شبكة الانترنت، بدل استخدام منصة "lamp stack" التي تترك أثراً مميزاً عند البحث على البنية التحتية المرتبطة.

واستطاعت الشبكة الحصول على هذه التقنيات من خلال شرائها أو استعارتها من شبكة الانترنت المظلم، وفقاً للتقرير.

واستطاع التقرير تتبع أجهزة الاختبار والأجهزة التي استعملت لإدارة هذه الحملة إلى مبنى تابع للأمن العام، لتصل إلى استنتاج وفقاً للأدلة الموجودة، أن المؤسسة "إما متعاونة أو تدعم مباشرة هذه الشبكة".

وربط الباحثون بين المعلومات من أجهزة الاختبار وشبكات "واي فاي" للوصول إلى مكان المنشأة التي تتمركز فيها الشبكة. واستعملت الشبكة مجموعة من أجهزة الاختبار للتأكد من أن البرمجيات الخبيثة التي زرعتها في "سي 2" تعمل بشكل جيد. وساعد تحديد هذه الأجهزة على تحديد مكان الشبكة التي يعتقد أنها داخل مبنى المديرية العامة للأمن العام.

ولاحظ الباحثون في محاولتهم التمييز بين أجهزة الاختبار والأجهزة المخترقة، خصوصاً أنه من الصعب التمييز بينهما، أن جزءاً من الأجهزة المخترقة احتوى على حسابات مشابهة في تسجيل البريد الالكتروني وفايبر وبريمو وتيليغرام وواتسآب. سمحت هذه المعطيات بالتركيز على أجهزة معينة مميزة بين آلاف الأجهزة التي فحصوها. ووجدوا أن هذه الأجهزة احتوت على نسبة ضئيلة، إن وجدت من المعلومات الحقيقية المسحوبة من الرسائل النصية وبيانات التطبيقات. ما أدى إلى استنتاج بأن هذه الأجهزة هي على الأرجح أجهزة اختبار.

ومع جمع أجهزة الاختبار، لاحظ الباحثون ما يمكن أن يكون شبكات "واي فاي" مميزة. واستخدموا هذه المعطيات لتحديد المكان الجغرافي للمنشأة نظراً إلى أن شبكات "واي فاي" يمكن استعمالها لتحديد المكان الجغرافي.

وركز الباحثون على شبكة "bld3f6"، التي أظهر مكانها الجغرافي أنها قرب مبنى المديرية العامة للأمن العام في بيروت.

وخلال عملية التحري، راقب الباحثون عمليات تسجيل الدخول في خوادم شبكة "سي 2" من ثلاثة عناوين "آي بي" مصدرها شبكة أوجيرو. وعند ملاحقة اثنين منها تبين أن مركزهما الجغرافي يقع جنوب مبنى المديرية.

وكشف الباحثون أن البنية التحتية التي استعملتها الشبكة أظهرت أشخاصاً عدة مرتبطين. وأدت هذه المعلومات إلى اكتشاف أسماء 4 أشخاص أو أسماء مستعارة ونطاقين ورقمي هاتف استعملتها الشبكة. وظهر عنوان البريد الالكتروني "op13@mail.com" في مراحل عدة من البحث عن النطاقات التي استعملتها الشبكة.

وارتبط هذا البريد الالكتروني باسم ن ر وهـ م ور ج. وكل العناوين التي وضعت داخل قاعدة بيانات "who is" تقع في محيط المكان الجغرافي لشبكة الانترنت "bld3f6" وهي قرب مبنى المديرية.

كما وجد الباحثون هذا الاسم داخل البرمجية الخبيثة التي تتواصل مع موقع "adobeaid.net". وعند مقارنة رقم الهاتف الذي وضعته ن في "who is"، وجد الباحثون أن الرقم نفسه مدرج في المحتوى المستخرج، ويستعمل من قبل شخص يدعى ح و.

ولفت التقرير إلى أنه خلال تموز 2017 أغلق مزود الانترنت الموقع الأخير، وخلال أيام لاحظ الباحثون عملية إعادة تسجيله وربطه بالبريد الاكتروني تحت اسم ن ر. ما سمح بتحديد عدة نطاقات أخرى مدرجة تحت البريد الالكتروني نفسه.

وتمكن الباحثون أيضاً من ربط كثير من الهجمات بالبريد الالكتروني المذكور سابقاً، والذي ربط بشخصيات الكترونية عدة منها هـ م الذي ظهر اسمه أيضاً في أماكن أخرى بصفته صاحب مواقع عدة.

هذه المعلومات تشير إلى امكانية استعمال هذا العنوان البريدي من قبل أشخاص عدة، أو من قبل شخص واحد لديه أسماء مستعارة عدة.

كما استطاع الباحثون ربط البريد الاكتروني باسم ر ج الذي وجدوا اسمه في سجلات موقع "arablivenews دوت كوم"، وحدد موقعه في بناية سلامة شارع المتحف، وهو ما يعني أنه قريب من مكان إيجاد أجهزة الاختبار في بيروت.

واستطاع الباحثون الوصول إلى رسائل وصور من مختلف أنحاء العالم. ويشير المحللون إلى لائحة البلدان التي طالها الهجوم وهي: الصين، فرنسا، المانيا، الهند، ايطاليا، الأردن، لبنان، نيبال، هولندا، باكستان، الفلبين، قطر، روسيا، السعودية، كوريا الجنوبية، سوريا، تايلاند، اميركا، فنزويلا، فيتنام وسويسرا.

وتركزت الحملة بشكل رئيسي على الهواتف المحمولة التي تعمل بنظام أندرويد. ومن خلال رسم توضيحي للمعلومات المسحوبة من هذه الأجهزة، استطاع القراصنة الحصول على 264535 ملف وهو ما نسبته 17.6%، و486766 رسالة نصية بنسبة 32.4%، 92 ألف رابط من خلال تاريخ التصفح للمستخدم، إضافة إلى 1547 من الحسابات المصادقة، و252982 رقم هاتف، و150266 من تسجيلات الاتصالات.

وتمت معظم عمليات السرقة من خلال الهندسة الاجتماعية على وسائل التواصل الاجتماعي، لاغراء المستخدم بالضغط على روابط مزورة أو تنزيل برامج مشابهة للبرامج العادية التي يستعملها مثل واتسآب أو تيليغرام، بهدف اختراق هاتفه.

واعتمد القراصنة على تقنيات التصيد في واتسآب وفايسبوك من خلال رسائل شخصية أو منشورات بروابط مزيفة أو حتى حسابات مزورة، حدد منها الباحثون أربعة حسابات هي "آ ع، ر ض، س ح، ل ف يقومون بعملية التواصل وارسال روابط مزيفة، لدفع المستخدم إلى الدخول إلى منصات يمكنهم من خلالها الحصول على أغلب المعلومات والبيانات الشخصية منه.

وقامت المجموعة بتوزيع تطبيقات مزودة ببرمجية "بالاس" الخبيثة، واستطاع الباحثون ربط أكثر من 11 برنامجاً مزوراً تحتوي على هذه البرمجية، منها سيغنال وثيريما وبريمو وواتسآب وتيليغرام بلاس. واللافت أن هذه التطبيقات تعمل بصورة مشابهة تماماً للتطبيقات الأصلية.

واستطاع الباحثون بعد مساعدة الفريق التقني في غوغل من اكتشاف هذه البرمجية الخبيثة في تطبيقات مثل فلاش بلاير وغوغل بلاي بوش.

وتستطيع هذه البرمجية القيام بأمور عدة، إذ يمكنها التقاط الصور من الكاميرا الامامية والخلفية، إضافة إلى سحب الرسائل النصية الموجودة التي تصل بعد تنزيل التطبيق، الحصول على الموقع الجغرافي من خلال خطوط الطول والعرض، تشغيل الميكروفون في الهاتف بصورة سرية للحصول على تسجيلات صوتية، الحصول على ارقام الهواتف المخزنة، البحث عن شبكات وايفاي قريبة ومعلومات عنها، الحصول على المراسلات من تطبيقات التراسل، مع الإشارة إلى أن هذا لا يمكن أن يتم إلا إذا كان المستخدم يستخدم تطبيقات مزودة بهذه البرمجية الخبيثة، والتي قام القراصنة بنشرها. كما يستطيعون الحصول على معلومات الجهاز الأساسية، الحصول على معلومات عن كل حساباته، ارسال رسائل نصية لرقم معين، الحصول على كل بيانات الاتصالات، الحصول على رموز فك التشفير في تطبيقات المراسلة، تنزيل برامج إضافية، رفع ملفات معينة ومحوها، والحصول على المعلومات الشخصية.