يبدو أن أجهزة الاستخبارات الداخلية اللبنانية ضُبِطَت متلبسةً بالتجسُّس على عشرات الآلاف من الأشخاص – بينهم صحفيون و عسكريون – في أكثر من 20 دولة حول العالم، وفقاً لما كشفه باحثون في مؤسسة الجبهة الإلكترونية و شركة لوك أوت المُتخصِّصة في أمن الهواتف المحمولة.
و تُعد عملية التجسُّس، التي كُشِفَت يوم الخميس 18 يناير/كانون الثاني 2018، واحدةً ضمن دزينةٍ من العمليات التي كشفتها مجموعات حقوق الإنسان و المنظمات التقنية حول العالم في السنوات الأخيرة، بينما شرعت أجهزة الاستخبارات في الاعتماد على برامج التجسُّس الخاصة بالهواتف المحمولة و أجهزة الحاسب الآلي أكثر من الصور التقليدية للتجسُّس الخفي، وفق ما ذكرت صحيفة نيويورك تايمز الأميركية.
We’ve uncovered a massive malware espionage campaign spanning 20+ countries, using trojanized apps—including Signal and WhatsApp—that allow attackers to take photos, capture audio, and more. Read our joint report with @Lookout on “Dark Caracal”https://t.co/jUw39tXIrB
— EFF (@EFF) 18 de enero de 2018
التجسس عبر هواتف أندرويد
و أشار الباحثون إلى أنهم وجدوا دليلاً يُؤكد تجسس جهاز المخابرات اللبناني – المديرية العامة للأمن العام أو جهاز الأمن العام – على الهواتف المحمولة و أجهزة الحاسب الآلي لأهدافه مُستخدماً عدة وسائلٍ لأكثر من ست سنوات. و بحسب الباحثين، يعتمد هجومهم الرئيسي على استخدام مجموعةٍ من تطبيقات الأندرويد الوهمية المُصمَّمة لتُشبه خدمات المراسلة الشهيرة و المنتشرة مثل: واتساب و سيجنال.
و بمجرد تحميل تلك التطبيقات، يتمكَّن الجواسيس من سرقة أي شيءٍ تقريباً على هواتف ضحاياهم، و يشمل ذلك رسائل نصية تحمل رمزاً يُستَخدَم مرةً واحدةً للولوج إلى البريد الإلكتروني و الخدمات الأخرى، بالإضافة إلى قوائم الاتصال و سجلات المكالمات و تاريخ التصفُّح و التسجيلات الصوتية و الصور. و علاوة على ذلك، تسمح تلك التطبيقات للجواسيس أن يلتقطوا الصور مستخدمين الكاميرا الأمامية أو الخلفية للهاتف المحمول، و يحوّلوا الجهاز إلى ميكروفون صامت لتسجيل الصوت. و لم تُصمَّم تلك التطبيقات لاستهداف مستخدمي جهاز آيفون من شركة آبل.
و قال مايكل فلوسمان، المُحلِّل الأمني في شركة لوك أوت، في إشارةٍ إلى الاسم الذي أطلقه هو و الباحثون على الجواسيس اللبنانيين المُحتَمَل أن يكونوا مسؤولين عن عمليات التجسس:
“أحد أهم النتائج التي توصَّلنا إليها في التحقيقات هي أن الفاعلين أمثال “Dark Caracal” يبتعدون عن التجسُّس المعتمد على قدرات أجهزة الحاسب الآلي فقط و يتجهون الآن لأدوات الهواتف المحمولة من أجل جمع المعلومات”.
و يُعتبر جهاز الأمن العام بمثابة وكالة الاستخبارات الداخلية الرئيسية في لبنان، و يمتلك مدير الجهاز اللواء عباس إبراهيم، الذي يحمل رتبة لواء في الجيش اللبناني، ملفاً ذاتياً متنامياً و ملفَ أعمالٍ متوسعاً. و تُشرِف الوكالة على منح تصاريح الإقامة للأجانب، بدايةً من الدبلوماسيين و عشرات الآلاف من مواطني دول جنوب شرق آسيا العاملين في البلاد، وصولاً إلى أكثر من مليون لاجئ سوري. و لطالما عُرِفَ عن الوكالة خبرتها و نفوذها النابع تقليدياً من مخابراتها البشرية، و ليس أساليب التجسُّس ذات التقنية العالية.
و صرح اللواء إبراهيم لوكالة رويترز، قُبيل نشر التقرير:
“الأمن العام لا يمتلك هذا النوع من الإمكانيات. و نتمنى لو كانت بحوزتنا”.
لكن المديرية العامة للأمن العام رفضت التعليق على التقرير الصادر يوم أمسٍ الخميس.
الحملة بدأت منذ 6 سنوات
و شرع الباحثون بمؤسسة الجبهة الإلكترونية و لوك أوت في التعاون لكشف ما ظنوا أنه حملةُ تجسُّسٍ قومية مُحتَمَلة من الدولة على المواطنين عام 2016. و في العام نفسه، أصدرت مؤسسة الجبهة الإلكترونية تقريراً يُوثِّق حملة تجسُّسٍ على الصحفيين و النشطاء الذين انتقدوا السلطات في كازاخستان. و شملت الحملة تقنياتٍ استخدمها الجواسيس ضد مستخدمي نظام تشغيل أندرويد. و عرضت شركة لوك أوت، العاملة في مجال أمن الهواتف المحمولة، تقديم المساعدة.
و نتيجةً لهذا التعاون، تتبَّع الباحثون عمليات التجسس للسيطرة و التحكُّم في الخوادم التي يُديرها المهاجمون. و بالنظر إلى الجهة التي سجَّلَت تلك الخوادم و توقيت تسجيلها و تواريخ بعض المحتوى المسروق، توصَّلَ الباحثون إلى أن هذه الحملة مستمرةٌ منذ قرابة 6 سنوات.
و استهدفت الهجمات عدداً من الصحفيين و النشطاء و المسؤولين في الحكومة و ضباط الجيش والمؤسسات المالية و مقاولي الدفاع و غيرهم في 21 دولة. و شملت تلك الدول: الولايات المتحدة و الصين و ألمانيا والهند و روسيا و المملكة العربية السعودية و كوريا الجنوبية، علاوةً على لبنان نفسها.
و تتبَّع الباحثون الهجمات وصولاً إلى مبنى في بيروت يضم مكاتب المديرية العامة للأمن العام، باستخدام شبكات واي فاي و عناوين آي بي مزعومة مرتبطة بأجهزة المهاجمين. و بينما فشل الباحثون في التأكد من أن الهجمات كانت من تصميم الأمن العام أو صنيعة بعض الموظفين المحتالين، بدت الكثير من الهجمات متصلةً بعنوان البريد الإلكتروني -op13@mail.com – الذي رُبط بينه و بين الكثير من الشخصيات المختلفة على الإنترنت مثل: “نانسي رزوق” و “رامي جبور“. و تجمَّعَت العناوين الفعلية المُدرَجة مع التسجيلات التي أجراها ذلك البريد الإلكتروني حول مبنى الأمن العام في بيروت، وفقاً للنشاط اللاسلكي للمستخدمين.
و لم تصل الرسائل التي أُرسلَت لذلك البريد الإلكتروني.
كيف أوقعوا بضحاياهم؟
و كجزءٍ من عملهم، اكتشف الباحثون أدلةً على توجيه الجواسيس اللبنانيين لضحاياهم بتثبيت التطبيقات عن طريق محادثات الواتساب التي بدأت بسؤالٍ بريء مثل: “كيف حالك؟”، و أُرفِقَ رابطٌ لتطبيقات التجسُّس في الرسائل التالية مع عباراتٍ مثل: “يمكنك تحميل التطبيق من هنا للتواصل أكثر”.
و في حالاتٍ أخرى، وصل الجواسيس لأهدافهم على فيسبوك و قاموا بدعوتهم لمجموعات فيسبوك نشروا عليها روابط لتطبيقاتهم المُزيَّفة، و التي أشاروا إليها بأسماءٍ مثل “WhatsApp plus“.
و علاوة على ذلك، وجَّه الجواسيس ضحاياهم إلى مواقعٍ إلكترونية مزيفة للولوج إلى حساباتهم الشخصية على الشبكات الاجتماعية، مثل تويتر و فيسبوك، بغرض سرقة بياناتهم و الاستيلاء على حساباتهم و إرسال المزيد من الرسائل المخادعة للمزيد من الناس.
This post dives into how malware got on people’s phones and what “trojanized” means. TL;DR: If you downloaded your apps from an official app store, like Google Play, then you are almost certainly in the clear. https://t.co/cttsDd79Zk
— EFF (@EFF) 19 de enero de 2018
و وجد الباحثون أيضاً دليلاً على استخدام المسؤولين اللبنانيين لبرنامج “FinFisher“ من إصدار شركة غاما إنترناشونال البريطانية، التي تبيع أدوات المراقبة التي تسمح للعملاء بتحويل الحاسب الآلي و الهاتف المحمول إلى أجهزة تنصت لمراقبة رسائل الهدف و اتصالاته و موقعه الجغرافي. و علاوةً على ذلك، اكتشف الباحثون أن الجواسيس صمَّموا أدواتٍ خاصة بهم للتجسس على الهواتف المحمولة، و هي أدواتٌ أقل تطوراً من “FinFisher” لكنها بنفس الفاعلية في جمع المعلومات التي يسعون للحصول عليها.
و صرَّحَ مارتن جاي مونش، المدير الإداري لغاما إنترناشونال، أن شركته تبيع أدوات المراقبة للحكومات فقط بغرض استخدامها في التحقيقات الجنائية والإرهابية.
لكن صحيفة نيويورك تايمز نشرت في أكثر من مناسبةٍ أخباراً ظهرت فيها “أدوات مونش” فجأةً على الهواتف المحمولة التي يستخدمها الصحفيون و النشطاء. و رفضت مجموعة غاما التعليق على هذا الشأن يوم الخميس.
و كشف الباحثون النقاب عن أدلةٍ تُثبت تحميل المسؤولين اللبنانيين لعدة أنواعٍ من البرمجيات الخبيثة على الحواسب الآلية المملوكة للضحايا؛ و صُممت تلك البرمجيات الخبيثة للعمل على مختلف أنظمة التشغيل مثل: “مايكروسوفت ويندوز“ و “ماكنتوش“ من “آبل“ و “لينكس“. و يُمكن لتلك البرمجيات الخبيثة سرقة لقطات للشاشة من الحواسب الآلية للضحايا، و استخدام كاميرا الويب للتجسس على موقع الضحية الجغرافي، و تسجيل الصوت، و الاستيلاء على صور و أنشطة سكايب، و سجل الملفات و الملفات المخزنة، و النسخ الاحتياطية آيفون.
و بُمجرد نشر الباحثين لتقريرهم يوم الخميس، اختفت الخوادم التي تُنفذ عمليات التجسس من على الشبكة.
المصدر: هافينغتون بوست