كيف ساعد

كيف ساعد "السيد هاشتاغ" السعودية في التجسس على المعارضين؟

حاول سعود القحطاني استغلال شبكات اختراق لمراقبة المعارضين (Getty)

تضيء هذه المقالة المترجمة عن موقع Motherboard، الضوء على جانب من سيرة منسق عمليات مطاردة المعارضين السعوديين، والمقرب من ولي العهد محمد بن سلمان، سعود القحطاني، وتبين فصلًا من علاقته مع شبكات الاختراق من أجل ملاحقة معارضين.


كشف باحثون أمنيون في وقت سابق من هذا الشهر عن محاولة الحكومة السعودية اختراق حسابات معارض سعودي بارز يعمل في مجال حقوق الإنسان ومقيم في كندا. جاء هذا بعد أسابيع قليلة من اتهام منظمة العفو الدولية للبلاد باستخدام برامج تجسس متطورة لاختراق حسابات أحد باحثيها. عقب ذلك، كشفت صحيفة نيويورك تايمز أن السعوديين حولوا موظفًا في تويتر إلى جاسوس ليساعدهم على مراقبة نشطاء الحقوق الرقمية، من خلال الوصول إلى حساباتهم ورسائلهم الخاصة.

أصبحت المملكة العربية السعودية آلة قرصنة متطورة، قادرة على استهداف المعارضين الذين يعيشون على الجانب الآخر من العالم باستخدام برامج التجسس باهظة الثمن

تمثل هذه الأخبار الحلقة الأخيرة في سلسلة من الكشوفات التي تسلط الضوء على سعي المملكة العربية السعودية لإخماد المعارضة وتعقب الناشطين على الإنترنت. أدوات النظام المفضلة على الإنترنت هي روبوتات تويتر (Twitter bots) التي يستخدمها لنشر المعلومات المضللة والدعاية الموالية للحكومة، وبرامج التجسس لمراقبة أولئك الذين يجرؤون على التحدث. وهي جزء من حملة أوسع نطاقًا على حرية التعبير، مستمرة منذ سنوات طويلة، لكنها برزت إلى السطح في أعقاب مقتل الصحفي جمال خاشقجي.

أصبحت المملكة العربية السعودية آلة قرصنة متطورة، قادرة على استهداف المعارضين الذين يعيشون على الجانب الآخر من العالم باستخدام برامج التجسس باهظة الثمن. لقد ركز النظام منذ فترة طويلة على المراقبة، فقد اشترت البلاد أدوات للقرصنة من شركة Hacking Team الإيطالية لبرامج التجسس، وفقًا لرسائل البريد الإلكتروني التي كُشف عنها بعد اختراق الشركة في عام 2015. ودفعت العديد من الوكالات السعودية ما يقرب من 5 ملايين يورو لشركة Hacking Team في غضون خمس سنوات، وفقًا لجداول البيانات التي تم تسريبها بعد اختراق الشركة عام 2015. وفي عام 2016، بعد مرور عام على الاختراق المربك لحواسيب Hacking Team، استحوذ مستثمر سعودي غامض على 20% من أسهم الشركة، مما أدى إلى إنقاذها من الإفلاس، كما ذكر موقع Motherboard في وقت سابق من هذا العام.

اقرأ/ي أيضًا: الحسابات الوهمية على تويتر.. سلاح سعودي مفضوح

ووفقًا لرسائل البريد الإلكتروني الخاصة بشركة Hacking Team، فإن مستشارًا للحكومة السعودية يدعى سعود القحطاني كان بمثابة نقطة الاتصال الرئيسية بين المملكة وHacking Team. كما يبدو أن القحطاني أشرف عن بعد على مقتل خاشقجي باستخدام سكايب، فقد شتم الصحفي وأمر زملاءه بإحضار "رأس ذلك الكلب"، وفقًا لرويترز.

كان سعود القحطاني، قبل إقالته من منصبه، يعمل مستشارًا إعلاميًا لمحمد بن سلمان. البعض سماه ستيف بانون المملكة العربية السعودية، أو "السيد هاشتاغ" لاستخدامه الماهر للدعاية عبر الإنترنت ووسائل التواصل الاجتماعي. وكان يلعب دورًا رئيسًا لصالح الحكومة، عن طريق ترؤسه لجهود المملكة الفعالة لنشر المعلومات المضللة ومضايقة النقاد على وسائل التواصل الاجتماعي، والتي أكسبته لقب "سيد المتصيدين".

لكن بعيدًا عن وسائل التواصل الاجتماعي، يبدو أن القحطاني، أو شخص يدعي أنه هو، لعب دورًا أكثر أهمية بالنسبة للحكومة: التواصل مع شركة Hacking Team وعقد اجتماعات معها من أجل شراء أدوات المراقبة الخاصة بالشركة. وربما، تمشيط بقية الإنترنت للبحث عن أدوات القرصنة لبلاده لاستخدامها ضد المعارضين.

الأهم من ذلك، يبدو أن القحطاني كان جزءًا لا يتجزأ من علاقة المملكة العربية السعودية مع Hacking Team، حيث إن شخصًا ما عرف نفسه أيضًا باسم سعود القحطاني كان لديه مراسلات كثيرة على مر السنين مع الشركة، باستخدام البريد الإلكتروني الرسمي للحكومة s.qahtani@royalcourt.gov.sa وsaudq@saudq.com، وفقًا لرسائل البريد الإلكتروني الخاص بالشركة والتي سُرّبت في عام 2015.

كتب القحطاني من عنوان البريد الإلكتروني، في رسالة أرسلت مباشرة إلى ديفيد فنسنتزيتي، المؤسس المشارك والرئيس التنفيذي لشركة Hacking Team في 2015: "نحن هنا في مركز مراقبة وتحليل وسائل الإعلام في الديوان الملكي السعودي (مكتب الملك) نود الدخول في تعاون مثمر معكم وتطوير شراكة طويلة واستراتيجية".

تظهر رسائل البريد الإلكتروني أن Hacking Team كانت تجري أعمالًا مع هذا الشخص؛ وأن فنسنتزيتي أجاب فورًا على القحطاني، مشيرًا إلى أن زميله "العربي الموثوق به سوف يتصل بك قريبًا". فيما أشارت رسائل بريد إلكتروني أخرى تم تبادلها بين عنوان البريد الإلكتروني الرسمي للحكومة السعودية وشركة Hacking Team إلى مكالمات هاتفية بين ممثلي الشركة والقحطاني، ويبدو أن إحدى رسائل البريد الإلكتروني كانت للدعم الفني واستكشاف الأعطال.

في عام 2012، أي قبل تواصل البريد الإلكتروني s.qahtani@royalcourt.gov.sa المرتبط بالحكومة مع فريق Hacking Team بأعوام، تواصل شخص أطلق على نفسه اسم "سعود القحطاني" معرفًا نفسه بأنه عضو في الحكومة السعودية، مع الشركة نفسها، وقال إن الحكومة السعودية مهتمة بشراء برامج التجسس، وفقًا لما جاء في رسائل البريد الإلكتروني. عرف القحطاني نفسه بأنه موظف في "مكتب الملك بالديوان الملكي في المملكة العربية السعودية"، واستخدم البريد الإلكتروني saudq1978@gmail.com.

إن حساب القحطاني الموثق على تويتر، الذي ينشر من خلاله تصريحات سياسية قوية ضد أعداء السعودية في المنطقة، هو @saudq1978، وقد تم إنشاؤه في شباط/فبراير 2011. وعلم موقع Motherboard أن عنوان البريد الإلكتروني saudq1978@gmail.com استخدم أيضًا في عام 2009 لتسجيل حساب على موقع الويب الشهير Hack Forums، وذلك قبل كل من رسائل البريد الإلكتروني الخاصة بشركة Hacking Team وتسجيل حساب تويتر الموثق.

"عليك أن تأتي في أسرع وقت ممكن"، كتب أحدهم مستخدمًا عنوان البريد الإلكتروني saudq1978@gmail.com في إحدى رسائل البريد الإلكتروني الأولى التي تم تبادلها مع موظفي  Hacking Team. ولم تتمكن Motherboard من الربط بشكل وثيق بين البريد الإلكتروني saudq1978@gmail.com والقحطاني، لكن نبرة ومحتوى رسائل البريد الإلكتروني مشابهة لتلك المرسلة من عنوان البريد الإلكتروني s.qahtani@royalcourt.gov.sa. وتظهر رسائل البريد الإلكتروني أيضًا أن  Hacking Team كانت متشككة في البداية وطلبت منه استخدام عنوان بريد إلكتروني رسمي.

أخبرهم أحد مديري المبيعات: "بما أن سياستنا تسمح لنا بالعمل مع الوكالات الحكومية فقط، أرغب بمعرفة المزيد من المعلومات حول هذه الفرصة (اسم الوكالة واحتياجاتها). سوف نكون ممتنين للغاية لو زودتمونا بعنوان البريد الإلكتروني الرسمي الخاص بكم". وقال الشخص الذي يستخدم البريد الإلكتروني المسمى saudq1978@gmail.com لشركة Hacking Team في ذلك الوقت، إن القصر الملكي لا يستخدم بريدًا إلكترونيًا رسميًا. فقد كتبوا: "أنا منتدب من قبل حكومتي للاتصال بك. نحن من مكتب الملك في الديوان الملكي السعودي. ليس لدينا بريد إلكتروني رسمي، ولا نستخدم إلا الفاكس الآمن".

ويبدو أن فريق Hacking Team كان قد اقتنع بهذا الرد (أو بمعلومة الفاكس التي تبعته)، لأن الشركة استمرت في التواصل مع عنوان البريد الإلكتروني هذا، وعقدت في النهاية اجتماعًا في العاصمة السعودية الرياض. وقال أحد مديري الحسابات في رسالة بالبريد الإلكتروني: "إنه لمن دواعي سرور شركة Hacking Team  أن تزوركم في الرياض. سوف نكون موجودين لنريكم نسخة أولية مباشرة، وعرضًا لحلِّنا في التاسع من أيار/مايو 2012".

وفي نفس الفترة التي كان يراسل أثناءها شركة Hacking Team تقريبًا، كان مستخدم البريد الإلكتروني saudq1978@gmail.com -أيًا كانت هويته- يبحث بصورة نشطة عن أدوات الاختراق والمراقبة في أماكن آخرى على الإنترنت.

وكان شخص يستخدم عنوان البريد الإلكتروني نفسه (saudq1978@gmail.com)، عضوًا نشطًا في مجتمع للجريمة الإلكترونية على الإنترنت يُسمى Hack Forums لسنوات، كان يطلب خلالها المساعدة في اختراق أجهزة الضحايا واستخدام برامج مراقبة. ويُعد المنتدى مكانًا مخصصًا في الغالب للمخترقين المبتدئين ذوي المهارات المحدودة، حيث يمكن للناس أن يتبادلوا النصائح المتعلقة بالاختراق، وشراء خدمات وأدوات الإختراق البسيطة.

 اشترت السعودية أدوات للقرصنة من شركة Hacking Team الإيطالية لبرامج التجسس، وفقًا لرسائل البريد الإلكتروني التي كُشف عنها بعد اختراق الشركة في عام 2015.

يحتاج المستخدمون إلى بريد إلكتروني للتسجيل من أجل الحصول على حساب في المنتدى، وقد اُستخدم البريد الإلكتروني saudq1978@gmail.com لتسجيل المستخدم الذي يحمل اسم Nokia2mon2، وفقًا للبيانات التي نشرها على الإنترنت قراصنة اخترقوا موقع Hack Forums عام 2011، والتي استعرضها موقع Motherboard.

وقال مستخدم قديم مطلع على شؤون موقع Hack Forums لـ Motherboard، إن المستخدم Nokia2mon2 لديه عنوان سعودي في حسابه على Paypal، استخدمه لتقديم تبرعات للمنتدى. وقال المصدر إن بعض البائعين في المنتديات في ذلك الوقت قد عملوا على أساس افتراض يقول إن المستخدم كان يعمل لصالح الحكومة السعودية.

وقال المصدر، الذي طلب عدم ذكر اسمه لتجنب لفت الانتباه إلى شخصيته، في محادثة عبر الإنترنت: "كان لدي انطباع بأنه على علاقة قوية بالعائلة المالكة. كانت الشائعات تقول إنه يستخدم Hack Forums للحصول على أدوات من أجل التجسس على الصحفيين والأجانب والمعارضين". وفي الخانة المخصصة لـ Nokia2mon2، وصف بأنه "واحد من أكثر المستخدمين شهرة على موقع Hack Forums".

قدم Nokia2mon2 للمنتدى تبرعات سخية، بلغت أكثر من 10 آلاف دولار، حسبما بينت الجوائز التي منحه إياها فريق الإشراف في الموقع والمدرجة على ملفه الشخصي. كتب Nokia2mon2 على الموقع 501 منشور في الفترة الممتدة بين 2009 ونيسان/أبريل 2016، عندما أصبح الحساب غير نشط. وكان الحساب يطلب في أغلب الأحيان بالمساعدة في استخدام برامج التجسس وشرائها.

"هل توجد أي أداة إدارة عن بعد (RAT) يمكن أن تتسلل إلى حواسيب ماك"؟ سأل Nokia2mon2 في آذار/مارس 2014، مستخدمًا اللغة الشائعة بين العاملين في مجال أمن المعلومات في أداة الإدارة عن بعد (Remote Access Tool)، وهو برنامج يمكن أن يستخدم للتحكم في الحواسيب عن بعد يشيع استخدامه بين المخترقين سيئي القصد، لاختراق حواسيب الضحايا وسرقة ملفاتهم أو تشغيل كاميرا الويب الخاصة بهم.

وقال المستخدم في سلسلة منشورات أخرى إنهم كانوا يبحثون عن "خبير" يمكن أن يساعدهم في برنامج  njRAT، وهو برنامج تجسس شائع سهل الاستخدام نسبيًا، لأنه "بعد وضع الملف داخل جهاز الضحية بثانية واحدة (انقطع الاتصال)". وعرض المستخدم 200 دولارًا مقابل الحصول على الخدمة.

اقرأ/ي أيضًا: وداعًا للصحافة.. أهلًا في جمهورية "السوشال ميديا" للأخبار الكاذبة!

كان الباحث في شؤون الأمن، جايكوب ريغز، أول من نبه موقع Motherboard إلى أن عنوان جي ميل الظاهر الخاص بالقحطاني قد ظهر في تسريب كلاً من شركة Hacking Team وموقع Hack Forums. تحقق موقع Motherboard بشكل مستقل من أن saudq1978@gmail.com هو بالفعل البريد الإلكتروني نفسه المرتبط بالمستخدم Nokia2mon2. لم نتمكن من ربط عنوان الجي ميل بالمستشار السابق في الديوان الملكي السعودي، سعود القحطاني، ولكن الرسائل الإلكترونية المسربة من شركة Hacking Team تمكنت من تأكيد أن عنوان البريد الإلكتروني قد استخدم للحصول على أدوات اختراق، وللتخطيط لعقد اجتماع شخصي في السعودية مع شركة Hacking Team.

في هذا السياق، قال ديلان هايلي، الباحث في مجال الأمن السيبراني الذي يراقب موقع Hack Forums كجزء من عمله في ذلك الوقت، متحدثًا إلى Motherboard إنه لا يزال يذكر المستخدم Nokia2mon2. وأضاف أن  أكثر ما يميز المستخدم Nokia2mon2 هو أنه مستعد لتقديم مبالغ كبيرة من المال مقابل خدمات سهلة نسبيًا ورخيصة بالعموم.

وبين في محادثة عبر الإنترنت: "لقد دفع مبالغ كبيرة مقابل أن يستهدف آخرون أشخاصًا من أجله، لكنه كان يقوم بذلك بشكل سيئ للغاية"، مضيفًا أن الأمر كان غير عادي لأنه يعتقد أن الكثير من المستخدمين على الموقع هم من اليافعين الذين لا يملكون عادةً الكثير من المال الفائض، و"لأن معظم الأشخاص على الموقع كانوا قاصرين، فقد كان من النادر رؤية شيء كهذا".

وقال هايلي إنه لم يكن يعرف من هو Nokia2mon2 في ذلك الوقت، لكنه قال إنه كان من الواضح أن المستخدم سعودي، أو أنه على الأقل من الشرق الأوسط، لأن Nokia2mon2 حاول مرة أن يدفع لأحد الأشخاص مقابل تثبيت برمجيات خبيثة من أجله، وأنه كشف عن معلومات بنكية تفيد بأنه من السعودية. وتذكر هايلي حادثة أخرى، حين طلب Nokia2mon2 المساعدة في اختراق هدف ما عن طريق نشر عنوان البريد الإلكتروني الخاص بالضحية، ما دفع العديد من المستخدمين لإرسال رسائل مزعجة (spam) إلى الهدف.

لم تسترجع الرسائل الإلكترونية التي أرسلت إلى saudq1978@gmail.com. ولم يرد فينسنزيتي عندما تم التواصل معه عن طريق رسالة نصية. ولم تجب السفارة السعودية في واشنطن على مكالمة هاتفية، ولا على رسالة أُرسلت عبر صفحة الاتصال الخاصة بها.

 

اقرأ/ي أيضًا: 

خدعة الحسابات الآلية عبر تويتر.. جندي السعودية غير المجهول ضد قطر

تويتر والسعودية.. العالم قرية صغيرة بيد الاستبداد