هجمات إلكترونية للتجسس على مواطنين مصريين.. من يقف وراءها؟

هجمات إلكترونية للتجسس على مواطنين مصريين.. من يقف وراءها؟

استهدفت السلطات المصرية 33 معارضًا على الأقل بهجمات إلكترونية (أ.ب)

الترا صوت - فريق الترجمة

خلال الأسابيع القليلة الماضية، عرفت مصر حملة اعتقالات موسعة، شملت متظاهرين أو مشتبه في كونهم مؤيدين للتظاهرات، إضافة إلى عدد من الأكاديميين والسياسيين والحقوقيين، وذلك على إثر دعوات للتظاهر انطلقت من على السوشيال ميديا.

 كشفت شركة أمن سيبراني، عن هجمات إلكترونية معقدة نفذتها جهات تابعة للنظام المصري، ضد نشطاء وسياسيين وأكاديميين معارضين

تبين أن جزءًا من حملة الاعتقالات، خاصة اعتقالات الأكاديميين والسياسيين والحقوقيين، استندت إلى التجسس على هؤلاء المعتقلين من خلال هجمات إلكترونية مُعقّدة، استهدفت هواتفهم المحمولة، وفقًا للتقرير الذي نشرته صحيفة نيويورك تايمز، والذي ننقله لكم مترجمًا بتصرف فيما يلي.

اقرأ/ي أيضًا: كيف تستخدم الأنظمة العربية برامج التجسس الغربية لقمع النشطاء والحقوقيين؟


تتبعت شركة أمن سيبراني، سلسلة من الهجمات الإلكترونية المعقدة التي استهدفت صحفيين وأكاديميين ومحامين وسياسيين معارضين ونشطاء حقوقيين في مصر، لتجد أن مصدر هذه الهجمات، هي جهات تابعة للحكومة المصرية.

نشرت شركة "Check Point" للبرمجيات -واحدة من أكبر شركات الأمن السيبراني في العالم- تقريرًا لها، جاء فيه أن المهاجمين ثبّتوا برمجيات في هواتف الضحايا، تسمح لهم بقراءة الملفات والرسائل الإلكترونية، وتتبع المكان والتعرف على هوية من يتصلون بهم وأوقات الاتصال. 

وقبض على إثنين من النشطاء المستهدفين، في حملة اعتقالات لرموز المعارضة، خلال شهر أيلول/سبتمبر الماضي، بعد اندلاع احتجاجات معارضة للنظام الحاكم في مصر.

وتوصلت الشركة إلى أن الخادم المركزي المستخدم في الهجوم، مسجل باسم وزارة الاتصالات المصرية، وأن الإحداثيات الجغرافية في أحد التطبيقات المستخدمة لتتبع النشطاء، تشير إلى مقر جهاز المخابرات العامة المصري. 

بدأ الهجوم السيبراني عام 2016، وعدد الضحايا غير معروف حتى الآن، لكن الشركة تعرفت على 33 شخصًا منهم، معظمهم نشطاء مدنيون ومعارضون مشهورون، تم استهدافهم في إحدى مراحل الهجوم.


اعتقلت السلطات المصرية كلًا من خالد داوود (يمين) وحسن نافعة، وكانت تتجسس إلكترونيًا على الاثنين

وقالت أسيل كيال، المحللة في الشركة: "اكتشفنا قائمة بأسماء الضحايا شملت سياسيين معينيين ونشاط اجتماعيين وصحفيين مشهورين وعددًا من المنظمات غير الربحية في مصر".

العملية السيبرانية الثانية للنظام المصري

في أغسطس/آب الماضي، كشفت تقارير عن حملة مصرية لحشد الدعم للجيش السوداني باستخدام حسابات تواصل اجتماعي مزيفة. وكانت وراء هذه العملية، شركة على علاقة وثيقة بالسلطات المصرية.

أما الهجوم الأخير الذي استهدف شخصيات مصرية محسوبة على المعارضة، فقد استخدم مجموعة مختلفة من التطبيقات المشبوهة، منها على سبيل المثال تطبيق خاص بخدمة "Gmail" يدعى Secure Mail، يرسل للمستهدفين رسائل تفيد بأن حساباتهم تعرضت للاختراق، ويطلب منهم الكشف عن كلمات المرور الخاصة بهم.

وهناك تطبيق آخر أيضًا استُخدم في هذه العملية، يدعى "iLoud200%"، يَعِدُ المستخدمين برفع مستوى الصوت في أجهزة الهاتف، لكنه في الحقيقة بدلًا من ذلك يمنح المهاجمين القدرة على معرفة مكان الهاتف، حتى لو أغلق المستخدم خدمة تحديد الموقع.

أما أعقد التطبيقات المستخدمة، فهو تطبيق يُسمى "IndexY"، وهو تطبيق مجاني يُمكن من معرفة هوية المتصل، وأكثر من ذلك أنه يقوم بنسخ كل تفاصيل المكالمات المجراة على الهاتف، وإرسالها إلى خادم خاص بالمهاجمين، مع التركيز على المكالمات التي تجرى مع جهات خارج مصر. وقد اكتسب تطبيق IndexY، منذ إطلاقه في مطلع هذا العام، شهرة على متجر "جوجل بلاي"، وتم تحميله خمسة آلاف مرة.

ووفقًا لباحثي شركة Check Point فإن مجرد وصول التطبيق إلى متجر جوجل بلاي الذي لديه معايير خاصة لفحص التطبيقات الجديدة المضافة عليه؛ فهذا يدل على درجة عالية من التعقيد في تطوير التطبيق.


واجهة تطبيق IndexY على جوجل بلاي قبل حذفه

 وظل التطبيق متاحًا في متجر جوجل بلاي حتى أبلغت عنه شركة Check Point في 15 يوليو/تموز الماضي، فأزالته جوجل من المتجر وحظرت المطور بعدها بأسبوعين.

أخطاء فضحتهم

رغم مهاراتهم والموارد المتاحة لديهم كما يبدو، إلا أن المهاجمين أو القائمين على عمليات الاختراق هذه، ارتكبوا عدة أخطاء مكنت الشركة من تتبع مصادر التطبيقات التي يستخدمونها.

فالصفحات والمواقع التي استخدمها المهاجمون، جميعها مرتبطة بعنوان "IP" تابع لشركة اتصالات روسية تدعى "Marosnet"، والخادم المركزي في الهجوم مسجل باسم "MCIT"، وهو مختصر لاسم وزارة الاتصالات وتكنولوجيا المعلومات في مصر.

كما أن تطبيق "iLoud200%"، مثله مثل تطبيقات تحديد الموقع، به إحداثيات أساسية، تدل بشكل عام على موقع تنشيطه أول مرة من قبل المطورين. والإحداثيات الأساسية المسجلة في التطبيق تشير إلى أحد مقرات جهاز المخابرات العامة المصري.

وتشير شركة Check Point إلى احتمالية أن يكون شخصٌ ما قد زرع الإحداثيات في التطبيق لتوريط الحكومة المصرية، غير أنها ترجح أن إحداثيات التطبيق تُركت في الخادم بسبب إهمال الأشخاص القائمين على العملية.

كما أن هناك أدلة أخرى على تورط السلطات المصرية في الهجمات السيبرانية، فمثلًا: المراحل المتعددة للهجوم والكم الهائل من البيانات المجموعة، تتطلب موارد مالية وبشرية كبيرة، فضلًا عن أن قائمة المستهدفين من الهجوم الذين تم اختيارهم على ما يبدو بسبب نشاطهم السياسي، لا تتوافق مع قائمة أهداف القراصنة الاعتياديين، الذين يركزون أكثر على جني المال.

يُضاف إلى ذلك أن اللغة المستخدمة من قبل المهاجمين هي اللغة العربية، كما أن التوقيت القياسي المستخدم في التطبيقات التي نفذت بها الهجمات، هو التوقيت المصري؛ وذلك كله يعزز أدلة تورط السلطات المصرية في تلك الهجمات.

اعتقال ضحايا للهجمات

هذا واعتقل اثنان من ضحايا الهجمات الإلكترونية الذين توصلت الشركة إلى أسمائهم، وذلك بعد مظاهرات 20 أيلول/سبتمبر التي شهدتها مصر. والاثنان هما: أستاذ العلوم السياسية حسن نافعة، ورئيس حزب الدستور خالد داوود.

وسبق أن اعتقل ضحية ثالثة للهجمات الإلكترونية، هو الطبيب والناشط السياسي المعارض شادي الغزالي حرب، الذي اعتقل في أيار/مايو 2018 بعد انتقاده للحكومة على تويتر، وهو الآن قيد الحبس الانفرادي بتهمتي "إهانة الرئيس ونشر أخبار كاذبة".

وبدأ تحقيق شركة "Check Point" بعد تقرير لمنظمة العفو الدولية في مارس/آذار الماضي، يفيد بأن عددًا من النشطاء الحقوقيين كانوا هدفًا لهجمات إلكترونية مدعومة من الحكومة، تهدف للحصول على كلمات سر حسابات البريد الإلكتروني الخاصة بهم. وخلصت المنظمة إلى أن الهجمات على الأرجح نفذت من قبل السلطات المصرية أو بالنيابة عنها.


iLoud200% من التطبيقات التي استخدمت في الهجمات الإلكترونية

وتوصل تحقيق الشركة إلى أن الهجمات كانت أوسع نطاقًا مما أفاد به تقرير منظمة العفو الدولية، وأن هناك أدلة مفصلة تشير إلى أن السلطات المصرية هي التي تقف وراء الهجمات الإلكترونية.

استهداف مصريين في الخارج

وتضم قائمة المستهدفين التي تحصلت عليها الشركة 33 مصريًا، بعضهم يعيش في كندا وبريطانيا والولايات المتحدة، وقد صرح بعضهم بأنهم يعرفون بالفعل أن بريدهم الإلكتروني مستهدف بسبب تحذيرات من جوجل أو من منظمتي العفو الدولية وهيومن رايتس ووتش.

وقال مدحت الزاهد، رئيس حزب التحالف الشعبي الاشتراكي، إنه توقف عن استخدام البريد الإلكتروني المدرج في خادم الهجوم، بعد علمه بأن الحساب مخترق، مضيفًا: "أنا قلق بالتأكيد لأن هذا خرق لخصوصيتي ليس أكثر، فكل شيء في حياتي علني ومعروف".

وبالنسبة لبعض النشطاء، فإن محاولات اختراق حسابات بريدهم الإلكتروني أو هواتفهم المحمولة، تمثل مجرد حلقة إضافية من حلقات القمع والتضييق في مصر، حيث يتعرض المعارضون والنشطاء للاعتقال وقضاء فترات طويلة في السجن والحظر من السفر وتجميد أموالهم. وتعرض الكثير منهم للتشويه في وسائل الإعلام الموالية للدولة.

وقالت المحامية وناشطة حقوق الإنسان، راجيا عمران، إنها تلقت تحذيرات متكررة من باحثين في مجموعات حقوق الإنسان بأن اتصالاتها مخترقة. وأضافت: "أنا قلقة دائمًا، ولا أستخدم البريد الإلكتروني للتحدث عن أي شيء سري وخاص".

ومن كندا، استُهدف مسؤول في التحالف المصري الكندي من أجل الديمقراطية، بعد أن نشر التحالف مقطع فيديو لوزيرة الدولة لشؤون الهجرة والمصريين بالخارج، وهي تلوح بإشارة تهديد، وذلك خلال زيارتها لكندا في تموز/يوليو الماضي.

وبعد ذلك بشهرين، حذرت جوجل المسؤول في التحالف، بأن حسابه يتعرض للهجوم، وذلك بحسب المسؤول الذي فضل عدم الكشف عن هويته لتجنب المزيد من الهجمات.

ورد في القائمة كذلك اسم عفاف محفوظ، المحللة النفسية والناشطة الحقوقية التي تعيش في فلوريدا، وقالت إنها تلقت تحذيرات من قبل هيومان رايتس ووتش بأن حساباتها تتعرض للهجوم، على الأرجح بسبب عملها مع المجموعات النسوية في مصر.

كشف التحقيق عن أن الإحداثيات الجغرافية في أحد التطبيقات المستخدمة لتتبع النشطاء، تشير إلى مقر جهاز المخابرات العامة المصري

قالت عفاف محفوظ التي تبلغ من العمر 81 عامًا، وتعاني من مرض عضال: "ظننت أنهم سيتركونني وشأني بسبب كبر سني، لكني لست متفاجئة على كل حال".

 

اقرأ/ي أيضًا:

المصرية للاتصالات تتجسس على مستخدمي الإنترنت وتستغلهم في التعدين الرقمي

هدايا أبوظبي للقاهرة.. نظام جديد للتجسس على الإنترنت