برنامج للتجسس على أجهزة أندرويد ينتشر في سوريا وكازاخستان وإيطاليا

تاريخ النشر: 17.06.2022 | 16:11 دمشق

ريكورد - ترجمة: ربى خدام الجامع

تستخدم المؤسسات التي تعمل في كازاخستان وسوريا وإيطاليا برنامجاً للتجسس خاصاً بالمؤسسات لتخترق أجهزة أندرويد بحسب تقرير نشرته شركة لوك آوت المتخصصة بالأمن السيبراني.

فقد حصل باحثو تلك الشركة على عينة مما يعرف باسم "هيرمت"، وهو الاسم التجاري لبرنامج للمراقبة يُعتقد أن شركة إيطالية متخصصة ببيع برمجيات التجسس، وهي شركة RCS Lab S.p.A. قامت بتطويره إلى جانب شركة Tykelab Srl. للاتصالات.

وفي تقرير نشر يوم الخميس الماضي، أعلنت تلك الشركة المتخصصة بالأمن السيبراني بأن برنامج التجسس هذا بوسعه إخفاء إمكانياته ضمن البرامج التي يتم تحميلها وذلك عقب نشره بواسطة رسائل نصية كما ذكر الباحثون.

وأضافت شركة لوك آوت بأن الباحثين لديها استطاعوا الحصول على ذلك البرنامج الخبيث وتحليله، وهذا ما "ساعد هيرمت على استغلال جهازٍ فتح المجال لهذا التطبيق للوصول إلى جذر نظام الأندرويد، وإلى التسجيلات الصوتية، فقام بإجراء مكالمات هاتفية وأعاد توجيهها، بالإضافة إلى قيامه بجمع البيانات مثل سجل المكالمات وجهات الاتصال والصور وموقع الجهاز والرسائل النصية".

وعن هذا البرنامج يحدثنا جوستين ألبريخت، وهو باحث في مجال استخبارات الخطر لدى شركة لوك آوت، فيقول: "بما أن هيرمت قابل للتعديل ويشمل ذلك إمكانياته التي تمنع تحليله، بل وطريقة معالجته للبيانات بحذر، لذا بات من الواضح بأنه أداة مطورة بشكل جيد قد تم تصميمها لتوفر إمكانيات المراقبة والتجسس لزبائن وعملاء على مستوى دول".

طريقة العمل

يذكر بأن هذا التطبيق الخبيث يظهر بمظهر تطبيقات نظامية "ليخدع المستخدمين عبر فتح صفحات ويب متاحة وقانونية لعلامات تجارية ينتحل صفتها، في الوقت الذي يبدأ فيه بممارسة أنشطته الخبيثة بالسر".

كما يتمتع هذا التطبيق بسمات كثيرة تتيح للمشغلين التحقق من صحة البيانات المسروقة من جهاز الضحية.

وقد أعلنت شركة لوك آوت بأن تطبيق التجسس هذا ورد ذكره في تقرير لمكافحة الفساد نشره البرلمان الإيطالي خلال العام الماضي ضمن التحقيق الذي فتح حول استخدام هذا التطبيق بموجب قانون حفظ النظام الإيطالي في عام 2019. 

تطبيق للتجسس في الشمال السوري

عثرت تلك الشركة الأمنية أيضاً على أدلة تثبت بأن هذا التطبيق استخدم لاستهداف أشخاص في الشمال السوري، وذلك عبر تقليد"شبكة روجافا"، وهي شبكة إخبارية تخدم الذين يعيشون في تلك المنطقة. كما كشف الباحثون في تلك الشركة عن عينات انتحلت صفة شركة Oppo الصينية المصنعة للأجهزة الإلكترونية بالإضافة إلى غيرها من الشركات مثل سامسونغ وفيفو.

أعلن بول شانك وهو باحث أمني لدى شركة لوك آوت بأن بعض العينات المأخوذة من هيرمت التي قاموا بفحصها تحتوي على محتوى عام يناسب الكثير من المستخدمين وغيرهم "ممن تم استهدافهم كما هو واضح".

وأضاف: "يتمتع هذا التطبيق بتصميم فريد وجودة متميزة بالنسبة لعملية التشفير مقارنة بالكثير من العينات الأخرى التي اطلعنا عليها. لذا من الواضح أنه قد تم تطويره بشكل احترافي على يد مصنعين على دراية عالية بهندسة البرمجيات وأفضل الممارسات المتبعة في هذا المضمار. إضافة لذلك، فإننا نادراً ما نصادف تطبيقاً ضاراً قادراً على استغلال أي جهاز بنجاح والاستفادة من الأذونات المتقدمة لصلاحية الروت للوصول إلى جذر الجهاز"، وأضاف بأنهم حصلوا على العينات من خلال VirusTotal وليس من خلال جهاز أصيب بهذا الفيروس.

التطبيق الجاسوسي والحكومة الكازاخية

استعانت العينات التي تم تحليلها بموقع إلكتروني يكتب باللغة الكازاخية كشرك للإيقاع بالناس بحسب ما ذكره شانك الذي شرح بأن المخدم الأساسي للسيطرة والتحكم (C2) الذي يستخدمه هذا التطبيق كان عبارة عن بديل (بروكسي)، وبأن بروتوكول إنترنت (IP ) من كازاخستان هو من يستضيف المخدم الحقيقي، ويشرح شانك لنا ذلك بقوله: "إن الجمع بين استهداف مستخدمين يكتبون باللغة الكازاخية وبين موقع المخدم الخفي يشير بشكل دامغ إلى أن جهة موجودة في كازاخستان هي من تتحكم بتلك الحملة".

إذ ورد في ذلك التقرير بأن "جهة تمثل حكومة البلاد يرجح أنها تقف خلف تلك الحملة"، إلا أن شانك أكد بأنه "لا يوجد دليل مباشر يربط عنوان بروتوكول الإنترنت بالحكومة الكازاخية على وجه التحديد".

كما ذكر بأن تلك العينات عثروا عليها في شهر نيسان، أي بعد مرور أربعة أشهر على المظاهرات العارمة التي خرجت في ذلك البلد، وقد أغلقت الحكومة شبكة الإنترنت لديها في محاولة منها لمنع خروج المظاهرات والاحتجاجات التي بدأت في شهر كانون الثاني الماضي.

ولكن من المؤكد أن كازاخستان تعيش مجدداً حالة تعتيم وإغلاق للإنترنت في مختلف أرجائها منذ صباح يوم الخميس الماضي.

وعندما كانت خدمة الإنترنت متوفرة، ألقى الرئيس الكازاخي توكاييف كلمة متلفزة ناشد فيها الروس لمساعدته في "حماية الدولة".

يعلق شانك على ذلك بقوله: "في الوقت الذي لا تتوفر فيه أدلة مباشرة تربط بين عنوان بروتوكول الإنترنت لهذا التطبيق بالحكومة الكازاخية على وجه التحديد، تبيع شركات الاختراق القانونية منتجاتها بالعادة للحكومات والمؤسسات الحكومية. وإذا افترضنا بأن شركة اتصالات كازاخية قد تمت الاستعانة بها لاستضافة مخدم السيطرة والتحكم بالنسبة للحملة التي تستهدف الكازاخيين، عندها يمكن القول إن هنالك مؤسسة تابعة للحكومة الكازاخية تقف وراء تلك الحملة".

جدير بالذكر بأن جدلاً كبيراً قام حول استخدام برمجيات التجسس من قبل الحكومات خلال هذا الأسبوع، بعدما دخلت شركة L3Harris الأميركية المتخصصة بأمور الدفاع في محادثات لشراء مجموعة NSO وهي عبارة عن شركة لبرمجيات التجسس أنتجت برامج ضارة استخدمت لاستهداف عدد من القادة في مختلف بقاع العالم، إلى جانب استخدامها لاستهداف الصحفيين والحقوقيين.

غير أن إدارة بايدن ذكرت لصحيفة واشنطن بوست يوم الإثنين الماضي بأنها تحس بقلق شديد حيال تلك الصفقة التي تضم مجموعة NSO التي خضعت لعقوبات من قبل وزارة التجارة الأميركية، مع ثلاث شركات أخرى متخصصة في الأمن السيبراني في شهر تشرين الثاني، وذلك لبيعها برمجيات تجسس وغير ذلك من أدوات الاختراق لحكومات قمعية.

وذكرت شركة لوك آوت بأن شركة RCS Lab تربطها علاقات بعدة شركات أخرى تقوم ببيع برمجيات التجسس التي تستخدمها حكومات عديدة في مختلف أنحاء العالم.

في حين ذكر مايك باركين وهو من كبار مهندسي التقانة لدى شركة Vulcan Cyber بأن مطوري هيرمت وغير ذلك من الأدوات الاحترافية "لديهم موارد، ويتمتعون بالدعم حتى يقوموا بتطوير ونشر تلك الأدوات بدعم ضمني من عملائهم الذين يمثلون دولاً... وبصرف النظر عمن يستخدم تلك البرمجيات، أو ما هي الأجندة التي يسعى لتحقيقها، يمكن لتلك الأدوات القائمة على برمجيات تجسس تجارية أن تهدد خصوصية الأفراد بشكل شخصي".

 المصدر: ريكورد

انضم إلى قائمتنا البريدية ليصلك أحدث المقالات والأخبار