أمن المعلومات

كيف تتجسس الحكومات على المعارضين لها – الجزء الثاني

كيف تتجسس الحكومات على المعارضين لها – الجزء الثاني

كنا في الجزء الأول من هذه السلسلة و التي تتحدث عن الطرق التي تستخدمها الدول في عمليات التجسس على معارضيها سواء كانوا سياسيين, حقوقيين, نقابيين, صحفيين او غيرهم. في هذا الجزء سنسلط الضوء على أول حالة من الحالات التي سنشرحها وهي دولة البحرين و سنقوم بتوضيح الكيفية التي تم استخدامها من قبلها للتجسس على معارضيها.
طبعا ننوه بأن ما نقوم بشرحه و توضيحه هنا يعتمد على دراسات و ابحاث و اخبار تم تجميعها و دراستها للخروج بهذه الصورة .

بإسم الله نبدأ,

كما ذكرنا في الجزء الاول فإن معظم الهجمات و عمليات التجسس التي تتم تكون عن طريق برامج خاصة تسمى RAT و هي برامج يتم ارسالها للضحايا بعدة طرق, مثل ان يتم دمجها مع ملفات المرفقات في البريد الإلكتروني. و عندما يقوم الضحية بتحميل الملف و تشغيله, يقوم هذا الملف البرمجي الخبيث بنشر نفسه على الجهاز على عدة أماكن, منها ان يقوم بوضع نفسه على قائمة البرامج التي تعمل عند بدء التشغيل و ان يقوم بدمج نفسه مع برامج أخرى و غيرها من الطرق. كما انه يتم اجراء عمليات تشفير لها حتى لا يتم كشفها من قبل برامج مكافحة الفايروسات وغيرها.

بالإضافة الى الطريقة السابقة فانه يتم استخدام اسلوب الهندسة الإجتماعية و هو اسلوب يعتمد بشكل أساسي و رئيسي على خداع المستهدفين من خلال الرسائل الإلكترونية او الإعلانات او حتى الإتصالات الهاتفية, حتى انه يسمى بالإختراق دون معرفة تقنية لانه يعتمد على الخداع كما أخبرناكم .

حسب الورقة البحثية والتي تم ذكرها في الجزء الأول من هذه السلسلة فإنه قد تم تحليل حملتين من حملات الهجوم التي شنتها الحكومة البحرينية على المعارضين لها منذ شهر فبراير 2011.

اعتمدت الحملة الأولى على رسائل بريد الكتروني تحتوي على ملفات مرفقة تحتوي على فايروس FinSpy و هو فايروس من نوع حصان طروادة يتم تطويره من قبل شركات متخصصة لتقوم ببيعه خصيصا للحكومات.

فيما اعتمدت الحملة الثانية على روابط تجسس على عناوين الإنترنت من خلال رسائل الكترونية يتم ارسالها الخاصة بالمستهدفين, بحيث انه عندما يتم النقر على هذه الروابط فانه يتم تخزين عناوين الإنترنت للأجهزة التي تم النقر و الزيارة لهذه الروابط من خلالها, بحيث يتم من خلالها الكشف عن اي شخص يقوم بتصفح و زيارة مواقع التواصل الإجتماعية بشكل مجهول و اسماء مستعارة, حيث تم اعتقال الأشخاص الذين قاموا بالنقر على هذه الروابط مثل ما قمنا بتوضيحه في الجزء الأول من السلسلة مع قصة الشاب علي و الذي تم اعتقاله و الحكم عليه بالسجن لمدة عام كامل بتهمة شتم ملك البحرين.

معظم الأدلة التي كانت في كلتا الحملتين تدل على تورط الحكومة فيها, بحيث كان الهدف من الحملة الأولى هو استهداف المعارضين خارج البحرين وذلك للتحكم بأجهزتهم عن بعد و سحب البيانات منها, اما الحملة الثانية فقد كان الهدف منها استهداف المعارضين داخل البحرين للحصول على عناوين الإنترنت التي يتصلون الإنترنت من خلالها…

طبعا السبب من وجهة نظري في استخدام الحملة الأولى مع المعارضين في الخارج و الثانية مع المعارضين في الداخل الى انه لو تم استخدام الثانية في الداخل فانها ستكون مكلفة و مرهقة وهم بحاجة فقط الى تحديد هوية الشخص من داخل البحرين, اما الحملة الاولى فقد تم استخدامها مع المعارضين في الخارج لأن تحديد عنوان الإنترنت غير مهم في هذه الحالة و لن يفيدهم لأنه لعنوان خارج البحرين, لذا من الضرورة في كل حالة استخدام الطريقة التي ذكرناها أعلاه.

كيف تتجسس الحكومات على المعارضين لها

الحملة الاولى :

في شهر نيسان من عام 2012 تلقى الباحثين الامنيين لهذا البحث خمسة رسائل بريد الكتروني من نشطاء في العمل الصحفي يعملون في البحرين من امريكا و بريطانيا, حيث بعد تحليلها وجد بأن المرفقات في هذه الرسائل تحتوي على ملفات تنفيذية (exe) تم تصميمها لتبدوا كأنها ملفات صور. حيث ان بعض هذه الملفات تحتوي داخلها أسلوب يقوم من خلاله نظام تشغيل ويندوز بقراءة اسم الملفات بالعكس, فمثلا لو كان اسم الملف هو exe.ahmad.jpg وهو ما يظهر للوهلة الأولى بأنه صورة, فبناء على الأسلوب المستخدم سيتعامل نظام التشغيل ويندوز مع هذا الملف على انه بهذا الإسم gpj.damha.exe بحيث وبمجرد ان يقوم الشخص المستهدف او الضحية بمحاولة مشاهدة الصورة سيقوم الملف بالتنفيذ على الجهاز على انه ملف تنفيذي.

الملفات الأخرى كانت بإمتداد (rar) وهي برامج تعمل بإعتماد على خوارزمية من خوارزميات ضغط الملفات و المجلدات و ارشفتها, حيث يحتوى هذا الملف على ملف word مدمج معه ملف تنفيذي (exe) يتم تنفيذه بمجرد فتح ملف ال word. الا ان هذا النوع من الملفات يستهدف الأشخاص الذين يقومون بالتقليل من اعدادات الامن لملفات word , وذلك يعود الى ان برامج Microsoft Word وبشكل افتراضي تقوم بإظهار رسالة تحذير بأن التقنية المستخدمة و هي ما تسمى ب macro غير فعالة.

بعد استلامهم لهذه الرسائل قام الفريق الأمني المتخصص بتشغيل هذه الملفات على بيئة افتراضية بحيث لا تؤثر على النظام الرئيسي, ووجدوا بأنه و بمجرد تشغيل هذه الملفات فإن القيمة التالية ظهرت في الذاكرة الخاصة بالجهاز :

y:lsvn_branchesfinspyv4.01finspyv2

وهذه القيمة تظهر بأن البرنامج المستخدم في التجسس هو برنامج FinSpy و هو برنامج كما ذكرنا مبرمج من قبل شركة Gamma الدولية و الذي تقوم ببيعه للدول, حيث تم استخدام طرق خاصة تقوم بعمل ما يسمى obfuscation وهي عملية تشويش على اي شخص يرغب بعمل هندسة عكسية للبرنامج للحصول على الكود المصدري للبرنامج و بالتالي تحليله و معرفة كيفية عمله.

وجد بانه قد تم تنفيذ هذه العملية بشكل خاص لهذا البرنامج و ليس بأي طريقة معروفة مسبقا. ولكن الباحثين قاموا بابتكار طريقة حصلوا من خلالها على ملف تنفيذي مماثل من قاعدة بيانات يمتلكونها تحتوي على برمجيات خبيثة, بحيث تم التعرف عليه بأنه ملف تجسس من نوع FinSpy 3.0 يقوم بالإتصال مع خوادم الشركة.

بعد تحليلهم للبرنامج بشكل معمق وجدوا بأن البرنامج يحتوي على مجموعة من الأعمال التي يمكنه القيام بها, ويمكنه ان يقوم بتحميل مهام جديدة عن طريق اتصاله بخوادم خاصة تسمى خوادم القيادة و التحكم (Command & Control Servers) بحيث يمكنه :

– التقاط كلمات المرور لأكثر من 20 تطبيق مختلف.
– تسجيل الحركات التي تتم على الشاشة.
– التجسس على محادثات برنامج Skype.
– سحب الملفات من الجهاز.
– مراقبة و حفظ كل ما المحادثات عن طريق المايك و الصور عن طريق الكاميرا.
 

كيف تتجسس الحكومات على المعارضين لها

 

 

بعد ان يتم التقاط هذه البيانات يتم حفظها على الجهاز في مجلد محدد بشكل مشفر, ومن ثم يتم ارسالها بشكل دوري لخوادم التحكم و السيطرة. بعدها يتم تغيير اسماء الملفات لمرات متعددة و حذفها و الكتابة عليها و ذلك للتصعيب من عمليات التحقيق الجنائي الرقمي لها.

هذه البرامج الخبيثة استخدمت بداخلها تقنيات عالية و متعددة لمنع عمليات التحليل و التصحيح لها, في البداية لم تنجح محاولات الباحثين الأمنيين, الا انهم بعدها و عند استخدامهم لبعض التقنيات المتطورة وجدوا بأن هذا البرنامج يستخدم في عملية التشفير تطبيق مخصص من خوارمية AES-256-CBC و المخصصة للتشفير. لن أخوض بشكل كبير في عملية التشفير و تحليلهم و فكهم لها لانها تحتاج الى اناس متخصصين لفهمهم لها.

عند تحليلهم لعمليات الإتصال التي قام بها هذا البرنامج و جدوا بأنها تتصل مع خادم بعنوان انترنت يعود لمشترك بشركة بتلكو البحرينية, وهي المزود الرئيسي للإنترنت والإتصالات بالبحرين. وقد صرح احد المسؤولين في شركة Gamma المبرمجة لهذه التطبيقات و البرامج الخبيثة بأن هذا الخادم الموجود في البحرين ما هو الا خادم وسيط وخادم السيطرة و التحكم من الممكن ان يكون موجود في اي مكان.

بعد ذلك وحتى يتم دراسة مدى استجابة المخترقين للبيانات التي يتم سرقتها بواسطة هذا التطبيق, تم التعامل مع منظمة Bahrain Watch و هي منظمة بحرينية ناشطة, حيث قامت المنظمة بتصميم صفحة دخول وهمية على موقعها الإلكتروني و قامت بتزويد الباحثين الأمنيين الذين يعملون على تحليل هذه الهجمات ببيانات الدخول (username & password) الخاصة بهذه الصفحة الوهمية. بعدها تم الدخول لهذه الصفحة عن طريق المتصفح و تخزين البيانات في المتصفح, ومن ثم تم تنصيب البرنامج الخبيث FinSpy بهذا الجهاز وسمح له بالإتصال بخادم التحكم و القيادة في البحرين و الذي تم ذكره سابقا.

كيف تتجسس الحكومات على المعارضين لها

 

 

سجل بعد ذلك الخادم الخاص بالمنظمة محاولات دخول من عنوان انترنت واحد لأكثر من مرة ولكنها للصفحةو الرئيسية لموقعهم و ليس للصفحة الوهمية, و عندما قام الفريق بتحليل وفك الحزم المرسلة من قبل البرنامج الخبيث الى خادم القيادة و التحكم وجد بأنه قد ارسل البيانات التالية :

INDEX,URL,USERNAME,PASSWORD,USERNAME FIELD,
PASSWORD FIELD,FILE,HTTP 1, http://bahrainwatch.org,bhwatch1,watchba7rain, username,password,signons.sqlite, Very Strong,3.5/4.x

بحيث لم يتضمن ما تم ارساله رابط صفحة الدخول الوهمية, والسبب في ذلك الى ان متصفح فايرفوكس عندما يتم تخزين بيانات الدخول لموقع ما فيه فانه لا يقوم بتخزين رابط لوحة التحكم و لكن يقوم بتخزين رابط الموقع مع بيانات الدخول.

الحالة الثانية :

في حملات التجسس على عناوين الإنترنت, يكون الهدف من قبل المهاجم هو الحصول على عنوان الإنترنت الخاص بالشخص او الأشخاص الذين يديرون ويشغلون الحسابات الوهمية على مواقع التواصل الإجتماعي فيسبوك, تويتر او البريد الإلكتروني المجهول الهوية, وتتم هذه العملية عن طريق ارسال رابط لصفحة ويب او بريد الكتروني يحتوي على صورة بإستخدام العديد من الخدمات المجانية المخصصة لذلك مثل iplogger.org, ip-spy.com وغيرها من المواقع والخدمات الأخرى. عندما يقوم الضحية بزيارة هذه الروابط يتم تخزين و ارسال عنوان الإنترنت الخاص به مع وقت و تاريخ التصفح للمخترق, بعدها يقوم المخترق بمعرفة هوية الضحية من خلال الشركات المزودة لخدمات الإتصالات و الإنترنت.

كيف تتجسس الحكومات على المعارضين لها

 

 

و هذه الحالة ما تم شرحه في الجزء السابق مع الشاب علي صاحب الحساب المجهول الهوية على تويتر, والذي قام بارسال و كتابة تغريدات شتم فيها ملك البحرين متهما اياه بالطاغية, حيث قام احد مشغلي الحساب بتزويد الباحثين بالرابط المشبوه و الذي تم من خلاله القبض على علي, حيث تم استقبال هذا الرابط من حساب بإسم Red sky. تم القاء القبض على صاحب حساب Red Sky بتاريخ 17-10-2013 بتهمة اهانة ملك البحرين على تويتر و حوكم باربعة شهر بالسجن, وعندما تم اطلاق سراحه لم يستطع الدخول لى حساباته المختلفة حيث تم تغيير بيانات الدخول الخاصة بها.

الرسالة التي تم استقبالها من صاحب الحساب Red Sky على الحساب الذي يديره علي تحتوي على رابط مختصر من خدمة شركة جوجل (goo.gl) وبعد تحليل الرابط وجد بأنه يقوم بتحويل المستخدمين لرابط على موقع iplogger.org ووجد بأنه قد تم النقر عليه مرة واحدة من داخل البحرين بتاريخ 12/8/2013, وحسب ملفات القضية في المحكمة فان الشركة المزودة لخدمات الإنترنت حددت بأن عنوان الإنترنت الذي تم الحصول عليه هو لوالد علي في ذلك الوقت.

كيف تتجسس الحكومات على المعارضين لها

 

 

ماتم ذكره في قضية علي وقضايا أخرى تم توضيحه في الصورة التالية و التي تمثل عمليات التجسس على عناوين الإنترنت التي تم تعقبها من خلال الباحثين في هذا البحث, لن نخوض في جميع الحالات الموجودة في الصورة لأنها تقريبا مشابهة بالطريقة المستخدمة.

img

قلنا ايضا من ان هذا النوع يمكن فيه استخدام طريقة اخرى غير ارسال روابط و هي ارسال صورة يتم تضمينها بالرسائل و هي موجود على خوادم اخرى, حيث تلقى حساب كل من مريم و سيد يوسف حسب الصورة اعلاه رسائل يوجد فيها صور مضمنة عن بعد باستخدام موقع readnotify.com و الذي يقوم بتسجيل عنوان الإنترنت الخاص بأي شخص يقوم بإستعراض و تحميل الصور المرسلة منه. و بالرغم من ان هذا الموقع يحظر التحايل في استخدامه الا انه يوجد فيه ثغرة معروفة لدى المهاجمين, يحث قاموا بإستغلاله للحصول على غايتهم وهي عناوين الإنترنت الخاصة بالضحايا.

وبمراقبتهم ومتابعتهم لحسابات مختلفة على مواقع التواصل الإجتماعي, تم العثور على اكثر من 200 رابط تم استخدامها للتجسس على عناوين الإنترنت, وقد قام المخترقون باستخدام الطرق التالية :
– حسابات لأشخاص معارصين و موثوقين و لكنه قد تم اعتقالهم مثل Red Sky.
– حسابات وهمية مثل حسابات لنساء و حسابات لشركات توظيف.

كيف تتجسس الحكومات على المعارضين لها

 

 

بهذا نكون وصلنا الى نهاية هذا الجزء, اعلم بأنه طويل ولكني حاولت اختصاره قدر الإمكان و توضيحه بأبسط صورة ممكنة لجميع القراء.

تابعونا قريبا في الجزء الثالث من المقال في الوقت القريب ان شاء الله تعالى.

المراجع : بحث بعنوان When Governments Hack Opponents


لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

 

كيف تتجسس الحكومات على المعارضين لها

 

الوسوم

محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

مقالات ذات صلة

‫2 تعليقات

  1. السلام عليكم .
    يعطيكم الف عافية وسدد الله خطاكم في طريق الحق والحقيقة .
    نشكرك استاذ محمد الخريشه على جهودك الطيبة ان شاءالله في هذه الدراسات والتحليلات من اجل تواصل امن .
    ولا اخفيك سر ان قلت ان دراساتك ليست سهلة وحاولت قدر المستطاع ان استوعبها وان التقط نقطة مهمة وهو ان لا نفتح اي رابط مهما كان مصدره على صندوق الرسائل وخاصة من اسماء لا نعرفها ولا نثق بها ولسنا معتادون على المراسلة مع هذه الاسماء .
    ارجو لكم التوفيق .

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

16 − 13 =

إغلاق