استمع إلى المقال

وجد باحثون أمنيون من شركة أمن المعلومات (إسيت) ESET أدلة جديدة تشير إلى أن برامج التجسس التي صنعتها شركة إسرائيلية قد جرى استخدامها من قبل المملكة العربية السعودية والأنظمة الأخرى التي تتجسس على معارضيها ومنتقديها.

وقال باحثون من الشركة السلوفاكية يقيمون في كندا إن برامج الشركة، التي أُدرجت حديثًا إلى القائمة السوداء في الولايات المتحدة، استهدفت أيضًا قراء موقع إخباري في العاصمة البريطانية لندن.

لشركة Candiru ذراع في هجمات ضد مواقع بارزة

ووجد التقرير روابط بين الهجمات ضد مواقع الويب البارزة في الشرق الأوسط والمملكة المتحدة، وشركة التجسس الإسرائيلية (كانديرو) Candiru، التي يُطلق عليها اسم “شركة الحرب الإلكترونية الأكثر غموضًا في إسرائيل”.

وكانت إدارة الرئيس الأمريكي (جو بايدن) قد أدرجت في وقت سابق من شهر تشرين الثاني/ نوفمبر الجاري شركتي Candiru، وNSO Group إلى القائمة السوداء، وذلك في خطوة نادرة باتهام الشركتين بالعمل ضد مصالح الأمن القومي للولايات المتحدة.

وكشف تقرير ESET عن معلومات جديدة عما يُسمى بـ “هجمات ثقب المياه”. وفي مثل هذه الهجمات، يطلق مستخدمو برامج التجسس برامج ضارة ضد مواقع الويب العادية المعروفة بجذب القراء أو المستخدمين الذين يعدهم مستخدمو البرامج الضارة “أهدافًا محل اهتمام”.

وتسمح الهجمات المتطورة لمستخدمي البرامج الضارة بتحديد خصائص الأفراد الذين زاروا الموقع، ومن ذلك: نوع المتصفح ونظام التشغيل الذي يستخدمونه. وفي بعض الحالات، يمكن لمستخدمي البرامج الضارة إطلاق ثغرة تسمح لهم بالاستيلاء على جهاز الحاسوب لهدف فردي.

وعلى عكس برامج التجسس التي تحمل توقيع NSO Group، والتي تسمى (بيغاسوس) Pegasus، والتي تصيب الهواتف المحمولة، يعتقد الباحثون أن برامج Candiru الضارة تصيب أجهزة الحاسوب. ويبدو أن الشركة سُميت على اسم سمك السلور الطفيلي الذي يعيش في المياه العذبة، والذي يمكن العثور عليه في منطقة الأمازون.

ووجد الباحثون أن المواقع التي كانت “أهدافًا معروفة” لهذا النوع من الهجمات تشمل موقع (ميدل إيست آي) Middle East Eye، وهو موقع إخباري في لندن يُعتقد على نطاق واسع أنه ممول من الحكومة القطرية، ومواقع إلكترونية متعددة مرتبطة بوزارات حكومية في إيران واليمن.

وأدان موقع (ميدل إيست آي) في بيان له الهجمات. وقال رئيس تحرير الموقع (ديفيد هيرست) إن المنفذ لم يكن غريبًا عن محاولات القضاء على الموقع من قبل جهات حكومية وغير حكومية. وأضاف: “لقد جرى إنفاق مبالغ طائلة من المال في محاولة لإسقاطنا. وهذا لم يمنعنا من الإبلاغ عما يجري في كل ركن من أركان المنطقة، وأنا واثق من أنهم لن يوقفونا في المستقبل”.

باحثو ESET يوضحون آلية الاختراق

ويقول الباحثون في ESET إنه وبمجرد اختراق مواقع الويب، فإنها تصبح “مواقع انطلاق” تساعد مستخدمي البرامج الضارة على استهداف الأفراد. وبمعنى آخر، لا يسعى المخترقون إلى استهداف كل فرد زار أحد مواقع الويب المخترقة، ولكن يُعتقد أنهم يستخدمون المواقع بوصفها نقطة انطلاق للمساعدة في تحديد مجموعة أصغر بكثير من الأفراد الذي تعرضوا للاختراق، ثم استهدافهم.

وقال (ماثيو فو)، الذي كشف النقاب عن الحملات، إن ESET طورت نظامًا داخليًا مخصصًا في عام 2018 للكشف عن “ثغرات ثقب المياه” على مواقع الويب البارزة. وفي شهر تموز/ يوليو 2020، أبلغهم النظام أن موقعًا إلكترونيًا للسفارة الإيرانية في أبو ظبي ملوث بشفرة ضارة.

وأضاف فاو: “أثار فضولنا الطبيعة البارزة للموقع المستهدف، وفي الأسابيع التالية لاحظنا أن المواقع الأخرى التي لها صلات بالشرق الأوسط قد استُهدفت أيضًا”.

ESET تراقب شركة التجسس

وقالت ESET إن “مجموعة التهديد” بعد ذلك أوقفت نشاطها حتى عادت إلى الظهور في شهر كانون الثاني/ يناير 2021 وظلت نشطة حتى أواخر صيف عام 2021، وذلك حينما تم “تنظيف” جميع المواقع التي لوحظ أنها كانت ضحية للهجمات.

وذكرت ESET أنها تعتقد أن أنشطة القرصنة انتهت في أواخر تموز/ يوليو 2021 بعد تقرير صادر عن باحثين في Citizen Lab، صدر بالاشتراك مع شركة مايكروسوفت، يفصل أنشطة المراقبة المزعومة لشركة Candiru. واتهم ذلك التقرير الشركة الإسرائيلية ببيع برامج تجسس لحكومات مرتبطة بمواقع الويب المزيفة لـ Black Lives Matter، ومواقع منظمة العفو الدولية التي جرى استخدامها لاختراق الأهداف.

وفي تقرير تموز/ يوليو 2021، قال مختبر Citizen Lab، وهو مجموعة بحثية تابعة لجامعة تورنتو، إن Candiru، ومقرها تل أبيب، صنعت برامج تجسس “لا يمكن تعقبها” يمكن أن تصيب أجهزة الحاسوب والهواتف.

وقالت مايكروسوفت في يوليو/ تموز إنه يبدو أن Candiru باعت برامج التجسس التي مكنت الاختراق، وأن الحكومات بصورة عامة تختار من تستهدفها وتدير العمليات بنفسها. كما أعلنت الشركة في ذلك الوقت أنها عطلت “الأسلحة الإلكترونية” الخاصة بشركة Candiru، وأنشأت وسائل حماية ضد البرامج الضارة، ومن ذلك: إصدار تحديث لنظام ويندوز.

الغموض يلف الشركة الإسرائيلية

وهناك القليل من المعلومات العامة المتاحة عن Candiru، التي تأسست في عام 2014 وخضعت لعدة تغييرات في الأسماء. وفي عام 2017، كانت الشركة تبيع برامجها الضارة لعملائها في الخليج العربي، وأوروبا الغربية، وآسيا، وذلك وفقًا لدعوى قضائية نُشرت في صحيفة إسرائيلية. وذكرت مجلة (فوربس) أنه قد يكون لشركة Candiru صفقات مع أوزبكستان، والمملكة العربية السعودية، والإمارات العربية المتحدة.

وذكرت شركة مايكروسوفت أنها عثرت على ضحايا لبرامج التجسس في إسرائيل وإيران. وقال مختبر Citizen Lab أنه كان قادرًا على تحديد جهاز حاسوب جرى اختراقه بواسطة برنامج Candiru الضار، ثم استخدم محرك الأقراص الثابتة هذا لاستخراج نسخة من برنامج تجسس ويندوز الخاص بالشركة. وأضافت أن مالك الحاسوب كان فردًا “نشطًا سياسيًا” في أوروبا الغربية.

وتصدرت كانديرو عناوين الصحف هذا الشهر بعد أن أعلنت إدارة بايدن أنها أضافت الشركة إلى قائمة كيانات وزارة التجارة، وهي قائمة سوداء مخصصة عادة لأسوأ أعداء أمريكا، ومن ذلك: القراصنة الصينيين والروس.

وقالت وزارة التجارة في بيان صحفي لها إن لديها أدلة على أن Candiru طورت وقدمت برامج تجسس لحكومات أجنبية استخدمتها لاستهداف المسؤولين الحكوميين، والصحفيين، ورجال الأعمال، والنشطاء، والأكاديميين، والعاملين بالسفارات. وقالت الوزارة إن الأدوات ساعدت أيضًا في تمكين الحكومات الأجنبية من ممارسة “قمع عابر للحدود”.

ولكن يبقى السؤال ما الذي يجعل الولايات المتحدة تقف في وجه شركات التجسس في إسرائيل، مع أن الأخيرة هي الحليف الأبرز للولايات المتحدة، وهي تساعد حلفاء لها آخرين في المنطقة، أم أن التوجه التجاري للشركات الإسرائيلية التي تبيع منتجاتها حتى لأعداء الولايات المتحدة يجعلها تخاف من استخدام تلك الأدوات في استهدافها.

هل أعجبك المحتوى وتريد المزيد منه يصل إلى صندوق بريدك الإلكتروني بشكلٍ دوري؟
انضم إلى قائمة من يقدّرون محتوى إكسڤار واشترك بنشرتنا البريدية.