نشرت صحيفة «نيويورك تايمز»، الخميس، تقريرا يفيد بتورط جهات سيادية مصرية مباشرة في هجمات إلكترونية استهدفت معارضين.
وقالت إن شركة أمن إلكتروني أميركية عثرت على أدلة تثبت تورط الحكومة المصرية في سلسلة من الهجمات الإلكترونية المتطورة، التي استهدفت صحفيين وأكاديميين ومحامين وسياسيين ونشطاء حقوق الإنسان.
فوفقا لنسخة أولية من تقرير ستنشر تفاصيله شركة «تشيك بوينت سوفتوير» (Check Point Software Technologies) -وهي إحدى أكبر شركات الأمن السيبراني في العالم، ومقرها الرئيسي جنوب سان فرانسيسكو- قام مهاجمون بتثبيت برامج على هواتف الأشخاص المستهدفين، مما مكنهم من قراءة ملفات الضحايا ورسائل البريد الإلكتروني الخاصة بهم، وتعقب مواقعهم، وتحديد هوية من اتصلوا به.
وقُبض على اثنين من النشطاء الذين استهدفوا من خلال الهجوم السيبراني الذي اكتشفته الشركة الأمنية، وهم من الشخصيات المعارضة البارزة الشهر الماضي، كجزء من حملة القمع المصرية على الاحتجاجات المناهضة للحكومة.
فقد ألقي القبض على «حسن نافعة» أستاذ العلوم السياسية في جامعة القاهرة، و«خالد داوود» الصحفي وزعيم حزب الدستور السابق، وهو ناقد بارز للسيسي حسبما جاء في تقرير «نيويورك تايمز».
الدليل الأول موجود في مبنى المخابرات المصرية:
ووجدت «تشيك بوينت» أن الخادم المركزي المستخدم في الهجمات تم تسجيله باسم وزارة الاتصالات وتكنولوجيا المعلومات المصرية، وأن الإحداثيات الجغرافية المضمنة في أحد التطبيقات المستخدمة لتتبع النشطاء تتوافق مع مقر وكالة التجسس الرئيسية في مصر، وهو جهاز المخابرات العامة.
33 شخصا شملهم الهجوم:
ووفقًا للتقرير فإن الهجوم الإلكتروني بدأ عام 2016، ويقول التقرير إن عدد الضحايا الكلي غير معروف، لكن الشركة حددت 33 شخصا، ومعظمهم من الشخصيات المعروفة في المجتمع المدني والمعارضة، الذين كانوا مستهدفين في أحد أجزاء العملية التي اكتشفتها.
وقالت «أسيل كيال» -المحللة لدى تشيك بوينت- لصحيفة نيويورك تايمز «اكتشفنا قائمة بالضحايا، ومن بينهم نشطاء سياسيون واجتماعيون تم اختيارهم بعناية، وصحفيون بارزون، وأعضاء منظمات غير ربحية في مصر».
الدليل الثاني تطبيقات مصرية الصنع:
وكان الهجوم الثاني عبارة عن هجمات إلكترونية استخدمت مجموعة من التطبيقات الخبيثة على الهواتف وحسابات البريد الإلكتروني للنشطاء لخداع المستخدمين.
فقد ظهر تطبيق يسمى “سيكيور ميل” (Secure Mail) يدعي أنه تابع لبريد جيميل، ويحذر الأشخاص المستهدفين بأن حساباتهم قد تم اختراقها، ثم يقوم بخداعهم ليكشفوا له عن كلمات المرور الخاصة بهم.
تطبيق آخر يدعى «آي لود 200%» (iLoud200%)، يعد المستخدمين بمضاعفة صوت الهواتف المحمولة، بينما يقوم باختراق موقع الهاتف الجغرافي، حتى إذا أوقف المستخدم خدمات الموقع أو خدمات تتبع الموقع الجغرافي.
أحد التطبيقات الأكثر تطورًا كان اسمه «إنديكس واي» (IndexY)، وادعى أنه تطبيق مجاني لتحديد المتصلين المجهولين، مثل التطبيق الشهير «تروكولار». ولكن التطبيق قام بنسخ تفاصيل جميع المكالمات التي تمت على الهاتف، وتخزينها على خادم يسيطر عليه المهاجمون، كما وجدت «تشيك بوينت» أن التركيز كان على اتصالات المستخدمين مع أطراف خارج مصر.
ومنذ صدوره في وقت مبكر هذا العام، أصبح «إنديكس واي» تطبيقا مشهورا في متجر جوجل الرسمي، حيث تم تنزيله خمسة آلاف مرة.
وقال باحثون في «تشيك بوينت» إن مجرد قدرة المخترقين على وضعه في متجر جوجل، والتحايل على الإجراءات التي تتخذها جوجل لفحص التطبيقات الجديدة، يشهد على درجة عالية من التطور والجهد الذي بذل في تطويره.
وكان التطبيق متاحًا على متجر جوجل حتى شارك «تشيك بوينت» في 15 يوليو/تموز مخاوفه مع جوجل، فتم إزالة التطبيق وحظر المطور المرتبط به بعد ذلك بأسبوعين تقريبًا.
أخطاء ساذجة كشفتهم:
ورغم المهارة التي استخدمها المطورون لتفادي اكتشاف هويتهم، يبدو أن الجناة ارتكبوا عددًا من الأخطاء التي سمحت لـ«تشيك بوينت» بتتبع أصول التطبيقات.
فقد تم ربط جميع الصفحات والمواقع المستخدمة لتنفيذ الهجمات بعنوان «آي بي» (IP) خاص بشركة اتصالات روسية تدعى «ماروسنت» (Marosnet)، وخادم مركزي مسجل تحت اسم «MCIT»، في إشارة واضحة إلى وزارة الاتصالات وتكنولوجيا المعلومات في مصر.
كما أن تطبيق «آي لود 200%» يحتوي -مثل معظم برامج تحديد الموقع الجغرافي- على إحداثيات افتراضية أولية، وهي نقطة يتم ضبطها لتشير إلى وقت ومكان التنشيط الأولي للمطورين، وقد تطابقت الإحداثيات الافتراضية في التطبيق مع تلك الموجودة في مقر جهاز المخابرات العامة المصرية.
وقال مسؤولو «تشيك بوينت» إنه يمكن أن تكون الإحداثيات زرعت في التطبيق من قبل شخص يحاول توريط الدولة المصرية، لكن التفسير الأكثر ترجيحا -حسب المسؤولين- هو أن الإحداثيات تركت بطريق الخطأ، أو الكسل من جانب الأشخاص الذين يديرون العملية.
وقال مسؤول «تشيك بوينت» إن من بين الأدلة الأخرى التي تشير أيضا إلى تورط الدولة في الهجمات؛ هي مدة الحملة التي تطلبت عدة سنوات، وكذلك الكم الهائل من البيانات التي تم جمعها، والموارد المالية والبشرية الكبيرة، بالإضافة إلى أهداف الهجوم، التي يبدو أنها قد اختيرت لنشاطها أو معتقداتها السياسية، وهو ما لا يتماشى مع دوافع الجريمة السيبرانية التقليدية، التي تميل إلى التركيز على التخريب أو الابتزاز.
بالإضافة إلى ذلك، قالت السيدة «كيال» إن التحقيق أشار إلى أن الجناة كانوا متحدثين باللغة العربية، وأن الوقت الافتراضي المستخدم في التطبيقات هو التوقيت المصري.
ولم تستجب الحكومة المصرية لطلب التعليق على مقال «نيويورك تايمز».