منصّة دعم السلامة الرقمية
العودة إلى الأخبار

“زووبارك”: حملة تجسس تستهدف مستخدمي “أندرويد” في المنطقة

الكاتب/ة
سمكس
نشر في
25 May 2018

مصدر الصورة:viajando.expedia.com.br.

استهدفت حملة تجسّس إلكتروني، غير متطوّرة نسبياً وتقع مخدّماتها في إيران، الأجهزة المحمولة العاملة بنظام “أندرويد” (Android) في لبنان والأردن ومصر والمغرب وإيران، وفقاً لتقرير صدر مؤخراً عن شركة “كاسبرسكي لاب” التي تتّخذ من موسكو مقرّاً لها. وبعد نشر التقرير، ترك أحد المقرصِنين المستقلّين بعض البيانات من الحملة على الإنترنت وهي تشير إلى أنّ العملية استهدفت 169 شخصًا فقط، فيما شكّك باحثون آخرون في صحّة هذه البيانات.

نشطت هذه الحملة التي يشير الباحثون إليها باسم “زوو بارك” (ZooPark) منذ حزيران/يونيو 2015 على الأقلّ واستمرت في العمل حتى 12 أيار/مايو من هذا العام. اكتشف الباحثون أربعة إصدارات من العملية يوضح كلٌّ منها مجموعة من القدرات المتقدّمة بشكل متزايد. على سبيل المثال، في حين يمكن للنسخة الأولى استخراج قوائم جهات الاتصال و“الحسابات المسجلة على جهاز الضحية”، تستطيع النسخة الرابعة استخراج بيانات مثل خدمة الرسائل النصية القصيرة (SMS)، وبيانات المتصفّح، والموقع الجغرافي (GPS)، وسجلّ المكالمات، وبيانات تسجيل الدخول، ورسائل المصادقة الثنائية، ومعلومات حول تطبيقات الطرف الثالث المثبتة على الجهاز، والتسجيلات الصوتية، والصور.

كانت النسخة النهائية أكثر تطوّراً بكثير لدرجة أنّ باحثي شركة “كاسبرسكي لاب” أشاروا إلى أنّها ربما لم تُطوّر من قبل المشغلين الأصليين إنّما من بائع اشتراها وطوّرها بنفسه.

لم يتمكّن باحثو شركة “كاسبرسكي لاب” من تقديم بيانات حول جميع الأهداف، لكنّهم أشاروا إلى أنّ العملية استهدفت بشكل أساسي مؤيدي استفتاء كردستان في جميع أنحاء المنطقة وموظفي “وكالة الأمم المتحدة لإغاثة وتشغيل اللاجئين الفلسطينيين في الشرق الأدنى” (الأونروا) في الأردن. كما أكّد الباحثون، في مقابلة مع موقع “ماذربورد” (Motherboard) أنّ الأفراد المرتبطين بالمنظّمات الدولية تأثروا بشكلٍ أو بآخر بالعملية.

ناقلات الهجوم: “تيليجرام” و”واتيرينغ هول”

استهدفت الحملة المستخدمين من خلال ناقلين محدّدين هما: قنوات “تيليجيرام” (Telegram channels) و”واتيرينغ هول” (Watering Holes).

“واتيرينغ هول” (أي الحفرة المائية باللغة العربية) هي روابط لمواقع إلكترونية شائعة مصابة ببرمجيات ضارّة. وعند استخدام “تيليجيرام”، أرسل المسؤولون عن عملية التجسّس رسائل إلى بعض قنوات “تيليجرام” تحتوي على رابط تنزيل لنسخةٍ مصابة ببرامج ضارّة من تطبيقٍ يهدف إلى استطلاع آراء المستخدمين في إقليم كردستان الإيراني.

رغم اختلاف نوع “واتيرينغ هول” المستخدم في كلّ مرّة، إلا أنّه كان يتّبع العملية العامّة نفسها. فقد اخترقت العملية روابط لمواقع إلكترونية أغلبها مواقع إخبارية شائعة في العالم العربي، وذلك لتوجيه الهدف إلى تنزيل تطبيقٍ مزيّف أو صورة تحتوي على برمجيات ضارّة. تبدأ الصفحات تلقائياً بعملية التنزيل في بعض الحالات، وفي حالات أخرى كان على المستخدمين النقر فوق رابط تطبيق محدّد أو صورةٍ محدّدة لبدء عملية التنزيل.

تطبيق مصاب بالبرمجية الخبيثة التي تستهدف المستخدمين في محافظة كردستان الإيرانية. (كاسبرسكي لاب. مايو 2018).

تحاكي برمجيات “واتيرينغ هول” في الغالب المواقع الإخبارية، مثل “النهار” المصرية، و“الحياة”، و“النهار” الكويتية على الأرجح. ولم يستطع الباحثون تأكيد ما إذا كانت صفحة “النهار” الكويتية قد اختُرقت، لكنّهم يشكون في أنّها ربما تعرّضت للاختراق بسبب قيام بعض الأهداف بتحميل نسخة طبق الأصل من تطبيق الجريدة المصاب. ويشير التقرير إلى أنّ البرمجيات الضارة “تحاكي” مختلف التطبيقات المنتشرة،  غير أنّ الإصدارات المصابة ببرامج التجسّس لا تعمل بالطريقة نفسها للتطبيقات الأصيلة.

استكشاف البيانات

كشف أحد المقرصِنين المستقلّين لموقع “ماذربورد”، بعد نشر التقرير، أنّهم تمكّنوا من اختراق عملية التجسّس باستخدام معلومات من التقرير، مصراً على أنّ “زووبارك” لم تكن عاملاً من عوامل “التهديد المتقدّم المستمرّ” APT (Advanced Persistent Threat)، بل من عوامل “لايم بي تي” (LamePT) لأنّ الكثير من رموزها كانت غير أصلية.

وفي وقتٍ لاحق، ترك المقرصن قسماً من البيانات المستخرجة من حملة التجسّس على الإنترنت مقابل الحصول على ألف دولار أميركي كـ”بيتكوين”. وكانت نتيجة ما فعله المقرصِن أن تعرّف الباحثون على المزيد من أنواع البيانات المجمّعة من خلال عملية التجسّس؛ ولكنّ توافر هذه البيانات للعموم يهدّد سلامة وخصوصية الأهداف الذين استهدفتهم حملة التجسّس.

ربّما يكون المقرصِن صنّع بعض البيانات المسرّبة، غير أنّ باحثين في شركة “مكافي” الأميركية لأمن الحاسوب يشيرون إلى احتواء البيانات على أكثر من 100 ألف ملفّ صوتي، وحوالي 100 ألف موقع جغرافي، وعدد غير محدّد من الرسائل النصية القصيرة.

تتشكّل الملفات الصوتية أساساً من تسجيلات لمدة 8 دقائق تشتمل على “محادثات محيطة والأنشطة اليومية”، على عكس المكالمات الهاتفية. وشكّك الباحثان تشارلز مكفارلاند وتيم هكس في صحّة رسائل الرسائل النصية القصيرة لأنّ بعض الرسائل العشوائية تشبه العّينات التي تُستخدم عادةً في تقنيات تعلّم الآلة للتدريب على تصفية الرسائل القصيرة غير المرغوب فيها. وفي الوقت نفسه، تبيّن أنّ بعض الرسائل النصية القصيرة تحتوي على معلومات حساسة،ما من شأنه زيادة احتمال تعرّض مَن كانوا أهداف لحملة التجسّس إلى مزيد من المخاطر.

بالإضافة إلى ذلك، استنتج باحثو “مكافي” أنّه إذا كان مجمل البيانات التي تركها المقرصِن صحيحاً، فإنّ حملة “زووبارك” “قد تركت أثراً كبيراً في مصر”.

زيادة في حملات التجسس الهادفة؟

ما يثير الاستغراب أنّ المعلومات التي تركها المقرصِن توحي بأنّ “زووبارك” قد استهدفت 169 ضحية فريدة فقط خلال فترة تقارب ثلاث سنوات، مما يوحي بأنّ الحملة كان لديها أهداف محددة أو أنّها واجهت صعوبة في إصابة أجهزة الأهداف بالبرامج الضارّة. وبالمثل، كانت حملة “السنّور الأسود” (Dark Caracal) التي عملت على مدى 6 سنوات واستهدفت أفراداً داخل منطقة الشرق الأوسط وشمال أفريقيا وخارجها، قد أصابت 2000 مستخدم على الأقل ببرمجيات التجسّس.

في حين يصعب استخلاص استنتاجات حول أهمية هذا التناقض من دون معرفة هوية أهداف الحملة أو مشغّليها، فإنّ ما يثير القلق هو اكتشاف حملتي تجسّس في المنطقة خلال فترة زمنية قصيرة.

للحصول على نصائح حول كيفية منع إصابة جهاز “أندرويد” ببرمجية تجسّس، اطّلع على النصائح التي أصدرناها في أعقاب تقرير “السنور الأسود” (Dark Caracal)، ودروس الدفاع عن النفس من “مؤسسة الجبهة الإلكترونية” (EFF).

يمكن العثور على هذه المقالة باللغة الإنجليزية هنا.
سمكس

عن الكاتب/ة

“سمكس” هي منظمة غير ربحيّة تسعى إلى النهوض والدفاع عن حقوق الإنسان في العالم الرقمي في منطقة غرب آسيا وشمال إفريقيا