"نيويورك تايمز": هجمات إلكترونية استهدفت معارضين مصدرها المخابرات المصرية

03 أكتوبر 2019
الصورة
الهجمات استهدفت معارضين لنظام السيسي (محمد الشاهد/فرانس برس)

كشفت شركة أمن إلكتروني، في تقرير، عن سلسلة من الهجمات الإلكترونية المتطورة، استهدفت صحافيين مصريين وأكاديميين ومحامين وسياسيين في المعارضة، وناشطين في مجال حقوق الإنسان. وربط التقرير هذه الهجمات مباشرةً بالمخابرات المصرية.

ونقلت صحيفة "نيويورك تايمز"، الخميس، عن شركة "تشيك بوينت" Check Point الإسرائيلية، ولها مقرّ في تل أبيب وكاليفورنيا الأميركية، أنّ المهاجمين ثبّتوا البرامج على هواتف الضحايا، ما يسمح بقراءة ملفاتهم ورسائل البريد الإلكتروني، وتعقب مواقعهم، والتعرّف إلى من اتصلوا بهم.

وأُلقي القبض على اثنين من الناشطين الذين استُهدفوا بالهجوم السيبراني، وفق الصحيفة، كجزء من حملة القمع المصرية على الاحتجاجات المناهضة لنظام الرئيس عبد الفتاح السيسي

ووجدت "تشيك بوينت" أنّ الخادم المركزي المستخدم في الهجمات سُجِّل باسم وزارة الاتصالات وتكنولوجيا المعلومات المصرية، وأنّ الإحداثيات الجغرافية المضمّنة في أحد التطبيقات المستخدمة لتتبُّع الناشطين تتوافق مع مقرّ ما وصفتها الصحيفة بـ"وكالة التجسس" الرئيسية في مصر، أي جهاز المخابرات العامة.

هجوم مبكر وضحايا مختارون "بعناية"
بدأ الهجوم الإلكتروني عام 2016، وعدد الضحايا غير معروف، لكن نقطة التفتيش حددت 33 شخصاً، معظمهم من الشخصيات المعروفة في المجتمع المدني والمعارضة الذين كانوا مستهدفين في جزء واحد من العملية.

وقالت الشركة في التقرير: "اكتشفنا قائمة بالضحايا، من بينهم ناشطون سياسيون واجتماعيون اختيروا بعناية، وصحافيون بارزون، وأعضاء منظمات غير ربحية في مصر".

والهجوم ثاني عملية مصرية على الإنترنت ظهرت أخيراً. ففي أغسطس/آب الماضي، كُشف عن حملة مصرية "سرية" لدعم الجيش السوداني، باستخدام حسابات "مزيفة" على وسائل التواصل الاجتماعي. وشغَّلت العمليةَ شركةٌ لها صلات بالحكومة المصرية.

تطبيقات مخادعة
استخدم الهجوم الذي استهدف الهواتف وحسابات البريد الإلكتروني للناشطين، مجموعة متغيرة من تطبيقات البرمجيات "الخبيثة" لخداع المستخدمين. 

وأبلغ تطبيق Secure Mail المستهدفين بأنّ حساباتهم قد اختُرِقَت، ثم استدرجهم إلى الكشف عن كلمات المرور الخاصة بهم. ووعد تطبيق آخر يدعى iLoud200% بمضاعفة حجم الهواتف المحمولة، لكنه بدلاً من ذلك، أعطى المهاجمين حق الوصول إلى موقع الهاتف، حتى إذا أوقف المستخدم خدمات الموقع.

وأحد التطبيقات الأكثر تطوراً، IndexY، ادّعى أنّه تطبيق مجاني لتحديد المتصلين الوافدين، على غرار التطبيق الشهير Truecaller. لكن التطبيق نسخ أيضاً تفاصيل جميع المكالمات التي جرت على الهاتف إلى خادم يسيطر عليه المهاجمون، مع التركيز على اتصالات المستخدمين مع أطراف خارج مصر.


أخطاء فضحت النظام المصري
لكن على الرغم من المهارة والحيلة، فيبدو أنّ الجناة ارتكبوا عدداً من الأخطاء التي سمحت لـ"تشيك بوينت" بتتبع منبع التطبيقات.

ورُبطَت جميع الصفحات والمواقع المستخدمة لتنفيذ الهجمات بعنوان IP خاص بشركة اتصالات روسية تدعى Marosnet، وخادم مركزي مسجل بـMCIT، في إشارة واضحة إلى وزارة الاتصالات وتكنولوجيا المعلومات في مصر. 

ويحتوي تطبيق iLoud200%، مثل معظم برامج تحديد الموقع الجغرافي، على إحداثيات افتراضية، وتطابقت الأخيرة في التطبيق مع تلك الموجودة في مقرّ جهاز المخابرات العامة المصرية.