ملفات بريداتور : ترسانة “إنتيليكسا” و”نيكسا” للتجسّس ومراقبة كُليّة بلا حدود

لتلقّي أبرز قصص درج على واتساب إضغط(ي) هنا!

06.10.2023

المراقبة الكُلّية، اختراق الهواتف، جمع البيانات. في هذا التحقيق ، نوضح قدرات بعض أنظمة التجسس المباعة من شركة إنتيليكسا (Intellexa) وشريكتها الفرنسية نيكسا (Nexa)، بناءً على وثائق سريّة حصلت عليها ميديا بارت (فرنسا) و دير شبيغل (ألمانيا)، وحلّلتهما بالتعاون مع “درج ميديا” (لبنان) وتحالف الصحافيين الاستقصائيين في أوروبا( EIC (European investigative collaborations .

بريداتور يحوّل الهواتف إلى جواسيس

بريداتور هو المنتج الأكثر شهرة لشركة إنتيليكسا، وهو برمجية قادرة على إصابة الهواتف النقالة، صمّمتها شركة Cytrox (فرع لإنتيليكسا، مقره شمال مقدونيا)، وباعتها المجموعة الفرنسية نيكسا تحت اسم Arrow. تكشف وثائق سرية تعود الى عام 2022، أن إنتيليكسا غيّرت اسمها إلى Nova. وتشير المنتجات المباعة تحت هذه الأسماء الثلاثة “إلى المجموعة الواسعة نفسها من برمجيات التجسس المتشابهة”، وفقًا لتحليل أجرته منظمة العفو الدولية استنادًا إلى الوثائق التي حصلت عليها EIC.

يعمل بريداتور بصورة مشابهة لتلك التي يعمل بها منافسه بيغاسوس (تصنيع شركة NSO الإسرائيلية)، إذ يستغل الثغرات الأمنية (أخطاء في كود الكمبيوتر) الموجودة في “أنظمة التشغيل” التي تجعل الهواتف تعمل وهي: iOS من Apple، و Android من Google، والتي تشغل تقريباً جميع العلامات التجارية الأخرى.

في 21 أيلول/ سبتمبر، أطلقت Apple تحديثاً لنظام التشغيل iOS بعد اكتشاف ثغرة أمنية جديدة استغلّها بريداتور، ولكن في كل مرة يتم فيها سد الثغرة، كانت شركات التجسس تجد ثغرات جديدة، أو تشتريها من القراصنة. تدّعي عروض المبيعات المؤرخة لعام 2022 أن بريداتور ما زال قادراً على إصابة “أحدث الأجهزة باستخدام نظامي Android وiOS”، بما في ذلك iPhone 13 وSamsung Galaxy S21، على الرغم من أنهما أُصدرا قبل عام واحد.

يجري بريداتور عملية استنزاف تامة للضحية بمجرد تثبيته في الهاتف، إذ يمكنه استعادة جميع البيانات المخزنة، كالمواقع التي زارها الهدف، البريد الإلكتروني، الرسائل (بما في ذلك تلك المرسلة من خدمات المراسلة المشفرة مثل Signal أو WhatsApp)، وحتى “كلمات المرور وسياسات الخصوصيّة”. يتحول الهاتف بعد استهدافه إلى جاسوس، إذ يتيح بريداتور الوصول إلى موقع الهاتف وتسجيل المكالمات والتقاط صور من الشاشة عن بعد وتشغيل الميكروفون والكاميرا.

ما أن يصاب الهاتف حتى”يقوم بريداتور بمهمته تلقائياً، إذ يرسل كل 15 أو 30 دقيقة، كل ما جمعه من بيانات”،كما أوضح موظف سابق في إنتيليكسا لـ EIC، طلب أن يبقى اسمه مجهولاً.

أضاف الموظف: “يمكن أيضاً التحكم بكل شيء في الهاتف من خلال خوادم التحكم وإرسال أوامر مثل، دعونا نشغل الكاميرا الأمامية ونلتقط صورة شخصية أو القيام بكل شيء تقريباً. […] بمجرد أن يشتري العملاء الترخيص، حتى تصبح عملية اختراق الهاتف مجرد ضغط عدد قليل من الأزرار”.

ضمن عرض لمزايا بريداتور، يؤكد صنّاعه أنه “مثابر”، أي أنه يستمر بالعمل “بعد إغلاق الهاتف وإعادة تشغيله”، ولن ينجو الهدف إلا “في حالة إعادة ضبط الهاتف كلياً، أي إعادة ضبط المصنع”.

“مارس” والعدوى عبر الإنترنت

عند إرسال بريداتور عن بُعد، أي عبر الإنترنت، لم تعمل النسخة الأولى منه إلا في حال “نقرة واحدة”، أي أن ينقر الهدف على رابط محدد كي يتفعل بريداتور، لكن لدى إنتيليكسا وحدة تُسمى “الصور الشخصية النشطة”، التي تُولِّد ملفات تعريف مزيفة ترسل روابط الإصابة عبر البريد الإلكتروني، والرسائل النصية، وأخرى “عبر WhatsApp وTelegram وFacebook والكثير غيرها”. لذلك، يتطلب كل هجوم جهداً بشرياً كبيراً، لأنه من الضروري تصميم رسالة صادقة بما يكفي لخداع الشخص المستهدف.

يكشف تحقيقنا “ملفات بريداتور”، أن إنتيليكسا نجحت في تطوير تقنية جديدة في عام 2022، تُسمى “مارس”، قادرة على إصابة الهواتف عبر الإنترنت ضمن نموذج”صفر نقرة”، أي من دون الحاجة الى نقر الهدف على رابط ما، إذ يتم تفعيل التطبيق بشكل غير مرئي ومن دون دراية المستهدف.

يتطلب “مارس” تعاون مشغلي الاتصالات، الذين يجب عليهم تثبيت النظام في قلب شبكتهم. مع ذلك، فهو أداة ذات قوة هائلة لأجهزة المخابرات والدكتاتوريات، إذ يمكّنها من إصابة أي هاتف نشط على أراضيها وفق نموذج “صفر نقرة”.

كل ما يجب فعله لاستخدام “مارس” هو تحديد عنوان الاتصال أوالـ IP الخاص بالهدف، وانتظار أن يزور هذا الشخص موقع ويب ما باستخدام هاتفه المحمول. يتم بعدها اختراق حركة المرور عبر الإنترنت، والتلاعب بها لإصابة الهاتف ببريداتور بشكل غير مرئي.

يعمل “مارس” فقط عندما يستعرض الهدف مواقع “http”، التي لا يتم فيها تشفير عمليات تبادل البيانات مع الهاتف. ولكن إنتيليكسا طورت برمجيّة جديدة تسمى “جوبيتر”، وتسمح بإصابة هاتف الهدف حتى عندما يتم تشفير حركة المرور (زيارة المواقع التي تبدأ بـ “https”)، شرط أن تتم استضافة الموقع في بلد العميل.

“ألفا ماكس”… شاحنة الاختراق من قلب الميدان

تكشف تحقيقاتنا أن إنتيليكسا وشريكتها الفرنسية نيكسا طورتا في عام 2019، طريقة أخرى لزرع بريداتور في وضع “اصفرة نقرة”، ضمن ما يُعرف بـ “العدوى التكتيكية” أو “العدوى في الميدان”. تعتمد هذه الطريقة على استخدام أجهزة قادرة على التسلل عبر الأمواج الراديوية إلى الهواتف الموجودة ضمن نطاق يبلغ مئات الأمتار.

تمتلك إنتيليكسا نوعين مختلفين من “المرسلات”، الأول هو جهاز من تصميم شركتها التابعة “ويسبير”، ويُسمى “Spear head-رأس الرمح”، والذي يخترق الهواتف عبر شبكات الاتصال اللاسلكي Wi-Fi؛ والثاني هو IMSI catcher الذي طوّرته نيكسا وأُطلِق عليه اسم “ألفا ماكس”، والذي يستخدم شبكات الهواتف الخلوية.

كما هي الحال مع جميع IMSI catchers، يحوي ألفا ماكس هوائي يقلِّد الهوائيات المستخدمة من قبل مشغلي الهواتف المحمولة. عندما يقترب الهدف/ الهاتف من الهوائي، يتم “قطع اتصاله مع الشبكة الأصليّة بشكل سري ليتم بعدها توصيله بشبكة ألفا ماكس”. من ثم، “يتم تسجيل جميع الاتصالات وحفظها”، بما في ذلك الأصوات والرسائل النصية، كما “يتم تحديد موقع الهدف جغرافياً”، كما يشرح بروشور دعائي يعود إلى عام 2019.

يُمكن أيضاً استخدام “ألفا ماكس” كـ “مرسل للعدوى”، بفضل وسيط يسمى “إبسيلون”، والذي يتمتع بقدرة على اعتراض البيانات التي تصل الهاتف وتعديلها، وذلك بهدف تشغيل العدوى بواسطة بريداتور عندما يتصفح المستخدم موقع ويب.

سلاح إنتيليكسا الأخطر الخاص بالاختراق “التكتيكي”، هو شاحنة تسمى AlphaSpear 360، مجهزة بكل من SpearHead من إنتيليكسا و Alpha Max من نيكسا، ويمكنها إصابة أي هاتف في وضع “صفر نقرة” ضمن دائرة نصف قطرها نحو 500 متر. يبلغ ثمن الشاحنة وأول 100 اختراق 9 ملايين يورو، وفقاً لعرض بيع عام 2019.

تقدم إنتيليكسا أيضاً، مقابل تسع مئة ألف يورو، طائرة من دون طيار تسمى SpearHead Airbone، وتعمل من دون الشاحنة، لكنها تقوم بالإصابة فقط عبر شبكات الانترنيت اللاسلكية Wi-Fi.

تقدّم المنشورات التسويقية لعام 2022 نظاماً آخر للاختراق من دون نقرة، استناداً إلى جهاز IMSI catcher يُسمى Triton، الذي يتوافق فقط مع هواتف Samsung، وهو جهاز خفيّ ومتحرك بشكل استثنائي، إذ يشبه كمبيوتر محمولاً ويمكن وضعه في حقيبة صغيرة.

سيريبرو… برنامج الأخ الأكبر

أشهر منتجات نيكسا طيلة عشر سنوات كان “إيغل”، الذي طور عام 2007 لصالح نظام العقيد معمر القذافي في ليبيا، ثم أُعيدت تسميته بـ”سيريبرو” في عام 2012. الاسم مستوحى من آلة خيالية في سلسلة الكتب المصورة والأفلام “X-Men”، التي تُمكّن المتحول، البروفيسور تشارلز إكسافييه، من تحديد مواقع متحولين آخرين في أي مكان على الكوكب.

صُمِّم “سيريبرو” أصلاً لإجراء عمليات مراقبة شاملة للنشاطات الرقمية لجميع السكان في بلد ما، ففي كتيباتها التسويقيّة، تصف نيكسا “سيريبرو” كـ “أول نظام في العالم” قادر على مراقبة حركة الإنترنت “على نطاق بلد كامل”، ميزة تغوي أنظمة استبدادية كثيرة اشترت هذه التقنيّة، مثل قطر والإمارات العربية المتحدة والمملكة العربية السعودية والمغرب وغينيا وكازاخستان.

يعمل النظام عبر مسبار يراقب حركة الإنترنت ثم يسجلها في “سيريبرو”، حيث بإمكان المشغلين البحث عن الكلمات الرئيسية وتحديد الأهداف، ثم الوصول إلى جميع نشاطاتهم، سواء في الماضي أو في الوقت الحالي كالرسائل الإلكترونية، والمواقع الإلكترونية التي زارها الضحية، والنشاط على المنصات الرقميّة المختلفة. بإمكان “سيريبرو” أيضاً استرداد أسماء المستخدمين وكلمات المرور التي تدخلها الأهداف للاتصال بحساباتهم المختلفة (Gmail، شبكات التواصل الاجتماعي، البنك، إلخ).

اتسعت منتجات نيكسا لاحقاً، وتم تطوير أجهزة استشعار قادرة على اعتراض معظم أنواع الاتصالات كمسبار Iota للإنترنت، ومسبار Gamma للاتصالات الصوتية، ومسبار Sigma للهواتف الفضائية (يستهدف أكبر ثلاثة مشغلات: Thuraya الإماراتية، وInmarsat البريطانية، وIridium الأميركية)، و IMSI catcher Alpha Max .

هناك أيضاً مسبار Omega، الذي يمكنه، بفضل “الروبوتات الذكية”، جمع البيانات العامة المنشورة على شبكات التواصل الاجتماعي، وحتى استرداد “بيانات الإنترنت المظلم” من الشبكات المُصممة للحفاظ على سرية المستخدم ( مثل Tor)، كما يمكن استخدام “الصور الشخصية” للوصول إلى مجموعة مغلقة على شبكات التواصل الاجتماعي وبث رسائل إلى جمهور معين، وفق ما يُحدد الكتيب.

يتم نقل بيانات التنصت من كل مسبار إلى “سيريبرو”، الذي يحولها إلى ملفات ذات صيغة واحد ويحللها ما يؤدي إلى “المراقبة الشاملة” التي تليق بشخصية “بيغ برذر”، كما تفخر نيكسا في كتيبها. والأهم، بإمكان “سيريبرو” أيضاً الاتصال بقواعد البيانات الحكومية لجمع معلومات إضافية.

يوظّف برنامج “سيريبرو” في الواقع الـ”بيغ داتا-Big data “، كونه متخصص في مجال المراقبة، كما أنه “مركز تحكم” يمكن ربطه بأنظمة المراقبة المختلفة، مثل أجهزة الاستشعار المتصلة بـ”دماغ رقمي”. وقد صُمّم وفقاً لاحتياجات كل عميل، إذ يمكنه بناء نظام خاص حسب متطلباته والـ “النماذج” التي يحتاجها.

يستطيع “سيريبرو ” إدارة “مليارات الاعتراضات”، وهو يقدم وفقاً لنيكسا، “أفضل تصور وتحليل للبيانات في السوق”، بواجهة بصرية “مصممة لتكون قابلة للاستخدام من المحققين من دون خبرة بالكمبيوتر”.

يقدم “سيريبرو” أيضاً، وحدات برمجية تكميلية وفق الاحتياجات الخاصة بكل عميل، هناك “سيريبرو-إل آي” للتنصت القانوني و”سيريبرو بروفايل” الذي يقدم “رؤية موحدة لنشاطات الهدف الرقمية” و”سيريبرو تحليل” محرك البحث القوي الذي يستخدم” للعثور على معلومات مثيرة للاهتمام وترتيبها”، “سيريبرو ريليشنال” لتحليل البيانات والعلاقات بينها، “سيريبرو بريدكتيف” للإجابة عن استفسارات معقدة، وأخيراً “سيريبرو-بي في” الذي يعد بالتنبؤ بـ “الأحداث المقبلة”.

إقرأوا أيضاً:

ملفات بريداتور : السعوديّة والإليزيه وصفقة برمجيات تجسُّس برعاية مرافق ماكرون

“ملفات بريداتور”: كيف ساهم الإليزيه مع شركة فرنسيّة في صعود ديكتاتوريات رقميّة ضد الثورات العربيّة؟

سيريبرو ومكافحة التشفير

خلال استجوابهم من قبل المحققين الفرنسيين المسؤولين عن “مسبار التجسس” في ما يتعلق بـ “المساهمة في التعذيب” إثر بيع “سيريبرو” إلى ليبيا ومصر، قال مدراء نيكسا إنه نتيجة لارتفاع وتيرة تشفير حركة الإنترنت، أصبح “سيريبرو” تدريجياً أعمى، وبالتالي قديم، على الأقل فيما يخص أسلوب استخدامه الرئيسي الذي يجعله ناجحاً، أي مراقبة الإنترنت بشكل شامل. قال ستيفان سالييس، رئيس نيكسا، أثناء توقيفه من الشرطة: “لم نعد نبيع البرنامج لأنه قديم”، لكن هناك عقد في الوثائق التي حصل عليها المحققون يعود إلى عام 2018 لصالح سنغافورة.

يقول رينو روك، نائب رئيس نيكسا، للمحققين في حزيران/ يونيو 2021: ” عام 2012، كنا لا نزال نمتلك القدرة على الوصول إلى جزء من محتوى الاتصالات التي يقوم بها هدف ما. على سبيل المثال، كنا قادرين على الحصول على محتوى بريد إلكتروني. اليوم، في عام 2021، انتهى الأمر، ليس لدينا أي وصول إلى أي محتوى، كل شيء مشفر، لدينا فقط وصول إلى البيانات الوصفية”.

يحاول المحققون معرفة متى فقد النظام فاعليته. وفي هذا الإطار، قال مديرو نيكسا إن البرمجيات فقدت فاعليتها في منتصف العقد الثاني من هذا القرن، على الأقل حسب قولهم. ولكن هذه التأكيدات تتناقض مع وثيقة تجارية داخلية تعود إلى عام 2018، وتشير إلى أن “سيريبرو” كان حينها قادراً على قراءة نحو 20 إلى 70 في المئة من حركة الإنترنت، وتختلف النسبة حسب البلد . وتشير وثيقة أخرى إلى أن “سيريبرو” كان بإمكانه الوصول إلى الرسائل المرسلة عبر تطبيقات مشفرة مثل WhatsApp.

يحذر كاڤي سالاماتيان، أستاذ علوم الكمبيوتر في جامعة Savoie Mont Blanc والخبير في مجال الشبكات:”عليك أن تكون حذراًَ مما تقوله الكتيبات التجارية، فأحياناً هناك اختلاف بين ما يمكن أن تفعله التقنية حقاً وما يمكن الكتيب أن يقوله”.

بعد تحليل الوثائق الداخلية التي تم الحصول عليها، أكد سالاماتيان لميديابارت أن نيكسا واجهت صعوبات كبيرة بسبب التشفير وبروتوكول “https”، الذي يمنع رؤية ما يفعله مستخدم الإنترنت على مواقع الويب، فعلى الرغم من وجود طرق للالتفاف على هذا البروتوكول إلا أن “https” صعّب ما كان في السابق سهلاً.

حاولت نيكسا التغلب على المشكلة من خلال التركيز على “البيانات الوصفية-Meta Data”، وهي البيانات التي تُحيط بالمحتوى الرئيسي. في البداية، طوّرت المجموعة نموذجاً يسمى “جاسمين” لـ “سيريبرو”، الذي بإمكانه معرفة هوية الأشخاص الذين يتحدثون مع الهدف واكتشاف “المكالمات وتبادل الملفات، بالإضافة إلى إرسال الرسائل” دون رؤية محتواها، حتى عند استخدام الأشخاص تطبيقات المراسلة المشفرة مثل WhatsApp وSignal وTelegram. يمكن استخدام “جاسمين” لاستهداف شخص محدد أو للمراقبة الشاملة “على الساحة الوطنية”، وفقاً لكتيب يشرح عمل “جاسمين”.

عززت نيكسا هذه التقنية عام 2021 من خلال تطوير نظام جديد يسمى “IPDR”، صُمّم بالمشاركة مع شركة سنغافورية، ويقوم بالوظيفة نفسها التي يقوم بها “جاسمين”، لكن بشكل أكثر شمولية، إذ يمكنه التعرف على البيانات الوصفية لـ “30,000 تطبيق”، وفق ما قال رئيس المجموعة على الهاتف في عام 2021، عندما حاول بيع IPDR للمملكة العربية السعودية.

لا يُعرف ما إذا نجحت نيكسا في النهاية، لكن على أي حال، يُعرض نظام IPDR للبيع حالياً من قبل شركة تروفيكور وفقاً لموقعها على الويب، وهي كيان تابع للمجموعة ومقرها دبي. وعلى أي حال، لم يعد لـ IPDR الفاعلية نفسها على طراز “الأخ الأكبر” ونظام “سيريبرو” القديم، وهذا أحد الأسباب التي دفعت نيكسا عام 2019 إلى الانضمام إلى إنتيليكسا، لدخول سوق اختراق الهواتف.

إقرأوا أيضاً: