يقع المبنى على طريق دائم الازدحام، بين مجمع السفارة الفرنسية ومبنى إدارة الجامعة اليسوعية. واجهته رملية اللون وبها نوافذ عمودية عاكسة تطل على الطريق، ومسيّجٌ بصف من الحواجز المرتفعة وعدد من الرجال الذين يحملون أسلحة طويلة. إنه مبنىً تابع للمديرية العامة للأمن العام في لبنان، أحد وكالات الأمن المتعددة في البلاد، والمسؤول عن استخبارات الأمن القومي. ووفقاً لتقرير صادم جديد، فإن هذا المبنى يُعد أيضاً قاعدة أساسية لعملية تجسس واسعة النطاق امتدت لخمس سنوات، وشملت أكثر من 20 دولة.
ذكر التقرير الذي نشرته شركة “لوك أوت” الأميركية لأبحاث الأمن، بمشاركة مؤسسة الجبهة الإلكترونية، اسم المجموعة التي تقف وراء العملية وهي مجموعة “الوشق الأسود”، المسماة على اسم أحد أنواع السنوريات المحلية الشرسة المتواجدة في الشرق الأوسط وأفريقيا. ربط الباحثون هذه المجموعة بست حملات مراقبة على الأقل، استهدفت مسؤولين حكوميين، وأكاديميين، وصحفيين، ورجال أعمال من جميع أنحاء العالم، بما في ذلك الشرق الأوسط، وأوروبا، والولايات المتحدة الأميركية.
كثير من الأمور تحدث هنا، ولكن ربما يكون أكثرها غرابةً، أنها لم تكن المرة الأولى التي يلاحظ فيها الباحثون استخدام أدوات تلك المجموعة في عمليات التجسس. فقد بدأت شركة “لوك أوت”، ومؤسسة الجبهة الإلكترونية في تتبع المجموعة، بعدما أشارت مؤسسة الجبهة الإلكترونية في تقرير لها إلى حملة تجسس عام 2015 في كازاخستان، استهدفت معارضين وصحفيين. وقد وجدوا في وقت لاحق أن البنية الرقمية الأساسية المُستخدمة في عمليات التتبع تلك، هي نفسها التي اُستخدمت في حملة المراقبة التي اقتفوا أثرها في بيروت.
حقيقة اشتراك عمليتين لا صلة بينهما في بعض الخصائص التقنية، يشير إلى وجود قصة أكبر. إذ ربما يكون هناك طرف ثالث مجهول يوفر البنية الرقمية التحتية، والبرمجيات الخبيثة لعملائه من الدول من أجل شن حملات التتبع والقرصنة. وهو ما يشير إلى أن كلا العمليتين ما هما إلا جزء من مجموعة أكبر من الهجمات التي تستخدم جميعها نفس الأدوات.
يقول كوبر كوينتين، الباحث الأمني في مؤسسة الجبهة الإلكترونية، وأحد معدي هذا التقرير “لا نعتقد أنه من الممكن أن تدير عملية ” الوشق الأسود” أو دارك كاراكال، هذه البنية الرقمية التحتية”. واستدرك مضيفاً، بل “نعتقد بقوة أن هذه البنية الرقمية التحتية تدار بواسطة طرف ثالث مجهول، يبيع خدماته أيضاً لكازاخستان، وربما لبعض الدول الأخرى”.
فكر في الأمر كما لو كان خدمة مراقبة حكومية مدفوعة.
يشير ذلك إلى أن برامج التجسس الرقمية قد دخلت بذلك في نطاق النمط الاستهلاكي.
يشير التقرير إلى وجود طرف ثالث فقط، إلا أن كوينتين أكد أن الباحثين يعكفون بالفعل في الوقت الراهن على تحديد هويته. وقال “لدينا بعض الأفكار”.يُعدّ ذلك انحرافاً ملحوظاً عن الطرق الأمثل الذي يجب أن تسلكه الدول القومية في عمليات مراقبتها، فغالباً ما تشتري الحكومات -لا سيما تلك التي لا تمتلك مهارات الاختراق والتتبع على الصعيد المحلي- أدوات مراقبة من الشركات المتخصصة في هذا المجال، فقط إلق نظرة على القائمة الطويلة من الحكومات التي اشترت برمجيات تجسس من شركة “هاكينج تيم” الإيطالية التي اُخترقت عام 2015. إلا أن ما يحدث هنا يأخذنا بضع خطوات إلى الأمام. فبدلاً من الحصول على أداة اختراق واستخدامها في أغراض التجسس، يبدو أن “دارك كاراكال” قد دفعت لشخص آخر مقابل استخدام أدواتهم. يقول كوينتين “إنهم يشترون هذه البرامج، ومن ثم يتولى شخص آخر كل شئ بالنيابة عنهم”. ويضيف “كل ما يقومون به، هو الدخول إلى البرنامج، وتحميل التقارير الخاصة بالأشخاص الذين يتجسسون عليهم”.
بطريقة ما، يشير ذلك إلى أن برامج التجسس الرقمية قد دخلت بذلك في نطاق النمط الاستهلاكي. على غرار منتجات تطبيقات غوغل، والتي يتم استضافتها على خوادم غوغل، وما على المستهلك إلا أن يدفع مقابل وصوله إليها، ويصف التقرير ذلك كنوع من خدمات المراقبة السحابية. إلا أن مكان السحابة يظل غير معلوم.
ربما يكون نموذج الأعمال المستخدم مبتكراً، إلا أن طرق الاختراق التي أشار إليها التقرير كانت بدائية نسبياً. فعملية “دارك كاراكال” لا تستخدم برمجة معقدة أو معدات باهظة الثمن، فمعظم النجاحات التي حققتها العملية، تعود إلى هندسة منصات اجتماعية قديمة واعتيادية، فهم يستخدمون، أو المجموعة التي يدفعون لها مقابل تنفيذ عمليات الاختراق، حيل من قبيل إنشاء حسابات فيسبوك مزيفة تحمل صور نساء عربيات مبتسمات لإقناع من يستهدفونهم بتحميل إصدارات مزيفة من تطبيقات الرسائل النصية، مثل واتس آب. تقوم هذه التطبيقات بعد ذلك بإرسال كامل المحادثات التي يجريها الضحية إلى خبير التجسس، بالإضافة إلى عدد آخر من المعلومات، مثل المواقع المسجلة على نظام تحديد المواقع، وقائمة الاتصالات، والرسائل النصية. بل إن البرمجيات الخبيثة تستطيع التقاط الصور عبر الكاميرات الأمامية والخلفية للأجهزة المخترقة، وتسجيل الأصوات بشكل خفي من خلال ميكروفون الجهاز.
يقول محمد نجم، المدير المشارك في منظمة SMEX للحقوق الرقمية في لبنان، إن حجم جهود التجسس المبذولة في مبنى الامن العام مثير للدهشة. لدرجة أن قائمة البلدان التي اُستهدف مواطنيها، كثير منها من الحلفاء المقربين من لبنان. ويتسائل نجم عما إذا كانت هذه العملية من ضمن العمليات المُصرح بها من خلال إجراءات قانونية عادية، والتي تتطلب إشرافاً قضائياً، وتسمح بمراقبة الأهداف لفترة زمنية محددة فقط. ويؤكد نجم قائلاً “إنهم يفعلون ما يحلو لهم، دون الخضوع لأي إجراءات قانونية -وهو أمر خطير للغاية”.
لم يتم الرد على طلبات التعليق التي وُجهت إلى الأمن العام. بينما صرح اللواء عباس إبراهيم، رئيس جهاز الامن العام لوكالة رويتر قبل نشر التقرير مباشرة، أن “جهاز الأمن العام لا يمتلك هذا النوع من الإمكانيات. بل نتمنى الحصول على هذه القدرات”.
افتضح أمر العملية التي تتخذ من بيروت مسرحاً لها عندما اكتشف باحثو شركة “لوك أوت”، ومؤسسة الجبهة الإلكترونية أكثر من 80 غيغابايت من البيانات المسروقة -عبارة عن مئات آلاف من الرسائل النصية، وسجلات المكالمات، ومعلومات الاتصال، وغيرها من الأغراض- على أحد الخوادم المفتوحة غير المؤمنة. وبمجرد ما استطاع الباحثون إيجاد هذا الخادم، انحصرت المسألة في تخمين معنى أسماء المجلدات التي تحمل أسماء ذات ثلاثة حروف، WP7، WP8، WP9. يقول كوينتين “كان الامر مجرد تصفح للإنترنت”. وتابع “لم يكن هناك أي شكل من أشكال القرصنة”.
يتركز مجهود الحملة على الأجهزة المحمولة عن سواها من جهود التجسس الجماعي الأخرى، إذ وصفها الباحثون بأنها “أحد أكثر الأدوات توليداً للبيانات التي رأيناها حتى الآن” فيما يتعلق بسرقة بيانات الأجهزة المحمولة. بل أكثر من ذلك، إذ يعتقدون أن هذا الكنز الثمين الذي وجدوه ما هو إلا جانب يسير من زاوية صغيرة من إمكانيات المراقبة التي توفرها نفس البنية الرقمية التحتية المستخدمة في عملية “دارك كاراكال”. يقول كوينتين مُختاراً كلماته بعناية، “باحثون آخرون أكدوا لنا ضمنياً أن هناك عملاء آخرون” إلى جانب كاراكال، وكازاخستان.
انتشرت النكات على تويتر بعد نشر التقرير للمرة الأولى، ساخرةً مما بدا عليه الامر من عدم كفاءة المخابرات اللبنانية. ولكن يظل من غير الواضح من الذي يقف وراء هذا الخطأ الذي أدى إلى إجهاض عملية الاختراق تلك بشكل أساسي. ربما يرجع السبب في ذلك إلى مجموعة “دارك كاراكال”، حسب قول كوينتين، وربما يكون هناك خلل ما من جانب بائع أداة الاختراق الغامض.
من خلال فحص الملفات المُكتشفة على هذا الخادم، وجد الباحثون عدداً من الأجهزة متماثلة التكوين التي تبرز بشكل متكرر من آن لآخر، فخمنوا أنهم أمام أجهزة اختبار تابعة للمخترقين، ومن ثم دققوا البحث في شبكة الواي فاي التي كانت هذه الاجهزة متصلة بها. وجدوا أن ثمة شبكة واي فاي مشتركة بين هذه الأجهزة تحمل اسم “Bld3F6″، والتي حدد الباحثون موقعها الجغرافي بالقرب من مبنى الأمن العام في بيروت. وقد أكد مراسل وكالة أسوشيتد برس، والذي ذهب إلى المبنى يوم الاربعاء عقب الكشف عنها، أن الشبكة لاتزال تعمل، ولكن عندما ذهبتُ إلى مقر الامن العام الرئيسي يوم الجمعة، كانت هذه الشبكة قد اختفت. فإما أنه تم إخفائها، أو أعيد تسميتها باسم آخر، أو أُلغيت تماماً.
*كافيه ودال
الموضوع تمت ترجمته واعداده من موقع The Atlantic ولقراءة الموضوع الأصلي زوروا الرابط التالي
