(FILES) This file photo illustration photo shows a Facebook App logo displayed on a smartphone in Los Angeles, March 1, 2021. -…
توصف برامج الشركة الإسرائيلية بأنها خبيثة تصيب الهواتف الذكية لتمكين استخراج الرسائل والصور

لا تزال أصداء استخدام مزعوم لبرامج تجسس ضد معارضين وناشطين حول العالم مستمرة، حيث تشير تقارير إلى "إساءة استخدام واسعة النطاق ومستمرة" لبرامج إن إس أو للتسلل الإلكتروني.

وتوصف هذه البرامج بأنها خبيثة تصيب الهواتف الذكية لتمكين استخراج الرسائل والصور، ورسائل البريد الإلكتروني، وتسجيل المكالمات، وتفعيل مكبرات الصوت الهاتفية سرا.

وحصلت مجموعة فوربيدن ستوريز الصحفية غير الربحية التي تتخذ من باريس مقرا لها ومنظمة العفو الدولية على قائمة بخمسين ألف رقم هاتف، اختارها زبائن لشركة "إن إس أو غروب" الإسرائيلية منذ 2016 لمحاولة اختراق هواتف ذكية، كان بعضها ناجحا، والقيام بعمليات تجسس محتملة. 

وقد تقاسمتها المنظمتان مع مجموعة من 17 وسيلة إعلامية كشفت هذه القضية، الأحد.

كيف يحدث الاختراق؟

يقول موقع "ذي كونفرسيشن" (The Conversation) إنه لا يوجد شيء معقد بشكل خاص حول كيفية اختراق برامج التجسس بيغاسوس لهواتف الضحايا. 

ويبدأ الاختراق برسالة نصية قصيرة أو آي مسج (iMessage) على هواتف آيفون تحوي رابطا لموقع ويب. إذا تم النقر عليه، يعني إصابة الهاتف ببرنامج خبيث للقرصنة أو التجسس.

والهدف من ذلك هو السيطرة الكاملة على نظام تشغيل الهاتف، إما عن طريق التجذير (الروتنغ) لهواتف أندرويد أو كسر الحماية على أجهزة أبل (آي أو إس).

عادة ما يتم إجراء عملية التجذير على هواتف أندرويد بواسطة المستخدم نفسه لتثبيت التطبيقات والألعاب من متاجر التطبيقات التي لا يدعمها نظام أندويد، أو لإعادة تمكين وظيفة تم تعطيلها بواسطة الشركة المصنعة.

وبالمثل، يمكن كسر حماية هواتف آيفون للسماح بتثبيت التطبيقات غير المتوفرة في متجر تطبيقات أبل، أو لإلغاء قفل الهاتف لاستخدامه على الشبكات الخلوية البديلة. 

وتتطلب العديد من أساليب كسر الحماية أن يكون الهاتف متصلا بجهاز كمبيوتر في كل مرة يتم تشغيله فيها.

يقوم كل من التجذير وكسر الحماية بإزالة عناصر التحكم في الأمان التي تتضمنها أنظمة تشغيل أندرويد أو آي أو إس. وعادة ما تكون مزيجا من تغيير الإعدادات و"اختراق" للعناصر الأساسية لنظام التشغيل لتشغيل التعليمات البرمجية المعدلة.

في حالة برامج التجسس، بمجرد إلغاء قفل الهاتف، يمكن للمتجسس نشر المزيد من البرامج لتأمين الوصول عن بُعد إلى بيانات الهاتف ووظائفه. من المحتمل أن يظل هذا المستخدم غير مدرك تماما لما يحدث.

وعندما تفشل محاولة الاختراق الأولى، ولا يتفاعل الضحية مع الرابط الذي تم إرساله، تحث برامج التجسس المستخدم على التفاعل مع أذونات التطبيقات ذات الصلة.

وتحدثت معظم التقارير الإعلامية عن اختراق برنامج التجسس الرائد بيغاسوس لهواتف أبل. فهل هذا يعني أن أجهزة أبل غير آمنة؟

يقول "ذي كونفرسيشن" إن أجهزة أبل تعتبر بشكل عام أكثر أمانا من نظيراتها التي تعمل بنظام أندرويد، ولكن لا يوجد أي نوع من الأجهزة آمن بنسبة 100 في المئة.

ووفق تحقيق نشرته، الأحد، 17 وسيلة إعلامية دولية، سمح برنامج "بيغاسوس" الذي طورته شركة "إن إس أو" الإسرائيلية بالتجسس على ما لا يقل عن 180 صحافيا، و600 شخصية سياسية، و85 ناشطا حقوقيا، و65 صاحب شركة في دول عدة.

ويتيح برنامج التجسس اختراق الرسائل والصور وجهات الاتصال وحتى الاستماع إلى مكالمات الشخص المستهدف.

وأثار التحقيق استنكار منظمات حقوق الإنسان ووسائل الإعلام وقادة سياسيين في أنحاء العالم.

في المقابل، نفت إن إس أو ارتكاب أي مخالفات، وأكدت الشركة الإسرائيلية أن برنامجها موجه فقط للاستخدام من قبل المخابرات الحكومية ووكالات إنفاذ القانون التي جرى التحقق منها للحصول على معلومات ضد الشبكات الإجرامية والإرهابية.

وقال شاليف هوليو مؤسس مجموعة إن.إس.أو لإذاعة 103 إف.إم في تل أبيب، الثلاثاء، إن القائمة المنشورة لأهداف بيغاسوس المزعومة "لا صلة لها بإن إس أو".

وأضاف في مقابلة نادرة "المنصة التي ننتجها تمنع الهجمات الإرهابية وتنقذ الأرواح".

بلاك كات- تعبيرية
يقول مكتب التحقيقات الفدرالي إنه تم اكتشاف "بلاك كات" لأول مرة في نوفمبر 2021 | Source: rewardsforjustice.net

دأبت مجموعة "بلاك كات" - أو القطة السوداء - منذ سنوات على مهاجمة كبريات الشركات والمؤسسات الحكومية حول العالم، والولايات المتحدة على وجه التحديد.

منذ أن تمكنت المجموعة من تعطيل عمل وحدة التكنولوجيا التابعة لمجموعة يونايتد هيلث، وعطلت مدفوعات التأمين في الولايات المتحدة، ذاع صيتها، لكن جوانب عديدة تتعلق بأهدافها وآلية نشاطها لا تزال مبهمة. 

في أواخر فبراير الماضي، تعرضت وحدة التكنولوجيا التابعة لشركة يونايتد هيلث كير، لهجوم إلكتروني، تسبب في اضطراب واسع النطاق. 

وتلعب هذه الوحدة الحيوية دورا أساسيا في معالجة المدفوعات من شركات التأمين إلى الشركات الطبية، وقد أدى الانقطاع الناجم عن الهجوم الإلكتروني الذي نفذه مهاجمو "بلاك كات"  إلى دفع المرضى والأطباء - في بعض الحالات - قيمة الخدمات الطبية، وفق ما ذكرت رويترز.

وكان الهجوم بالغ التأثير على مراكز صحة مجتمعية تخدم أكثر من 30 مليون مريض من الفقراء وغير المؤمن عليهم.

وقال القراصنة في وقت سابق من هذا الشهر إن الشركة دفعت فدية قدرها 22 مليون دولار لاستعادة أنظمتها، دون الإعلان عما إذا كانوا قد أعادوا خدمات الشركة بعد تلقي الأموال، وفق الوكالة ذاتها.

وبعد فترة وجيزة من الاختراق، وضعت المجموعة بيانا مزيفا على موقعها الإلكتروني زعمت فيه أن السلطات تمكنت من وضع يدها على أنشطتها، وذلك في محاولة لإعطاء انطباع بأن عملياتها توقفت.

والأربعاء، عرضت وزارة الخارجية الأميركية مكافأة تصل إلى عشرة ملايين دولار مقابل معلومات عن مجموعة "بلاك كات".

فيما يلي أبرز المعلومات عن هذه المجموعة

"بلاك كات"

يقول مكتب التحقيقات الفدرالي إنه تم اكتشاف "بلاك كات" لأول مرة في نوفمبر 2021؛ وكانت المجموعة قد أوقعت ما لا يقل عن 60 ضحية في أربعة أشهر.

خلال عام 2021، لاحظت السلطات الأميركية زيادة في هجمات برامج الفدية المتطورة ضد 16 قطاعًا من قطاعات البنية التحتية الحيوية في الولايات المتحدة. 

وتشمل تلك القطاعات القاعدة الصناعية عموما والأغذية والزراعة والمرافق الحكومية، وتكنولوجيا المعلومات. 

ولاحظت أستراليا والمملكة المتحدة أيضا زيادة في عدد الجهات الفاعلة في برامج الفدية التي تستهدف المؤسسات الخيرية والخدمات العامة والحكومات المحلية - إذ اعترفت المملكة المتحدة بأن برامج الفدية هي أكبر تهديد إلكتروني لها، وفق ما نقل موقع "أفيرتيوم".

ويشتبه في أن "بلاك كات" مجموعة خليفة لـمجموعة Darkside/BlackMatter، وفق ملف تعريفي، أعده مركز تنسيق الأمن السيبراني للقطاع الصحي، التابع لوزارة الصحة والخدمات الإنسانية الأميركية.

وعلى مدار العامين الماضيين، رسخت "بلاك كات" (Blackcat) مكانتها باعتبارها ثاني أكبر مؤسسة في العالم لبرامج الفدية (RaaS)، حيث استحصلت مئات الملايين من الدولارات من ضحاياها. 

وتجري العديد من وكالات إنفاذ القانون حول العالم تحقيقات موازية في المجموعة.

آلية عملها

أصبح برنامج الفدية (RaaS) نموذجا شائعا بين المتسللين في السنوات الأربع الماضية، وفق موقع "فاست كومباني".

من خلال هذا البرنامج الذي تسخدمه "بلاك كات" يقوم الوسطاء ببيع أو تأجير أدوات الاستغلال أو الأبواب الخلفية للشركات، ما يسمح لهم بالوصول إلى معلومات المستخدم، وتثبيت البرامج الضارة، والسيطرة على موارد النظام. 

يبيع هؤلاء الوسطاء إمكانية الوصول تلك، مقابل آلاف الدولارات ويمكن لمهاجمي برامج الفدية أن يطلبوا أضعاف هذا المبلغ من الضحايا.

ومثل العديد من شركات برامج الفدية، تستخدم "بلاك كات" أشكالًا متعددة من الابتزاز في هجومها. 

فبعد أن تتمكن من الوصول إلى الأنظمة والمعلومات، تأخذ بيانات حساسة، ثم تقوم بتشفير النظام وتطلب فدية للتراجع عن الأقفال التي وضعتها، وكذلك توافق على عدم نشر المعلومات (الحساسة عادة) التي حصلت عليها.

وفي حالة عدم قيام الشركة بالدفع، تنشر المجموعة المعلومات بشكل عام إما على شبكة الويب المظلمة أو على موقع ويب مسرب.

وينشط موقع تسريب BlackCat منذ أوائل ديسمبر 2021، وهناك تكهنات بأن العدد الإجمالي للضحايا، بما في ذلك أولئك الذين دفعوا فدية، أكبر بكثير من الذي تم الإعلان عنه.

وفي معظم الأحيان، لا يرغب الضحايا الذين يدفعون الفدية في المخاطرة بالحديث. 

ولدى "بلاك كات" العديد من الأساليب التي يتم استخدامها في محاولة لإضعاف أو تعطيل دفاعات النظام ومنع بعض التطبيقات من قفل الملفات المفتوحة على القرص - مما قد يسبب مشاكل عند محاولة تشفير تلك الملفات. 

بالإضافة إلى ذلك، يحاول برنامج "بلاك كات" إيقاف العديد من العمليات والخدمات لمنع أي حلول أمنية أو نسخ احتياطية قد تكون لدى المؤسسة. 

قيمة الفدية

تتراوح طلبات الفدية التي تطلبها المجموعة من 400 ألف دولار إلى 3 ملايين دولار، مع منح الضحايا الفرصة للتفاوض على مبلغ أقل إذا اختاروا دفع فدية، وفق "أفيرتيوم". 

ويمكنهم أيضًا اختيار الدفع بعملة المونيرو أو البيتكوين التي تحافظ على الخصوصية، لكن الدفع بعملة البيتكوين يضيف 15% إلى مبلغ الفدية.

جنسية أعضائها؟

تم الترويج لـ "بلاك كات" في منتديات القرصنة الناطقة باللغة الروسية، وتم تسميتها على هذا النحو نظرًا لاستخدام رمز القطة السوداء المفضل في موقع الدفع Tor الخاص بكل ضحية. 

ويصعب تحديد هوية أو جنسية جميع المتدخلين، إذ تعتمد المجموعة على متعاونين مستقلين لإصابة الشبكات الجديدة ببرامج الفدية الخاصة بهم.

"يحصل هؤلاء المنتسبون بدورهم على عمولات تتراوح بين 60 إلى 90 بالمائة من أي مبلغ فدية يتم دفعه" وفق موقع "كريبسون سيكيريتي".

وفي حين أن الباحثين لم يربطوا بشكل قاطع "بلاك كات" بروسيا أو حكومتها، فقد خلصوا إلى أنها مجموعة ناطقة بالروسية. 

وتحدث مسؤولون في الاستخبارات الأميركية مراراً عن استعداد الحكومة الروسية لغض الطرف عن الجرائم الإلكترونية، مقابل خدمة المتسللين في العمليات الاستخباراتية، "وكان هذا صحيحاً بشكل خاص خلال الحرب في أوكرانيا" وفق موقع إذاعة ويسكونسن العامة.

ضحايا "بلاك كات"

وفقا لمكتب التحقيقات الفدرالي، قامت مجموعة "بلاك كات" باختراق شبكات الكمبيوتر في الولايات المتحدة وفي جميع أنحاء العالم. 

وأثرت الاضطرابات الناجمة عن هجوم برنامج الفدية هذا، على البنية التحتية الحيوية للولايات المتحدة، بما في ذلك المرافق الحكومية، وخدمات الطوارئ، وشركات القواعد الصناعية الدفاعية، والتصنيع الحيوي، ومرافق الرعاية الصحية والصحة العامة – بالإضافة إلى الشركات والهيئات الحكومية والمدارس. 

ويصل حجم الخسارة على مستوى العالم إلى مئات الملايين، ويشمل دفع الفدية، وتدمير وسرقة بيانات الملكية، والتكاليف المرتبطة بالاستجابة للحوادث.

ومنذ منتصف ديسمبر 2023، كان قطاع الرعاية الصحية في الولايات المتحدة هو الضحية الأكثر شيوعًا من بين ما يقرب من 70 ضحية تم تسريبها. 

لكن المجموعة استهدفت ضحايا في العديد من البلدان وعبر العديد من القطاعات الاقتصادية. 

وتعد شركات Solar Industries India وNJRC وMontcler وCreos Luxembourg S.A. وSwissport International A.G. من بين العديد من الضحايا المعروفين في الفترة من 2022 إلى 7 مارس 2024، وفق منصة "باراكودا".