كشفت شركة «تشيك بوينت سوفتوير»، وهي إحدى أكبر شركات الأمن السيبراني في العالم، عن هجمات إلكترونية تشنها الحكومة المصرية وتستهدف بها المعارضين للنظام الحاكم في مصر، متحدثة عن تسبب الهجمات في اعتقال العديد من المعارضين.
وذكرت صحيفة The New York Times، الخميس 3 أكتوبر/ تشرين الأول 2019، بعض التفاصيل عن تقرير ستنشره الشركة بخصوص طريقة استهداف المعارضين للرئيس المصري عبد الفتاح السيسي، من خلال تطبيقات على الهواتف المحمولة.
ووصفت الصحيفة الهجمات التي تشنها الحكومة لاستهداف باحثين، ومحامين، ومعارضين، وناشطين حقوقيين بأنها «متطورة».
تثبيت تطبيقات على الهواتف
وتشير النسخة الأولية من تقرير شركة «تشيك بوينت سوفتوير» ومقرها الرئيسي جنوب سان فرانسيسكو، أن المهاجمين قاموا بتثبيت برامج على هواتف الأشخاص المستهدفين، ما مكنهم من قراءة ملفات الضحايا، ورسائل البريد الإلكتروني الخاصة بهم، وتعقب مواقعهم، وتحديد هوية من اتصلوا به.
وقالت الصحيفة الأمريكية إنه تم إلقاء القبض على اثنين بارزين من المعارضين للسيسي، الذين تم استهدافهم من قبل هجمات إلكترونية شنتها الحكومة، واكتشفتها الشركة الأمريكية، وأشارت الصحيفة إلى أنه تم إلقاء القبض عليهما الشهر الماضي، وسط حملة قمع شنتها الحكومة على المتظاهرين ضد السيسي.
وبحسب الصحيفة، فقد ألقي القبض على حسن نافعة أستاذ العلوم السياسية في جامعة القاهرة، وخالد داود الصحفي ورئيس حزب الدستور السابق، وهو ناقد بارز للسيسي.
وكشفت شركة «تشيك بوينت» أن الخادم المركزي المستخدم في الهجمات تم تسجيله باسم وزارة الاتصالات وتكنولوجيا المعلومات المصرية، وأضافت أن الإحداثيات الجغرافية المضمنة في أحد التطبيقات المستخدمة لتتبع النشطاء، تتوافق مع مقر وكالة التجسس الرئيسية في مصر، وهو جهاز المخابرات العامة.
3 تطبيقات خطيرة
وتعود بداية الهجمات الإلكترونية من قبل الحكومة إلى العام 2016، حيث قال التقرير إن عدد الضحايا الكلي غير معروف، لكن الشركة الأمريكية حددت 33 شخصاً، ومعظمهم من الشخصيات المعروفة في المجتمع المدني والمعارضة، الذين كانوا مستهدفين في أحد أجزاء العملية التي اكتشفتها.
ونقلت صحيفة The New York Times غن أسيل كيال المحللة لدى «تشيك بوينت»، قولها: «اكتشفنا قائمة بالضحايا، ومن بينهم نشطاء سياسيون واجتماعيون تم اختيارهم بعناية، وصحفيون بارزون، وأعضاء منظمات غير ربحية في مصر».
وكان الهجوم الثاني عبارة عن هجمات إلكترونية استخدمت مجموعة من التطبيقات الخبيثة على الهواتف وحسابات البريد الإلكتروني للنشطاء لخداع المستخدمين.
فقد ظهر تطبيق يسمى «سيكيور ميل» (Secure Mail) يدعي أنه تابع لبريد جيميل، ويحذر الأشخاص المستهدفين بأن حساباتهم قد تم اختراقها، ثم يقوم بخداعهم ليكشفوا له عن كلمات المرور الخاصة بهم.
أما التطبيق الثاني فاسمه «آي لود 200%» (iLoud200%)، ويعد المستخدمين بمضاعفة صوت الهواتف المحمولة، بينما يقوم باختراق موقع الهاتف الجغرافي، حتى إذا أوقف المستخدم خدمات الموقع أو خدمات تتبع الموقع الجغرافي، بحسب ما ذكره موقع «الجزيرة. نت».
وأحد التطبيقات الأكثر تطورا كان اسمه «إنديكس واي» (IndexY)، وزعم أنه تطبيق مجاني لتحديد المتصلين المجهولين، مثل التطبيق الشهير «تروكولار» (Truecaller).
لكن هذا التطبيق قام بنسخ تفاصيل جميع المكالمات التي تمت على الهاتف، وتخزينها على خادم يسيطر عليه المهاجمون، كما وجدت «تشيك بوينت» أن التركيز كان على اتصالات المستخدمين مع أطراف خارج مصر.
وقال باحثون في «تشيك بوينت» إن مجرد قدرة المخترقين على وضعه في متجر غوغل، والتحايل على الإجراءات التي تتخذها غوغل لفحص التطبيقات الجديدة، يشهد على درجة عالية من التطور والجهد الذي بذل في تطويره.
وكان التطبيق متاحًا على متجر غوغل حتى شارك تشيك بوينت في 15 يوليو/تموز مخاوفه مع غوغل، حيث أزيل التطبيق و»حظر المطور المرتبط» بعد ذلك بأسبوعين تقريبًا.
المهاجمون ارتكبوا خطأً
وعلى الرغم من المهارة التي استخدمها المطورون لتفادي اكتشاف هويتهم، يبدو أن المهاجمين ارتكبوا عددًا من الأخطاء التي سمحت لشركة «تشيك بوينت» بتتبع أصول التطبيقات.
فقد تم ربط جميع الصفحات والمواقع المستخدمة لتنفيذ الهجمات بعنوان «آي بي» (IP) خاص بشركة اتصالات روسية تدعى «ماروسنت» (Marosnet)، وخادم مركزي مسجل تحت اسم «MCIT»، في إشارة واضحة إلى وزارة الاتصالات وتكنولوجيا المعلومات في مصر.
كما أن تطبيق «آي لود 200%» يحتوي -مثل معظم برامج تحديد الموقع الجغرافي- على إحداثيات افتراضية أولية، وهي نقطة يتم ضبطها لتشير إلى وقت ومكان التنشيط الأولي للمطورين، وقد تطابقت الإحداثيات الافتراضية في التطبيق مع تلك الموجودة في مقر جهاز المخابرات العامة المصرية.
وقال مسؤولو تشيك بوينت إنه يمكن أن تكون الإحداثيات زرعت في التطبيق من قبل شخص يحاول توريط الدولة المصرية، لكن التفسير الأكثر ترجيحا -حسب المسؤولين- هو أن الإحداثيات تركت بطريق الخطأ، أو الكسل من جانب الأشخاص الذين يديرون العملية.
ونقلت الصحيفة الأمريكية عن مسؤول في «تشيك بوينت»، قوله إنه من بين الأدلة الأخرى التي تشير أيضا إلى تورط الدولة في الهجمات؛ هي مدة الحملة التي تطلبت عدة سنوات، وكذلك الكم الهائل من البيانات التي تم جمعها، والموارد المالية والبشرية الكبيرة، بالإضافة إلى أهداف الهجوم، التي يبدو أنها قد اختيرت لنشاطها أو معتقداتها السياسية، وهو ما لا يتماشى مع دوافع الجريمة السيبرانية التقليدية، التي تميل إلى التركيز على التخريب أو الابتزاز.
ومن جانبها، قالت أسيل كيال المحللة في «تشيك بوينت»، إن التحقيق أشار إلى أن الجناة كانوا متحدثين باللغة العربية، وإن الوقت الافتراضي المستخدم في التطبيقات هو التوقيت المصري.
تفتيش على الهواتف
وخضع مواطنون مصريون منذ خروج احتجاجات ضد السيسي يوم 20 سبتمبر/ أيلول 2019 إلى تفتيش هواتفهم في الشوارع، وانتقد المجلس القومي لحقوق الإنسان في مصر قيام عناصر الشرطة بالزي المدني بتوقيف المواطنين في الشارع وتفتيش محتوى هواتفهم المحمولة قسرا، بدعوى الحفاظ على الأمن والتصدي للإرهاب.
وقال المجلس إن تصرف الشرطة «يخالف نصوصا عديدة في الدستور، تضفي حماية على حرمة الحياة الخاصة وكذا تحصين مراسلات المواطنين واتصالاتهم».
وندد أيضا بـ»التوسع في توقيف المواطنين العابرين في الطرقات والميادين، من دون تمكينهم من الاتصال بذويهم وأهلهم، ومن دون إبلاغهم بالتهمة المسندة إليهم»، معتبرا هذه الإجراءات «عدواناً على الحقوق التي كفلها الدستور».
وأبدى المجلس المذكور الذي يتمتع بالاستقلالية بموجب نص الدستور «ارتياحه لعمليات الإفراج عن أعداد تم توقيفها»، مشيرا إلى أنه «يتوقع أن تشمل هذه الإفراجات كل من لم يتورط في أعمال عنف أو تحريض».
وكانت جماعات حقوقية قد قالت إنه إنه جرى احتجاز قرابة 1900 شخص، فيما أوضح مكتب النائب العام أن أكثر من ألف مشتبه بهم خضعوا للاستجواب بشأن اتهامات «باستخدام مواقع التواصل الاجتماعي لبث أخبار كاذبة والانضمام لجماعة إرهابية محظورة والتظاهر من دون ترخيص»، وفقاً لما ذكره موقع «فرانس 24»