ورقة بحث تقنية عن عمليات التجسس الإلكتروني لحكومة البحرين

ورقة بحث تقنية عن عمليات التجسس الإلكتروني لحكومة البحرين
الأحد ٢٤ أغسطس ٢٠١٤ - ٠٢:٥٠ بتوقيت غرينتش

قدّمت خلال مؤتمر USENIX Security يوم الجمعة 22 أغسطس/آب 2014 ورقة بحث تقنية عن عمليات التجسس الإلكترونية التي تقوم بها حكومات في الشرق الأوسط لاستهداف المعارضين السياسيين ودعاة حقوق الإنسان، ودرست الورقة حالات في 3 دول هي: البحرين، سوريا، والإمارات العربية المتحدة.

وبنيت الورقة البحثية على سنوات طويلة من الأبحاث والتحليلات التجريبية، وتمخّضت عن كشف بعض الأسرار حول تكنولوجيا التجسس الإلكترونية التي تباع حصرياً للحكومات، واستعرضت الورقة نتائج الدراسة التي استطاعت التوصّل إلى عيّنات من برامج تجسس متطوّرة لأوّل مرة، وفحصت آلية عملها، قدراتها وتكتيكاتها.
ونظراً لأهمّية الورقة على الصعيد العلمي، السياسي والحقوقي، في مختلف الدول العربية، قام فريق الترجمة بـ"مرآة البحرين" بترجمة الورقة البحثية إلى اللغة العربية، بتفويض من المؤلّفين.
وطوال سنين مضت، بقيت تكنولوجيا التجسس والمراقبة الإلكترونية سراً من الأسرار العلمية تحافظ الشركات على بقائه بعيداً عن الحيّز الأكاديمي خوفاً من إيقاف نشاطه الذي يعتبر في جانب منه قانونياً، خصوصاً فيما يستخدم في آليات التحقيق الجنائي، بمؤسسات الأمن في البلدان المختلفة.
ويحاول الباحثون كسر حاجز السرية المفروض على هذه الابتكارات والتكنولوجيا التقنية المتطوّرة، لأهداف علمية وحقوقية، وقال معدو الورقة إن هجمات قرصنة الكمبيوتر الموجهة التي تشنها الدول ضد الأفراد لم تلق أي اهتمام بحثي منهجي حتى الساعة، وأوضحوا أنهم أخذوا على عاتقهم تمييز هذه الإشكالية، متأملين أن يشكّل العمل مصدر إلهام لجهود بحثية إضافية تعالج المشكلة الصعبة في كيفية حماية الأفراد ضد الحكومات.
ويقام مؤتمر ومنتدى USENIX لأمن المعلومات في ساندييغو بولاية كاليفورنيا، برعاية عدد من كبريات الشركات التقنية أهمها غوغل، وفيسبوك، ومايكروسوف، وآي بي إم، وغيرها. ويجمع المؤتمر الباحثين والمختصين التقنيين لتقديم أوراق وندوات بحثية متخصّصة في مجال أمن المعلومات، الذي يزداد أهمية وتعقيداً على مستوى العالم أجمع. وهو يعتبر من أقوى المؤتمرات التقنية في مجال أمن المعلومات على مستوى العالم والولايات المتحدة الأميركية.

الورقة البحثية جزء من أطروحة الدكتوراة
الورقة التي تعتبر جزءاً من برنامج رسالة الدكتوراة لعدد من الطلاب الأميركيين، قام على إعدادها الباحث والخبير في الأمن الإلكتروني ويليام مارك زاك، الذي يقدّم أطروحته للدكتوراة في جامعة كاليفورنيا (بركلي)، في تخصص علوم الكمبيوتر وتحديداً في أمن المعلومات.
وكان مارك زاك، أحد مؤسسي منظمة بحرين ووتش، قد قام خلال الشهر الجاري بتحليل بيانات مسرّبة من شركة غاما فضحت الكثير من عمليات التجسس التي نفّذتها المخابرات البحرينية ضد كبار الناشطين والمحامين.
وينشط مارك زاك في حقل الرقابة الإلكترونية في البحرين منذ العام 2012 حين اكتشف لأوّل مرة نسخاً من برامج التجسس "فين فيشر" التي تنتجها شركة غاما البريطانية الألمانية، في أجهزة ناشطين بحرينيين حاولت الحكومة البحرينية اختراقهم، وقد قام زاك بفحص وتحليل هذه الاختراقات بمشاركة مختبر "سيتزن لاب" الذي حاز على زمالة بحث فيه لاحقا.
وإلى جانب مارك زاك أعد الورقة جون سكوت رايلتون، من جامعة كاليفورنيا في لوس أنجلوس، والذي يعمل في "سيتزن لاب" أيضاً، وشارك في الورقة أيضاً مورغان ماركيز بوار، من سيتزن لاب، فيرن باكسون، جامعة كاليفورنيا في بيركلي، ومعهد الهندسة الكهربائية وعلوم الكمبيوتر ICSI.
وعقدت دورة مؤتمر USENIX الثالثة والعشرون من 20-22 أغسطس/آب الجاري، وقد قبلت الورقة البحيثة لمارك زاك ورفاقه ضمن 67 ورقة مقبولة في المؤتمر فقط، من أصل 350 ورقة مقدّمة لمنظّمي المؤتمر.

حين تخترق الحكومات المعارضين
وجاءت الورقة تحت عنوان "حين تخترق الحكومات المعارضين: نظرة إلى الجهات الفاعلة والتكنولوجيا" وقالت إن الهجمات التي وثّقتها تعتبر من التقنيات الجديدة والنادرة.
وفيما يتعلق بالبحرين وسوريا، شمل العمل عشرات الآلاف من رسائل البريد الإلكتروني والرسائل الفورية chats. أما الدراسة التي تتعلق بالإمارات العربية المتحدة، فقد استندت إلى عدة آلاف من الاتصالات.
وقال الباحثون إنهم حصلوا على معظم ملفاتهم من خلال تشجيع الأفراد المحتمل أن يكونوا قد استهدفوا من قبل الحكومة لتزويدهم بالملفات والروابط المشبوهة.
وإلى جانب فيروسات حصان طروادة trojan الجاهزة للنفاذ عن بعد، وخدمات تعقب عنوان بروتوكول الإنترنت IP، تعرّف الدراسة أيضاً برامج التجسس التي تباع حصرياً إلى الحكومات بما فيها برنامج شركة غاما للتجسس FinSpy ونظام التحكم RCS الذي تنتجه شركة Hacking Team.
ورأوا أن المهاجمين هم الحكومات أنفسها أو مناصرو الحكومة؛ بعضهم مواطنون لا ينتمون بالضرورة إلى المتطوعين المهرة، وبعضهم من مرتزقة الإنترنت.

الهندسة الاجتماعية وأخطاء المهاجمين
واستخدم المهاجمون في بعض الحالات، برامج خبيثة مكلفة وتباع للحكومات حصرياً، بينما استخدموا في حالات أخرى، أدوات رخيصة ومتوفرة بسهولة RATs، بحسب ما جاء في الورقة البحيثة، التي استنتجت من ذلك أن "الهندسة الاجتماعية"1 الذكية Social Engineering تلعب غالباً دوراً مركزياً في ذلك، وهو دليل قوي على وجود خصوم مطلعين.
وقال الباحثون إنهم وجدوا أيضا الكثير من الأخطاء الفنية والتشغيلية يقوم بها المهاجمون، ما أمكنهم من ربط الهجمات بالحكومات. وبشكلٍ عام، قال الباحثون إن الهجمات لا يتم الكشف عنها بشكل جيد من قبل برامج مكافحة الفيروسات anti-virus program.

حالة علي الشوفة: المتهم بإدارة حساب @alkawaranews
وكمثال على هذه الظاهرة استعرضت الورقة في صدر البحث قصّة المواطن البحريني "علي الشوفة" التي جمعت تفاصيلها من التقارير العامة ووثائق المحاكمة. وتمثّل قضية الشوفه في الورقة البحثية حالة بارزة لوجود دليل قانوني رسمي هو الوحيد ربما الذي يثبت استخدام هذه التكنولوجيا من قبل جهاز حكومي على مستوى العالم.
وقالت الورقة "في فجر 3/12/2013 اقتحمت الشرطة منزل "علي الشوفة" ذي السبعة عشر عاماً وصادرت كمبيوتره الشخصي وهاتفه واعتقلته واتهمته بوصم ملك البحرين بالطاغية والساقط على حساب تويتر تحت اسم مستعار هو @alkawarahnews. وبحسب ملفات المحكمة، فإن وحدة مكافحة الجريمة الإلكترونية في البحرين قد ربطت بين عنوان بروتوكول الإنترنت IP المسجل باسم والده وبين الحساب في 12/9/2012. وأرسل مشغّلو حساب @alkawarahnews بعدها رسالة خاصة مشبوهة إلى أحد المؤسسين. تم استلام هذه الرسالة في 12/8/2012 في حساب فيسبوك مرتبط بحساب تويتر نفسه، وتضمنت الرسالة رابطاً عن فيديو احتجاج يزعم أنه أُرسل من قبل شخص مناهض للحكومة. يتم تحويل هذا الرابط إلى iplogger.org، وهي خدمة تسجل عنوان بروتوكول الإنترنت IP لأي شخص يدخل إلى أي رابط بمجرد النقر عليه. وأشارت تحليلات الرابط أنه قد تم الدخول إليه مرة واحدة من داخل البحرين. وحكم على علي بالسجن لمدة سنة واحدة في 25/6/2013".

الإمارات تجسست على مستخدمي بلاك بيري جميعا
وفي قضية بارزة في العام 2009، وزعت شركة "اتصالات" في الإمارات العربية المتحدة تحديث نظام لمستخدمي هاتف البلاك بيري الـ145000، يحتوي على برنامج تجسس لقراءة بريد البلاك بيري الإلكتروني المشفر من الجهاز.وقد تم اكتشاف برنامج التجسس عندما تسبب التحديث ببطء كبير في أجهزة المستخدمين. وعلى خلاف التوزيع بحسب نطاق البلد، ينظر عملنا في نوع هذه الرقابة الموالية للحكومة والمرتبطة بالحكومة عبر هجمات موجّهة بشكل عال.

رسالة مزورة عن نبيل رجب وزينب الخواجة
 

الرسالة المزورة عن نبيل رجب وزينب الخواجة

وعرضت الورقة نموذجاً لإحدى رسائل البريد الإلكتروني التي اكتشف أنها تحتوي على ملف تجسس FinSpy، واستخدف اسم مراسلة قناة الجزيرة الإنغليزية ميليسا شان كمرسل مزيّف، لإقناع المتلقّين بأن الرسالة حقيقية.وجاء في الرسالة أن هناك مرفق يحتوي على تقرير وصور من زينب الخواجة، حول تعذيب نبيل رجب بعد اعتقاله مؤخراً.

FinSpy: صورة لكنها ملف exe خبيث
وفي أبريل/نيسان 2012 فحص الباحثون 5 رسائل إلكترونية مشبوهة من نشطاء وصحافيين يسكنون في المملكة المتحدة والولايات المتحدة ويعملون من أجل البحرين. وقد وجدوا أن بعض الملفات المرفقة تضمنت ملف (.exe) مصمم ليظهر كصورة. وحوت أسماء ملفاتهم شفرة تدفع نظام التشغيل ويندوز إلى تغيير اسم الملف إلى gpj.1bajaR.exe بدلاً من exe.Rajab1.jpg، ليتحوّل إلى برنامج تنفيذي (ملف تشغيلي).

قصور متعمّد في تشفير FinSpy
وقالت الدراسة إن كود AES FinSpy فشل في تشفير المجموعة الأخيرة من البيانات وترك أثرا لنص عادي، وفي حين شك الباحثون في أن قصور تشفير FinSpy قد يعني خللاً ما، قالوا إنه من الممكن أن يتصوروا أيضاً أن التشفير قد تم إضعافه عمداً لتسهيل قدرة حكومة معيّنة على مراقبة حكومات أخرى.

سيرفر القيادة والتحكم في البحرين
وتوصّلت التحليلات التي أجراها الباحثون على الأجهزة المصابة بـFinSpy أن المعلومات المخترقة ترسل إلى عنوان 77.69.140.194، وهو جهاز متصل بالإنترنت عن طريق شركة بتلكو، ما يعني أن سيرفر القيادة والتحكم بعمليات FinSpy موجود داخل البحرين.
ورداً على هذا الاستنتاج، قال مسؤول تنفيذي في شركة غاما للصحافة إن سيرفر FinSpy البحريني كان مجرد سيرفر وسيط Proxy وإن السيرفر الحقيقي يمكن أن يكون في أي مكان، كجزء من ادعاء أن استخدام البحرين لـ FinSpy يمكن أن يكون مرتبطاً بحكومة أخرى، لكن الباحثين قالوا إن السيرفر الوسيط proxy قد يظهر فراغات في IPID حين يعيد توجيه حركة المرور؛ إلا أن مراقبتهم الدقيقة والمتتالية لـ IPIDs تناقض هذا البيان.

صفحة تسجيل مزيّفة أوهمت النظام أنه اخترق كلمة السر لموقع "بحرين ووتش"
وخلال تجاربهم التي نفّذوها لاختبار "سيرفر" التجسس في البحرين، أنشأ الباحثون صفحة إنترنت مزيّفة أوهمت النظام أنّه اخترق كلمة السر لموقع "بحرين ووتش"، في حين كانت كلمة السر واسم المستخدم مزيّفان.
وكان الباحثون، بالتعاون مع منظمة بحرين ووتش، قد أنشأوا صفحة تسجيل دخول وهمية على موقع المنظمة على الإنترنت، ومن خلال جهاز افتراضي نظيف، وقاموا بالدخول إلى الصفحة مستخدمين بيانات مرور (اسم المستخدم وكلمة السر) أنشئت لهذه الصفحة، مع حفظ كلمة السر في متصفّح الإنترنت المستخدم: موزيلا فايرفوكس. Mozilla Firefox
وخلال هذه التجربة، قام الباحثون بعد ذلك بإصابة الجهاز الافتراضي بفيروس برنامج FinSpy وسمحوا له بالإتصال بسيرفر القيادة والتحكم في البحرين. وقد كشف ملف السجل Log File في موقع "بحرين ووتش" عن دخول متكرر من89.148.0.41 (على الصفحة الرئيسية للموقع، بدلاً من صفحة تسجيل الدخول التي أنشأها الباحثون)، وقد جاء ذلك بعد فترة وجيزة من إصابة الجهاز الافتراضي، ومع فك تشفير حزمة البيانات الملتقطة من نشاط أداة التجسس، وجد الباحثون أن جهازهم الافتراضي قد أرسل كلمة السر إلى السيرفر قبل دقيقة واحدة بالضبط.
الباحثون استنتجوا بعد تكرار التجربة أن رابط صفحة تسجيل الدخول الوهمية لم يرسل إلى "سيرفر" التجسس في البحرين، وقالوا إن هذا التجاوز يعكس حقيقة أن قاعدة بيانات كلمات المرور في فايرفوكس تخزن أسماء النطاقات فقط، وليس كامل عناوين صفحة تسجيل الدخول.

طرق التجسس على عناوين الـIP للناشطين
وقالت الورقة إن الحكومة شنّت هجمات إلكترونية لاكتشاف عناوين بروتوكول الإنترنت التي يستخدمها بعض الناشطين، والذين يكونون عادة مشغلي حسابات زائفة على وسائل التواصل الاجتماعية أو البريد الإلكتروني.
وأوضحت الورقة أن المهاجم يرسل إلى الحساب الزائف رابط صفحة ويب أو رسالة بريد إلكتروني تحتوي على صورة مضمنة عن بعد، وذلك باستخدام واحدة من الخدمات الكثيرة المتاحة، وعندما ينقر الضحية على الرابط أو يفتح البريد الإلكتروني، يستطيع المهاجم أن يرى عنوان بروتوكول الإنترنت الذي كان يستخدمه، ويكشف المهاجم بعدها هوية الضحية من الشركات المزوّدة لخدمات الإنترنت.
وقالت الورقة إن المهاجمين الذين عملوا على كشف عناوين الـ IP الخاصة بأجهزة الناشطين، ومن ثم كشف هويتهم، استخدموا حساباً واحداً على موقع bit.ly للقيام بعملية تقصير "الروابط" الخبيثة وهو حساب al9mood (الكتابة بالحروف اللاتينية من الكلمة العربية "صمود").
وخلال مراقبة الباحثين حسابات متصلة بـ al9mood، أحصوا أكثر من 200 رابط تجسس على بروتوكول الإنترنت IP في التدوينات العامة على فيسبوك وفي رسائل تويتر.
واستخدم المهاجمون في كثير من الأحيان حسابات الأفراد البارزين و الموثوق بهم بدلاً من المسجونين مثل "ريد سكاي" وشخصيات وهمية (على سبيل المثال، النساء الجذابات أو الباحثين الوهميين عن وظيفة عند استهداف نقابة عمالية)، أو قاموا بانتحال حسابات قانونية.
وفي واحدة من التكتيكات الذكية، استغل المهاجمون الخط Font الافتراضي في تويتر، على سبيل المثال استبدال الحرف "l" الصغير بالحرف "I" الكبير أو تبديل أحرف العلة (على سبيل المثال من "a" إلى "e") وذلك لإنشاء أسماء متطابقة عند النظرة الأولى.

حساب Redsky المخترق يدل على مشغلي حساب شبكة الكورة الإعلامية
وألقي القبض على Red Sky في 17/10/2012 (بحسب مزاعم)، وأدين بإهانة الملك على حساب تويتر التابع له @RedSky446، وحكم عليه بالسجن لمدة أربعة أشهر. وعندما أطلق سراحه، وجد أن كلمات المرور لحساب تويتر، والفيسبوك، والبريد الإلكتروني قد تم تغييرها ولم يعرف كيفية استرداد حساباته.
وذكرت الورقة أن حساب شبكة الكورة الإعلامية على فيسبوك (الحساب الذي اتّهم علي الشوفة بإدارته في تويتر) كان ربما قد تلقّى رابطا خبيثا من حساب Red Sky، وذلك بعد فحص أجراه الباحثون على رسالة مشبوهة أرسلها الأخير إلى حساب شبكة الكورة على فيس بوك.
واحتوت ملفات قضية علي الشوفة طلباً من النيابة العامة للحصول على معلومات حول عنوان بروتوكول إنترنت IP كانت قد ربطته بصفحة أخبارة الكورة alkawarahnews بعد حوالى 22 ساعة من إنشاء الرابط الخبيث، المشار إليه. وأشارت وثائق المحكمة إلى أن بيانات ISP (الشركة المزودة للإنترنت) ربطت عنوان بروتوكول الإنترنت IP بـ"علي" وعلى هذا الأساس حكم عليه بالسجن لمدة سنة واحدة.
كما استهدف ريد سكاي ناشطا عرّفته الورقة بـ M. وقالت الورقة إن M تذكر أنّه نقر على رابط مرسل من Red Sky أثناء استخدام الإنترنت من أحد المنازل في قريته. وقد داهمت الشرطة المنزل في يوم 3/12/2013، بحثاً عن المشترك المتصل بالإنترنت في المنزل. تمحور استجواب الشرطة حول تغريدات وصفت الملك البحريني بأنه "ملعون".

استهداف المغرّد السنّي سلمان درويش ورئيس نقابة شركة يوكوجاوا
ورغم أن حساب "جهاد عبدالله" لم يكن بحسب الورقة جديرا بالاستهداف، لانحياز نشاطه إلى المجتمعات المنتقدة للمعارضة في البحرين، لكنّه كان قد وجّه أيضاً انتقادات مباشرة للملك في بعض الأحيان، وقد أشار في حالة واحدة إلى أنه "ضعيف" و "بخيل". وأرسل حساب مرتبط بal9mood إلى "جهاد عبدالله" رابط للتجسس على عنوان بروتوكول الإنترنت الخاص به في 2/10/2012 عبر رسالة علنية.
وبتاريخ 16/10/2012، اعتقل المغرّد "سلمان درويش" (من الطائفة السنّية) بتهمة إهانة الملك باستخدام حساب "جهاد عبد الله" وحكم عليه بالسجن لمدة شهر واحد، ويعود ذلك إلى الاعتراف الذي أدلى به. هذا ويدعي والد سلمان أن الشرطة قد حرمت ابنه من الطعام والشراب والرعاية الطبية.
استهدف حساب آخر مرتبط بal9mood حساب @YLUBH، وهو حساب تويتر يعود إلى اتحاد يوكوجاوا، نقابة عمالية في الفرع البحريني لشركة يابانية. تلقى @YLUBH على الأقل ثلاثة روابط تجسس على بروتوكول الإنترنت IP في أواخر عام 2012، أرسلت عبر رسائل عامة على تويتر. وطردت يوكوجاوا زعيم النقابة سامي عبد العزيز حسن في 23/3/2013، و صرحت لاحقاً أن سامي كان في الواقع المشغل للحساب @YLUBH، وأن الشرطة قد استدعته للاستجواب فيما يتعلق بتغريداته.

الصورة غير المرئية في رسائل البريد الإلكتروني: مريم وسيد يوسف
وحدّدت الورقة عدة أهداف تلقت رسائل إلكترونية بأسماء مستعارة تحتوي على صور مضمّنة (غير مرئية) بعيدة، وبيّن الرسم التمثيلي المقرّب لخطّة الاختراق التي نفّذتها الحكومة اثنين من الأهداف هما: مريم وسيد يوسف (في إشارة إلى الحقوقيين مريم الخواجة وسيد يوسف المحافظة) وقالت الورقة إن المهاجم قد أرسل رسائل البريد الإلكتروني باستخدام ReadNotify.com، والذي يسجل عنوان بروتوكول الإنترنت IP حين يحمّل المستهدف في بريده الصورة البعيدة المضمّنة.
وقالت الورقة إن ثغرة تقنية في خدمات ReadNotify.com سمحت بهذا الاستغلال، وأوضحت أن هذه الطريقة جعلت العنوان الأصلي للمرسل ظاهرا في المحتوى الداخلي لهذه الرسائل الإلكترونية، ووفقاً لذلك، فإن كل رسائل البريد الإلكتروني التي تلقتها الأهداف أرسلت من العنوان fatoomah85@gmail.com. وقد وجد الباحثون صلة بين الرابط المرسل في إحدى هذه الرسائل الإلكترونية وحساب al9mood على bit.ly!!