كشفت وثائق مسربة عن أن دولة الإمارات اشترت تقنية تجسس أوروبية عالية التقنية أنتجتها المجموعة الأوروبية إنتيليكسا وشريكتها الفرنسية نيكسا، اللذان شكلا تحالفاً في عام 2019.
وحصل موقع ميديا بارت الفرنسي وصحيفة دير شبيغل الألمانية على وثائق فنية سرية شاركتها مع شبكة EIC و”درج ميديا”، وتم تحليلها بالتعاون مع مختبر الأمن الرقمي التابع لمنظمة العفو الدولية.
وسمحت الوثائق بجرد وتحليل قدرات المنتجات التي تبيعها المجموعة الأوروبية إنتيليكسا وشريكتها الفرنسية نيكسا، اللذان شكلا تحالفاً في عام 2019.
وبحسب الوثائق فإن هذه البرمجيات والأدوات قوية الى درجة أنها “تتعارض بعمق مع حقوق الإنسان”، وفقًا لاستنتاج منظمة العفو الدولية في تقرير سيُنشر في الأيام المقبلة، والذي سبق لشبكة EIC أن اطلعت عليه.
وكشف تحقيق “ملفات بريديتور” أن قائمة منتجات نيكسا وإنتيليكسا خضعت لتحسينات كبيرة ومعقّدة على مر السنين، سواء لمراقبة الاتصالات “على نطاق البلد” أو تثبيت برامج التجسس في أي هاتف محمول.
و”ما يثير الإعجاب هو أنهم طوروا جميع الحلول الممكنة للتقليل من فاعلية جميع التدابير الوقائية والدفاعية الموجودة”، حسب كافيه سالاماتيان، أستاذ علوم الحاسوب في جامعة Savoie Mont Blanc.
وبريداتور هو المنتج الأكثر شهرة لشركة إنتيليكسا، وهو برمجية قادرة على إصابة الهواتف النقالة، صمّمتها شركة Cytrox (فرع لإنتيليكسا، مقره شمال مقدونيا)، وباعتها المجموعة الفرنسية نيكسا تحت اسم Arrow.
تكشف وثائق سرية تعود الى عام 2022، أن إنتيليكسا غيّرت اسمها إلى Nova. وتشير المنتجات المباعة تحت هذه الأسماء الثلاثة “إلى المجموعة الواسعة نفسها من برمجيات التجسس المتشابهة”، وفقًا لتحليل أجرته منظمة العفو الدولية استنادًا إلى الوثائق التي حصلت عليها EIC.
يعمل بريداتور بصورة مشابهة لتلك التي يعمل بها منافسه بيغاسوس (تصنيع شركة NSO الإسرائيلية)، إذ يستغل الثغرات الأمنية (أخطاء في كود الكمبيوتر) الموجودة في “أنظمة التشغيل” التي تجعل الهواتف تعمل وهي: iOS من Apple، و Android من Google، والتي تشغل تقريباً جميع العلامات التجارية الأخرى.
في 21 أيلول/ سبتمبر، أطلقت Apple تحديثاً لنظام التشغيل iOS بعد اكتشاف ثغرة أمنية جديدة استغلّها بريداتور، ولكن في كل مرة يتم فيها سد الثغرة، كانت شركات التجسس تجد ثغرات جديدة، أو تشتريها من القراصنة.
تدّعي عروض المبيعات المؤرخة لعام 2022 أن بريداتور ما زال قادراً على إصابة “أحدث الأجهزة باستخدام نظامي Android وiOS”، بما في ذلك iPhone 13 وSamsung Galaxy S21، على الرغم من أنهما أُصدرا قبل عام واحد.
يجري بريداتور عملية استنزاف تامة للضحية بمجرد تثبيته في الهاتف، إذ يمكنه استعادة جميع البيانات المخزنة، كالمواقع التي زارها الهدف، البريد الإلكتروني، الرسائل (بما في ذلك تلك المرسلة من خدمات المراسلة المشفرة مثل Signal أو WhatsApp)، وحتى “كلمات المرور وسياسات الخصوصيّة”.
يتحول الهاتف بعد استهدافه إلى جاسوس، إذ يتيح بريداتور الوصول إلى موقع الهاتف وتسجيل المكالمات والتقاط صور من الشاشة عن بعد وتشغيل الميكروفون والكاميرا.
ما أن يصاب الهاتف حتى”يقوم بريداتور بمهمته تلقائياً، إذ يرسل كل 15 أو 30 دقيقة، كل ما جمعه من بيانات”،كما أوضح موظف سابق في إنتيليكسا لـ EIC، طلب أن يبقى اسمه مجهولاً.
أضاف الموظف: “يمكن أيضاً التحكم بكل شيء في الهاتف من خلال خوادم التحكم وإرسال أوامر مثل، دعونا نشغل الكاميرا الأمامية ونلتقط صورة شخصية أو القيام بكل شيء تقريباً. […] بمجرد أن يشتري العملاء الترخيص، حتى تصبح عملية اختراق الهاتف مجرد ضغط عدد قليل من الأزرار”.
ضمن عرض لمزايا بريداتور، يؤكد صنّاعه أنه “مثابر”، أي أنه يستمر بالعمل “بعد إغلاق الهاتف وإعادة تشغيله”، ولن ينجو الهدف إلا “في حالة إعادة ضبط الهاتف كلياً، أي إعادة ضبط المصنع”.
عند إرسال بريداتور عن بُعد، أي عبر الإنترنت، لم تعمل النسخة الأولى منه إلا في حال “نقرة واحدة”، أي أن ينقر الهدف على رابط محدد كي يتفعل بريداتور، لكن لدى إنتيليكسا وحدة تُسمى “الصور الشخصية النشطة”، التي تُولِّد ملفات تعريف مزيفة ترسل روابط الإصابة عبر البريد الإلكتروني، والرسائل النصية، وأخرى “عبر WhatsApp وTelegram وFacebook والكثير غيرها”.
لذلك، يتطلب كل هجوم جهداً بشرياً كبيراً، لأنه من الضروري تصميم رسالة صادقة بما يكفي لخداع الشخص المستهدف.
يكشف تحقيق “ملفات بريداتور”، أن إنتيليكسا نجحت في تطوير تقنية جديدة في عام 2022، تُسمى “مارس”، قادرة على إصابة الهواتف عبر الإنترنت ضمن نموذج”صفر نقرة”، أي من دون الحاجة الى نقر الهدف على رابط ما، إذ يتم تفعيل التطبيق بشكل غير مرئي ومن دون دراية المستهدف.
يتطلب “مارس” تعاون مشغلي الاتصالات، الذين يجب عليهم تثبيت النظام في قلب شبكتهم. مع ذلك، فهو أداة ذات قوة هائلة لأجهزة المخابرات والدكتاتوريات، إذ يمكّنها من إصابة أي هاتف نشط على أراضيها وفق نموذج “صفر نقرة”.
كل ما يجب فعله لاستخدام “مارس” هو تحديد عنوان الاتصال أوالـ IP الخاص بالهدف، وانتظار أن يزور هذا الشخص موقع ويب ما باستخدام هاتفه المحمول. يتم بعدها اختراق حركة المرور عبر الإنترنت، والتلاعب بها لإصابة الهاتف ببريداتور بشكل غير مرئي.
يعمل “مارس” فقط عندما يستعرض الهدف مواقع “http”، التي لا يتم فيها تشفير عمليات تبادل البيانات مع الهاتف. ولكن إنتيليكسا طورت برمجيّة جديدة تسمى “جوبيتر”، وتسمح بإصابة هاتف الهدف حتى عندما يتم تشفير حركة المرور (زيارة المواقع التي تبدأ بـ “https”)، شرط أن تتم استضافة الموقع في بلد العميل.
وتكشف التحقيقات أن إنتيليكسا وشريكتها الفرنسية نيكسا طورتا في عام 2019، طريقة أخرى لزرع بريداتور في وضع “اصفرة نقرة”، ضمن ما يُعرف بـ “العدوى التكتيكية” أو “العدوى في الميدان”.
وتعتمد هذه الطريقة على استخدام أجهزة قادرة على التسلل عبر الأمواج الراديوية إلى الهواتف الموجودة ضمن نطاق يبلغ مئات الأمتار.
تمتلك إنتيليكسا نوعين مختلفين من “المرسلات”، الأول هو جهاز من تصميم شركتها التابعة “ويسبير”، ويُسمى “Spear head-رأس الرمح”، والذي يخترق الهواتف عبر شبكات الاتصال اللاسلكي Wi-Fi؛ والثاني هو IMSI catcher الذي طوّرته نيكسا وأُطلِق عليه اسم “ألفا ماكس”، والذي يستخدم شبكات الهواتف الخلوية.
كما هي الحال مع جميع IMSI catchers، يحوي ألفا ماكس هوائي يقلِّد الهوائيات المستخدمة من قبل مشغلي الهواتف المحمولة.
وعندما يقترب الهدف/ الهاتف من الهوائي، يتم “قطع اتصاله مع الشبكة الأصليّة بشكل سري ليتم بعدها توصيله بشبكة ألفا ماكس”.
من ثم، “يتم تسجيل جميع الاتصالات وحفظها”، بما في ذلك الأصوات والرسائل النصية، كما “يتم تحديد موقع الهدف جغرافياً”، كما يشرح بروشور دعائي يعود إلى عام 2019.
يُمكن أيضاً استخدام “ألفا ماكس” كـ “مرسل للعدوى”، بفضل وسيط يسمى “إبسيلون”، والذي يتمتع بقدرة على اعتراض البيانات التي تصل الهاتف وتعديلها، وذلك بهدف تشغيل العدوى بواسطة بريداتور عندما يتصفح المستخدم موقع ويب.
سلاح إنتيليكسا الأخطر الخاص بالاختراق “التكتيكي”، هو شاحنة تسمى AlphaSpear 360، مجهزة بكل من SpearHead من إنتيليكسا و Alpha Max من نيكسا، ويمكنها إصابة أي هاتف في وضع “صفر نقرة” ضمن دائرة نصف قطرها نحو 500 متر. يبلغ ثمن الشاحنة وأول 100 اختراق 9 ملايين يورو، وفقاً لعرض بيع عام 2019.
تقدم إنتيليكسا أيضاً، مقابل تسع مئة ألف يورو، طائرة من دون طيار تسمى SpearHead Airbone، وتعمل من دون الشاحنة، لكنها تقوم بالإصابة فقط عبر شبكات الانترنيت اللاسلكية Wi-Fi.
وتقدّم المنشورات التسويقية لعام 2022 نظاماً آخر للاختراق من دون نقرة، استناداً إلى جهاز IMSI catcher يُسمى Triton، الذي يتوافق فقط مع هواتف Samsung، وهو جهاز خفيّ ومتحرك بشكل استثنائي، إذ يشبه كمبيوتر محمولاً ويمكن وضعه في حقيبة صغيرة.
أشهر منتجات نيكسا طيلة عشر سنوات كان “إيغل”، الذي طور عام 2007 لصالح نظام العقيد معمر القذافي في ليبيا، ثم أُعيدت تسميته بـ”سيريبرو” في عام 2012.
والاسم مستوحى من آلة خيالية في سلسلة الكتب المصورة والأفلام “X-Men”، التي تُمكّن المتحول، البروفيسور تشارلز إكسافييه، من تحديد مواقع متحولين آخرين في أي مكان على الكوكب.
صُمِّم “سيريبرو” أصلاً لإجراء عمليات مراقبة شاملة للنشاطات الرقمية لجميع السكان في بلد ما، ففي كتيباتها التسويقيّة، تصف نيكسا “سيريبرو” كـ “أول نظام في العالم” قادر على مراقبة حركة الإنترنت “على نطاق بلد كامل”، ميزة تغوي أنظمة استبدادية كثيرة اشترت هذه التقنيّة، على رأسها الإمارات.
يعمل النظام عبر مسبار يراقب حركة الإنترنت ثم يسجلها في “سيريبرو”، حيث بإمكان المشغلين البحث عن الكلمات الرئيسية وتحديد الأهداف، ثم الوصول إلى جميع نشاطاتهم، سواء في الماضي أو في الوقت الحالي كالرسائل الإلكترونية، والمواقع الإلكترونية التي زارها الضحية، والنشاط على المنصات الرقميّة المختلفة.
وبإمكان “سيريبرو” أيضاً استرداد أسماء المستخدمين وكلمات المرور التي تدخلها الأهداف للاتصال بحساباتهم المختلفة (Gmail، شبكات التواصل الاجتماعي، البنك، إلخ).
اتسعت منتجات نيكسا لاحقاً، وتم تطوير أجهزة استشعار قادرة على اعتراض معظم أنواع الاتصالات كمسبار Iota للإنترنت، ومسبار Gamma للاتصالات الصوتية، ومسبار Sigma للهواتف الفضائية (يستهدف أكبر ثلاثة مشغلات: Thuraya الإماراتية، وInmarsat البريطانية، وIridium الأميركية)، و IMSI catcher Alpha Max .
