قرصنة إسرائيليّة تستهدف صحافيّين لبنانيّين
علي عواد
2022-07-28 07:03
كشفت شركة «أفاست» (AVAST)، مالكة برنامج مكافحة الفيروسات الشهير الذي يحمل اسمها، حصول عملية قرصنة رقمية كبيرة في الشرق الأوسط بحق صحافيين، عبر ثغرة «Zero-day attack». تركّز الهجوم على لبنان، استغل ثغرة في برمجية متصفّح «غوغل كروم» ليزرع برنامج التجسس «لسان الشيطان» (DevilsTongue) في أجهزة الضحايا. الأخير، طوّرته شركة التجسّس الإسرائيلية «كانديرو» (Candiru)، المعروفة أيضاً باسم «سايتو تك» (Saito Tech). لم تكن القرصنة عشوائية، إذ استهدفت صحافيين محدّدين، كما اختار القراصنة من اكتشفوا أن لديهم معلومات حساسة.
وفق محللي الأمن الرقمي للشركة، استخدم القراصنة أسلوب (watering hole attack)، بحيث راقبوا المواقع الإلكترونية التي يتصفّحها الصحافيون بكثرة في إحدى الوكالات الإخبارية في لبنان (لا معلومات عن الجهة الضحية)، وبعد تحديد موقع إلكتروني معيّن، زرعت الشركة الإسرائيلية برمجيات خبيثة فيه. وبعد تحديد الضحايا، أوصلتهم بخادم (server) مجهّز لجمع المعلومات عنهم. ومن هناك بدأ الخادم المسلّح بالبحث عن أفراد محدّدين كما عمّن لديه معلومات حساسة على جهازه. وبعد إتمام تلك المهمة، زرع الخادم لدى الضحايا برنامج «DevilsTongue»، البالغ الخطورة، على أجهزتهم. تجدر الإشارة إلى أن «كانديرو» هي شركة تجسس مرتزقة، يتم استئجار خدماتها من قبل حكومات تحت شعار إنفاذ القانون لإحباط الإرهاب والجريمة المحتملة. لكنّ تقرير «أفاست» أكد أن الأنظمة الاستبدادية استخدمت برامج الشركة التجسسية لاستهداف الصحافيين والمعارضين السياسيين ومنتقدي الأنظمة القمعية. كما تم فرض عقوبات على «كانديرو» من قبل وزارة التجارة الأميركية لمشاركتها في أنشطة تتعارض مع الأمن القومي للولايات المتحدة.
على موقعها الإلكتروني، قالت «أفاست» إنها رصدت استخدام شركة «كانديرو» في آذار الماضي وهي تستخدم ثغرة «Zero-day attack» في متصفّح «غوغل كروم» لاستهداف أفراد في تركيا واليمن وفلسطين، وكذلك الصحافيون في لبنان. وقال جان فويتشيك، باحث البرامج الضارة في «أفاست»، خلال مقابلة له مع موقع «تك كرانش» المتخصّص، إنه «لا يمكننا التحديد على وجه اليقين ما الذي قد يكون المهاجمون وراءه، ولكن غالباً ما يكون السبب وراء ملاحقة الصحافيين هو التجسس عليهم وعلى القصص التي يعملون عليها مباشرةً، أو الوصول إلى مصادرهم وجمع المعلومات»، مضيفاً: «هجوم مثل هذا يمكن أن يشكل تهديداً لحرية الصحافة». ومن هنا، يجب التنبه إلى أن قرصنة كهذه قد يكون خلفها أمور أخرى، مثل تجنيد الصحافيين بعد سرقة محتويات خاصة وشخصية لهم، مما يتيح للجهة المعادية ابتزازهم مقابل عدم نشر معلوماتهم إلى العلن.
يمكن لبرنامج «DevilsTongue»، سرقة محتويات هاتف الضحية، بما في ذلك الرسائل والصور وسجلات المكالمات وتتبّع موقع الضحية في الوقت الفعلي. وفي حين أن محلّلي الأمن أكدوا حصول القرصنة عبر متصفّح «غوغل كروم» نسخة «CVE-2022-2294»، والذي يتم تنصيبه على أجهزة الحاسوب العاملة بنظام «ويندوز»، لكنّ «أفاست» لم تستطع تأكيد إن كانت هواتف الضحايا قد تم اختراقها بالفعل. وتقول الشركة إنه من المحتمل أن تكون الثغرة موجودة في كل برامج تصفّح الإنترنت التي تستخدم نواة «غوغل كروم» في داخلها. وعلى سبيل المثال، متصفّح «أوبرا» و«إيدج» الخاص بشركة «مايكروسوفت» و«برايف» ومتصفّح «سافاري» الخاص بنظام التشغيل «ماكنتوش» من شركة «آبل».
تقول «أفاست» إنها كشفت لـ«غوغل» عن الثغرة البرمجية في الأوّل من الشهر الحالي، وأصدرت «غوغل» تحديثاً لبرنامجها في الرابع من الحالي موضحة أنها على دراية أن الثغرة تم استغلالها.
ظهرت شركة «كانديرو» إلى السطح لأوّل مرة في تموز من العام الماضي، عندما كشفت شركة «مايكروسوفت» ومنظمة «سيتيزن لاب» لتحليل الأمن الرقمي أن الشركة الإسرائيلية استهدفت ما لا يقل عن 100 ناشط وصحافي ومعارض في 10 دول. ووفقاً لـ«أفاست»، من المحتمل أن تكون «كانديرو» خفّضت منسوب هجماتها السيبرانية بعد إصدار تقرير «سيتيزن لاب» العام الماضي، وأنها قد عادت إلى نشاطتها أخيراً.
ثغرة «صفر يوم» (Zero-day attack) ليست ثغرة محددة، هو استغلال سريع لأي ثغرة برمجية يكتشفها مجتمع القراصنة الرقميين ويتناقلونها في ما بينهم، قبل أن يعلم مطوّرو البرنامج عنها ويقوموا بتحديثها (لهذا التسمية «صفر يوم»). وبالتالي، يمكن أن يتم استغلال الثغرة من قبل أكثر من جهة. أي قد تكون شركة تجسس كما فعلت «كانديرو»، وقد يستخدمها قراصنة رقميون يعملون بشكل فردي أو تابعون لجيوش إلكترونية أو جهات خاصة. وتجدر الإشارة إلى أن ثغرة «Zero-day attack» الخاصة بمتصفّح «غوغل كروم»، هي الرابعة من نوعها التي يتم تحديثها من شركة «غوغل» خلال العام الحالي. وبالتالي، يجب على كل مستخدم أن يقوم بتحديث متصفّح الإنترنت الخاص به من قائمة الإعدادات.