An Israeli woman uses her iPhone in front of the building housing the Israeli NSO group, on August 28, 2016, in Herzliya, near Tel Aviv. NSO Group has been accused of facilitating surveillance of journalists through sales of its Pegasus spyware. (AFP/Jack Guez)
امرأة إسرائيلية تستخدم هاتفها الذكي أمام مبنى يضم مجموعة ’إن إس أو‘ الإسرائيلية، في 28 أغسطس/ آب في هيرتزليا بالقرب من تل أبيب. وقد اتُهِمت مجموعة ’إن إس أو‘ بتيسير عمليات الرقابة على الصحفيين عبر بيع برنامجها للتجسس الحاسوبي ’بيغاسوس‘. (وكالة الأنباء الفرنسية/ جاك غوز)

تنبيه بشأن السلامة صادر عن لجنة حماية الصحفيين: الصحفيون مستهدفون ببرنامج التجسس الحاسوبي ’بيغاسوس‘

مادة محدّثة في 19 تموز/ يوليو 2021

’بيغاسوس‘ هو برنامج تجسس حاسوبي مصمم لاستهداف أجهزة الاتصال المتنقلة، ويعمل على تحويل الهاتف المتنقل إلى محطة رقابة متنقلة. وقد وثّق الباحثون استخدام البرنامج للتجسس على صحفيين في جميع أنحاء العالم، وقد حددت التحقيقات الصحفية ما لا يقل عن 180 صحفياً كأهداف محتملة للتجسس في عام 2021. وهذا يثير تبعات كبيرة على أمن الصحفيين ومصادرهم.

وبينما كانت هجمات القرصنة السابقة تعمل على خداع المستخدمين لتركيب برنامج التجسس على أجهزتهم من خلال النقر على روابط إلكترونية واردة في رسائل إلكترونية، تركز الهجمات الأحدث عهداً بدلاً من ذلك على استغلال نقاط الضعف في التطبيقات أو في البرامج الحاسوبية الموجودة على الهاتف، وهذا لا يتطلب أي تفاعل مع مستخدم الهاتف، وفقاً لتقارير أصدرتها منظمة العفو الدولية ما بين حزيران/ يونيو 2020 وحتى تموز/ يوليو 2021.

وحالما يتم تركيب البرامج التجسسي على الجهاز المحدد، يصبح بوسع المهاجم رصد وتسجيل وجمع البيانات الحالية والمستقبلية من الجهاز. وهذا يتضمن المكالمات والمعلومات من تطبيقات التراسل، وبيانات الموقع في الوقت الحقيقي. وبوسع برنامج التجسس أن يشغّل كاميرا الهاتف والميكريفون عن بُعد لمراقبة الهدف ومحيطه.

تُنتج مجموعة ’إن إس أو‘ (NSO) الإسرائيلية البرنامج الحاسوبي التجسسي ’بيغاسوس‘، وهي تسوّق أدوات للتحقيق في الجرائم والإرهاب للوكالات الحكومية. (وأفادت مجموعة ’إن إس أو‘ مرات متعددة للجنة حماية الصحفيين بأنها لن تعلّق على أي حالة محددة، بيد أنها تحقق بشأن التقارير بأنه قد أسيء استخدام منتجاتها في انتهاك لتعاقداتها).

إرشادات للصحفيين وغرف الأخبار

برنامج ’بيغاسوس‘ مصمَّم ليتم تركيبه على الهواتف التي تستخدم برامج ’أندرويد‘، و ’بلاك بيري أو إس‘، و ’أي أو إس‘ ودون أن يعرف الشخص المستهدف بوجود البرنامج التجسسي. ومن المرجح ألا يدرك الصحفي أنه هاتفه مخترق إلا إذا فحصه لدى خبير تقني موثوق. ويمكن للصحفيين القلقين من التعرّض للاستهداف أن يشاطروا هذا الدليل مع الخبير التقني.

وإذا كان لديك أي سبب يدفعك للاعتقاد بأنك استُهدفت ببرنامج تجسسي على جهازك:

  • توقف عن استخدام الجهاز فوراً.
  • ضع الجهاز في مكان لا يُعرّضك أو يعرض المكان الذي تتواجد فيه للخطر.
  • قم بتسجيل خروجك من جميع الحسابات وافصل ربطها بجهازك.
  • قم بتغيير جميع كلمات المرور لحساباتك، وباستخدام جهاز آخر.
  • احصل على مشورة من خبير تقني. وإذا كنت صحفياً مستقلاً أو لا تتوفر لك إمكانية الحصول على دعم تقني، اتصل بخط المساعدة الهاتفي التابع لمنظمة ’آكسِس ناو‘ (Access Now).
  • إذا كان من الضروري أن تستخدم الجهاز قبل استبداله، قم بإجراء إعادة إعداد للهاتف إلى وضعه الأصلي عند خروجه من المصنع، وتأكد من تحديث أنظمة التشغيل والتطبيقات والمتصفحات على هاتفك إلى أحدث نسخة منها. وهذا لا يضمن أن البرنامج التجسسي سيزال من الجهاز. مع ذلك، أشارت منظمة العفو الدولية في تموز/ يوليو 2021 إلى برنامج ’بيغاسوس‘ يبدو بأنه أزيل عند إعادة الإعداد والتشغيل.
  • وقد أفاد التقرير نفسه أن 700 اسم نطاق قد استُخدمت من قبل برنامج ’بيغاسوس‘ لاختراق الأجهزة، وأوصت منظمة العفو الدولية وسائل الإعلام بأن تتفحص شبكاتها عن بعد وسجل نظام أسماء النطاق (DNS logs) للكشف عن وجود هذه المواقع، وذلك كدليل على أنها قد استُهدفت بالبرامج التجسسية.
  • ويمكن لحزمة أدوات التحقق من الهواتف الخلوية التي أعدتها منظمة العفو الدولية أن تساعد الخبراء التقنيين في التأكد ما إذا كان الجهاز مخترقاً بوساطة برنامج ’بيغاسوس‘.

أبحاث أساسية

  • أفادت منظمة ’سيتيزن لاب‘ (Citizen Lab) في عام 2018 إنها عثرت على برنامج ’بيغاسوس‘ في أكثر من 45 بلداً. ومن الممكن أن البرنامج استُخدم ضد الصحفيين والفاعلين في المجتمع المدني في المكسيك، والسعودية، والبحرين، والمغرب، وتوغو، وإسرائيل، والولايات المتحدة، والإمارات العربية المتحدة، حسبما وجد التقرير.
  • وفي مايو/ أيار 2019، تم تحديد نقطة ضعف في تطبيق التراسل ’واتسآب‘، مما أدى إلى تنزيل برامج تجسسية حاسوبية على هواتف المستخدمين، بمن فيهم أكثر من 100 شخص من المدافعين عن حقوق الإنسان والصحفيين في ما لا يقل عن 20 بلداً، وذلك قبل تصويب نقطة الضعف، وفقا لمنظمة ’سيتيزن لاب‘. وفي وقت لاحق، حدد القائمون على تطبيق ’واتسآب‘ الذي تمكله شركة ’فيسبوك‘ أن اختراق التطبيق جرى عبر البرنامج التجسسي ’بيغاسوس‘ أو أحد تنويعاته.
  • وفي يونيو/ حزيران 2020، وجد تحقيق أجرته منظمة العفو الدولية أن هاتفاً تابعاً لصحفي مغربي كان مخترقاً بعد أن تم إعادة توجيه نشاط الهاتف على الإنترنت نحو موقع إلكتروني خبيث يخضع لسيطرة المهاجمين. وحالما يتم توصيل متصفح الإنترنت الموجود على الهاتف مع الموقع الإلكتروني المذكور، بوسع المهاجمين استغلال نقاط الضعف في البرنامج الحاسوبي لإخضاع الجهاز للتجسس، حسبما وجد التقرير. ويفيد التقرير بأن الهجوم نُفِّذ إما من خلال إعادة توجيه مسار المعلومات على الهاتف باستخدام برج اتصالات خبيث، وهو جهاز يقلّد عمل أبراج الاتصالات الهاتفية، أو من خلال التمكّن من وضع اليد فعلاً على هاتف الشخص المستهدف ولفترة تكفي لتركيب برنامج تجسسي.
  • وفي كانون الأول/ ديسمبر 2020، أجرت منظمة ’سيتيزن لاب‘ تحقيقاً شاملاً حيث عثرت على برنامج بيغاسوس التجسسي على الهواتف الذكية الشخصية لـ 36 صحفياً ومديراً في وسائل إعلام؛ ومعظمهم يعملون في قناة ’الجزيرة‘، وكان بينهم أيضاً صحفي يعمل في تلفزيون ’العربي‘. وعزا التحقيق هذه الاعتداءات إلى عملاء حكوميين، ربما من السعودية أو الإمارات العربية المتحدة، وأفاد بأنه من المرجح أنه تم اكتشاف جزء يسير فقط من الصحفيين الذين استُهدفوا بهذه الهجمات.
  • وفي تموز/ يوليو 2021، قام تجمّع من وسائل إعلام عالمية بالتحقيق في وثيقة مسربة تحتوي على أكثر من 50,000 رقم هاتف لأفراد من جميع أنحاء العالم يبدو أنها اختُرقت من قبل عملاء شركة ’أن أس أو‘، بمن فيهم هواتف تعود لأكثر من 180 صحفياً. ونفّذت منظمة العفو الدولية بالشراكة مع منظمة ’فوربدين ستوريز‘ [قصص صحفية ممنوعة] تحليلاً جنائياً لهواتف أكثر من عشرة صحفيين، وأظهر التحليل عمليات اختراق جرت مؤخراً أثرت على هواتف ’أي فون 12‘ النسخة 14-6.

نصائح بشأن أنواع مختلفة من الهجمات

يمكن تركيب برنامج ’بيغاسوس‘ بعدة طرق. ويجب على الصحفيين متابعة تطورات هذه الأساليب واتخاذ الخطوات الملائمة لحماية أنفسهم ومصادرهم.

هجوم اليوم صفر

هجمات ’اليوم صفر‘، والمعروفة أيضاً باسم ’هجمات دون نقر على روابط‘، تستغل نقاط ضعف في برنامج ما، وليس نقاط ضعف لدى الأشخاص. وهي لا تتطلب تفاعلاً مع المستخدم.

  • أفادت التقارير بشأن اختراق تطبيق ’واتسآب‘ بأن الهجوم جرى على شكل مكالمات من أرقام غير معروفة للمستخدمين مما أدى إلى تعطّل التطبيق. وقد اختفت أرقام المتصلين من سجل المكالمات، ولم تترك أي سجل في المكالمات المفقودة أو الجهة التي أجرتها.
  • ووجد التقرير الذي أصدرته منظمة ’سيتيزن لاب‘ في كانون الأول/ ديسمبر 2020 أن المهاجمين بعثوا برامج حاسوبية تجسسية عبر نقطة ضعف موجودة في تطبيق ’آي ماسينجر‘، ولم تتطلب الهجمات أي تفاعل من قبل مالك الجهاز. ويبدو أنه تم تصويب نقطة الضعف هذه في تحديث رقم (iOS 14) لهذا التطبيق.
  • وفي تموز/ يوليو 2021، أفادت منظمة العفو الدولية أنها حددت آثاراً لمحاولات اختراق متكررة عبر تطبيق ’آي ماسيج‘ على هاتف ’آيفون 12‘ النسخة 14-6. كما أثار التقرير شواغل بأن تطبيقات أخرى موجودة أصلاً في الهواتف، من قبيل تطبيق حانوت ’آي تيونز‘، قد تتضمن نقاط ضعف تعرضها للهجمات.

من الصعب أن تحمي نفسك من هجمات ’اليوم صفر‘. وينبغي على الصحفيين الذين قد يُستهدفون من قبل خصوم يتمتعون بقدرات تقنية متقدمة، من قبيل الحكومات، أن يقوموا بما يلي:

  • التفكير في تغيير الهاتف الذي يستخدموه واستخدام هاتف رخيص وتغييره كل بضعة أشهر.
  • وينبغي التحقق بصفة منتظمة من تحديث نظام تشغيل الهاتف والتطبيقات والمتصفحات.
  • القيام بصفة منتظمة باستعراض التطبيقات الموجودة على الهاتف وحذف التطبيقات غير المستخدمة.
  • الاتصال بخبير بالأمن الرقمي، إذا أمكن، للحصول على دعم شخصي.

هجمات إدخال الشبكة (Network injection attack)

لا يتطلب هذا النوع من الهجوم تفاعلاً مع المستخدم؛ بل يعتمد على إعادة التوجيه التلقائي لمتصفح الإنترنت أو التطبيقات نحو مواقع يسيطر عليها المهاجمون. ويُعرَف هذا الأسلوب أيضاً بهجوم ’رجل في منتصف الطريق‘ (Man in the Middle Attack). وحالما يتم الاتصال بالموقع الإكتروني الخبيث، يقوم المهاجمون باختراق الجهاز عبر نقاط ضعف في البرامج الحاسوبية التي يحتوي عليها الجهاز.

والأرجحية كبيرة بألا يعرف الصحفي ما إذا كان قد استُهدف بهذا النوع من الهجوم، ومن الصعب الوقاية منه.

ولتقليص الخطر إلى الحد الأدنى:

  • استخدِم شبكة افتراضية خاصة (VPN) على الهواتف الخلوية وأجهزة الكمبيوتر.
  • التحقق من القوانين التي تحكم استخدام الشبكات الافتراضية الخاصة في البلد الذي تعيش فيه أو الذي تسافر إليه.
  • إجراء بحث حول الشركة المزودة للشبكة الافتراضية الخاصة للتحقق من أنها لا تخزّن البيانات حول المستخدمين، بما في ذلك تاريخ تصفّح الإنترنت وتفاصيل تسجيل الدخول، إذ بوسع الحكومات الوصول إلى هذه المعلومات.
  • التحقق مما إذا كانت الجهة المزودة للشبكة الافتراضية الخاصة يرتبط بروابط وثيقة مع الهيئات الحكومية، أو أنها مملوكة للحكومة.
  • اختيار خدمة تقع خارج البلد الذي تعيش فيه وتتمتع بسمعة جيدة في مجال المحافظة على الخصوصية.

هجمات الاحتيال التي تستخدم رابطاً كطعم (Spear-phishing)

يقوم المهاجمون بإعداد رسائل مخصصة يرسلونها إلى صحفي محدد. وتبدو هذه الرسائل بأنها ملحّة وتحتوي على رابط أو وثيقة ويُطلب من الصحفي النقر عليها. وتأتي هذه الرسائل بأشكال متعددة، بما في ذلك الرسائل النصية، والبريد الإلكتروني، وعبر تطبيقات التراسل من قبيل ’واتسآب‘ أو عبر الرسائل على منصات التواصل الاجتماعي. وحالما ينقر الصحفي على الرابط المحدد، يتم تركيب البرنامج التجسسي الحاسوبي على هاتفه.

ووجدت الأبحاث التي أجرتها منظمة ’سيتيزن لاب‘ ومنظمة العفو الدولية أن الرسائل تنزع للظهور بالأشكال التالية:

  • رسائل تزعم بأنها من منظمة معروفة من قبيل سفارة أو منظمة إخبارية محلية.
  • رسائل تُحذّر الشخص المستهدف بأنه ربما يواجه تهديداً أمنياً وشيكاً.
  • رسائل تثير أي قضايا مرتبطة بالعمل، من قبيل تغطية فعالية من النوع التي عادة ما يغطيها الصحفي المُستهدف.
  • رسائل تتضمن مناشدة بخصوص مسائل شخصية، من قبيل قضايا تتعلق بصور فاضحة لأفراد مقرّبين.
  • رسائل مالية تشير إلى مشتريات، وبطاقات ائتمانية، أو تفاصيل بنكية.

وقد تصل الرسالة المشبوهة من أرقام غير معروفة.

بوسع المهاجمين أيضاً أن يستهدفوا الهاتف الشخصي أو هاتف العمل. ويجب على الصحفيين القيام بما يلي لحماية أنفسهم ومصادرهم على نحو أفضل:

  • التحقق من الرابط بالتواصل مع المرسل عبر قناة اتصال مختلفة. ويُفضل أن يكون ذلك عبر الفيديو أو الصوت.
  • وإذا كان المرسل غير معروف لك سابقاً، فقد لا توفّر القنوات الثانوية تحققاً ناجحاً من الروابط الإلكترونية، إذ بوسع الخصم أن يُعد مثل هذه القنوات في إطار خطة معقدة لإخفاء هويته.
  • إذا كان الرابط يستخدم خدمة لاختصار العنوان الإلكتروني (URL) من قبيل خدمة ’تايني يو آر إل‘ (TinyURL) أو ’بيتلي‘ (Bitly)، قم بإدخال الرابط في خدمة لفك العنوان الإلكتروني من قبيل ’لينك إكسباندر‘ (Link Expander) أو ’يو آر إل إي إكس‘ (URLEX). وإذا كان الرابط بعد فكّه يبدو مثيراً للاشتباه، كأن يُحاكي عناوين مواقع إلكترونية إخبارية محلية، ولكنه غير مطابق لها، ففي هذه الحالة لا تنقر على الرابط.
  • إذا شعرت بحاجة لفتح الرابط، لا تستخدم جهازك الأساسي. افتح الرابط على جهاز ثانوي منفصل لا يحتوي على أية معلومات حساسة أو بيانات لمصادرك ومعارفك، وهذا الجهاز الثانوي مخصص لفتح الروابط والاطلاع عليها. قم بتنفيذ استعادة إعدادات المصنع على جهازك بصفة منتظمة (مع الإبقاء في الذهن أن ذلك ربما لن يُزيل برامج التجسس). أبقِ الجهاز الثانوي مطفأ، وانزع البطارية منه عندما لا تستخدمه.
  • استخدم متصفحاً غير المتصفح الموجود أصلاً على هاتفك. ويُعتقد أن برنامج ’بيغاسوس‘ يستهدف المتصفح الأصلي في الهاتف. إن المتصفح الأصلي في أجهزة أندرويد هو متصفح ’كروم‘، أما المتصفح الأصلي في أجهزة ’آي أو أس‘ فهو متصفح ’سفاري‘. استخدم متصفحاً بديلاً من قبيل ’فيرفوكس فوكَس‘ (Firefox Focus) وافتح الرابط باستخدام هذا المتصفح. مع ذلك، لا يوجد ضمان بأن برنامج ’بيغاسوس‘ لن يستهدف المتصفحات الأخرى أو لم يستهدفها.

التركيب الشخصي المباشر لبرنامج تجسسي من قبل خصم

يمكن تركيب برنامج ’بيغاسوس‘ على هاتفك من قبل خصم يتمكن من وضع يده على جهازك. ولتقليص هذا الخطر:

  • لا تترك جهازك في مكان لا يخضع لسيطرتك وانتباهك، وتجنب تسليم هاتفك للآخرين.
  • عندما تعبر حدوداً دولية أو نقاط تفتيش عسكرية، تحقق من أنه يمكنك رؤية جهازك في جميع الأوقات، وقم بإقفال الهاتف قبل وصولك إلى نقطة التفتيش، واستخدم كلمة مرور معقدة تتألف من أحرف وأرقام. وتنبّه إلى أنه إذا أُخِذَ جهازك منك، فقد يكون قد تم اختراقه.

للحصول على مزيد من المعلومات حول كيفية حماية نفسك ومصادرك، راجع مجموعة أدوات السلامة الرقمية الصادرة عن لجنة حماية الصحفيين.

ونتوجه بالشكر لمنظمة ’سيتيزن لاب‘ على الرؤى القيّمة التي قدّمتها.

[ملاحظة من المحرر: تم تحديث النصائح بخصوص هجمات ’اليوم صفر‘ كي تتضمن تحديثات أمنية.]