An Israeli woman uses her iPhone in front of the building housing the Israeli NSO group, on August 28, 2016, in Herzliya, near Tel Aviv. NSO Group has been accused of facilitating surveillance of journalists through sales of its Pegasus spyware. (AFP/Jack Guez)
امرأة إسرائيلية تستخدم هاتفها الذكي أمام مبنى يضم مجموعة ’إن إس أو‘ الإسرائيلية، في 28 أغسطس/ آب في هيرتزليا بالقرب من تل أبيب. وقد اتُهِمت مجموعة ’إن إس أو‘ بتيسير عمليات الرقابة على الصحفيين عبر بيع برنامجها للتجسس الحاسوبي ’بيغاسوس‘. (وكالة الأنباء الفرنسية/ جاك غوز)

تنبيه بشأن السلامة صادر عن لجنة حماية الصحفيين: الصحفيون مستهدفون ببرنامج التجسس الحاسوبي ’بيغاسوس‘

مادة محدّثة في 13 يوليو/ تموز 2020

’بيغاسوس‘ هو برنامج تجسس حاسوبي مصمم لاستهداف أجهزة الاتصال المتنقلة، ويعمل على تحويل الهاتف المتنقل إلى محطة رقابة متنقلة. وقد وثّق الباحثون استخدام البرنامج للتجسس على الصحفيين. وهذا يثير تبعات كبيرة على أمن الصحفيين ومصادرهم.

وقالت منظمة ’سيتيزن لاب‘ (Citizen Lab) إنها عثرت على برنامج ’بيغاسوس‘ في أكثر من 45 بلداً. ومن الممكن أن البرنامج استُخدم ضد الصحفيين والفاعلين في المجتمع المدني في المكسيك، والسعودية، والبحرين، والمغرب، وتوغو، وإسرائيل، والولايات المتحدة، والإمارات العربية المتحدة، حسبما وجد التقرير.

ووفقاً لتقرير صدر عن منظمة العفو الدولية في يونيو/ حزيران 2020، في حين تضمنت الهجمات السابقة خداع المستخدمين لدفعهم إلى النقر على روابط واردة في رسائل إلكترونية تعمل على تركيب برنامج تجسسي على أجهزتهم، ركّزت الهجمات الأخيرة على استخدام نقاط ضعف في التطبيقات أو البرامج الحاسوبية الموجودة على الهواتف، وهذا لا يتطلب أي تواصل مع المستخدمين.

وفي مايو/ أيار 2019، تم تحديد نقطة ضعف في تطبيق التراسل ’واتسآب‘، مما أدى قبل تصويب نقطة الضعف إلى تنزيل برامج تجسسية حاسوبية على هواتف المستخدمين، بمن فيهم أكثر من 100 شخص من المدافعين عن حقوق الإنسان والصحفيين في ما لا يقل عن 20 بلداً، وفقا لمنظمة ’سيتيزن لاب‘. وفي وقت لاحق، حدد القائمون على تطبيق ’واتسآب‘ الذي تمكله شركة ’فيسبوك‘ أن اختراق التطبيق جرى عبر برنامج تجسسي من قبيل ’بيغاسوس‘ أو أحد تنويعاته والذي أُنتجته مجموعة ’إن إس أو‘ (NSO) الإسرائيلية التي تسوّق أدوات للتحقيق في الجرائم والإرهاب للوكالات الحكومية. (وأفادت مجموعة ’إن إس أو‘ مرات متعددة للجنة حماية الصحفيين بأنها لن تعلّق على أي حالة محددة، بيد أنها تحقق بشأن التقارير بأنه قد أسيء استخدام منتجاتها في انتهاك لتعاقداتها).

وفي يونيو/ حزيران 2020، وجد تحقيق أجرته منظمة العفو الدولية أن هاتفاً تابعاً لصحفي مغربي كان مخترقاً بعد أن تم إعادة توجيه نشاط الهاتف على الإنترنت نحو موقع إلكتروني خبيث يخضع لسيطرة المهاجمين. وحالما يتم توصيل متصفح الإنترنت الموجود على الهاتف مع الموقع الإلكتروني المذكور، بوسع المهاجمين استغلال نقاط الضعف في البرنامج الحاسوبي لإخضاع الجهاز للتجسس، حسبما وجد التقرير. ويفيد التقرير بأن الهجوم نُفِّذ إما من خلال إعادة توجيه مسار المعلومات على الهاتف باستخدام برج اتصالات خبيث، وهو جهاز يقلّد عمل أبراج الاتصالات الهاتفية، أو من خلال التمكّن من وضع اليد فعلاً على هاتف الشخص المستهدف ولفترة تكفي لتركيب برنامج تجسسي.

وحالما يتم تركيب البرامج التجسسي على الجهاز المحدد، يصبح بوسع المهاجم رصد وتسجيل وجميع البيانات الحالية والمستقبلية من الجهاز. وهذا يتضمن المكالمات والمعلومات من تطبيقات التراسل، وبيانات الموقع في الوقت الحقيقي. وبوسع برنامج التجسس أن يشغّل كاميرا الهاتف والميكريفون عن بُعد لمراقبة الهدف ومحيطه.

وقد صُمم برنامج ’بيغاسوس‘ ليتم تركيبه على الهواتف التي تستخدم برامج ’أندرويد‘، و ’بلاك بيري‘، و ’أو إس‘، و ’أي أو إس‘ ودون أن يعرف الشخص المستهدف بوجود البرنامج التجسسي. ومن المرجح ألا يدرك الصحفي أنه هاتفه مخترق إلا إذا فحصه لدى خبير تقني.

وإذا كان لديك أي سبب يدفعك للاعتقاد بأنك استُهدفت ببرنامج تجسسي على جهازك:

  • توقف عن استخدام الجهاز فوراً.
  • ضع الجهاز في مكان لا يُعرّضك أو يعرض المكان الذي تتواجد فيه للخطر.
  • قم بتسجيل خروجك من جميع الحسابات وافصل ربطها بجهازك.
  • قم بتغيير جميع كلمات المرور لحساباتك، وباستخدام جهاز آخر.
  • احصل على مشورة من خبير تقني. وإذا كنت صحفياً مستقلاً أو لا تتوفر لك إمكانية الحصول على دعم تقني، اتصل بخط المساعدة الهاتفي التابع لمنظمة ’آكسِس ناو‘ (Access Now).

يمكن تركيب برنامج ’بيغاسوس‘ بعدة طرق. ويجب على الصحفيين متابعة تطورات هذه الأساليب واتخاذ الخطوات الملائمة لحماية أنفسهم ومصادرهم.

هجوم إدخال الشبكة (Network injection attack)

هذا النوع من الهجوم لا يتطلب تفاعلاً مع المستخدم؛ بل يعتمد على إعادة التوجيه التلقائي لمتصفح الإنترنت أو التطبيقات نحو مواقع يسيطر عليها المهاجمون. ويُعرَف هذا الأسلوب أيضاً بهجوم ’رجل في منتصف الطريق‘ (Man in the Middle Attack). وحالما يتم الاتصال بالموقع الإكتروني الخبيث، يقوم المهاجمون باختراق الجهاز عبر نقاط ضعف في البرامج الحاسوبية التي يحتوي عليها الجهاز.

والأرجحية كبيرة بألا يعرف الصحفي ما إذا كان قد استُهدف بهذا النوع من الهجوم، ومن الصعب الوقاية منه. ولكن لتقليص الخطر، يجب على العاملين الإعلاميين أن يستخدموا شبكة افتراضية خاصة على هواتفهم الخلوية وعلى أجهزة الكمبيوتر التابعة لهم.

وعند اختيار شبكة افتراضية خاصة، ينبغي على الصحفيين التفكير فيما يلي:

  • التحقق من القوانين التي تحكم استخدام الشبكات الافتراضية الخاصة في البلد الذي يعيشون فيه أو الذي يسافرون إليه.
  • إجراء بحث حول الشركة المزودة للشبكة الافتراضية الخاصة للتحقق من أنها لا تخزّن البيانات حول المستخدمين، بما في ذلك تاريخ تصفّح الإنترنت وتفاصيل تسجيل الدخول، إذ بوسع الحكومات الوصول إلى هذه المعلومات.
  • التحقق مما إذا كانت الجهة المزودة للشبكة الافتراضية الخاصة يرتبط بروابط وثيقة مع الهيئات الحكومية، أو أنها مملوكة للحكومة. ويجب على الصحفيين اختيار خدمة تقع خارج البلد الذي يعيشون فيه وتتمتع بسمعة جيدة في مجال المحافظة على الخصوصية.

هجوم اليوم صفر

هجمات ’اليوم صفر‘ تستغل نقاط ضعف في برنامج ما، وليس نقاط ضعف لدى الأشخاص. وهي لا تتطلب تفاعلاً مع المستخدم.

أفادت التقارير بشأن اختراق تطبيق ’واتسآب‘ بأن الهجوم جرى على شكل مكالمات من أرقام غير معروفة للمستخدمين مما أدى إلى تعطّل التطبيق. وقد اختفت أرقام المتصلين من سجل المكالمات، ولم تترك أي سجل في المكالمات المفقودة أو الجهة التي أجرتها.

من الصعب أن تحمي نفسك من هجمات ’اليوم صفر‘. وينبغي على الصحفيين الذين قد يُستهدفون من قبل خصوم يتمتعون بقدرات تقنية متقدمة، من قبيل الحكومات، أن يفكروا في تغيير الهاتف الذي يستخدموه واستخدام هاتف رخيص وتغييره كل بضعة أشهر. وينبغي عليك التحقق من أنك تقوم بصفة منتظمة بتحديث نظام تشغيل الهاتف والتطبيقات والمتصفحات. والقيام بصفة منتظمة باستعراض التطبيقات الموجودة على هاتفك وحذف التي لا تستخدمها منها. واتصل بخبير بالأمن الرقمي للحصول على دعم شخصي، إذا أمكنك ذلك.

هجمات الاحتيال التي تستخدم رابطاً كطعم (Spear-phishing)

يقوم المهاجمون بإعداد رسائل مخصصة يرسلونها إلى صحفي محدد. وتبدو هذه الرسائل بأنها ملحّة وتحتوي على رابط أو وثيقة ويُطلب من الصحفي النقر عليها. وتأتي هذه الرسائل بأشكال متعددة، بما في ذلك الرسائل النصية، والبريد الإلكتروني، وعبر تطبيقات التراسل من قبيل ’واتسآب‘ أو عبر الرسائل على منصات التواصل الاجتماعي. وحالما ينقر الصحفي على الرابط المحدد، يتم تركيب البرنامج التجسسي الحاسوبي على هاتفه.

ووجدت الأبحاث التي أجرتها منظمة ’سيتيزن لاب‘ ومنظمة العفو الدولية أن الرسائل تنزع للظهور بالأشكال التالية:

  • رسائل تزعم بأنها من منظمة معروفة من قبيل سفارة أو منظمة إخبارية محلية.
  • رسائل تُحذّر الشخص المستهدف بأنه ربما يواجه تهديداً أمنياً وشيكاً.
  • رسائل تثير أي قضايا مرتبطة بالعمل، من قبيل تغطية فعالية من النوع التي عادة ما يغطيها الصحفي المُستهدف.
  • رسائل تتضمن مناشدة بخصوص مسائل شخصية، من قبيل قضايا تتعلق بصور فاضحة لأفراد مقرّبين.
  • رسائل مالية تشير إلى مشتريات، وبطاقات ائتمانية، أو تفاصيل بنكية.

وقد تصل الرسالة المشبوهة من أرقام غير معروفة.

بوسع المهاجمين أيضاً أن يستهدفوا الهاتف الشخصي أو هاتف العمل. ويجب على الصحفيين القيام بما يلي لحماية أنفسهم ومصادرهم على نحو أفضل:

  • التحقق من الرابط بالتواصل مع المرسل عبر قناة اتصال مختلفة. ويُفضل أن يكون ذلك عبر الفيديو أو الصوت.
  • وإذا كان المرسل غير معروف لك سابقاً، فقد لا توفّر القنوات الثانوية تحققاً ناجحاً من الروابط الإلكترونية، إذ بوسع الخصم أن يُعد قنوات ثانوية في إطار خطة معقدة لإخفاء هويته.
  • إذا كان الرابط يستخدم خدمة لاختصار العنوان الإلكتروني (URL) من قبيل خدمة ’تايني يو آر إل‘ (TinyURL) أو ’بيتلي‘ (Bitly)، قم بإدخال الرابط في خدمة لفك العنوان الإلكتروني من قبيل ’لينك إكسباندر‘ (Link Expander) أو ’يو آر إل إي إكس‘ (URLEX). وإذا كان الرابط بعد فكّه يبدو مثيراً للاشتباه، كأن يُحاكي عناوين مواقع إلكترونية إخبارية محلية، ولكنه غير مطابق لها، ففي هذه الحالة لا تنقر على الرابط.
  • إذا شعرت بحاجة لفتح الرابط، لا تستخدم جهازك الأساسي. افتح الرابط على جهاز ثانوي منفصل لا يحتوي على أية معلومات حساسة أو بيانات لمصادرك ومعارفك، وهذا الجهاز الثانوي مخصص لفتح الروابط والاطلاع عليها. قم بتنفيذ استعادة إعدادات المصنع على جهازك بصفة منتظمة (مع الإبقاء في الذهن أن ذلك ربما لن يُزيل برامج التجسس). أبقِ الجهاز الثانوي مطفأ، وانزع البطارية منه عندما لا تستخدمه.
  • استخدم متصفحاً غير المتصفح الموجود أصلاً على هاتفك. ويُعتقد أن برنامج ’بيغاسوس‘ يستهدف المتصفح الأصلي في الهاتف. إن المتصفح الأصلي في أجهزة أندرويد هو متصفح ’كروم‘، أما المتصفح الأصلي في أجهزة ’آي أو أس‘ فهو متصفح ’سفاري‘. استخدم متصفحاً بديلاً من قبيل ’فيرفوكس فوكَس‘ (Firefox Focus) وافتح الرابط باستخدام هذا المتصفح. مع ذلك، لا يوجد ضمان بأن برنامج ’بيغاسوس‘ لن يستهدف المتصفحات الأخرى أو لم يستهدفها.

التركيب الشخصي المباشر لبرنامج تجسسي من قبل خصم

يمكن تركيب برنامج ’بيغاسوس‘ على هاتفك من قبل خصم يتمكن من وضع يده على جهازك. ولتقليص هذا الخطر:

  • لا تترك جهازك في مكان لا يخضع لسيطرتك وانتباهك، وتجنب تسليم هاتفك للآخرين.
  • عندما تعبر حدوداً دولية أو نقاط تفتيش عسكرية، تحقق من أنه يمكنك رؤية جهازك في جميع الأوقات، وقم بإقفال الهاتف قبل وصولك إلى نقطة التفتيش، واستخدم كلمة مرور معقدة تتألف من أحرف وأرقام. وتنبّه إلى أنه إذا أُخِذَ جهازك منك، فقد يكون قد تم اختراقه.

للحصول على مزيد من المعلومات حول كيفية حماية نفسك ومصادرك، راجع مجموعة أدوات السلامة الرقمية الصادرة عن لجنة حماية الصحفيين.

ونتوجه بالشكر لمنظمة ’سيتيزن لاب‘ على الرؤى القيّمة التي قدّمتها.

[ملاحظة من المحرر: تم تحديث النصائح بخصوص هجمات ’اليوم صفر‘ كي تتضمن تحديثات أمنية.]