أدوات فين فيشر للتجسس من غاما تقوم بهجمات إلكترونية على النشطاء

02/08/2012م - 11:39 ص - 3794 قراءة

نسخة للطباعة حفظ الموضوع أرسل الى صديق



فيرنون سيلفر،بلومبرغ

ترجمة: مرآة البحرين



إنها أحد الأسلحة الإلكترونية المعروفة والمراوغة في العالم : فين فيشر، برامج التجسس التي تبيعها مجموعة غاما في المملكة المتحدة، والتي يمكنها التحكم سرا وعن بعد في جهاز كمبيوتر ما، ونسخ الملفات، واعتراض طريق مكالمات سكايب وتسجيل كل ضغطة مفتاح.

خلال العام الماضي، قام المدافعون عن حقوق الإنسان وصيادو الفيروسات بـفحص فين فيشر، سعيا وراء الكشف عن تجاوزات محتملة. وقد عرفوا مدى انتشارها عندما تم الكشفت عن مبيعات فين فيشر إلى أمن الدولة المصري بعد الثورة في هذا البلد في شباط/فبراير 2011. في كانون الأول/ديسمبر، نشر موقع ويكيليكس المكافح- للسرية مقاطع فيديو غاما الدعائية والتي تبين كيفية يتمكن الشرطة من زرع فين فيشر على جهاز الكمبيوتر المستهدف.
"نحن نعرف أنها موجودة، ولكن لم نرها مطلقا – يمكنك أن تتخيل ماسة نادرة"، يقول ميكو هيبونين، رئيس قسم الأبحاث في شركة (FSC1V ) F-Secure Oyj لأمن البيانات في هلسنكي. وقد نشر وثائق مصر في العام الماضي على الإنترنت وقال إنه إن وجدت نسخة ما من البرمجيات نفسها، فانه سيكتب برامج مكافحة لها.

الآن يمكنه تحقيق أمنيته

يعتقد الباحثون أنهم قد حددوا نسخاً من فين فيشر، استنادا إلى دراسة برمجيات ضارة أرسلت عبر البريد الإلكتروني إلى ناشطين بحرينيين، كما يقولون. وتستند أبحاثهم، التي يتم نشرها اليوم [في اليوم الذي كتب فيه هذا التقرير] من قبل "مختبر المواطن" في جامعة تورنتو مونك للشؤون العالمية، وهي تستند على خمس رسائل بريد إلكتروني مختلفة حصلت عليها وكالة أنباء بلومبرج من أشخاص كانوا مستهدفين بالبرمجيات الضارة.

امتداد عالمي

تلقى ناشطون مؤيدون للديمقراطية البرمجيات الضارة في واشنطن، ولندن، والمنامة عاصمة البحرين، المملكة الخليجية التي كانت مرتعا للتوتر منذ حملة القمع على الاحتجاجات في العام الماضي.

النتائج توضح كيف أن التجارة غير المنظمة لأدوات القرصنة الهجومية تقوم بنقل الرقابة إلى طور جديد، وتجعلها أكثر تطفلاً عندما تدخل عبر الحدود والأصدقاء إلى أجهزة الناس الرقمية. من أي مكان في العالم، يمكن للبرنامج اختراق معظم المساحات الخاصة، حيث يمكنه تشغيل كاميرات ويب وقراءة الوثائق وهي ما تزال قيد الطباعة.
"بيع البرمجيات التي تسمح بالسيطرة على أجهزة الكمبيوتر دون سيادة القانون قد يؤدي إلى الايذاء"، يقول كورتني رادسك، كبير مديري برنامج من أجل حرية التعبير في مؤسسة فريدم هاوس في واشنطن، الذي يعنى بحقوق الإنسان.

ورفض المديرالتنفيذي لغاما مارتن مونش التعليق المباشر بانتظار البحث بعد أن تم إرسال رابط ويب إلى "مختبر المواطن" حول التقرير وأسئلة متصلة بنتائج التقرير. مونش، الذي يقود حقيبة منتجات فين فيشر، هو المدير العام لمجموعة شركة غاما الدولية المحدودة المسؤولية ومقرها ميونيخ. كما أن مجموعة غاما تقوم بتسويق فين فيشر من خلال أندوفر، غاما الدولية في المملكة المتحدة.

وقال مونش في بريد إلكتروني في ​​23 تموز/يوليو أن الشركة لا يمكنها التعليق على أي من العملاء الأفراد وأن غاما تمتثل لأنظمة التصدير في المملكة المتحدة والولايات المتحدة وألمانيا.

رصد المجرمين

وقال مونش الذي يبلغ من العمر30 عاما في ذلك البريد الإلكتروني إن فين فيشر هو أداة لرصد المجرمين، وللحد من خطر إساءة استعمال منتجاتها تقوم الشركة ببيع فين فيشر للحكومات فقط.

المتلقون لرسائل البريد الإلكتروني ذات الصلة بالبحرين – والذين كان من بينهم مواطن يحمل الجنسية الأمريكية ويملك محطات وقود في ولاية ألاباما، وناشطون في مجال حقوق الإنسان في لندن وخبيرة اقتصادية بحرينية مولودة في بريطانيا – كلهم يقولون إنهم لا يعرفون أن عليهم أي تحريات قانونية أو تهما موجهة إليهم.

وقال اثنان من المتلقين إنهم كانوا يشكون في رسائل البريد الإلكتروني وأنهم لم يقوموا بالضغط على المرفقات، في حين قال الثالث إنه حاول وفشل في تحميل مرفق على البلاك بري الخاص به.

وأظهرت تحاليل رسائل البريد الإلكتروني الخاصة بهم أن البرمجيات الضارة التي تلقوها تعمل مثل حصان طروادة، وهو نوع من البرامج التي تحمل اسم الحصان الخشبي الأسطوري والذي استخدمه المحاربون الإغريق للتسلل إلى "طروادة" قبل نهب المدينة القديمة. وهي تأخذ صور الشاشة، وتعترض مكالمات الصوت عبر الإنترنت وتنقل تسجيل كل ضغطة مفتاح إلى جهاز كمبيوتر في المنامة.

كلمة السر المسروقة

لقد أظهر رصد جهاز كمبيوتر محمول مصاب عن سابق تصور وتصميم تابع لأحد الباحثين في واشنطن بأن حصان طروادة سرق كلمة المرور الخاصة بحساب بريد إلكتروني، والتي تم الوصول إليها بعد ذلك دون الحصول على إذن.

البرمجيات الضارة نفسها تأتي عمليا مع منتج وهو الماركة التجارية لفين فيشر يدعى "فين سباي" FinSpy ، والذي يتم تسويقه للتجسس على أجهزة الكمبيوتر، وأظهرت دراسة لذاكرة الكمبيوتر أن الكمبيوتر المحمول المصاب يحمل تكراراً لكلمة "FinSpy " .

الدليل الفني لهذا التطابق جاء من عمل مورغان ماركيز بوير، وهو باحث أمني في مختبر المواطن، والذي حلل رسائل البريد الإلكتروني المصابة في هذه الواقعة. وسوف ينشر نتائج التقرير المفصل اليوم (يوم كتابة هذا التقرير) عبر مختبر المواطن.

(مرآة البحرين ترجمت التقرير هنا)

الحمض النووي الرقمي

استخرج ماركيز بوير توقيعا من عينات الناشطين – وهو نوع من الحمض النووي الرقمي. ثم أعطى التوقيع لباحثين آخرين لمعرفة ما اذا كان يمكن العثورعلى عينة مطابقة قد تكون قد جمعت في سياق عملهم.

البحث عن إبرة في كومة قش أنتج تطابقاً: فالبرنامج الذي يحمل بصمات إثبات ما هو نسخة عن فين فيشر.

وكان الدليل مقنعا على أن العينة الجديدة التي عثروا عليها كانت فين فيشر نفسها، قال ماركيز بوير، لأن العرض التجريبي المفترض اتصل باثنين من المواقع، أحدهما بـ " ff-demo " بالاسم، والآخر بـ " غاما الدولية " بالاسم. الموقع الأخير، بدوره، تم تسجيله لمارتن مونش في غاما الدولي في ميونيخ، كما تظهر بيانات التسجيل عبر الإنترنت.

البحرين ليس لديها سياسة استهداف النشطاء السياسيين من خلال تكنولوجيا المراقبة، قالت لمى بشمي، المتحدثة باسم الحكومة لشؤون الإعلام، وذلك في بيان عبر البريد الإلكتروني.

وقالت : "يتم اتخاذ مثل هذه المزاعم على محمل الجد وإذا كان هناك أي دليل على أن هناك أي سوء في استخدام هذه التكنولوجيا، فسوف يتم التحقيق في كل حالة على الفور وفقا للقوانين والأنظمة المعمول بها في مملكة البحرين".

سوق الأسلحة الإلكترونية

فين فيشرهي مجرد واحدة من العديد من الأسلحة المتاحة على نحو متزايد للبيع في سوق الأسلحة الإلكترونية العالمية.

تقنيات القرصنة تتجاوز المراقبة التقليدية للمكالمات الهاتفية، رسائل البريد الإلكتروني والرسائل النصية، التي تجريها الحكومات من خلال الاستفادة من شبكات الاتصالات التي تمر عبر أراضيها. وجاءت التقارير في العام الماضي أن الأنظمة القمعية تستخدم المعدات الغربية للمراقبة الداخلية وهذا ما أدى بالولايات المتحدة والاتحاد الأوروبي لفرض قيود على المبيعات لبعض الدول، مثل سوريا.

التقنيات مثل فين فيشر ترسم الخطوة التالية في سباق التسلح الرقمي، ويتم توفيرها من قبل شركات أخرى، مثل فريق القرصنة ومقرها ميلان، والذي برامجه،عندما يتم تنصيبها، تنقل أنشطة جهاز كمبيوتر ما مصاب. هم أبناء عمومة الاسلحة الإلكترونية المصنوعة محليا مثل دودة الكمبيوتر ستكسنت، التي دمرت جهاز طرد مركزي في مصنع نووي إيراني والتي كان يتم تطويرها بشكل مشترك من قبل الولايات المتحدة وإسرائيل، وفقا لصحيفة نيويورك تايمز.

مراقبة الاختراق

اكتشاف وتتبع هكذا برامج تجسس يظهر مدى حصول حتى أصغر الدول على الأسلحة الإلكترونية الصغيرة ونشرها في الداخل وعبر الحدود.

ويقول جون سكوت رايالتن "إننا نتجه إلى مكان جديد مع المراقبة"، وهو طالب دكتوراه في جامعة لوسكن للشؤون العامة في لوس أنجلوس والذي ساعد في تتبع حصان طروادة في ليبيا وسوريا، حيث يقول إن القراصنة المؤيدين للنظام صنعوا هجمات البرمجيات الضارة من المنتجات المجانية أو الرخيصة المتاحة على الإنترنت. وقام أيضا بتنسيق البحوث لهذه الدراسة، حيث مرر العينات الأولى الضارة من بلومبرغ إلى ماركيز بوير.

الحالة البحرينية تشكل تقدما دراماتيكياً لأنها تظهر استخدام أداة أكثر تطورا، والقرصنة الغازية المتاحة للشراء من قبل الدول التي قد لا تكون قادرة على تطوير أسلحتها الإلكترونية الخاصة بها، كما يقول سكوت. ويضيف :"لقد حان وقت الاختراق النشط من قبل الدول على نطاق وانتشار واسع".

قرصان تحول إلى تنفيذي

تأسست مجموعة غاما عام 1990، وتعتمد على مونش القرصان الذي تحول إلى تنفيذي لتسويق مثل هذه القدرات للعملاء في جميع أنحاء العالم. ما يزيد قليلا على ستة أقدام، مونش هو نجم روك لحلبة مؤتمر الاعتراض التكنولوجي العالمي، المدرجة في جداول أعماله بأحرفه الاولى، MJM .

مرتديا بدلة سوداء أنيقة وربطة عنق سوداء رفيعة، حضر مونش معرض ISS للتجارة العالمية، المعروفة في هذه الصناعة باسم Wiretapper’s Ball ، في كوالا لامبور في ماليزيا، في كانون الأول/ديسمبر. أحد عناوين عروضه كان "المعلومات الاستخباراتية الهجومية - تجميع الملف – نظرة عامة تشغيلية"

فين فيشر لديه هكذا غموض حيث إن موظف استخبارات يساعد في إدارة الأمن الإلكتروني في بلد في جنوب شرق آسيا قال أن وجود مونش في المعرض كان السبب الرئيسي لأخذه احتياطات إضافية للكشف عن تهديدات القراصنة الكامنة في الشبكات اللاسلكية في موقع العرض. العامل الذي قال إنه حضر شرحاً للمنتج، أصر على عدم نشر اسمه بسبب عمله الاستخباراتي.
التحكم عن بعد

المواد الترويجية لفين فيشر تقدم رؤية عامة لقدراته، دون تسمية الدول التي اشترت منه.

"عندما يتم تثبيت فين سباي على نظام كمبيوتر ما عندها يكون من الممكن التحكم به عن بعد والوصول إليه بمجرد ان يتصل بشبكة الإنترنت، بغض النظر عن مكان النظام المستهدف في العالم "، كتيب صادر عن غاما نشرته ويكيليكس كما تقول.

وردا على الأسئلة حول نشر فين فيشر، أصدرت غاما في بيان عقد سرا في 27 كانون الثاني/يناير والتي نقلت عن مونش قوله "معظم الناس يفهمون أننا لا نستطيع الكشف عن تفاصيل حول عملائنا، وحول المنتجات التي يشترونها أو كيف يستخدمونها - نحن لا نريد أن نكشف معلومات سرية للمجرمين! "

وتناول البيان الوثائق التي عثر عليها في القاهرة، والتي سعرت النظام بـ 388604 يورو (470 ألف دولار)، بما في ذلك الصيانة. وقالت غاما إنها لم تقم بأي بيع، وأن النسخة التجريبية التي ظهرت في العرض الترويجي لم تستهدف مستخدمي الكمبيوتر غير المنتبهين.

"غاما عرضت المنتج فين سباي لإظهار قدراته التشغيلية مع جهاز كمبيوتر محمول مستهدف بالهجوم لأغراض العرض فقط"، حسبما ذكر البيان.

في حالة البحرين، وصلت البرمجيات الضارة إلى أهداف حقيقية، وأدت إلى تحليل البرمجيات.

رسائل البريد الإلكتروني المشبوهة

في المنامة، لاحظت آلاء الشهابي، الخبيرة الاقتصادية المولودة في المملكة المتحدة، أنها وغيرها من الناشطين كانوا يتلقون رسائل بريد إلكتروني مشبوهة كانت فيها أخبار حول مواضيع التعذيب والسجناء. وقامت بإحالتهم إلى بلومبرغ.

وأظهرت الاختبارات أن الصور والمستندات المرفقة يمكنها تثبيت برنامج ما سراً والاستيلاء على أجهزة الكمبيوتر الخاصة بهم إذا ما ضغط عليها وفتحت.

تحليل ماركيز بوير يعرض كيف أن البرنامج الضار مر بعمليات معقدة لإخفاء نفسه، وذلك من خلال المقارنة مع قائمة من البرامج المضادة للفيروسات لمعرفة ما إذا كان أي منها على جهاز الكمبيوتر، وإقامة اتصال مع الخادم (السيرفر) في المنامة والذي يستلم بياناتها.

النيوزيلندي ذو الشعر المضفر في سان فرانسيسكو، ماركيز بوير، ألصق الكمبيوتر المحمول الخاص به بملصقات تقول "جهاز الكمبيوتر الخاص بي هو جهازك أنت." (لقد قام بالبحث بشكل منفصل عن وظيفته كمهندس أمن في شركة غوغل، والتي لم تشاركه هذا المشروع).
آلة افتراضية

النصف الآخر من التحليل ينطوي على مراقبة البرمجيات الضارة عندما تتوجه نحو التجسس.

بيل ماركزاك، وهو مرشح دكتوراه في علوم الكمبيوتر في جامعة كاليفورنيا بيركلي، تلقى أيضا أربع عينات من الشهابي. ثبت العينات على "الجهاز الافتراضي" على الكمبيوتر المحمول الخاص به وراقب سلوك حصان طروادة. ماركزاك الذي أمضى سنوات دراسته الثانوية في البحرين، وهو عضو مؤسس لبحرين ووتش، وهي مجموعة تدعو إلى حكم أكثر شفافية في المملكة.

أثبت ماركزاك علاقة فين فيشر بالبحرين عن طريق تتبع إرسال حصان طروادة مرة أخرى إلى عنوان إنترنت في المنامة. وبعد الحصول على العينة الخامسة من وكالة أنباء بلومبرج، وجد ماركزاك أنها قادت إلى عنوان شبكة الإنترنت نفسه.

معلومات أخرى أشارت إليها أيضا فين فيشر. بعض التفاصيل من وثائق منتوجات فين فيشر الخاصة التي حصلت عليها وكالة أنباء بلومبرج تتطابق مع تفاصيل ما وجده ماركزاك، عندما كان يشاهد الملفات وهي تتدفق من الكمبيوتر المحمول الخاص به.

بيانات سكايب

وفقا لمواصفات المنتج، وعندما قامت فين فيشر بسرقة بيانات سكايب، وجدها تعيد نقل المعلومات إلى المشغلين للنظام في ملفات ابتدأت برقم 14 وتنتهي بسلسلة من الأرقام التي تمثل وقت إنشاء الملف.

وعندما قام ماركزاك بإجراء مكالمة سكايب على جهازه المصاب في ولاية كاليفورنيا، شاهد أن حصان طروادة استولى على البيانات – وأرسلها إلى البحرين في ملفات، في الواقع، بدأت بـ 14 وانتهت بطابع زمني.

الاستخدام الظاهري لفين فيشر ضد الناشطين في البحرين يؤكد الحاجة إلى توسيع نطاق الرقابة على الصادرات الغربية من تكنولوجيا المراقبة، يقول أريك كينغ، رئيس قسم الأبحاث في الخصوصية الدولية في لندن.

وقد أبلغ محامي المجموعة المنظمين في المملكة المتحدة في رسالة في 12 تموز/يوليو أنها تخطط لمقاضاة الحكومة لإخفاقها في تطبيق القوانين على الكتب التي تعطيها السلطة لمنع الصادرات التي يمكن استخدامها لانتهاك حقوق الإنسان.

مخاطر القمع

"من الواضح أن هناك خطراً حقيقياً جداً، إن لم يكن حتمياً، أن معدات المراقبة، مثل منتجات فين فيشر، كانت، ولا تزال، تصدر إلى البلدان التي من المرجح جدا أن تستخدم في القمع الداخلي وانتهاكات حقوق الانسان"، في رسالة إلى وزير الخارجية البريطاني بشأن الابتكار والمهارات التجارية.

وقال متحدث: إن قسم التجارة يدرس رسالة الخصوصية الدولية، وسوف يجيب. واقترحت حكومة المملكة المتحدة أن يتم توسيع الضوابط المتعلقة بأسلحة التصدير التي تتبعها معظم دول الغرب لإضافة بعض تكنولوجيا المراقبة، وستتبع هذا مع غيرها من البلدان، قالت الوزارة في بيان.

وقد تصاعدت حدة التوتر في البحرين منذ أن قامت الحكومة بإجراءات صارمة ضد احتجاجات واسعة في العام الماضي والتي شملت على المعارضين للحكم السني على الغالبية الشيعية. حيث توفي 35 شخصا على الأقل في أعمال العنف بين 14 شباط/فبراير و 15 نيسان/أبريل 2011، بما في ذلك أربعة من ضباط الشرطة وجندي، وفقا للجنة التحقيق المستقلة في البحرين، التي حققت في الاضطرابات ووجدت حالات تعذيب. واستمرت الاحتجاجات ولكن على مستوى منخفض في الدولة الجزيرة المكونة من 1.2 مليون شخص، وهي موطن للأسطول الأمريكي الخامس.

محاولات عدوى

وكان ثلاثة من المعارضين البحرينيين والذين قالوا انهم تلقوا رسائل البريد الإلكتروني الضارة المحملة في واشنطن، لندن والمنامة عندما حاولت البرمجيات الضارة إصابة أجهزة الكمبيوتر الخاصة بهم في نيسان/أبريل وأيار/مايو. وأول رسائل البريد الإلكتروني التي تلقوها، والتي تم إرسالها في نيسان/أبريل، كانت تحت عنوان "وجود حوار جديد – الوفاق وسلطة الحكومة". "أحداث هذا الأسبوع"، وباللغة العربية.

رسائل البريد الإلكتروني المرسلة في أيار/مايو كان فيها موضوع "تقارير تعذيب نبيل رجب"، في إشارة إلى زعيم المعارضة المسجون، "تخطيط الملك حمد"، في إشارة إلى زيارة الملك البحريني إلى لندن من أجل اليوبيل الماسي للملكة إليزابيث الثانية، و "خبر عاجل من البحرين - اعتقال خمسة من المشتبه بهم".

حسين عبد الله، وهو مواطن أمريكي وهو مدير "أمريكيون من أجل الديمقراطية وحقوق الإنسان في البحرين"، قال إنه حاول تحميل "وجود حوار جديد" على البلاك بري الخاص به بينما كان منطلقاً من محطة مترو واشنطن لحضور اجتماعات في مبنى مكتب الكونجرس.

عبد الله (34 عاما) وهو صاحب محطات وقود في ألاباما، يدرس الآن تقديم دعوى قضائية وشكوى إلى وزارة الخارجية الأمريكية بشأن القرصنة العابرة للحدود.

التماس الحماية

يقول عبدالله :" سأتخذ أي موقع قانوني بوسعي حماية نفسي من خلاله".

الشهابي (31 عاما) التي كانت رسائل البريد الإلكتروني الخاصة بها أول من تم تحليلها لهذه الدراسة، هي ناشطة بحرينية مولودة في بريطانيا وأستاذة اقتصاد حاصلة على درجة الدكتوراه من إمبريال كوليدج في لندن. قالت إنها تلقت رسائل البريد الإلكتروني في البحرين.

"كانت هذه محاولة لانتهاك خصوصيتي في هذا البلد الذي لا يؤمن حقوق الخصوصية"، كما تقول. "إن شركة المملكة المتحدة هي المسؤولة عن بيع أدوات تسلل إلى الحكومة وهم يعرفون أنها سوف تستخدمها لقمع الناشطين المؤيدين للديمقراطية."

والناشط البحريني شهاب هاشم الموجود في لندن، 29 عاما، يقول إنه تلقى ثلاثة من رسائل البريد الإلكتروني بعد أن سافر إلى السويد وسويسرا للفت الانتباه إلى انتهاكات حقوق الإنسان في البحرين. وكان اثنان من تلك الرسائل مماثلين لرسائل البريد الإلكتروني الواردة للشهابي. والأخرى، التي قدمها إلى وكالة انباء بلومبرج، كانت العينة الخامسة في الدراسة.
"اعتقد انها كانت رسائل غير مرغوب فيها فقط"، كما يقول. "لم أفكر أبدا أن أحدا سيكون مهتما في اختراق جهاز الكمبيوتر الخاص بي".

في فنلندا، قال هيبونين قبل نشر تقرير اليوم إنه وغيره من صيادي البرمجيات الضارة غيرها سوف يهتمون بتشريح عينة من فين فيشر.

وقال "هناك الكثير من اللغو بين رجال الأمن حول كيفية عملها، لكنها في الغالب مجرد تكهنات. لا أحد يعرف حقيقة ".

وقال: " تحديد هوية فين فيشر يمكنه أن يقلب الامور رأسا على عقب". من الصعب بالنسبة لهم بيع أداة تصيب أجهزة الكمبيوتر سرا إذا كان من الممكن الكشف عنها عن طريق برامج مكافحة الفيروسات".


25 تموز/يوليو 2012

رابط النص الأصلي







التعليقات المنشورة لا تعبر بالضرورة عن رأي الموقعالتعليقات

comments powered by Disqus