تقرير منهجية التحقيق التقني الجنائي: كيف تكتشف الاختراق ببرنامج بيغاسوس التابع لمجموعة “إن إس أو”
مقدمة
تزعم مجموعة “إن إس أو” أن برنامجها التجسسي بيغاسوس لا يُستخدم إلا في التحقيق في الإرهاب والجريمة و لا يخلف وراءه أي أثر على الإطلاق؛ غير أن هذا التقرير عن منهجية التحقيق التقني الجنائي يظهر بطلان كلا هذين الزعمين؛ ويأتي صدور هذا التقرير بالتزامن مع إطلاق “مشروع بيغاسوس”، وهو تحقيق تعاوني يشارك فيه أكثر من 80 صحفياً من 17 مؤسسة إعلامية، بتنسيق من منظمة “قصص محظورة”، ودعم تقني من المختبر الأمني لدى منظمة العفو الدولية. [1]
وقد أخضع المختبر الأمني لدى منظمة العفو الدولية العديد من أجهزة الهاتف المحمولة الخاصة بمدافعين عن حقوق الإنسان وصحفيين من مختلف أنحاء العالم لتحليل تقني جنائي مستفيض؛ وكشف هذا التحقيق النقاب عن مراقبة غير مشروعة ومستمرة وواسعة النطاق وارتكاب انتهاكات لحقوق الإنسان باستخدام برنامج بيغاسوس التجسسي الذي ابتكرته مجموعة “إن إس أو”.
ووفقاً لما تنص عليه مبادئ الأمم المتحدة التوجيهية بشأن الأعمال التجارية وحقوق الإنسان، يجب على مجموعة “إن إس أو” اتخاذ خطوات استباقية عاجلة للتحقق من عدم تسببها أو ضلوعها في انتهاكات لحقوق الإنسان في إطار عملياتها العالمية، والتصدي لأي انتهاكات لحقوق الإنسان حال وقوعها. ولكي تنهض المجموعة بهذه المسؤولية، ينبغي عليها توخي الحرص الواجب إزاء حقوق الإنسان، واتخاذ الخطوات الكافية للحيلولة دون استمرار إخضاع المدافعين عن حقوق الإنسان والصحفيين للمراقبة غير المشروعة.
وفي تقرير منهجية التحقيق التقني الجنائي هذا، تستعرض منظمة العفو الدولية منهجيتها، وتنشر أداة مفتوحة المصدر للفحص التقني الجنائي للهواتف المحمولة ومؤشرات تقنية مفصلة لتكون في متناول الجمهور مما يعين الباحثين المعنيين بأمن المعلومات والمجتمع المدني في اكتشاف هذه الأخطار البالغة والتصدي لها.
ويوثق هذا التقرير الآثار التقنية الجنائية التي يخلفها برنامج بيغاسوس التجسسي على أجهزة أبل والأندرويد بعد إصابتها؛ ويشمل هذا السجلات التقنية الجنائية التي تربط بين الإصابات الحديثة ببرنامج بيغاسوس والحمولة الشفرية من برنامج بيغاسوس الذي استخدم عام 2016 في استهداف المدافع عن حقوق الإنسان أحمد منصور.
وتشمل هجمات بيغاسوس التي يتناولها بالتفصيل هذا التقرير والملاحق المرفقة به، الفترة الممتدة من عام 2014 حتى شهر يوليو/تموز 2021؛ كما تشمل هذه الهجمات ما يُسمَّى الهجمات “بدون نقر”، أي الهجمات التي لا تتطلب أي تفاعل من جانب صاحب الهاتف المستهدف. وقد لوحظ هذا النوع من الهجمات “بدون نقر” منذ مايو/أيار 2018، ولا تزال مستمرة حتى اليوم. وكان أحدث هذه الهجمات هجوماً ناجحاً “بدون نقر”، لوحظ فيه استخدام شفرات انتهازية متعددة تستغل ثغرات برمجية مجهولة لمهاجمة أحد هواتف أيفون 12 يعمل ببرنامج تشغيل أيفون أي أو إس 14.6، يحتوي على تصحيح كامل للثغرات.
وتتناول الأقسام الثمانية الأولى من هذا التقرير الآثار التقنية الجنائية التي تخلفها الإصابة ببرنامج بيغاسوس على أجهزة الهاتف المحمول؛ وقد جُمعت هذه الأدلة من هواتف مدافعين عن حقوق الإنسان وصحفيين في بلدان عديدة.
وأخيراً، يرصد التقرير في القسم التاسع تطور البنية التحتية لشبكة بيغاسوس منذ عام 2016؛ فقد أعادت مجموعة “إن إس أو” تصميم بنيتها التحتية الهجومية باستخدام طبقات متعددة من النطاقات والخوادم؛ وسمحت الأخطاء الأمنية التشغيلية المتكررة في هذه البنية التحتية للمختبر الأمني لدى منظمة العفو الدولية بالاحتفاظ بقدرته على التمعن في هذه البنية التحتية والاستمرار في معاينتها. وسوف ننشر مجموعة من النطاقات المتعلقة ببرنامج بيغاسوس تتألف من 700 نطاق.
ولأسباب تتعلق بالسلامة والأمن، آثرنا حجب أسماء العديد من المستهدفين بالهجوم في المجتمع المدني المشار إليهم في هذا التقرير، مستعيضين عنها بأسماء شفرية من الحروف والأرقام.
1. اكتشاف هجمات الحقن الشبكي بأدوات بيغاسوس
كثفت منظمة العفو الدولية تحقيقاتها التقنية بشأن برنامج بيغاسوس الذي ابتكرته مجموعة “إن إس أو” في أعقاب اكتشافنا استهداف أحد موظفي منظمة العفو الدولية وناشط سعودي، وهو يحيى العسيري، عام 2018. وبدأ المختبر الأمني لمنظمة العفو الدولية في تهذيب وتطوير منهجيته في مجال التحليل التقني الجنائي من خلال اكتشاف هجمات استهدفت المدافعين عن حقوق الإنسان في المغرب عام 2019، ثم أكدها ما اكتشفناه من هجمات استهدفت صحفياً مغربياً عام 2020. وفي هذا القسم الأول من التقرير نستعرض بشيء من التفصيل التطورات التي أدت إلى اكتشاف هذه الاختراقات.
على مدى عدة سنين، توالت كثرة من التقارير العلنية التي تسلط الضوء على أن بعض عملاء مجموعة “إن إس أو” يستخدمون رسائل نصية قصيرة (SMS) تحتوي على نطاقات انتهازية يستغلها برنامج بيغاسوس التجسسي؛ ومن ثم، اكتشفنا رسائل مماثلة عندما عكفنا على تحليل هاتف الناشط المغربي المعطي منجب الذي كان من بين النشطاء المستهدفين على نحو ما وثقناه في تقرير منظمة العفو الدولية الصادر عام 2019.
ولكن بعد مزيد من التحليل، لاحظنا أيضاً عمليات إعادة توجيه مريبة مسجلة في تاريخ التصفح الخاص بمحرك سفاري على أجهزة الأيفون؛ ففي إحدى الحالات، مثلاً، لاحظنا إعادة توجيه إلى عنوان مريب على الإنترنت (URL) بعد أن حاول المعطي منجب زيارة موقع ياهو:
لقراءة كامل التقرير يرجى الضغط على الرابط ادناه :
