كشفت شركة "تشيك بوينت سوفت وير تكنولوجيز"، في 3 تشرين الأول/أكتوبر، عن الجهة التي وقفت خلف سلسلة الهجمات الإلكترونية المتطورة الموجهة ضد صحافيين وأكاديميين ومعارضين سياسيين في مصر خلال السنوات الأخيرة.

وأكدت الشركة، وهي واحدة من أكبر شركات الأمن السيبراني في العالم، ومقرّاها الرئيسيان في جنوب سان فرانسيسكو وتل أبيب، أن "الخادم المركزي المستخدم في الهجمات تم تسجيله باسم وزارة الاتصالات المصرية، وأن الإحداثيات الجغرافية المضمنة في أحد التطبيقات المستخدمة لتتبع النشطاء تتوافق مع مقر وكالة التجسس الرئيسية في مصر، جهاز المخابرات العامة".

عدد المستهدفين غير معروف

ووفق التقرير الذي نشرته صحيفة "نيويورك تايمز"، فإن هذه الهجمات بدأت في العام 2016، وعدد الضحايا غير معروف. 

واستطاع التقرير تحديد 33 شخصاً من المستهدفين بالتجسس، معظمهم شخصيات معروفة في نشاط المجتمع المدني والمعارضة.

وقالت المحللة في "تشيك بوينت" أسيل كيال: "اكتشفنا قائمة من الضحايا من بينهم نشطاء سياسيون واجتماعيون وصحافيون بارزون وأعضاء منظمات غير ربحية في مصر".

وهذا هو الهجوم السيبراني الثاني الذي ينسب للحكومة المصرية، بعد الكشف، في آب/أغسطس، عن حملة سرية لتقديم الدعم للجيش السوداني عبر حسابات مزيفة على وسائل التواصل الاجتماعي. إذ جرى تشغيل هذه الحملة من قبل شركة لها صلات بالحكومة المصرية.

كيف تم التتبع؟

وفق التقرير، ثبّت المهاجمون برامج على هواتف الأشخاص المستهدفين، فمكنهم ذلك من قراءة ملفات الضحايا ورسائل البريد الإلكتروني الخاصة بهم، وتعقب مواقعهم، والتعرف على من اتصلوا بهم، ومتى، وغيرها من التفاصيل.

وقد استخدمت في الهجوم الإلكتروني على الهواتف وحسابات البريد الإلكتروني للنشطاء مجموعة متغيرة من تطبيقات البرمجيات الذكية لخداع المستخدمين.

ومن هذه التطبيقات "Secure Mail" على جيميل، الذي أبلغ الأهداف بأن حساباتهم يجرى اختراقها وطلب منهم الكشف عن كلمات المرور الخاصة بهم.

وكذلك تطبيق "iLoud200%" ويزعم أنه يضاعف حجم صوت الهاتف، لكنه في الحقيقة يكشف للمهاجمين عن موقع الهاتف، ولو أخفاه المستخدم.

واحد من أكثر هذه التطبيقات تطوراً هو"IndexY"، ويدعي أنه تطبيق مجاني لتحديد المتصلين على غرار تطبيق "تروكولر". غير أنه ينسخ تفاصيل جميع المكالمات التي تتم على الهاتف إلى خادم يسيطر عليه المهاجمون.

بحسب "تشيك بوينت"، ركز المهاجمون على اتصالات المستهدفين مع أطراف خارج مصر.

ما الدليل على تورط الدولة؟

شركة الأمن السيبراني أوضحت أنه على الرغم من استخدام التطبيقات المتطورة في الهجوم فإن بعض الأخطاء ساعدت على كشفه، من بينها ربط جميع الصفحات والمواقع المستخدمة في الهجمات بعنوان IP خاص بشركة اتصالات روسية، تدعى Marosnet، وخادم مركزي مسجل باسم وزارة الاتصالات المصرية.

كما أن تطبيق "iLoud200٪"، مثل معظم برامج تحديد الموقع الجغرافي، اشتمل على إحداثيات افتراضية، نقطة تُضبط عموماً في وقت التنشيط الأولي ومكانه، وتطابق تلك الموجودة في مقر جهاز المخابرات العامة في مصر.

تقرير لواحدة من أكبر شركات الأمن السيبراني في العالم يؤكد تورط المخابرات العامة المصرية في التجسس على نشطاء حقوقيين وسياسيين وصحافيين وأكاديميين معارضين، داخل البلاد وخارجها، منذ عام 2016

وأقر مسؤولو "تشيك بوينت" بأن من المحتمل أن تكون تلك الإحداثيات قد زرعت في التطبيق للتضليل من قبل شخص يحاول توريط الدولة المصرية، غير أن التفسير الأكثر ترجيحاً لديهم هو أن الإحداثيات تركت في الخادم بطريق الخطأ من قبل الأشخاص الذين يديرون العملية.

ولفت مسؤولو الشركة إلى أدلة أخرى تشير إلى تورط الدولة المصرية في الهجمات. فعلى سبيل المثال، استمرت الحملة عدة سنوات ورصدت كماً هائلاً من البيانات واستهدفت أعداداً كبيرة من الأشخاص الذين يبدو أنهم اختيروا بعناية لنشاطهم السياسي  أو الحقوقي. لا يتسق ذلك مع دوافع الجريمة السيبرانية التقليدية، التي تركز عادةً على استخراج الأموال.

أمر آخر هو القبض على اثنين من الـ33 شخصية المستهدفة بالهجمات (التي حددها التقرير) خلال الشهر الماضي إثر تظاهرات نادرة ومحدودة مناهضة للرئيس المصري عبد الفتاح السيسي يومي 20 و21 أيلول/سبتمبر، هما أستاذ السياسة بجامعة القاهرة حسن نافعة، والصحافي البارز والمعارض خالد داود.

وثمة ضحية ثالثة لهذه الهجمات هو الجراح والمعارض المعروف شادي الغزالي حرب، المعتقل منذ أيار/مايو عام 2018 بسبب انتقاده للنظام عبر تويتر. وهو الآن قيد الحبس الاحتياطي الانفرادي بتهمتي "إهانة الرئيس ونشر أخبار كاذبة".

وضمن قائمة المستهدفين الـ33 الذين جرى تحديدهم كذلك، نشطاء يعيشون في كندا وبريطانيا والولايات المتحدة، قال العديد منهم إنهم يعرفون أن رسائل البريد الإلكتروني الخاصة بهم قد استُهدفت بسبب تحذيرات من غوغل، أو من جماعات حقوقية مثل منظمتي العفو الدولية وهيومن رايتس ووتش.

يشار إلى أن تحقيق "تشيك بوينت" بدأ بعدما نبهت منظمة العفو الدولية في آذار/مارس الماضي إلى أن عدداً من النشطاء الحقوقيين المصريين استهدفوا بحملة إلكترونية برعاية الدولة. لكن الشركة المختصة في الأمن السيبراني وجدت أن الهجمات "أوسع" من تلك التي أبلغت عنها "العفو الدولية".