شركة Fire Eye المتخصصة في أمن المعلومات تكشف عمليات اختراق تعرض لها معارضين للنظام السوري

سلامتك | سوريا 24 |

نشرت شركة فاير أي المتخصصة في أمن المعلومات تقريرا في شهر شباط 2015 كشفت فيه عن عمليات اختراق واسعة تعرض لها معارضين للنظام السوري وأدت إلى وصول النظام المذكور إلى وثائق ومعلومات متعلقة بخطط عسكرية ونشاط معارض. وقد امتدت العملية وفقاً للتقرير بين شهري تشرين الثاني 2013 وكانون الأول 2014. وقد عثرت الشركة خلال عملها البحثي المستمر على كمية كبيرة من البيانات التي تضمنت وثائق ومحادثات سكايب تحتوي على معلومات كثيرة عن الاستراتجية العسكرية للمعارضة المسلحة, وعن احتياجاتها, والبيانات الشخصية الخاصة بعدد من مقاتليها. وفيما لم يصل التقرير بشكل حاسم إلى تحديد الجهة التي قامت بعملية الاختراق تلك, إلى أن الأصابع تشير بشكل واضح إلى النظام السوري نفسه .

وقد اعتمد منفذو العملية على تكتيكات الهندسة الاجتماعية المعروفة, حيث قامت عدد من حسابات سكايب الوهمية التي تدعي أنها لفتيات حسناوات متعاطفات مع الثورة, بالتقرب من أشخاص من أفراد المعارضة, وإرسال صور شخصية لهؤلاء. وعند تحميل الصور, يتم تنصيب برمجية خبيثة, تتيح للمجموعة التي تنفذ الهجوم التحكم الكامل بجهاز الضحية, والبحث فيه وسرقة البيانات التي يرونها هامة والتي تضمنت نسخ عن محادثات وجهات اتصال سكايب والكثير من الوثائق الهامة التي تحوي خططا عسكرية .

ماهي البيانات التي تمت سرقتها إذا؟

حصلت المجموعة التي نفذت الهجوم على مئات الوثائق ومايزيد عن 31 ألف محادثة سكايب تضمن نقاشات وأحاديث حول هجمات تعد لها المعارضة المسلحة على مواقع لقوات الأسد .

من هم المستهدفون من الهجوم؟

استهدف الهجوم مقاتلين في صفوف المعارضة المسلحة, وناشطين إعلاميين, وعاملين في مجال الإغاثة وآخرين, متواجدين داخل سوريا وفي دول الجوار وفي مناطق أخرى في العالم .

ماهي التكتيكات المستخدمة؟

استخدمت المجموعة التي قامت بالهجوم حسابات سكايب للتحادث مع المستهدفين ولبث البرمجيات الخبيثة على أجهزتهم, وكان أفراد المجموعة يسألون الضحايا فيما إذا كانو يستخدون هاتفا يعمل بنظام أندرويد أو حاسبا شخصيا يعمل بنظام ويندوز, وذلك لإرسال الملف المناسب لكل جهاز. ويبدو أن المجموعة المنفذه للهجوم كانت تمتلك موقعا على الإنترنت وحسابات على فيسبوك تحوي ملفات خبيثة قابلة للتحميل. وقد نفذت العملية باستخدام خوادم خارج سوريا .

البرمجيات الخبثة التي استعملت؟

استخدمت المجموعة برمجيات خبيثة مختلفة تشي بأن أفرادها لديهم أمكانيات تطوير مثل هذه البرمجيات. وقامت المجموعة باستخدام برمجيات متنوعة ومختلفة لاختراق أجهزة أهدافها مثل دارك كوميت رات (DarkComet RAT) , وهو مسجل لضربات المفاتيح, وأدوات أخرى .

من كان وراء هذا الهجوم؟

في حين تتوفر مؤشرات قليلة عن الجهة التي قامت بالهجوم, إلا أن البحث وفر مجموعة من المؤشرات التي تشير بالبنان إلى لبنان عندما تم فحص الحسابات الوهمية المستخدمة في العملية ولدى معاينة البرمجيات الخبيثة نفسها .

ماهي المعلومات التي حصلت عليها المجموعة؟

1) معلومات عسكرية: حصلت المجموعة على محادثات ووثائق تضم خططا لعمليات عسكرية, وتفاصيل عن معدات عسكرية, ومواقع مجموعات المعارضة المسلحة .

2) معلومات سياسية: نقاشات لاسترتيجيات سياسية, ووثائق سياسية, وبيانات ومعلومات عن التحالفات ضمن جسم العارضة.

3) معلومات عن العمل الإغاثي وتمويله: تحديد الاحتياجات الإنسانية, قائمة بالمواد اللازمة لإقامة مخيم للاجئين و سجلات بالمساعدات المالية الإنسانية التي تم تزويعها .

4) معلومات شخصية عن اللاجئين: طلبات مقدمة للسطات التركية للحصول على مساعدات من قبل لاجئين في تركيا وقوائم بمتلقي هذه المساعدات وصور عن هويات شخصية لهم .

5) الإعلام والاتصالات: وثائق ومعلومات استراتيجية تتصل ببيانات صحفية, تقارير ميدانية وقوائم بأسماء الضحايا, ومعلومات عن انتهاكات حقوق الإنسان .

الضحايا

شملت الضحايا قادة عسكريين, ومنشقين عن النظام, وعاملين في مجال الإغاثة, ونشطاء إعلاميين .

قادة في المعارضة المسلحة: تمكنت المجموعة المهاجمة من اختراق جهاز أحد قادة الكتائب المعارضة, وتمكنت من نسخ وسرقة سجلات محادثات سكايب دارت حول موضوعات عسكرية حساسة, بالإضافة إلى مجموعة من المجلدات التي تحمل إسم “خاص للغاية” تحوي على معلومات وخطط لعمل عسكري مقبل .

منشقون عن النظام: تمكنت المجموعة أيضا من اختراق حساب لأحد ضباط الأمن الكبار المنشقين عن نظام الأسد, وحصلت على مجموعة من الوثائق التي تحوي معلومات عن تحالفات عسكرية وسياسية جديدة, وعلى شكاوى قدمها لمزود خدمة الإنترنت في مقر إقامته الجديد, بالإضافة إلى السيرة الذاتية للضحية وبعض المعلومات الخاصة, لكن المجموعة لم تستطتع الحصول على محادثات سكايب من جهازه.

عاملون في مجال الإغاثة: هناك عدد من الضحايا الذين يبدو أنهم يعملون في مجال الإغاثة منهم من يعمل كمنسق مساعدات لجمعية خيرية مقرها تركيا. وقد حصلت المجموعة المهاجمة على السيرة الذاتية للضحية وصوره تظهر طرود المساعدات بالقرب من أحد المعابر الحدودية يعتقد أنها قرب نهر العاصيفي إدلب .

ناشطون إعلاميون: تبين أن المجموعة المهاجمة اخترقت جهازاً لناشط إعلامي يبدو أنه داخل سوريا, ويعمل في أحد المراكز الإعلامية. وقد حصلت المجموعة المهاجمة على محاضر تسجيلات فيديو لاجتماعات دارت بينه وبين ناشطين إعلاميين آخرين, وعلى وثائق تتعلق بالتحقيق حول هجمات بالأسلحة الكيماوية .

كيف تم الهجوم؟

1) عبر حسابات وهمية لفتيات على سكايب تغري الضحايا بالصور

قامت المجموعة المهاجمة بالتقرب من الضحايا باستخدام حسابات وهمية لفتيات, قامت هذه الحسابات بالتقرب من أهدافها, والتحادث معهم. وادعت هذه الحسابات أنها تؤيد الثورة السورية, وقامت الحسابات بإرسال صور لفتيات بعد التأكد من نوع نظام التشغيل الذي يستخدمه الهدف, وكانت الصور تحوي على ملف خبيث من نواع رات RAT, يتم تنصيبه على الجهاز, ويعطي المهاجم إمكانية التحكم الكامل بجهاز الضحية. يصبح بعدها المهاجم قادراً على سرقة كل مايريد من الجهاز, وتقوم البرمجية بتسجيل ضربات المفاتيح, وبهذا يتمكن المهاجم من سرقة كلمات السر الخاصة بحساب الضحية, ويمكن بعدها الدخول إليها من أي جهاز آخر. ونسخ كل مافيها من محادثات أو مراسلات .

من الملفت للنظر بأن المهاجمين عادوا في بعض الأحيان للحديث مع الضحايا, وطرحوا عليهم إسئلة أخرى, ففي بعض الحالات, عاد المهاجم وتواصل مع أحد ضحاياه بعد أن تم اختراق جهازه, وطرح عليه أسئلة مطولة عن اللاجئين في لبنان, وسأله فيما لو أنه أدى خدمته العسكرية في الجيش السوري .

 2) عبر شبكات التواصل الاجتماعي

قامت المجموعة المهاجمة أيضا بزرع برمجيات خبيثة على حسابات فيسبوك كانت في بعض الأحيان لذات الشخصيات التي قامت بالهجوم عبر سكايب. حيث كانت هذه الحسابات مكتظة بمنشورات مناهضة للأسد ومساندة للثورة السورية. كانت البرمجيات الخبيثة متضمنة في منشورات تدعوا الناس لتنصيب شبكات افتراضية خاصة أو تور, أو تدعوها للضغط للحصول على معلومات هامة .

3) عبر موقع مزيف للمعارضة السورية

قام المهاجمون من خلال حسابات سكايب وعلى فيسبوك بحث الضحايا على الدخول إلى موقع من للمعارضة السورية يحتوي على برمجيات خبيثة, وقد استخدم الموقع للإيقاع بأفراد من المعارضة مهتمين بالحصول على أخبار عن الصراع في سوريا. وقد تبين أن معظم محتوى الموقع كان قد أخذ من موقع المجلس السوري الأمريكي, وهو مؤسسة مقرها الولايات المتحدة  تدافع عن الديمقراطية في سوريا. وعند الدخول إلى الموقع, فإن مشاهدة فيديوهات تطلبت تحميل تحديثا لفلاش, لم يكن في الحقيقة سوى برمجية خبيثة. كذلك قام المهاجون بزرع برمجية خبيثة داخل نسخة من برنامج معروف للتواصل عبر الفيديو .

4) عبر تصيد كلمات السر لحسابات على وسائل التواصل الاجتماعي وفيسبوك

قامت المجموعة المهاجمة بوضع روابط لحسابات فيسبوك وحسابات على خدمات أخرى لنساء مع صورهن وأعمارهن ومعلومات أخرى. ولدى النقر على الصور التي تدعي أنها روابط لحسابات فيسبوك, تنتقل الضحية إلى صفحة مزورة لتسجيل الدخول إلى فيسبوك, وهنا تتم سرقة بيانات التسجيل للحساب. كذلك عند الضعط على الحسابات الأخرى يدعو الموقع الضحية لتحميل نسخة من برنامج لمحادثة الفيديو ملغمة ببرمجية خبيثة, تنشط فور تنصيب البرنامج النظامي .

من هي الجهة التي قامت بالهجوم

لم يصل التقرير إلى تحديد الجهة التي كانت وراء الهجوم, لكنه يشير إلى أن الفريق عثر بشكل متكرر على الكثير من الإشارات إلى لبنان. فقد كرر أحد الحسابات المستخدمة في الهجوم أنه في لبنان, وظهر الحديث عن اللاجيئن السوريين في لبنان مرارا, وكانت هناك وثيقة استخباراتية مسربة لم يتم التأكد مصداقيتها, تشير إلى تدريب للنشاطين السوريين جرى في لبنان, تمت فيها الإشارة إلى أن  أعضاءً في حزب الله قد تلقو تدريبا على الهجمات الإكترونية الخبيثة, وعلى إنشاء حسابات وهمية على شبكات التواصل الاجتماعي واستخدام النساء في هذه الهجمات .

الخلاصة

عند النظر إلى الأمر فأنه وللوهلة الى بتبين أن المهاجين قد وصولو إلى الضحايا بطرق خداع الهندسة الاجتماعية المعرفة. وبنتهي الأمر بالأيقاع بالضحايا وسرقة المعلومات من أجهزتهم. والملفت هو سؤال الضحايا عن نظام التشغيل (ويندوز أو أندرويد) الذي يستخدمونه من أجل إرسال البرمجية المناسبة. لكن الملفت هو التركيز على الاستيلاء على قوائم جهات الاتصال من حسابات سكايب الخاصة بالضحايا, وهو ما يكشف عن علاقات الضحية ونشاطه بشكل كبير ويوفر للمهاجم كما كبيرا من المعلومات الهامة والحساسة. ويعتقد بأن الضحية التالية كانت غالبا تأتي من هذه القوائم .

تختلف هذه العملية عن شبيهاتها بأنها وفرت للمهاجم, وبالتالي لأحد أطراف الصراع الدائر, معلومات ذات قيمة عسكرية واستخباراتيه لا توفرها الكثير من عمليات التجسس التقليدية التي تم بحثها من قبل. فقد وفرت هذه العملية لمنفذيها معلومات عن عمليات عسكرية قيد التخطيط وعلى وشك الحدوث, وعن مسارات الإمداد, وشبكات الناشطين ومعلومات عن أفراد بعينهم .

شاهد أيضاً

ويليام بلامر .. شركة هواوي ساعدت نظام الاسد في مراقبة الناشطين و الثوار في سوريا .

ذا ديلي بيست | سوريا 24 | أعلنت شركة هواوي، إحدى أغنى الشركات الصينية وأكبر …

Close
رجاء ادعم الموقع
بالضغط على اي من هذه الازرار ستجعل الموقع افضل