ملخص
في يونيو/حزيران 2018، تلقى أحد موظفي منظمة العفو الدولية رسالة كيدية عن طريق الواتساب ذات مضمون مضلل يتعلق بالسعودية، وتحتوي على وصلات تعتقد منظمة العفو الدولية أنها تستخدم في توزيع وتفعيل برمجيات معقدة للتجسس على الهواتف الجوالة. ومن خلال تحقيقاتنا التالية اكتشفنا أن ناشطاً سعودياً مقيماً في الخارج قد تلقى هو الآخر رسائل كيدية مماثلة. وعلى ضوء تحليلها لهذه الرسائل، اكتشفت لمنظمة العفو الدولية صلات بين هذه الرسائل وشبكة تتضمن ما يزيد على 600 من أسماء نطاقات الإنترنت؛ وليست هذه الأسماء مشبوهة فحسب، بل متداخلة أيضاً مع بنية تحتية تبين فيما مضى أنها جزء من منصة برمجيات “بيغاسوس” للاستغلال التجاري وبرمجيات التجسس، وهي برمجيات معقدة تبيعها شركة المراقبة الإسرائيلية المسماة “مجموعة إن إس أو” – NSO Group.
الرسائل الكيدية المرسلة إلى ناشطين معنيين بحقوق الإنسان في السعودية
في مطلع يونيو/حزيران، تلقى أحد موظفي منظمة العفو الدولية رسالة مشبوهة على جواله الشخصي، عن طريق برنامج المراسلة “واتساب”، تحتوي على رابط خبيث تعتقد منظمة العفو الدولية أنه تابع لبنية تحتية إلكترونية مرتبطة بـ “مجموعة إن إس أو”، وبهجمات تم توثيقها من قبل (انظر ما يلي للاطلاع على مزيد من المعلومات عن هذه الروابط).
ولقد آثرنا لأسباب أمنية عدم ذكر رقم المرسل في هذا التقرير، ولكن يبدو أنه تابع لشركة تجارية للاتصالات الهاتفية، من بين الخدمات التي تقدمها إتاحة منظومة لإدارة الأرقام الهاتفية الافتراضية، مما يسمح للعملاء بإرسال رسائل نصية جماعية؛ ومثل هذه الخاصية تستخدم عادة في الحملات الترويجية أو غيرها من أشكال الأنظمة الآلية. ونعتقد أن المهاجمين يستخدمون هذه الخدمة بصورة مماثلة في الإرسال الآلي للرسائل النصية ورسائل الواتساب الكيدية التي تحمل برمجيات ضارة.
ومن الواضح أن الرسالة المذكورة كانت أشبه بطُعْم لخداع زميلنا واستدراجه للنقر على الرابط الذي يشير إلى اسم النطاق التالي على الإنترنت: akhbar-arabia[.]com. وكما نوضح لاحقاً في هذا التقرير، فقد تبين لنا أن هذا النطاق تابع لبنية تحتية شبكية كبرى ثبت من التحقيقات السابقة أنها تمت بصلة لشركة بيع برمجيات المراقبة الإسرائيلية المسماة “مجموعة إن إس أو“.
ومن خلال تحقيقاتنا، اكتشفنا مدافعاً آخر عن حقوق الإنسان من السعودية تلقى رسائل نصية كيدية، تحمل روابط إلكترونية لنطاقات تبين لنا أنها جزء من نفس البنية التحتية الشبكية التي تستخدمها “مجموعة إن إس أو” أو عملاؤها لبث برمجيات استغلالية وأخرى خبيثة إلى الهواتف الجوالة بغية حصد البيانات من هواتف الضحايا. ومثل هذه البرمجيات الخبيثة تسمح للمهاجم باختراق هاتف الشخص المستهدف أو جهاز الكمبيوتر الخاص به والاطلاع على كافة بياناته، مما يحيل الجهاز إلى أداة متطورة للتنصت والتعقب يمكن استخدامها للإضرار بالضحية.
ففي أواخر مايو/أيار، تلقى الناشط الرسالة التالية من رقم مجهول:
وكما هو واضح من صورة الرسالة، فإنها تتضمن رابطاً لخدمة اختصار عناوين الإنترنت المعروفة باسم TinyURL. ومن خلال موقع هذه الخدمة، تحققنا من أن الرابط يعيد توجيه الزائر إلى صفحة في النطاق التالي من الإنترنت: social-life[.]info.
كما تبين لنا أن هذا النطاق مرتبط بنفس البنية التحتية الإلكترونية لـ “مجموعة إن إس أو”. وفي تقرير للمختبر البحثي الحقوقي “سيتزن لاب” (Citizen Lab)، صدر بالتنسيق مع تقرير منظمة العفو الدولية، يشير المختبر إلى أن نفس النطاق المذكور قد أُرسل إلى أشخاص آخرين في منطقة الخليج عن طريق رسائل نصية مماثلة إلى حد بعيد للرسالة المشار إليها آنفاً؛ ومن بينها التغريدة التالية:
وبعد هذه التغريدة بقليل، تلقى الناشط رسالة أخرى مشبوهة من رقم مجهول، تشير تحديداً إلى الحظر المفروض على قيادة النساء للسيارات في السعودية؛ وقد جاءت هذه الرسالة في الوقت المناسب لأنه قبل ذلك بأيام معدودة كان قد سُمح للنساء بقيادة السيارات في السعودية، في أعقاب قرار رسمي برفع هذا الحظر المفروض منذ عقود.
والأمر المثير للاهتمام هو أن نص الرسالة منقول بالحرف الواحد من العنوان الإنجليزي لبيان صحفي لمنظمة العفو الدولية، صدر قبل دخول قرار رفع الحظر حيز التنفيذ؛ ويقول العنوان: “النساء السعوديات مسموح لهن الآن بقيادة السيارة لكن لا بد أن يعقب ذلك مزيد من الإصلاحات”
ونظراً لتعطيل أو حذف الرابط الوارد في الرسالة (bit.ly) قبل حصولنا على نسخ منها، فلم نتمكن بكل أسف من التحقق مما إذا كانت هذه الرسالة تحمل أيضاً رابطاً يمت بصلة للبنية التحتية الإلكترونية المعروفة لـ “مجموعة إن إس أو”.
غير أن هذه الرسالة جاءت على غرار نفس النمط الذي اتسم به الهجوم السابق، ومن الواضح أنها تحاول التنكر على هيئة معلومات أصدرتها منظمة العفو الدولية، بهدف خداع الناشط فيما يبدو واستدراجه للنقر على الرابط.
وقد أرسلت منظمة العفو الدولية نتائج تحقيقاتها إلى “مجموعة إن إس أو” للتعليق عليها، فأصدرت هذه الأخيرة التصريح التالي:
“إن مجموعة إن إس أو تقوم بتطوير التكنولوجيا الإلكترونية التي تتيح للوكالات الحكومية اكتشاف وإحباط المؤامرات الإرهابية والجنائية؛ والغرض مما ننتجه هو أن يكون استخدامه مقصوراً على التحقيق في الجريمة والإرهاب ومنعهما؛ وأي استخدام لتكنولوجيتنا على نحو منافٍ لهذا الغرض هو انتهاك لسياساتنا، وإخلال بعقودنا القانونية، وبالقيم التي تدافع عنها شركتنا.
إن مجموعة إن إس أو تقوم بتطوير التكنولوجيا الإلكترونية التي تتيح للوكالات الحكومية اكتشاف وإحباط المؤامرات الإرهابية والجنائية؛ والغرض مما ننتجه هو أن يكون استخدامه مقصوراً على التحقيق في الجريمة والإرهاب ومنعهما؛ وأي استخدام لتكنولوجيتنا على نحو منافٍ لهذا الغرض هو انتهاك لسياساتنا، وإخلال بعقودنا القانونية، وبالقيم التي تدافع عنها شركتنا.
بيان تلقته مجموعة أن إس أو في 31 تموز/يوليو 2018
وإذا ما نشأ ادعاء يتعلق بانتهاك لعقدنا أو استخدام غير ملائم لتكنولوجيتنا، كما ألمحت منظمة العفو الدولية، فنحن نحقق في الأمر، ونتخذ الإجراء المناسب استناداً لتلك النتائج. ونحن نرحب بأي معلومات محددة من شأنها أن تعيننا على إجراء مزيد من التحقيقات في الأمر”.
ما الخطأ في هذا؟
لقد لجأت المؤسسات المعنية بإنفاذ القانون في الكثير من بلدان العالم إلى استخدام المراقبة السرية لأغراض تتعلق بالأمن الوطني، غير أن منظمة العفو الدولية، وكثير غيرها من المنظمات الأخرى المدافعة عن حقوق الإنسان، وثقت حالات استخدمت فيها المراقبة، ولا تزال، على نحو منافٍ للقانون الدولي لحقوق الإنسان – ومن الأمثلة المهمة لذلك استهداف الأشخاص للمراقبة لا لشيء سوى ممارستهم لحقوقهم الإنسانية؛ في مثل هذه الحالات، تكون المراقبة بمثابة اعتداء “تعسفي أو غير مشروع” على خصوصية المرء أو انتهاك لغير ذلك من حقوقه الإنسانية. أما أن تكون المراقبة باستخدام أدوات الاختراق المدعوم من الدولة، مثل تلك التي تنتجها “مجموعة إن إس أو”، فهي نوع شديد التوغل من المراقبة، وبالتالي ينطوي على إشكالية خاصة فيما يتعلق بالقانون والمعايير الدولية لحقوق الإنسان.
فوفقاً لما تنص عليه “المبادئ التوجيهية للأمم المتحدة بشأن الأعمال التجارية وحقوق الإنسان”، فإن الشركات تقع على عاتقها مسؤولية مراعاة حقوق الإنسان أينما تمارس نشاطها في العالم؛ وتستوجب هذه المبادئ من الشركات اتخاذ خطوات استباقية تضمن لها عدم التسبب في وقوع انتهاكات لحقوق الإنسان في إطار عملياتها وأنشطتها العالمية أو المساهمة في تلك الانتهاكات؛ كما تقضي المبادئ التوجيهية بأن تتصدى الشركات لأي انتهاكات لحقوق الإنسان عند وقوعها. ومن أجل الوفاء بهذه المسؤولية عن احترام حقوق الإنسان، يجب على الشركات تنفيذ ما يلزم من تدابير العناية الواجبة بحقوق الإنسان من أجل “تحديد كيفية معالجة آثارها الضارة بحقوق الإنسان، والحيلولة دون حدوثها، والتخفيف من حدتها وتوضيح كيفية معالجتها”. وهذه المسؤولية عن احترام حقوق الإنسان التي تتحملها الشركات هي قائمة بمعزل عن قدرة الدولة أو استعدادها للوفاء بالتزاماتها إزاء حقوق الإنسان؛ وذلك بالإضافة إلى التزام الشركات بالقوانين والنظم الوطنية التي تكفل حماية حقوق الإنسان.
من حق كل شخص، بمفرده وبالاشتراك مع غيره، أن يدعو ويسعى إلى حماية وإعمال حقوق الإنسان والحريات الأساسية على الصعيدين الوطني والدولي
المادة 1 من "الإعلان المتعلق بحق ومسؤولية الأفراد والجماعات وهيئات المجتمع في تعزيز وحماية حقوق الإنسان والحريات الأساسية المعترف بها عالمياً
الدفاع عن حقوق الإنسان ليس جريمة. تنص المادة 1 من “الإعلان المتعلق بحق ومسؤولية الأفراد والجماعات وهيئات المجتمع في تعزيز وحماية حقوق الإنسان والحريات الأساسية المعترف بها عالمياً” (المشار إليه عادة باسم “إعلان المدافعين عن حقوق الإنسان”) على أن “من حق كل شخص، بمفرده وبالاشتراك مع غيره، أن يدعو ويسعى إلى حماية وإعمال حقوق الإنسان والحريات الأساسية على الصعيدين الوطني والدولي.”
وهذا بعينه هو ما تفعله منظمة العفو الدولية، ألا وهو السعي لحماية وإعمال حقوق الإنسان؛ واستهداف منظمة العفو الدولية وغيرها من المدافعين عن حقوق الإنسان للمراقبة بسبب نشاطنا الحقوقي لا يمكن تصنيفه بأي حال من الأحوال على أنه استخدام مشروع لبرامج المراقبة الإلكترونية الاستغلالية التي تبتكرها وتبيعها “مجموعة إن إس أو”.
كيف تعمل البنية التحتية الإلكترونية لـ “مجموعة إن إس أو”؟
تبيع “مجموعة إن إس أو” منصة للهجوم والمراقبة تسمى “بيغاسوس”؛ وقد ورد وصف دقيق لهذه المنصة في وثيقة بعنوان: “بيغاسوس – وصف المنتج“، عُثر عليها ضمن وثائق سربتها عام 2015 شركة إيطالية منافسة للبرمجيات التجسسية تسمى “هاكنغ تيم” (HackingTeam – فريق الاختراق الإلكتروني).
ويبدو لنا من هذه الوثيقة أن الرسائل التي تلقتها منظمة العفو الدولية وغيرها هي من النوع الذي تسميه “مجموعة إن إس أو” “رسائل الهندسة الاجتماعية المعززة – ESEM”.
وعندما ينقر الضحية على الرابط، يتم توصيله تلقائياً بشبكة من عُقد التخفي التي تتيحها “مجموعة إن إس أو”، والتي تهدف إلى إخفاء هوية الموقع النهائي لخوادم “بيغاسوس” على نحو يخفي هوية العميل أو أصله.
وفي موضع آخر من هذه الوثائق، يُطلق على هذه العقد اسم “شبكة بيغاسوس للبث الإخفائي“.
وفي نهاية المطاف، يُستدرج الضحية إلى ما يُسمَّى “خادم تثبيت بيغاسوس” الذي يحاول استغلال الثغرات التي يمكن النفاذ منها في أي جهاز عرضة لذلك بهدف تثبيت برمجية “بيغاسوس” للتجسس خلسةً.
ولقد حاولنا تفعيل العدوى بهذه البرمجية عمداً بفتح الرابط في بيئة معزولة، فأعاد توجيهنا إلى موقع إخباري سعودي حقيقي يُسمَّى “الخليج الجديد”، الأمر الذي يعني الإخفاق في تفعيل أي سلوك ضار، وهو ما يطابق الوصف الوارد في الوثيقة المسربة التي تتضمن وصفاً لبرمجيات “بيغاسوس”:
وسعياً لمراوغة خبراء الأمن الإلكتروني وشركات مكافحة الفيروسات الإلكترونية، كثيراً ما يلجأ منتجو برمجيات التجسس المتطورة إلى شكل من أشكال التحقق من الجهاز المتصل بالحاسوب الخادم الذي يحتوي على البرمجيات الاستغلالية، بحيث لا يتم تثبيت البرمجيات التجسسية إلا في ظروف محددة تحديداً دقيقاً؛ فقد يعمد المهاجمون، على سبيل المثال، إلى تهيئة الخوادم بحيث لا تطلق البرمجيات الاستغلالية إلا للأجهزة التي تتصل بها من بلد معين أو التي تشغلها إصدارات معينة من أنظمة أندرويد أو أي أو إس. وأغلب الظن أن شركة “مجموعة إن إس أو” أو عملاءها يقومون بتهيئة الروابط الكيدية التي يتم توزيعها على الضحايا المستهدفين بحيث يبطل مفعولها تلقائياً بعد مضي فترة زمنية محدودة، مثل 24 ساعة.
كيف عرفنا أن “مجموعة إن إس أو” لها صلة بالأمر؟
بالإضافة إلى ما تبين لنا من أن سلوك الحواسب الخادمة يطابق وصف برمجيات “بيغاسوس” التابعة لـ “مجموعة إن إس أو” كما ورد في الوثيقة التي سربتها شركة “هاكينغ تيم”، فقد اكتشفنا دليلين آخرين على وجود صلة بين هذه الهجمات و”مجموعة إن إس أو”؛ أحدهما هو القرائن التي اكتشفها من قبل المختبر البحثي الحقوقي “سيتزن لاب” وأوردها في تقريره العلني، على وجود صلة بين الروابط الضارة التي تلقيناها وجمعناها وبين البنية التحتية الإلكترونية لشبكة “مجموعة إن إس أو”. أما الدليل الثاني – وإن كان أقرب إلى الظن والترجيح من الدليل الأول – فهو وجود نمط لتسجيل النطاقات يظهر أن معظم النطاقات في البنية التحتية الإلكترونية لدى “مجموعة إن إس أو” قد سجلت أثناء أيام وساعات الدوام الرسمية الإسرائيلية (حيث مقر شركة “إن إس أو”).
وعند تحليلنا لنطاقات الإنترنت المرسلة إلى منظمة العفو الدولية وغيرها ضمن الرسائل النصية ورسائل تطبيق واتساب، ابتكرنا منهجية تقنية تسمح لنا بالتثبت مما إذا كان أحد البرامج الخادمة تابعاً لـ “شبكة بيغاسوس للبث الإخفائي”؛ فحيث أن الروابط المرسلة للجهات المستهدفة ليست صفحات حقيقية على الشبكة الإلكترونية، وإنما هي عُقَدٌ لإخفاء الهوية تقود إلى برنامج خادم استغلالي، فإنها تتسم بسلوك فريد نوعاً ما بمقدورنا توليف عناصره وصياغتها على هيئة “بصمة” مميزة.
وهذه البصمة إن هي إلا توليفة من مختلف العناصر والظواهر التقنية، بما في ذلك التشكيل الشفري الذي تستخدمه البرامج الخادمة لتشفير الرسائل، وانكشاف بعض الخدمات دون الأخرى، وبعض الظروف المعينة التي تجعل الخادم يقطع الاتصالات فجأة. وباستخدام هذه البصمة يتسنى لنا استقصاء وتمحيص الخوادم المتاحة على الإنترنت، بحثاً عن أي خوادم تسلك مسلكاً مماثلاً للخوادم التي لاحظناها في الرسائل الضارة، مثل akhbar-arabia[.]com وsocial-life[.]info. وقد أتاح لنا مشروع سنسيز Censys.io بسخاء حرية الاطلاع على ما لديه من بيانات مما يسَّر لنا إتمام عملية البحث على الإنترنت على الوجه الأمثل.
وبفضل هذا الأسلوب الذي ابتكرناه، تسنى لنا تحديد أكثر من 600 من الخوادم التي تسلك مسلكاً مماثلاً؛ ووجدنا من بينها خوادم تضم أسماء نطاقات سبق التثبت من صلتها بشركة “إن إس أو” من خلال التحريات التي قام بها مختبر “سيتزن لاب” وغيره، وهي بالتحديد banca-movil[.]com ، و pine-sales[.]com، و ecommerce-ads[.]org .
أسماء النطاقات المرتبطة بها |
عناوين بروتوكول الإنترنت التي اكتشفناها من خلال أبحاثنا |
banca-movil[.]com |
149.255.36.138 |
pine-sales[.]com |
92.222.208.251 |
ecommerce-ads[.]org |
46.183.223.249 |
كما اكتشفنا مجموعة من شهادات بروتوكول التشفير الأمني TLS ذات التوقيع الذاتي، وهي وثائق تشفيرية تؤمِّن موقعاً معيناً على الإنترنت وتحدد هويته، وتبيَّن لنا أن هذه الوثائق مشتركة بين البنية التحتية الإلكترونية التي اكتشفها مختبر “سيتزن لاب” عام 2016 والبنية التحتية الجديدة التي اكتشفناها من خلال أساليبنا الاستقصائية.
كما تبين لنا أن الخادم pi.license-updater[.]com (91.219.28.21) يضاهي بصمة خادمنا؛ وفي السابق، كان عنوان بروتوكول الإنترنت هذا يخدم الشهادة ذاتية التوقيع بالبصمة التالية: e134f3e483529738bb9c58ad4c45771681796d7 . وباستخدام مستودعات بيانات الشبكة العامة، من قبيل مستودع البيانات RiskIQ Passivetotal، يمكننا أن نرى أن هذه الشهادة مستخدمة أيضاً على عناوين بروتوكول الإنترنت التالية: 176.31.83.118، و 82.221.100.207 ، و 136.243.250.166 ، و 164.132.221.145.
وكما يتضح من الجدول التالي، فإن نطاقات الإنترنت الأربعة التالية: bytlo[.]com، و ticket-selections[.]com، و pine-sales[.]com ، و ecommerce-ads[.]org، قد تبين سابقاً أنها تؤول إلى العنوان: 176.31.83.118؛ فكل هذه النطاقات الأربعة قد اكتشف هويتها مختبر “سيتزن لاب”. أما النطاقان pine-sales[.]com وecommerce-ads[.]org فهما لا يزالان نشيطين على الإنترنت، ولكنهما يشيران إلى خادمين جديدين، كلاهما يضاهي بصمتنا.
عنوان بروتوكول الإنترنت الذي تبين عام 2016 أن هذه النطاقات تعود إليه |
النطاقات التي اكتشفها “سيتزن لاب” عام 2016 |
176.31.83.118 |
bytlo.com ticket-selections.com pine-sales.com ecommerce-ads.org |
185.45.192.231 |
bytlo.com ticket-selections.com pine-sales.com ecommerce-ads.org |
وكان الخادم في العنوان رقم 164.132.221.145 يخدم في السابق شهادة أخرى ذاتية التوقيع من شهادات بروتوكول التشفير الأمني تي إل إس، تحمل البصمة التالية: 243ec4d1d2b83ab7a6c0f8e612c63d7ab62f028a. ويظهر مستودع البيانات RiskIQ Passivetotal أن هذه الشهادة قد اقترنت أيضاً بالعناوين التالية: 80.83.118.194، و51.254.230.189، و164.132.221.145.
أما عنوان بروتوكول الإنترنت رقم 80.83.118.194 فقد سبق أن أصدر شهادات لأسماء (عناوين) المضيف التالية: blcheck.dnsdyn[.]net ، و listupd.dns-updater[.]com، و ticket-selections[.]com. وكان اسم المضيف listupd.dns-updater.com قد سبق أن اقترن بعنوان بروتوكول الإنترنت 95.183.51.199، الذي يقدم الآن شهادة تشفير أمني تي إل إس لاسم المضيف access.dynamic-dns[.]net؛ ومواصفات هذا الخادم مضاهية لبصمتنا.
كما أن عنوان بروتوكول الإنترنت 51.254.230.189 قد سبق أن أصدر شهادة صحيحة لاسم المضيف blcheck.dnsdyn[.]net؛ والجزء الخاص بالنطاق الفرعي من اسم المضيف يطابق اسم مضيف آخر هو blcheck.utensils[.]pro(164.132.138.55)، وقد تعرفنا عليه في إطار بحثنا الاستقصائي. ونفترض أن نطاقات الإنترنت هذه هي فئة من الخوادم الداخلية المستخدمة في اختبار وتشغيل “شبكة بيغاسوس للبث الإخفائي”.
ويقدم الرسم البياني التالي صورة مرئية أوضح للصلة بين هذه النطاقات والعناوين:
وكما ذكرنا آنفاً، فإن المختبر الحقوقي “سيتزن لاب” قد قام بجهود استقصائية مماثلة خلال السنتين الماضيتين، وخلص هو الآخر إلى نفس النتائج بمعزل عن منظمة العفو الدولية؛ وفي تقريره، الذي صدر اليوم أيضاً، يكشف النقاب عن بعض ما توصل إليه من نتائج تعضد نتائجنا، وتقدم مزيداً من الأدلة.
وقد أجرينا أيضاً تحليلاً – وإن كان ترجيحياً – لتواريخ وأزمنة تسجيل المئات من نطاقات “شبكة بيغاسوس للبث الإخفائي” التي أحصيناها؛ وهو تحليل يستند إلى البيانات المتاحة علناً التي يجمعها أمناء تسجيل النطاقات من عملائهم عند بيع اسم نطاق جديد. وهذه المعلومات (التي يمكن الحصول عليها من أي جهة تقدم خدمات البحث عن النطاقات من قبيل خدمة WHOIS [من هو]) قد تصاغ على النحو التالي:
وتشمل المعلومات الواردة عن “المسجِّل” عادةً بيانات عن العميل الحاصل على اسم النطاق، علماً بأن هذه المعلومات كثيراً ما تكون زائفة، خاصةً عندما يُستخدم النطاق في أغراض كيدية. ولكن تاريخ التسجيل عادة ما يكون علنياً وجديراً بالثقة، ومن ثم فقد اخترنا جمع تواريخ تسجيل جميع النطاقات التي اكتشفناها، وعكفنا على البحث عن أي أنماط تجمع بينها.
ويوضح الرسم البياني التالي الأغلبية الساحقة من أسماء النطاقات المسجلة بين أيام الأحد والخميس، وهو ما يتفق مع أسبوع العمل الرسمي في إسرائيل (وذلك بطبيعة الحال مع الأخذ بالاعتبار أن هذا هو أسبوع العمل الرسمي لعدة دول أخرى أيضاً).
وأجرينا نفس التحليل على ساعات اليوم التي سُجِّل فيها معظم أسماء النطاقات؛ ويبين الرسم البياني التالي توزيع النطاقات المسجلة بالساعة في المنطقة الزمنية لتل أبيب؛ والأمر المثير للاهتمام أن أعلى تركيز للتسجيل يلاحظ في الفترة بين 9 صباحاً و6 مساءً، وهو ما يطابق ساعات العمل الرسمية المعتادة في إسرائيل حيث مقر “مجموعة إن إس أو”.
المئات من النطاقات تكشف الاستخدام المحتمل
وكما ذكرنا آنفاً، فمن خلال الجهود الاستقصائية لتحديد البصمة التي وصفنها فيما تقدم، حددنا نحو 600 من أسماء المضيف التي تتركز حول فئة محدودة من أمناء السجلات، والخوادم، ومقدمي خدمات استضافة المواقع على الإنترنت.
ملحوظة: نظراً لأننا لا نستطيع أن نعرف كيف يقوم أي من عملاء “مجموعة إن إس أو” على وجه التحديد باستخدام كل من النطاقات التي اكتشفناها، فإننا لم نكشف النقاب عن القائمة الكاملة في هذه المرحلة؛ بل نعتزم الانتظار لفترة سماح طولها شهران، وبعدها سوف ننشر علناً القائمة الكاملة للنطاقات للجهات البحثية والأمنية. أما النطاقات التي ذكرناها على وجه التحديد في هذا التقرير فهي تلك النطاقات التي نعتبرها ذات صلة لاحتمال كونها أخطاراً على المجتمع المدني والمدافعين عن حقوق الإنسان.
النطاقات التي يُرجَّح وجودها في بلدان معينة
من بين المئات من النطاقات التي حددناها من خلال بحثنا الاستقصائي على الإنترنت، تبينت لنا أنماط معينة ترجح استهداف بلدان محددة.
فعدد من النطاقات، على سبيل المثال، تستخدم شفرة قطرية مثل “zm”، مما يوحي باستخدامها لأغراض تتعلق بزامبيا، كما يتضح جلياً من استخدام الحرفين “zm” في بداية الاسم أو آخره.
onlineshopzm[.]com |
zednewszm[.]com |
zm-banks[.]com |
zm-weather[.]com |
وثمة نطاقات أخرى تشير إلى مناطق جغرافية محددة، مثل الكونغو:
تشير إلى منطقة نورث كيفو” بجمهورية الكونغو الديمقراطية |
nothernkivu[.]com |
أو تشير إلى إفريقيا عموماً:
afriquenouvelle[.]com |
allafricaninfo[.]com |
كما وجدنا بعض النطاقات التي يبدو أنها تستخدم لأغراض تتعلق بالبلدان الناطقة بالروسية؛ ومنها على سبيل المثال:
centrasia-news[.]com |
انتحال موقع وكالة أنباء آسيا الوسطى (https://ca-news.org/)، وهي موقع إخباري يحظى بشعبية واسعة في أوساط نشطاء المعارضة |
mystulchik[.]com |
وكلمة Stulchik هي كلمة روسية تعني “كرسي صغير”، ولعل اسم النطاق منحوت من الإنجليزية والروسية؟ |
odnoklass-profile[.]com |
انتحال موقع مؤسسة “Odnoklassniki “، وهي شبكة للتواصل الاجتماعي لها شعبية واسعة في البلدان الناطقة بالروسية |
sputnik-news[.]info |
وكالة أنباء سبوتنيك(https://sputniknews.com) |
وهناك نطاقات عديدة توحي باستخدامها لأغراض تتعلق بكازاخستان:
tengrinews[.]co |
انتحال موقع الأخبار المشروع “تنغري نيوز” (tengrinews.kz) |
sergek[.]info |
sergek.kz هو نظام للمراقبة بالفيديو في كازاخستان |
egov-sergek[.]info |
Egov.kz هو موقع إلكتروني حكومي في كازاخستان |
egov-segek[.]info |
ويبدو هذا مشابهاً للرابط المشار إليه أعلاه |
mykaspi[.]com |
انتحال موقع كاسبي، وهو مؤسسة مصرفية من كازاخستان |
kaspi-payment[.]com |
انتحال موقع كاسبي، وهو مؤسسة مصرفية من كازاخستان |
وتوحي أسماء بعض النطاقات الأخرى بأهداف من لاتفيا لأنها تتضمن أسماء لاتفية:
e-sveiciens[.]com |
“تحيات” باللاتفية |
klientuserviss[.]com |
“خدمة العملاء” باللاتفية |
kurjerserviss[.]com |
“خدمة الزبائن” باللاتفية |
reklamas[.]info |
“إعلان” باللاتفية |
نطاق آخر يوحي باستخدامه في المجر:
legyelvodas[.]com |
رابط باللغة المجرية ربما كان المقصود منه أن يبدو ذا صلة ما بفودافون |
انتحال مواقع إخبارية
وجدنا عدة نطاقات تسعى لانتحال مواقع إخبارية:
theastafrican[.]com |
ينتحل موقع الصحيفة الكينية “ذا إيست أفريكان” (الشرق إفريقي) The East African (https://www.theeastafrican.co.ke/) |
ajelnews[.]net |
ينتحل موقع صحيفة عاجل الإلكترونية (https://ajel.sa) |
akhbara-aalawsat[.]com |
ربما ينتحل موقع صحيفة الشرق الأوسط (https://aawsat.com) |
centrasia-news[.]com |
انتحال وكالة أنباء آسيا الوسطى التي تحظى بشعبية واسعة في أوساط نشطاء المعارضة (https://ca-news.org/) |
tengrinews[.]co |
انتحال الموقع الإخباري الكازاخي “تنغري نيوز” (https://tengrinews.kz) |
akhbar-arabia[.]com |
ربما ينتحل موقع “أخبار عربية” (https://akhbararabia.net/) |
gulf-news[.]info |
ربما ينتحل موقع “غلف نيوز” (https://gulfnews.com) |
eltiempo-news[.]com |
ينتحل موقع صحيفة الأخبار الكولومبية “إلتيمبو” (https://eltiempo.com) |
sputnik-news[.]info |
موقع وكالة أنباء سبوتنيك (https://sputniknews.com) |
كما وجدنا العديد من النطاقات التي تتظاهر بأنها مواقع إخبارية:
arabnews365[.]com |
arabworldnews[.]info |
breaking-extranews[.]online |
breaking-news[.]co |
breakingnewsasia[.]com |
breakthenews[.]net |
daily-sport[.]news |
diaspora-news[.]com |
discoveredworld-news[.]com |
eurosportnews[.]info |
golf-news[.]live |
investigationews[.]com |
islamic-news-today[.]com |
kingdom-news[.]com |
leadersnews[.]org |
news-alert[.]org |
news-gazette[.]info |
newscurrent[.]info |
newsdirect[.]online |
newsofficial[.]info |
newsofthemoment[.]net |
newworld-news[.]com |
online-dailynews[.]com |
only-news[.]net |
operatingnews[.]com |
posta[.]news |
regionews[.]net |
topten-news[.]info |
zednewszm[.]com |
الاستنتاجات
تُعدُّ “مجموعة إن إس أو” واحدة من شركات تكنولوجيا المراقبة التي تحوط أنشطتها بأكبر قدر من السرية والتكتم في العالم؛ وعلى مدى العامين 2016 و2017، نشرت المجموعة البحثة الكندية المعروفة باسم “سيتزن لاب” (مختبر المواطن) التابعة لجامعة تورونتو، العديد من التقارير عن الاستخدام المزعوم لبرمجية التجسس على الهواتف الجوالة المسماة “بيغاسوس” التي ابتكرتها “مجموعة إن إس أو” الاسرائيلية؛ ويرجع الفضل في انكشاف هذه البرمجية التجسسية الشديدة المفعول إلى أحمد منصور، الناشط البارز في مجال الدفاع عن حقوق الإنسان من دولة الإمارات العربية المتحدة، إذ أطلع مختبر “سيتزن لاب” على ما تلقاه هاتفه الجوال من رسائل تحتوي على برنامج “بيغاسوس”؛ فكان ذلك بمثابة الشرارة الأولى التي انقدحت بها سلسلة من التحقيقات الطويلة التي أماطت اللثام في نهاية المطاف عن هجمات مماثلة في المكسيك استهدفت العلماء والمحامين والنشطاء.
تعرض أحمد منصور لهجوم ببرمجيات التجسس المتطورة مرتين على الأقل من قبل، استخدمت فيه أدوات ابتكرتها شركة “مجموعة غاما” الألمانية البريطانية وفريق الاختراق الإلكتروني الإيطالي؛ وأُلقي القبض على منصور في مارس/آذار 2017، وأودع رهن الحبس الانفرادي معظم فترة اعتقاله، إلى أن أصدر عليه القضاء الإماراتي في مايو/أيار 2018 حكماً بالإدانة والسجن لمدة عشر سنوات، وغرامة قدرها مليون درهم إماراتي (ما يعادل تقريباً 270 ألف دولار) بسبب كتاباته المنشورة في وسائل التواصل الاجتماعي عن نشاطه الحقوقي. ووصفت هيئة الادعاء جريمته المزعومة بأنها ” نشر معلومات كاذبة ومضللة التي … تلحق الضرر بسمعة البلاد” و”تصوير الإمارات العربية المتحدة كدولة خالية من القانون”. ومنظمة العفو الدولية تعدّ أحمد منصور من سجناء الرأي، وتطالب بالإفراج عنه فوراً ودون قيد أو شرط. |
وهدفنا من هذا التقرير هو أن نظهر أن رسالة الواتساب التي تلقاها زميلنا لم تكن مجرد رسالة نصية وحسب، بل هي اعتداء رقمي على حق موظفنا في احترام خصوصيته، وعلى الدور الذي نضطلع به باعتبارنا منظمة مدافعة عن حقوق الإنسان. قد تكون للمراقبة السرية أغراض مشروعة تبرر استخدام الدول لها في بعض السياقات، ولكن هذا الهجوم علينا ليس واحداً منها؛ وحينما نتأمل هذا الهجوم من منظور تاريخي يستعرض الهجمات التي يتعرض لها المجتمع المدني في بلدان أخرى مثل الإمارات العربية المتحدة والمكسيك، تتجلى لنا صورة مثيرة للقلق والانزعاج عن سوء استخدام تقنيات شركة “إن إس أو” بمختلف الطرق على الصعيد العالمي.
والأمر الأدعى لمزيد من الانزعاج هو ما اكتشفناه من أن هناك ما يزيد على 600 من نطاقات الإنترنت التي تكمن فيها أخطار تتربص للمدافعين عن حقوق الإنسان ونشطاء المجتمع المدني في بلدان أخرى كثيرة تجل عن الحصر.
من حقنا جميعاً أن نتشارك ونتواصل ونتبادل المعلومات عمن الأخطار التي تتهدد حقوق الإنسان أينما كان، وعن القضايا والانتهاكات التي تقع لنا ولغيرنا؛ ومثل هذا الاستخدام المتحلل من أي ضوابط أو قيود لتقنيات المراقبة، من قبيل تلك التي تتفتق عنها أذهان “مجموعة إن إس أو”، قد يكون له أخطر الأثر في تكميم أفواه المجتمع المدني؛ وليس المرء حتى بحاجة لأن يقع أولاً ضحية للتجسس حتى يستشعر مبلغ هذا الخطر، ويدرك مدى ذلك التغول القمعي لقطاع المراقبة – لاسيما حينما يعمد هذا القطاع لاستغلال اهتمامنا وحرصنا على حقوق الإنسان، واتخاذه طعماً لاستدراجنا والنيل منا مع سبق الإصرار والترصد.
الدفاع عن حقوق الإنسان ليس جريمة.