استخدمت الشرطة الصربية شركة Cellebrite لفتح برامج التجسس ثم زرعها في هاتف أحد الصحفيين

هذا العام، تعرضت هواتف صحفي وناشط صربي للاختراق من قبل السلطات المحلية باستخدام جهاز لفتح الهاتف المحمول من صنع شركة Cellebrite لأدوات الطب الشرعي. لم يكن هدف السلطات فقط فتح الهواتف للوصول إلى بياناتهم الشخصية، كما تسمح شركة Cellebrite، ولكن أيضًا تثبيت برامج تجسس لتمكين المزيد من المراقبة، وفقًا لتقرير جديد صادر عن منظمة العفو الدولية.

وقالت منظمة العفو الدولية في تقريرها إنها تعتقد أن هذه هي “أول إصابات برامج التجسس الموثقة جنائياً والتي تم تمكينها من خلال استخدام” أدوات Cellebrite.

هذه التقنية الخام والفعالة هي إحدى الطرق العديدة التي تستخدمها الحكومات لبرامج التجسس لمراقبة مواطنيها. في العقد الماضي، وثقت منظمات مثل منظمة العفو الدولية ومجموعة الحقوق الرقمية Citizen Lab عشرات الحالات التي استخدمت فيها الحكومات برامج تجسس متقدمة صنعها بائعو تكنولوجيا المراقبة الغربيون، مثل NSO Group، وIntellexa، ورائد برامج التجسس البائد الآن Hacking Team، من بين آخرين. لاختراق المنشقين والصحفيين والمعارضين السياسيين عن بعد.

الآن، نظرًا لأن برامج التجسس المزروعة عن بعد وبرنامج “يوم الصفر” أصبحت أكثر تكلفة بفضل التحسينات الأمنية، فقد تضطر السلطات إلى الاعتماد بشكل أكبر على أساليب أقل تطورًا، مثل وضع أيديهم فعليًا على الهواتف التي يريدون اختراقها.

على الرغم من حدوث العديد من حالات إساءة استخدام برامج التجسس في جميع أنحاء العالم، إلا أنه ليس هناك ما يضمن عدم حدوثها – أو عدم حدوثها – في الولايات المتحدة. في نوفمبر، ذكرت مجلة فوربس أن إدارة الهجرة والجمارك التابعة لوزارة الأمن الداخلي أنفقت 20 مليون دولار للحصول على أدوات اختراق الهواتف والمراقبة، من بينها شركة Cellebrite. وبالنظر إلى حملة الترحيل الجماعي التي وعد بها الرئيس المنتخب دونالد ترامب، كما فوربس أفادت التقارير أن الخبراء يشعرون بالقلق من أن وكالة الهجرة والجمارك سوف تزيد من أنشطتها التجسسية عندما تتولى الإدارة الجديدة السيطرة على البيت الأبيض.

تاريخ موجز لبرامج التجسس المبكرة

التاريخ يميل إلى تكرار نفسه. حتى عندما يظهر شيء جديد (أو غير موثق) لأول مرة، فمن الممكن أن يكون في الواقع تكرارًا لشيء حدث بالفعل.

قبل عشرين عامًا، عندما كانت برامج التجسس الحكومية موجودة بالفعل ولكن لم يكن معروفًا سوى القليل داخل صناعة مكافحة الفيروسات المكلفة بالدفاع ضدها، كان زرع برامج التجسس فعليًا على كمبيوتر الهدف هو الطريقة التي تمكن رجال الشرطة من الوصول إلى اتصالاتهم. وكان يتعين على السلطات الوصول فعليًا إلى جهاز الهدف — أحيانًا عن طريق اقتحام منزله أو مكتبه — ثم تثبيت برنامج التجسس يدويًا.

ولهذا السبب، على سبيل المثال، تم تصميم الإصدارات المبكرة من برامج التجسس الخاصة بـ Hacking Team منذ منتصف العقد الأول من القرن الحادي والعشرين ليتم تشغيلها من مفتاح USB أو قرص مضغوط. وحتى في وقت سابق، في عام 2001، اقتحم مكتب التحقيقات الفيدرالي مكتب رجل العصابات نيكوديمو سكارفو لزرع برنامج تجسس مصمم لمراقبة ما يكتبه سكارفو على لوحة المفاتيح الخاصة به، بهدف سرقة المفتاح الذي استخدمه لتشفير رسائل البريد الإلكتروني الخاصة به.

وتعود هذه التقنيات إلى الشعبية، إن لم يكن للضرورة.

ووثقت شركة Citizen Lab حالة في وقت سابق من عام 2024، حيث زُعم أن وكالة المخابرات الروسية FSB قامت بتثبيت برنامج تجسس على هاتف المواطن الروسي كيريل باروبيتس، وهو ناشط سياسي معارض كان يعيش في أوكرانيا منذ عام 2022، أثناء وجوده في الحجز. وكانت السلطات الروسية قد أجبرت بارابوتس على التخلي عن رمز المرور الخاص بهاتفه قبل زرع برنامج تجسس قادر على الوصول إلى بياناته الخاصة.

توقف وابحث

وفي الحالات الأخيرة في صربيا، عثرت منظمة العفو الدولية على برنامج تجسس جديد على هواتف الصحفية سلافيشا ميلانوف، والناشط الشبابي نيكولا ريستيتش.

في فبراير/شباط 2024، أوقفت الشرطة المحلية ميلانوف فيما بدا وكأنه فحص مروري روتيني. وتم إحضاره لاحقًا إلى مركز الشرطة، حيث أخذ العملاء هاتفه الذي يعمل بنظام Android، وهو Xiaomi Redmi Note 10S، أثناء استجوابه، وفقًا لمنظمة العفو الدولية.

وعندما استعادها ميلانوف، قال إنه وجد شيئًا غريبًا.

“لقد لاحظت أنه تم إيقاف تشغيل بيانات الهاتف المحمول (نقل البيانات) وشبكة Wi-Fi. يتم دائمًا تشغيل تطبيق بيانات الهاتف المحمول في هاتفي المحمول. وقال ميلانوف لـ TechCrunch في مقابلة أجريت معه مؤخرًا: “كان هذا أول شك في أن شخصًا ما دخل إلى هاتفي المحمول”.

وقال ميلانوف إنه استخدم بعد ذلك برنامج StayFree، وهو برنامج يتتبع مقدار الوقت الذي يستخدم فيه شخص ما تطبيقاته، ولاحظ أن “الكثير من التطبيقات كانت نشطة” بينما كان من المفترض أن يكون الهاتف مغلقًا وفي أيدي الشرطة، التي قال إنها لم تفعل ذلك أبدًا طلب منه أو أجبره على التخلي عن رمز المرور الخاص بهاتفه.

وبينت أنه خلال الفترة من الساعة 11:54 صباحًا وحتى الساعة 1:08 مساءً، تم تفعيل تطبيقات الإعدادات والأمان بشكل أساسي، ومدير الملفات بالإضافة إلى متجر Google Play، والمسجل، والمعرض، وجهات الاتصال، وهو ما يتزامن مع الوقت الذي يتم فيه تشغيل الهاتف. قال ميلانوف: “لم يكن معي”.

وقال: “خلال تلك الفترة، استخرجوا بيانات بحجم 1.6 غيغابايت من هاتفي المحمول”.

في تلك المرحلة، كان ميلانوف “متفاجئًا بشكل غير سار وغاضبًا للغاية”، وكان لديه “شعور سيء” بشأن تعرض خصوصيته للخطر. واتصل بمنظمة العفو الدولية لفحص هاتفه جنائياً.

قام دونشا أو سيربهيل، رئيس مختبر الأمن التابع لمنظمة العفو الدولية، بتحليل هاتف ميلانوف ووجد بالفعل أنه تم فتحه باستخدام Cellebrite وقام بتثبيت برنامج تجسس يعمل بنظام Android تسميه منظمة العفو الدولية NoviSpy، من الكلمة الصربية التي تعني “جديد”.

من المحتمل أن يتم استخدام برامج التجسس “على نطاق واسع” في المجتمع المدني

يشير تحليل منظمة العفو الدولية لبرنامج التجسس NoviSpy وسلسلة أخطاء الأمن التشغيلي، أو OPSEC، إلى أن المخابرات الصربية هي التي قامت بتطوير برنامج التجسس.

ووفقاً لتقرير منظمة العفو الدولية، تم استخدام برنامج التجسس “لإصابة الأجهزة المحمولة بشكل منهجي وسري أثناء الاعتقال أو الاحتجاز، أو في بعض الحالات، أثناء المقابلات الإعلامية مع أعضاء المجتمع المدني. وفي حالات متعددة، يبدو أن الاعتقالات أو الاحتجازات قد تم تنظيمها لتمكين الوصول السري إلى جهاز الفرد لتمكين استخراج البيانات أو إصابة الجهاز، وفقًا لمنظمة العفو الدولية.

وتعتقد منظمة العفو الدولية أنه من المحتمل أن يكون برنامج NoviSpy قد تم تطويره في البلاد، انطلاقاً من حقيقة وجود تعليقات ونصوص باللغة الصربية في الكود، وأنه تمت برمجته للتواصل مع خوادم في صربيا.

سمح خطأ ارتكبته السلطات الصربية لباحثي منظمة العفو الدولية بربط NoviSpy بوكالة المعلومات الأمنية الصربية، المعروفة باسم Bezbedonosno-informaciona Agencija، أو BIA، وأحد خوادمها.

وخلال تحليلهم، وجد باحثو منظمة العفو الدولية أن NoviSpy مصمم للتواصل مع عنوان IP محدد: 195.178.51.251.

وفي عام 2015، تم ربط عنوان IP نفسه بوكيل في BIA الصربي. في ذلك الوقت، اكتشف Citizen Lab أن عنوان IP المحدد هذا عرّف نفسه باسم “DPRODAN-PC” على Shodan، وهو محرك بحث يسرد الخوادم وأجهزة الكمبيوتر المعرضة للإنترنت. كما اتضح، كان شخص لديه عنوان بريد إلكتروني يحتوي على “dprodan” على اتصال مع شركة Hacking Team لصناعة برامج التجسس بشأن عرض توضيحي في فبراير 2012. ووفقًا لرسائل البريد الإلكتروني المسربة من Hacking Team، قدم موظفو الشركة عرضًا توضيحيًا في العاصمة الصربية بلغراد. في ذلك التاريخ تقريبًا، مما دفع Citizen Lab إلى استنتاج أن “dprodan” هو أيضًا موظف صربي في BIA.

لا يزال نفس نطاق عناوين IP الذي حددته Citizen Lab في عام 2015 (195.178.51.xxx) مرتبطًا بـ BIA، وفقًا لمنظمة العفو الدولية، التي قالت إنها وجدت أن الموقع الإلكتروني العام لـ BIA تمت استضافته مؤخرًا ضمن نطاق IP هذا.

وقالت منظمة العفو إنها أجرت تحليلاً جنائياً لعشرات من أعضاء المجتمع المدني الصربي، معظمهم من مستخدمي أندرويد، ووجدت أشخاصاً آخرين مصابين ببرنامج NoviSpy. وتشير بعض القرائن الموجودة داخل كود برنامج التجسس إلى أن وكالة الاستخبارات البريطانية (BIA) والشرطة الصربية تستخدمانه على نطاق واسع، وفقًا لمنظمة العفو الدولية.

ولم يستجب BIA ووزارة الداخلية الصربية، التي تشرف على الشرطة الصربية، لطلب TechCrunch للتعليق.

ويحتوي رمز NoviSpy على ما يعتقد باحثو منظمة العفو الدولية أنه يمكن أن يكون معرف مستخدم متزايدًا، والذي كان في حالة إحدى الضحايا 621. وفي حالة ضحية أخرى، أصيبت بالعدوى بعد حوالي شهر، كان هذا الرقم أعلى من 640، مما يشير إلى أن السلطات أصابت المزيد من الأشخاص. من عشرين شخصا في تلك الفترة الزمنية. وقال باحثو منظمة العفو الدولية إنهم عثروا على نسخة مؤرخة عام 2018 من NoviSpy على موقع VirusTotal، وهو مستودع لفحص البرامج الضارة عبر الإنترنت، مما يشير إلى أن البرامج الضارة قد تم تطويرها منذ عدة سنوات.

وكجزء من بحثها في برامج التجسس المستخدمة في صربيا، حددت منظمة العفو الدولية أيضًا ثغرة يوم الصفر في شرائح Qualcomm المستخدمة ضد جهاز ناشط صربي، ومن المحتمل أن يكون ذلك باستخدام Cellebrite. أعلنت شركة كوالكوم في أكتوبر أنها أصلحت الثغرة الأمنية بعد اكتشاف منظمة العفو الدولية.

عند التواصل معه للتعليق، قال المتحدث باسم شركة Cellebrite، فيكتور كوبر، إن أدوات الشركة لا يمكن استخدامها لتثبيت البرامج الضارة، “وسيتعين على طرف ثالث القيام بذلك”.

ورفض المتحدث باسم شركة Cellebrite تقديم تفاصيل حول عملائها، لكنه أضاف أن الشركة “ستجري المزيد من التحقيقات”. وقالت الشركة إنه إذا خرقت صربيا اتفاقية المستخدم النهائي، فإن الشركة “ستعيد تقييم ما إذا كانت واحدة من الدول المائة التي نتعامل معها”.