قالت صحيفة "نيويورك تايمز" إن عملية للمخابرات المصرية استمرت ثلاث سنوات، منذ 2016 وإلى الآن، لاختراق حسابات معارضي الانقلاب من صحفيين وأكاديميين ومحامين وسياسيين وحقوقيين واستعانت فيها ببرنامج "Index Y" شبيه ببرنامج "Truecaller" تروكولار لمعرفة هوية المتصلين.
وأشارت الصحيفة الأمريكية إلى أن شركة "تشيك بوينت" (Check Point Software Technologies) والمتخصصة في الأمن السيبراني الشهيرة أثبتت بالأدلة تورط الدولة من خلال المخابرات في سلسلة من الهجمات الإلكترونية المتطورة على 33 شخصية استهدفتهم حكومة الانقلاب بالاعتقال.
وقالت الصحيفة: إن حسن نافعة الأكاديمي بالعلوم السياسية بجامعة القاهرة وخالد داود بين النشطاء الذين استهدفوا من خلال الهجوم السيبراني الذي اكتشفته الشركة الأمنية، وهم من الشخصيات المعارضة البارزة، كجزء من حملة القمع المصرية على الاحتجاجات المناهضة للحكومة.
مقر المخابرات
وفي إطار بحثها عن مقر التطبيق في مصر أنه موجود في مبنى المخابرات المصرية، حيث وجدت "تشيك بوينت" أن الخادم المركزي المستخدم في الهجمات تم تسجيله باسم وزارة الاتصالات وتكنولوجيا المعلومات المصرية، وأن الإحداثيات الجغرافية المضمنة في أحد التطبيقات المستخدمة لتتبع النشطاء تتوافق مع مقر وكالة التجسس الرئيسية في مصر، وهو جهاز المخابرات العامة.
بدورها قالت أسيل كيال – محللة تشيك بوينت- لصحيفة نيويورك تايمز: "اكتشفنا قائمة بالضحايا، ومن بينهم نشطاء سياسيون واجتماعيون تم اختيارهم بعناية، وصحفيون بارزون، وأعضاء منظمات غير ربحية في مصر".
وكان الهجوم الثاني عبارة عن هجمات إلكترونية استخدمت مجموعة من التطبيقات الخبيثة على الهواتف وحسابات البريد الإلكتروني للنشطاء لخداع المستخدمين.
أنواع التطبيقات غير الآمنة
وظهر تطبيق يسمى "سيكيور ميل" (Secure Mail) يدعي أنه تابع لبريد (Gmail)، ويحذر الأشخاص المستهدفين بأن حساباتهم قد تم اختراقها، ثم يقوم يسرق منهم كلمات المرور الخاصة بهم.
فضلا عن تطبيق آخر يدعى (iLoud200%)، يعد المستخدمين بمضاعفة صوت الهواتف المحمولة، بينما يقوم باختراق موقع الهاتف الجغرافي، حتى إذا أوقف المستخدم خدمات الموقع أو خدمات تتبع الموقع الجغرافي.
ويحتوي التطبيق (iLoud200%)، -مثل معظم برامج تحديد الموقع الجغرافي- على إحداثيات افتراضية أولية، وهي نقطة يتم ضبطها لتشير إلى وقت ومكان التنشيط الأولي للمطورين، وقد تطابقت الإحداثيات الافتراضية في التطبيق مع تلك الموجودة في مقر جهاز المخابرات العامة.
أما التطبيق الأكثر تطورًا "إنديكس واي" (IndexY)، يدعي أنه تطبيق مجاني لتحديد المتصلين المجهولين، ولكنه ينسخ تفاصيل جميع المكالمات التي تمت على الهاتف، وتخزينها على خادم يسيطر عليه المهاجمون، كما وجدت تشيك بوينت أن التركيز كان على اتصالات المستخدمين مع أطراف خارج مصر.
ومنذ صدوره في وقت مبكر هذا العام، أصبح "إنديكس واي" تطبيقا مشهورا في متجر غوغل الرسمي، حيث تم تنزيله خمسة آلاف مرة.
بلاغ تشيك بوينت
وأشارت الشركة إلى أن تطبيق (IndexY) كان متاحًا على متجر جوجل حتى شارك تشيك بوينت في 15 يوليو مخاوفه مع جوجل، حيث أزيل التطبيق و"حظر المطور المرتبط" بعد ذلك بأسبوعين تقريبًا.
واعتمد باحثو تشيك بوينت في حظره على أن مجرد قدرة المخترقين على وضعه في متجر جوجل، والتحايل على الإجراءات التي تتخذها الشركة لفحص التطبيقات الجديدة، يشهد على درجة عالية من التطور والجهد الذي بذل في تطويره.
ورغم المهارة التي استخدمها المطورون لتفادي اكتشاف هويتهم، يبدو أن الجناة ارتكبوا عددًا من الأخطاء التي سمحت لتشيك بوينت بتتبع أصول التطبيقات.
أخطاء الجناة
واعتبرت الشركة أن المخابرات ارتكبت أخطاء كشفتهم أمام شركات الأمن السيبراني، وهي:
1- ربط جميع الصفحات والمواقع المستخدمة لتنفيذ الهجمات بعنوان "آي بي" (IP) خاص بشركة اتصالات روسية تدعى "ماروسنت" (Marosnet)، وخادم مركزي مسجل تحت اسم "MCIT"، في إشارة واضحة إلى وزارة الاتصالات وتكنولوجيا المعلومات في مصر.
2- مدة الحملة التي تطلبت عدة سنوات، وكذلك الكم الهائل من البيانات التي تم جمعها، والموارد المالية والبشرية الكبيرة. بالإضافة إلى أهداف الهجوم، التي يبدو أنها قد اختيرت لنشاطها أو معتقداتها السياسية، وهو ما لا يتماشى مع دوافع الجريمة السيبرانية التقليدية، التي تميل إلى التركيز على التخريب أو الابتزاز.
3- التحقيق أشار إلى أن الجناة كانوا متحدثين باللغة العربية، وأن الوقت الافتراضي المستخدم في التطبيقات هو التوقيت المصري.
وطرح محققو تشيك بوينت ترجيحًا أنه يمكن أن تكون الإحداثيات زرعت في التطبيق من قبل شخص يحاول توريط الدولة المصرية، لكن التفسير الأكثر ترجيحا – حسب المسئولين- هو أن الإحداثيات تركت بطريق الخطأ، أو الكسل من جانب الأشخاص الذين يديرون العملية.