التجسس لقمع المعارضة: هجمة تصيّد إلكتروني مأجورة تستهدف المجتمع المدني في منطقة الشرق الأوسط وشمال أفريقيا

للقراءة بالانجليزية / Read in English

كشف تحقيق جديد أجراه فريق خط المساعدة للأمن الرقمي التابع لمنظمة أكسس ناو (Access Now) عن هجمة تصيّد إلكتروني مأجورة، استهدفت اثنين من الصحفيين المصريين البارزين والمعارضين للحكومة، وهما مصطفى الأعصر وأحمد الطنطاوي. يُعدّ هذا النوع من التصيد أكثر خطورةً من الأساليب التقليدية، إذ يُصمَّم بعناية فائقة ليستهدف أفراداً أو مؤسسات بعينها، بدلاً من الاعتماد على شبكة واسعة وعشوائية لتصيّد الأهداف. وفي كلتا الحالتين اللتين وثّقناهما، اعتمد المهاجمون على رسائل مُصاغة بأسلوب يوحي بأنها صادرة من أشخاص موثوقين أو خدمات معروفة بهدف اختراق حسابات الضحايا.

جرت هذه الهجمات بين عامَي 2023 و2024، ويعدّ كلا الهدفين من المنتقدين البارزين للحكومة المصرية، وقد سبق لكليهما أن اعتُقلا لأسباب سياسية، كما تعرّض أحدهما في وقت سابق لاستهداف ببرامج التجسس.

وبهدف التحقيق في هذه الهجمات وفهم أبعادها، تعاوّنا مع شركة لوك آوت (Lookout) المتخصصة في أمن الأجهزة المحمولة. استناداً إلى تحليلنا التقني وحيثية البنية التحتية المستخدمة في هذه الهجمات، خلصت شركة لوك آوت بشكل مستقل إلى أن جهات مجهولة الهوية لجأت إلى منظمة قرصنة مأجورة ذات صلات بآسيا لتنفيذ عمليات تجسس تستهدف المجتمع المدني في منطقة الشرق الأوسط وشمال أفريقيا. والأخطر من ذلك أن ثمة أدلة تشير إلى أن الأساليب والبنية التحتية المُعتمدة في هذه الهجمات لا تقف عند استهداف واختراق الضحية فحسب٬ بل بإمكانها نشر برامج التجسس وسرقة البيانات.

كما ساهمنا في تحقيق آخر أجرته منظمة سمكس (SMEX)، وهي منظمة غير ربحية تعمل على تعزيز الحقوق الرقمية في غرب آسيا وشمال أفريقيا، يكشف عن هجوم مماثل وقع في 2025 استهدف أحد الصحفيين البارزين في لبنان ممن فضّلوا عدم الكشف عن هويتهم. ويذهب تحليلنا إلى احتمال أن يكون الفاعل ذاته وراء هذا الهجوم أيضاً.في وقت يتعرض المجتمع المدني لهجمات رقمية متصاعدة التعقيد والخطورة، بات تجميع ومشاركة المعرفة حول حملات وأساليب التجسس هذه ضرورة لا تقبل التأجيل لحماية مجتمعاتنا وتعزيز صمودها. لذلك، نستعرض أدناه خلفية التحقيق وأبرز نتائجه، ونقدّم  نصائح للأمن الرقمي للمساعدة على التصدي لهذا النوع من الهجمات والحدّ من أضرارها. وبهذا الخصوص٬ من المهم التنويه بأن هذه النصائح عامة، ونحثّ الأفراد على مراعاة مستوى المخاطر الخاصة بهم أو التواصل مع خبير موثوق للحصول على إرشادات تناسب أوضاعهم.

// من هم المستهدفون؟

مصطفى الأعصر هو صحفيٌّ وباحث مصري مستقل حائز على جوائز ومدافع بارز عن حقوق الإنسان. أمضى ما يقرب من أربع سنوات كسجين سياسي في مصر بسبب عمله الصحفي والحقوقي قبل أن ينتقل إلى لبنان ثم يُقيم في المنفى بكندا.

أحمد الطنطاوي هو صحفيٌّ معروف وعضو في نقابة الصحفيين المصريين، انتقل لاحقاً إلى العمل السياسي. ترأس تحرير صحيفة الكرامة الأسبوعية، حيث قاد تغطية واسعة للشأن الداخلي والتحديات الاجتماعية والاقتصادية. بعد انتخابه كعضو في مجلس النواب المصري في الفترة بين  2015 و2020، صعد ليصبح أحد أبرز المعارضين  للرئيس المصري الحالي عبد الفتاح السيسي. أعلن الطنطاوي في عام 2023 عزمه الترشح لانتخابات الرئاسة المصرية٬ ولكنه انسحب من السباق الرئاسي بعد اعتقال العشرات من مؤيديه وبعض أقاربه ومنعه من ممارسة حملته الانتخابية وفقاً للتقارير، وانتهى به المطاف معتقلاً. وقد كشف تحقيق أجرته منظمة سيتيزن لاب (Citizen Lab) التابعة لكلية مونك للشؤون الخارجية في جامعة تورنتو، أن هاتفه استُهدف ببرنامج التجسس بريداتور (Predator) التابع لشركة إنتيليكسا (Intellexa) في سبتمبر 2021 وفي الفترة الممتدة بين مايو وسبتمبر 2023.

أما المستهدف الثالث٬ الذي كُشف عنه تحقيق سمكس والذي يفضّل البقاء مجهول الهوية، فهو صحفي آخر يمتد عمله الصحفي لعقود، شمل المراسلة والتحرير والمساهمة في تشكيل النقاش العام حول القضايا السياسية.

// كيف نُفِّذت الهجمات؟

شنّ المهاجمون هجمة تصيد إلكتروني تهدف لاختراق حسابات الأعصر والطنطاوي الرقمية، وتحديداً حسابَيهما على أبل وجوجل، وذلك في أكتوبر 2023 وثم تجدّدت الهجمات في يناير 2024.

وكما أشرنا، انتحل المهاجمون صفة أشخاص وخدمات موثوقة، وحرصوا على بناء علاقة ثقة مع الضحايا عبر قنوات مختلفة. كشف تحقيقنا عن بنية تحتية مستمرة وراسخة للهجمات، إذ رصدنا تشابكاً في النطاقات المُستخدمة وشركات الاستضافة والبرمجة. فضلاً عن ذلك، تتوافر أدلة على أن هذه البنية التحتية قادرة على تمكين المهاجمين من نشر برامج تجسس على نظام الأندرويد، والتي بدورها تتيح الوصول إلى الملفات وجهات الاتصال والرسائل النصية والموقع الجغرافي، وتفعيل الميكروفون والكاميرا، وتثبيت تطبيقات خبيثة على أجهزة الهواتف الذكية. ويبدو أن المهاجمين يستخدمون حسابات ورسائل وصفحات مزيفة لانتحال هويات أشخاص حقيقيين وتقليد الخدمات والمنصات الشائعة، كتطبيق المراسلة سيجنال، لإيصال البرمجيات الخبيثة إلى الضحايا. وقد دفع هذا سيجنال وعدداً من الشركات الأخرى إلى إصدار تحذيرات لمستخدميها بشأن هذا النوع من حملات التصيد الإلكتروني.

وعلى إثر رسالة بدت وكأنها صادرة من شركة أبل، أدخل الأعصر بيانات حسابه. إلا أنه حين تلقّى إشعار المصادقة بخطوتين يُفيد بمحاولة تسجيل دخول من موقع بعيد في مصر، أدرك خطورة الأمر وتوقف عن التفاعل وسارع إلى طلب المساعدة. أما الطنطاوي فلم يقع في الفخ، وبالتالي لم ينجح المهاجمون في النهاية في اختراق حسابه أو حساب الأعصر. ولو نجحوا، لكانوا قد حصلوا على وصول غير مقيد إلى المعلومات الشخصية والمهنية المخزّنة في حسابَي أبل أو جوجل الخاص بهم، بما تتضمنه من معلومات تمسّ عائلتيهما ومعارفهما ومصادرهما الصحفية. وفي ظل التضييق المستمر منذ سنوات من جانب الحكومة المصرية على وسائل الإعلام المستقلة وحركات المعارضة، وما رافق ذلك من اعتقالات طالت أفراد عائلة الطنطاوي ومؤيديه، يتّضح أن هذا الهجوم الرقمي كان سيعرّض الضحيتين، وكذلك شبكة علاقاتهما من عائلة وأصدقاء وزملاء ومؤيدين٬ لخطر الملاحقة أو الاضطهاد.

وفي الهجوم الإضافي الذي وثّقته منظمة سمكس، اتبع المهاجمون النهج ذاته، غير أنهم نجحوا هذه المرة في اختراق حساب أبل الخاص للضحية في 2025.

// من وراء هذه الهجمات؟

قدّر فريق تحري التهديدات في شركة لوك آوت، بصورة مستقلة، أن الجهة المنفِّذة لهذه الهجمات هي مجموعة متخصصة في استئجار القرصنة ولها صلات بآسيا.

وتعد عملية تحديد هوية منفّذي الهجمات مهمة معقدة للغاية، ويزيدها تعقيداً اللجوء إلى وسطاء مستأجرين ينفّذون العمل بدلاً من الجهة الآمرة، مما يمنحها قدراً من التنصّل والإنكار. وما من معطيات كافية تتيح لنا بالجزم بأي حكومة أو حكومات قد تكون وراء هذه الهجمات. ومع ذلك، هناك عدة معطيات مهمة جديرة بالتأمل، من بينها جنسية الضحايا وطبيعة ملفهم الشخصي، إضافةً إلى النتائج التقنية التي تُشير إلى أن محاولة المصادقة بخطوتين جاءت من داخل مصر. يضاف إلى ذلك ما كشفت عنه تحقيقات منظمات مجتمع مدني متعددة من أن الحكومة المصرية لجأت على مدار السنوات الماضية إلى استيراد تقنيات المراقبة والتجسس من شركات كندية وأوروبية واستخدامها. كما كشفت أبحاث أجراها سيتيزن لاب ومنظمة العفو الدولية أن مصر اشترت برنامج التجسس بريداتور من شركة إنتيليكسا، وهو ما سبق أن أشرنا إليه. فضلاً عن ذلك، وثّق سيتيزن لاب عمليات تجسس سابقة استهدفت أحمد الطنطاوي باستخدام البرنامج ذاته في 2021 و2023 ، مع إسناد هذه الهجمات إلى السلطات المصرية، علماً بأن بعضها وقع قبل أسابيع قليلة فقط من الهجمات التي يكشفها تقريرنا.

// كيف تحمي نفسك

نستعرض فيما يلي نصائح عامة موجَّهة للمجتمع المدني للوقاية من هجمات التصيد الإلكتروني التي يتناولها تقريرنا والحدّ من أضرارها، إلى جانب موارد لمن يرغب في التعمق أكثر. ورغم أن هذه الإرشادات العامة تمثّل نقطة انطلاق مفيدة، نحثّ على مراعاة الظروف الخاصة ومستوى المخاطر التي تواجهونها، والتواصل مع خبير أمن رقمي موثوق للحصول على إرشادات مناسبة.

الوقاية

الحذر من الهندسة الاجتماعية: كما توضّح الحالات الواردة في تقريرنا، طوّر القراصنة ومجموعات التهديد المماثلة بنى تحتية متخصصة و تطبيقات خبيثة لاختراق حسابات الضحايا. غير أن هجمات كالتي وثّقناها تظل رهينةً بتفاعل الضحية نفسها، سواء بالنقر على روابط مزيفة أو تحميل ملفات ضارة أو تثبيت برامج تجسس. فأساليب التلاعب النفسي، كالهندسة الاجتماعية وهجمات التصيد الإلكتروني تعتمد على استغلال نقاط الضعف البشرية لا الثغرات التقنية، لدفع الأشخاص إلى كشف معلومات حساسة. لذلك من الضروري أن يبقى الشخص مطّلعاً على أساليب المهاجمين المتجددة. وغالباً ما يكون الحدس أداة مهمة؛ فإذا شعرتم/ن بأن شيئاً ما يبدو مريباً أو وجدتم/ن أنفسكم تحت ضغط لاتخاذ قرار سريع، يُفضَّل التوقف والتحقق مع جهات أو أشخاص موثوقين قبل المتابعة.

استخدام المصادقة بخطوتين بشكل صحيح: يعد تفعيل المصادقة بخطوتين (2FA) من أكثر الوسائل فاعلية لحماية حساباتك الشخصية من الاختراق. إلا أن القراصنة المستأجرين وجماعات التهديد الأخرى قد يلجأون إلى خداع الأشخاص للحصول على رمز التحقق. وقد شهدنا حالات نجح فيها المهاجمون في اختراق حسابات أشخاص فعّلوا المصادقة بخطوتين. لذلك، يجب عدم مشاركة رموز المصادقة بخطوتين مع أي شخص، والتأكد دائماً من إدخالها فقط على المواقع الرسمية.

نوصيك بالاستعانة بخيارات مصادقة أكثر تقدماً مثل مفاتيح الأمان، أو مفاتيح المرور (Google Passkeys) من جوجل إذا كنت من مستخدمي/مستخدمات خدمة Gmail. فيما يلي أربعة موارد لزيادة مستوى أمان حسابك:

• إنشاء مفتاح مرور (Passkey) لتسجيل الدخول إلى حساب جوجل الخاص بك (Google)
• كيفية تفعيل المصادقة الثنائية (Electronic Frontier Foundation)
• تفعيل المصادقة متعددة العوامل (Consumer Reports)
• استخدام مفتاح أمان (Consumer Reports)

الحذر من صفحات تسجيل الدخول وطلبات التفويض: كما وثّقنا في تقريرنا بشأن بروتوكول (OAuth) من جوجل، يمكن للمهاجمين استغلال صفحات تسجيل دخول أو رسائل مألوفة وموثوقة لطلب إذن الوصول إلى حسابات جوجل أو غيرها. للوقاية من ذلك، نوصي بما يلي:

• مراجعة التطبيقات والخدمات الخارجية المرتبطة بحساباتك، مثل حساب جوجل، وإلغاء الوصول إلى أي تطبيقات مشبوهة أو غير موثوقة.
• التحقق بدقة من مصدر أي طلب لمنح أذونات لتطبيقات الجديدة.
• في بيئات العمل، يُفضّل التنسيق مع مسؤول النظام قبل منح أي أذونات لتطبيقات جديدة.
• كما يمكن لمسؤولي الأنظمة التحكم في التطبيقات المُخوَّل لها الوصول إلى بيانات Google Workspace أو Microsoft 365. ويُستحسن تقييد هذا الوصول أو إلزام موافقة المسؤول قبل السماح به.

إن كنت عرضةً لمخاطر رقمية بشكل أكبر، فيمكنك الاستفادة من برامج الحماية المعززة. تُتيح جوجل وبعض المزودين الآخرين برامج وإعدادات اختيارية للأشخاص الأكثر عرضةً للاستهداف بسبب هويتهم أو طبيعة عملهم. وتتجاوز بعض هذه البرامج مجرد تعزيز أمان الحساب، لتشمل تنبيهات للشركات حول احتمال استهداف حسابك لهجمات متطورة. ومن أبرز هذه البرامج:

• برنامج الحماية المتقدّمة من Google 
• Microsoft AccountGuard
• برنامج Proton Sentinel
• خاصية Apple Lockdown
• إعدادات الحساب الصارمة في WhatsApp

هل تلقيت رسالة أو إشعار؟ يمكنك التحقق في ثلاث خطوات

• الخطوة الأولى: التحقق من هوية المرسل. تساءلوا/تساءلن إن كنتم/ن قد تلقيتم/ن رسائل من هذا الحساب من قبل، وإن كان حساباً رسمياً فعلياً. وانظروا/انظرن بعين فاحصة إلى عنوان البريد الإلكتروني أو اسم المستخدم بحثاً عن أي تفصيل مريب، فكثيراً ما يلجأ المهاجمون إلى عناوين مُشابهة لعناوين أشخاص تعرفونهم/ن أو فِرَق دعم للمنصات التي تستخدمونها/تستخدمنها.
• الخطوة الثانية: التحقق من المرسل باستخدام خدمة أو وسيلة تواصل أخرى. يُفضّل عدم فتح المرفقات أو النقر على الروابط في حال كانت لديك أي مخاوف أو شكوك تجاه أي بريد إلكتروني أو رسالة شخصية. بدلاً من ذلك، يمكنك التحقق من المرسل المزعوم عبر خدمة أو وسيلة تواصل أخرى للتثبّت مما كان قد ارسل الرسالة حقا. في حال عدم وجود طريقة للاتصال بهم/ن مباشرةً، فيمكن الطلب من شخص موثوق الاستفسار نيابة عنك. أما إذا ادّعت الرسالة صدورها من فريق خدمة منصة رقمية ما، فقد يتعذر التواصل المباشر مع أحد ممثليها للتأكد من شرعية الرسالة. ومع ذلك، يمكنك إجراء بحث سريع عبر الإنترنت للتحقق مما إذا كانت الشركة المعنية، كـ سيجنال مثلاً، تلجأ أصلاً إلى مراسلة المستخدمين عبر الدردشة المباشرة أو الروبوتات.
• الخطوة الثالثة: التحقق من الروابط قبل النقر عليها. إذا تلقيت رسالة بريد إلكتروني أو رسالة دردشة تدعوك إلى إجراء تعديلات على حسابك، فيمكنك زيارة الموقع الرسمي يدوياً بدلاً من النقر على الرابط. وإن نقرت على الرابط ووجدت نفسك أمام صفحة تسجيل دخول، فهذه إشارة كافية بأنه عليك التوقف وزيارة الموقع الرسمي مباشرةً لتسجيل الدخول لضمان إدخال بياناتك على الصفحة الحقيقية.

تساعد هذه التوصيات في الحد من مخاطر هجمات التصيد الإلكتروني التي يصفها تقريرنا، إلا أن وسائل الاستهداف تتعدد وتتنوع. وبغض النظر عن مستوى المخاطر التي قد تواجهك، يمكن لأداة Security Planner من Consumer Reports أن توفر توصيات أمنية مُخصَّصة، إلى جانب قائمة موارد الطوارئ وأدلة الأمان المتقدمة.

هل تعتقد/ين أنك مستهدف/ة؟

إذا كنت جزءاً من منظمة تواجه تهديدات رقمية ولديك شك في أنك قد استُهدفت بالفعل، فيمكنك التواصل مع المتخصصين الموثوق بهم في مجال الأمن الرقمي للمساعدة. ومن الضروري تقييم الضرر الذي قد يكون لحق بمنظمتك أو المنظمات والأفراد الآخرين المرتبطين بها، مثل المصادر الصحفية والمنظمات الداعمة والشركاء. وإن ثبت التعرض للاستهداف، يجب إبلاغ هذه الجهات بما حدث، ونوع المعلومات التي قد تكون تسرّبت، والتأثيرات المحتملة، والإجراءات المتخذة للتخفيف من الضرر.

إضافةً إلى ذلك، يوفّر خط المساعدة للأمن الرقمي التابع لمنظمة أكسس ناو دعماً متاحاً بعشر لغات٬ لخدمة المجتمع المدني٬ بما يشمل الناشطين والناشطات٬ والمؤسسات الإعلامية٬ والصحفيين والصحفيات٬ والمدافعين والمدافعات عن حقوق الإنسان. في حال تعرض حسابك للاختراق، ننصحك بما يلي:

• تغيير كلمة مرورك على فوراً. في حال استخدامك كلمة المرور ذاتها لحسابات أخرى، فعليك تغييرها لتلك الحسابات أيضاً. ويمكنك أيضاً استخدام أدوات إدارة كلمات المرور لتنظيمها والاحتفاظ بها بأمان.
• مراجعة سجلات الوصول على حساباتك، مثل خاصية مراقب النشاط في Proton Mail أو خاصية آخر نشاط للحساب في Gmail أو خاصية صفحة الأنشطة الحديثة في Microsoft، ومراجعة الأجهزة التي لديها القدرة على الوصول إلى حساباتك. وإن بقيت لديك تساؤلات بعد مراجعة هذه السجلات، احتفظ بنسخة منها وشاركها مع خبير موثوق لمراجعتها.

يتوجه خط المساعدة للأمن الرقمي التابع لمنظمة أكسس ناو بخالص الشكر لكل من لوك آوت وسمكس وسيتيزن لاب التابع لكلية مونك للشؤون الخارجية في جامعة تورنتو ومختبر الأمن التابع لمنظمة العفو الدولية، على مراجعتهم المستقلة ومساهماتهم القيّمة في هذا التحقيق. وإذ تعاونّا خلال مراحل التحقيق، يظل كل ما ورد في تقريرنا من تصريحات أو إقرارات أو أخطاء أو سهو على عاتقنا وحدنا.

في حال الرغبة في ترتيب مقابلة مع أحد خبراء أكسس ناو، أو لطرح أي استفسارات، أو للحصول على مزيد من المعلومات حول مجالات عملنا، يرجى التواصل عبر press [at] accessnow [dot] org.

The post التجسس لقمع المعارضة: هجمة تصيّد إلكتروني مأجورة تستهدف المجتمع المدني في منطقة الشرق الأوسط وشمال أفريقيا appeared first on Access Now.