ملاحقة عقارب ليبيا | التحقيق حول حملة تجسس الكتروني تستهدف النافذين والسياسيين المؤثرين في ليبيا

نظرة عامة حول القصة والحدث

ربما تُعرف ليبيا أنها دولة غير مستقرة سياسياً منذ ثورة 17 فبراير التي أدت الى سقوط نظام القذافي، وتعرف بنشوب حرب بين مجموعات مختلفة بهدف السيطرة والتحكم بالأرض والمناطق ومصادر الثروة والنفط، لكنها بكل تأكيد لم تكن تعرف قبل هذا التقرير بأنها أرض ينطلق منها الهاكرز والجواسيس الإلكترونيين ولم تكن تعرف باستخدام التجسس الإلكتروني في عمليات الصراع بين المجموعات المختلفة، أما اليوم فلدينا قصة مختلفة.

يعد التجسس الإلكتروني اليوم على الأفراد والمجموعات أحد العوامل الرئيسية لقلب دفة الصراعات فبه يتم دراسة تحركات الشخص وعلاقاته الشخصية وخططه العسكرية وكذلك خداعه وخداع زملاءه وهذا ما سيبينه هذا التقرير، خاصة إذا كان هذا الشخص ذو نفوذ سياسي وعسكري.

في الأسابيع الماضية وبتاريخ 6 أغسطس 2016 وصلت لشركة سايبركوف ولفريقها المتخصص بتحليل الأخطار الأمنية Cyberkov Security Incident Response team (CSIRT)  عدد من برامج التجسس الإلكتروني التي تعمل على منصة الآندرويد والتي نجحت في استهداف مجموعة من السياسيين والنافذين والمؤثرين في دولة ليبيا كهدف أساسي للجواسيس الذين أطلقنا عليهم لقب ( عقارب ليبيا ) بسبب سلوكهم الخبيث في خداع المستخدم ثم استهداف زملائه وخداعهم ثم اختراقهم ليتمكنوا بعد ذلك من تكوين شبكة كاملة من الضحايا لا تنتهي وتنشط مجموعة “عقارب ليبيا” بشكل خاص في منطقتي طرابلس وبنغازي.

ولأن الصراع الليبي صراع عسكري تسفك فيه الدماء ويقتل به الناس سواء بحق وبغير وجه حق، فإن أثر هذا التجسس لا ينحصر في مراقبة الشخص فقط بل بتتبع مكانه ومعرفه تحركاته بكافة تفاصيلها مما يسهل قتله أو اغتياله أو قصفه من بعيد بواسطة الطائرات او الهاون وغيره.

وبهذا ندرك أن خطر التجسس الإلكتروني والاستهداف الإلكتروني المباشر للأشخاص أصبح شكلا رئيسيا من أشكال الحرب والعمل العسكري ولكنه يمارس من خلف شاشات الكمبيوتر وبواسطة لوحات المفاتيح لشن حرب عن بعد مثله مثل استخدام الطائرات بدون طيار في الاغتيال.

يوم الاستهداف

في صبيحة يوم السبت بتاريخ 6 أغسطس 2016 تم اختراق حساب التيلجرام الخاص باحد السياسيين الليبيين المؤثرين بطريقة غير معروفه حالياً لكن الشخص المستهدف لم يكن يستخدم “الحماية الثنائية” لحسابه الخاص بتطبيق تيليجرام وكنا قد أوصينا سابقاً في تدوينه بعنوان “دليلك نحو إستخدام تطبيق تيليجرام Telegram بأقصى درجة من السرية والأمان!” فكان استهدافه أسهل، ولأن الشخص المستهدف يفتقر الى الوعي الإلكتروني المطلوب قام بحذف تطبيق تيليجرام من جهازه الآندرويد ظناً منه أنه يحمي نفسه بهذه الطريقة.

في اليوم التالي قام جواسيس “عقارب ليبيا” بمراسله كافة الموجودين في قائمة الاتصال الخاصة بالشخص المستهدف ثم مراسلتهم باسمه وارسال ملف خبيث  باسم “Voice Massege.apk” على أنه ملف صوتي هام يجب تحميله والإستماع اليه، ونلاحظ هنا أن “عقارب ليبيا” أخطئوا في تسمية الملف فكلمة “Massege”  المقصود فيها هنا كلمة “Message” والتي تعني “رسالة” مما يعطي انطباعاً ان من يقف خلف العملية شخص أو مجموعة عربية وليست أجنبية أو جهة خارجية.

ملف “’Voice Massege.apk” هو في الحقيقة ملف خبيث وبرنامج تجسسي مدموج مع برنامج حقيقي خاص بالآندرويد يقوم بعمل “تصغير” الروابط وهو موجود بمتجر قوقل الرسمي،  تقوم مجموعة “عقارب ليبيا” بعد ارسال هذا الملف الخبيث لقوائم الاتصال الجديدة باختراق الشخص تلو الشخص وبذلك تحصل على شبكة من المُخترَقين والمُتَجسس عليهم.

نحن في سايبركوف قمنا بتتبع هذه المجموعة وتحليل برامجها الخبيثة لمعرفة أهدافهم وعملياتهم ومن خلال التحقيق الإلكتروني والبحث والتحليل الفني أدركنا أن هذه المجموعة ذات أهداف سياسية وهدفها جمع المعلومات والاستخبارات عن الأشخاص المستهدفين، كما تبين من التحليل أن هذه المجموعة تعمل في مجال التجسس الإلكتروني منذ شهر سبتمبر لسنة 2015 وحتى يومنا هذا، وتستهدف أنظمة التشغيل “وندوز” و “آندرويد”.

طريقة عمل المجموعة واختراقها ليست متقدمة جداً ومعقدة، لكنهم يمتلكون خبرة جيدة في عملية الخداع “الهندسة الاجتماعية” لكننا ندرك يقينياً أنك لا تحتاج لأن تكون محترف المهارات وذو مستوى متقدم لتكون هجماتك فعاله ومؤثرة.

ملاحقة العقارب

لقراءة التحقيق كاملاً يمكنك تحميله باللغة العربية واللغة الإنجليزية من الروابط أدناه، كما قامت سايبركوف بنشر ملف يحتوي “مؤشرات الإختراق” لمساعدة مجتمع الإمن الإلكتورني في ملاحقة تلك العقارب.

لتحميل النسخة العربية لتقرير ملاحقة عقارب ليبيا بضيفة PDF إضغط هنا.

لتحميل النسخة الإنجليزية لتقرير ملاحقة عقارب ليبيا بضيفة PDF إضغط هنا.

لتحميل ملف “مؤشرات الإختراق” بصيغة xlsx إضغط هنا.

للدخول على صفحة التقرير باللغة الإنجليزية على موقع شركة سايبركوف إضغط هنا.

توصيات أمنية لحماية أجهزة أندرويد من عقارب ليبيا

إختصاراً للقارئ الذي يرغب بحماية نفسه من حملات التجسس والإختراق التي تستخدمها مجموعة “عقارب ليبيا” قمنا بوضعها في هذا المقال وفي ملف التقرير الذي ننصح بقراءته كاملاً.

• التحديث المستمر لجهازك الأندرويد
• استخدام برنامج مكافحة الفايروسات DrWeb Security Space بنسخته الكاملة من هنا لحمايتك من البرامج الخبيثة أو النسخة المجانية من هنا.
• إستخدام الـDrWeb Telegram Bot لفحص الملفات والروابط التي تتم مشاركتها في تطبيق تيليجرام ويمكن إضافته للمجموعات لعمل فحص أوتوماتيكي لكل الروابط والملفات، اسم البوت (DrWebBot).
• استخدام برنامج مكافحة البرامج الضارة Zemana Mobile AntiVirus بنسخته الكاملة من هنا لحمايتك من التجسس.
• عدم تنصيب البرامج من مصادر غير موثوقة ويفضل إستخدام متجر قوقل الرسمي أو المتاجر الذي نصحنا بها في مقالنا “متاجر بلا جواسيس! أدر ظهرك لقوقل واستخدم الاندرويد بشكل آمن”.
• عند استخدام برنامج تيليجرام قم باتباع ارشاداتنا في مقالنا المعنون “دليلك نحو إستخدام تطبيق تيليجرام Telegram بأقصى درجة من السرية والأمان!” ويفضل إستخدام خاصية المحادثات السرية فقط.
• التأكد دائماً من الطرف الآخر حال تبادل الملفات في الانترنت باي وسيلة كانت.

تحديث (16-12-2016): بعد نشر تقرير (ملاحقة عقارب ليبيا) قام الرئيس التنفيذي لشركة سايبركوف م.عبدالله العلي بعمل لقاء مع قناة ليبيا للحديث حول كيفية ملاحقة الهاكرز وتداعيات الإختراق لمتابعة اللقاء في الفيديو التاللي:

كما تم نشر التقرير في موقع رئاسة مجلس الوزراء الليبي وموقع SecurityAffairs الشهير.