وجهاً لوجه مع جواسيس دمشق | كيف تقوم المخابرات الإلكترونية السورية بالإيقاع بنشطاء الإنترنت؟

مع استمرار الصراع في سوريا، و تغير الأحداث السريع على ساحة الحرب الساخنة،  تعددت الطرق التي تتخذها الإستخبارات الالكترونية السورية في اصطياد و تعقب الناشطين السوريين أو بقية أفراد الشعب السوري – بغض النظر عن مواقفهم – فآلة التجسس مسطرتها واحدة تتجسس على الجميع و تخترق الكل ولا تفرق بين موالي و معارض.

ظهرت لنا في الفترة الأخيرة أشكال وأنواع جديدة من حملات الاختراق ضد الشعب والمعارضة السورية، و مع كثرتها إلا أنها جميعاً تتبع طرق الاختراق التقليدية ( برامج ملغومة، ملفات ملغومة ترسل كإضافة بالايميل، المواقع المزيفة ) بدلاً من الطرق الأكثر حداثة مثل استغلال الثغرات الجديدة zero days أو أخطاء في بروتوكولات التشفير أو سرقة شهادات التوقيع الالكترونية للبرامج Code Signing، وهي طرق متقدمة، قد إستخدمتها الإستخبارات الإيرانية أيام الإنتخابات الرئاسية حيث تم إختراق شركة تصدير الشهادات المشفرة DigiNotar والتي اعلنت إفلاسها فيما بعد.

اما الإستخبارات الإلكترونية السورية فأغلب اختراقاتها تكون بإستخدام  الهندسة اجتماعية social engineering و تأتي بصورتين أساسيتين…

1. برامج ظاهرها الحماية و باطنها التجسس و اختراق الضحايا، فيقوم النظام بتزييف و تلغيم برامج معروفة تستخدم للحماية و تخطي الحجب مثل Tor و Freegate أو برامج تواصل آمن مثل Skype  و يدعي أفراد المخابرات السورية أن هذه برامج مجانية للحماية و تخطي الحجب و تنصح بتحميلها من روابط يتحكم بها أفراد المخابرات السورية (بدلاً من تحميل البرامج من مواقعها الرسمية المضمونة)، و عند قيام الضحية بتصديق الكذبة و تحميل البرامج تبدأ عملية الاختراق و قد يقوم العدو بإبقاء عمل هذه البرامج كما هي بالحقيقة حتى لا تشك الضحية بأن هناك أمر مريب.
2. إيميلات تحتوي أخبار (سواء كانت مزيفة أو حقيقية) مع ملفات ملحقة Attachments على الايميل و يطلب من الضحية تحميل الملفات الملحقة و تشغيلها لقراءة المزيد عن الخبر، و تكون هذه الاضافات عبارة عن برامج خبيثة تظهر كأنها ملفات عادية، كما في المثال التالي:

• يتم ارسال ايميل عنوانه خبر مثير للفضول، مثلا “تفاصيل أحداث القصير”  يحتوي على إضافة attachment كما في الصورة:

• عند قيام الضحية بتنزيل الملف المسمى تفاصيل أحداث القصير.rar و فك ضغطه، يرى ملف النص الآتي، و الذي يظهر بريئاً:

• و اذا قام بفتح الملف يقع الاختراق على جهاز الضحية، وذلك لأن هذا الملف بالحقيقة برنامج EXE خبيث وليس ملف نصي، وهذا ما يمكنك التأكد منه بعد معاينة تفاصيل الملف، كما هو مبين هنا:

 

• و هنا تكون مكونات الاختراق اكتملت دون إظهار ما يدعو للشك عند المستخدم البسيط.
• الحل: للحماية ضد البرامج الخبيثة التي تظهر بأيقونات الملفات الآمنة، قم بالدخول إلى Control Panel في جهازك ثم ابحث عن Folder Options ثم لسان View ثم إزالة الاختيار عن خاصية Hide extensions for known file types ثم الضغط على موافق، أو كما هو مبين بالصورة أدناه:

 

 

هذا مثال بسيط للخدع التي يستخدمها نظام بشار الأسد لاختراق المدنيين و الناشطين و حتى الصحفيين، والأمثلة الواقعية عديدة سنشرح بعضاً منها بالمقال.

 

المثال الأول – فايروس مخادع يدعي انه برنامج فك الحجب الصيني Freegate :

قام فريق CitizenLab المتخصص بمتابعة الفايروسات بملاحظة انتشار هذا الفايروس في شهر يونيو ٢٠١٣ أي أنه حديث جداً. برنامج Freegate برنامج تخطي للحجب صيني الأصل يستخدم لتخطي منظومة الحجب الصينية العملاقة (ما يسمى بجدار الصين الناري العظيم Great Firewall of China) و يمكن استخدام البرنامج في دول أخرى أيضاً.

قام  فريق المخابرات السورية الالكترونية بنشر نسخة ملغومة خبيثة من هذا البرنامج (أي أنهم أخذوا نسخة طبيعية وحقنوا كود الفايروس الخبيث فيها) وقاموا بنشرها على أنها نسخة صحيحة بروابط مثل http://www.mediafire.com/download/xxxx/VPN-Pro.zip وعند الزيارة يتم طلب تحميل ملف باسم VPN-Pro.zip يحتوي داخله ملف VPN-Pro.exe. عند تشغيله يقوم بتنصيب برنامج Freegate ثم يقوم بطلب عمل تحديث، وعند الموافقة يتم تحميل ملف ملغوم كما في الصورة التالية:

عند تحليل الملف الملغوم تبين أن الملف هو نسخة من برنامج التجسس ShadowTech RAT والذي يتيح للهاكر التجسس والتحكم الكامل بجهاز الضحية.

يقوم الفايروس بالاتصال فوراً بمركز التحكم الذي يأخذ منه الطلبات والأوامر التي ينفذها بجهاز الضحية، وبعد الفحص تبين أن مركز الاتصال موجود في سوريا على العنوان  31.9.48.119 وهو مسجل تحت شركة تراسل لخدمات الانترنت Tarassul ISP الحكومية السورية (سيأتي ذكرها لاحقاً) والتي يظهر أنها موجودة في دمشق.

الخطورة في مثل هذه الفايروسات تكمن في جانبين، الأول أنها تظهر بصورة برامج مفيدة كتخطي الرقابة، والثانية أنها تلغم بطريقة لا تمنع البرنامج من القيام بعمله الاساسي (تخطي الحجب) ولكنها تضيف إليه خواص تجسسية خبيثة، فتظن الضحية أن البرنامج سليم!

 

المثال الثاني – فايروس ملغوم في إيميل يعلن أن العرعور يدعو للجهاد:

المثال الواقعي الثاني للفيروسات التي يستخدمها فريق المخابرات السورية الالكترونية يعتمد على فضول القارئ و حساسية الموضوع المتناول فيه، و هنا يتم ارسال إيميل يحتوي خبر مثير وهو أن عدنان عرعور يدعو للجهاد في سوريا، ويتظاهر مرسل الإيميل أنه مرسل من مكتب عدنان عرعور وأن الشيخ يعلن النفير العام، ولكن لقراءة القصة كاملة يجب عليك أن تفتح وتشغل المرفقات attachments بالايميل!

بعد تحميل المرفقات وفك الضغط عليها يجد الضحية أو المستخدم المستهدف أمامه ملف اختصار Shortcut و يقوم بالضغط عليه، فيتم فتح رابط مثل http://google-panel.html-5.me/g.php?url=http://www.youtube.com/watch?v=Uw3Ny2A1WvQ (لا يعمل حاليا) يقوم الهاكر فيه بتشغيل فيديو في اليوتيوب وبنفس الوقت يقوم بتحميل ملف تجسسي/خبيث لجهاز الضحية.

هذا الملف يتم تخزينه بقائمة البرامج التي تعمل مع بدء تشغيل الجهاز Startup حتى يعمل دائماً، ويقوم بالنهاية بالاتصال بمركز التحكم على اسم النطاق tn5.linkpc.net وعنوانه 94.252.198.112 وهو ضمن شبكة شركة SyriaTel ولا يعني هذا بالضرورة أنها مدركة لما يحدث طبعاً. يذكر أن هذا الموقع tn5.linkpc.net تغير أكثر من مرة وتحول لشبكات لشركات أخرى مثل Tarrasul  وغيرها.

تم كتابة تلخيص الفايروسات بالاستعانة بالمصدر هنا.

 

المثال الثالث – نسخة مزيفة لموقع مشهور مثل YouTube:

يتم تسجيل اسم موقع مزيف مثل  youtube.com.watch.u-losxgbydy.wankbook.net بدل من youtube.com فقط، ولأول وهلة يظن المستخدم أنه موقع يوتيوب الحقيقي ولكنه غير ذلك تماماً (دائماً انتبه لآخر الاسم فهو أهم جزء من اسم النطاق – بهذه الحالة الموقع المزيف اسم نطاقه wankbook.net).

عند دخول هذا الموقع المزيف يحاول الموقع تحميل برنامج على جهازك عن طريق الادعاء أنه يريد تحميل برنامح Adobe Flash Player الذي تحتاجه لتشغيل فيديوات اليوتيوب، فيظن الضحية أن البرنامج حقيقي ويقوم بتحميله وتنصيبه وهنا تقع الكارثة فيبدأ الفايروس بالعمل والاختراق والتجسس على جهازك.

قدرات هذا الفايروس كبيرة فهو يفتح ويصور الكاميرا و يسجل كل ما تكتبه يدك على لوحة المفاتيح، و أيضاً يعطي الجواسيس التحكم الكامل وإصدار الأوامر لجهازك.

 

للمزيد: EFF.org

 

المثال الرابع – ملفات تشغيلية خبيثة تتظاهر أنها وثائق PDF بعناوين مثيرة للفضول:

أحياناً لا يتعب فريق المخابرات السورية الالكترونية نفسه فيقوم بعمل ملفات تشغيلية بصيغة EXE أو بصيغة SCR وهي صيغة حافظة الشاشة Screen Saver و هي ملفات قابلة لتشغيل الأكواد الخبيثة. يكون عنوان الملف موضوعاً مثيراً مثل خطة تحريك حلب و عند الضغط على الملف فإنه يفتح وثيقة PDF حقيقية عن حلب (لابعاد الشبهات والشكوك) ولكن يقوم الملف بتنصيب برنامج تجسسي خبيث يدعى DarkComet RAT وهو يعطي تحكماً كاملاً على جهاز الضحية.

لحسن الحظ فإن مصمم أداة DarkComet RAT قد قام ببرمجة أداة تزيل هذا الفايروس واسمها DarkComet RAT Removal Tool ويمكنك تحميلها من هنا.

هذا الفايروس يقوم بالاتصال بمركز الأوامر على عنوان 216.6.0.28 في دمشق، ويحفظ نفسه بجهاز الضحية تحت اسم explorer.exe حتى لا يشك بأمره.

 

بشكلٍ عام فإن البرامج والمواقع المصممة بشكل غير احترافي والايميلات والرسائل التي تحوي أخطاء لغوية جسيمة وأخبار غريبة على الساحة كلها شواهد على محاولات اختراق، لذلك يجب اتخاذ الحذر دائماً وتحميل البرامج من مواقعها الرسمية فقط واستخدام التشفير وشبكات الVPN وشبكة تور Tor و الحذر من تحميل البرامج المرسلة بالايميل او الموجودة بالمنتديات.

مثال على أحد تلك الفايروسات هو فايروس نشره النظام كأنه أداة لتشفير محادثات سكايب Skype ولكن تم كتابة بعض الاخطاء الاملائية الواضحة مثل Encription بدل Encryption. كما أن شكل البرنامج الغير احترافي يدل على أنه غير رسمي.

 

 

هناك أيضاً خطأ مضحك لا تقع به الشركات التي تصنع برامج معتمدة، وهو كتابة v1.1 في عنوان البرنامج (أي انه النسخة الأولي، التعديل الأول) و ثم كتابة V2.1 في شعار البرنامج (أي انه بالنسخة الثانية، التعديل الأول)، و هذه تدل على أن من صنع الفايروس شخص مستعجل ولم يعمل ببيئة عمل شركات احترافية. كن واعياً لهذه التفاصيل حتى لا تنطلي عليك الخدع.

نصيحة مهمة: اذا كانت لديك أي شكوك حول أي ملف أو برنامج قم برفعه على موقع موقع فايروس توتال Virus Total فهو يقوم بفحص الملف بالعديد من برامج الحماية دفعةً واحدة، ويوفر الموقع واجهة عربية سهلة الاستخدام والفهم.

 

ملحق: شركة تراسل لخدمات الانترنت Tarassul ISP:

هذه الشركة قامت بتنصيب أجهزة من طراز BlueCoat SG-9000 وتستخدم للتجسس والمراقبة والحفظ المؤقت للمحتوى والتقييم الآلي للمحتوى (حسب رغبة النظام السوري) وحجب التواصل الاجتماعي وغيرها من الوظائف التي تقيد حرية الانترنت والمستخدم. لدى شركة تراسل عدد من هذه الاجهزة بالارقام المسلسلة Serial number التالية: AACDEBEFA2CBA614 و 72CE221CEAE15612 و 2C044BEC00210EB6 و 6274654F51E68D19 والمزيد لما يصل مجموعه إلى ١٥ جهاز.

 

تنويه: تم إزالة بعض الاسماء التي سبق وضعها هنا من باب الاحتياط.

 

الجدير بالذكر أن الشركة المصنعة ممنوعة قانونياً من بيع هذه الاجهزة للنظام السوري لكنها باعتها عبر وسيط في دبي بادعاء أنها ستباع للحكومة العراقية! الشركة الوسيطة في دبي اسمها Computerlinks FZCO وقد قامت الحكومة الأمريكية بتغريمها مبلغ ١.٤ مليون دولار بسبب مخالفة قوانين الحظر التجاري الأمريكي مع سوريا، والموضح في هذا الخبر. كما قامت الحكومة الأمريكية بوضع شركة Info Tech أو Infotec  والشخص المسؤول فيها عن عملية البيع والتوزيع للنظام السوري (و يدعى وسيم جواد) بقائمة سوداء لدى الحكومة الأمريكية لبيعهم نفس  المنتجات الأمريكية لسوريا والتي تقيم أمريكا معها حظر تجاري Trade Embargo، و الخبر يمكن قرائته من موقع وزارة التجارة الأمريكية.

 

هذه الاجهزة تستخدم بسوريا لحجب مواقع التواصل الاجتماعي، ومواقع تخطي الحجب والتخفي، والمواقع الاباحية، ومواقع المحادثة بالطراز الأول كما هو موضح بالصورة:

 

أما صور هذه الأجهزة وهي في مركز معلومات/مركز التحكم بالشبكات في شبكة شركة تراسل فقد تم تسريبها وهي:

 

وهذه صورة من زاوية أخرى:

 

 

استخدم النظام أيضاً أنظمة FortiNet للتجسس ولكن بقدرات أقل بكثير من BlueCoat و تم استخدامها تحديداً لحجب الاتصالات المشفرة الغير قابلة للتجسس. الأجهزة المستخدمة هي FortiGate-51B و تم تسريبها إلى سوريا من شركة في دبي اسمها Network Information Technology و مؤسسها شخص سوري اسمه باسم فاخر (حسابه بلينكدان ) وهو أيضاً مؤسس شركة INET في سوريا لخدمات الانترنت.

يمتلك هذا الرجل أيضاً شركة باسم SCAN Syria ولديها حساب في تويتر يغرد عن مساعدة النظام السوري في التجسس واعتقال المدونين السوريين. (صورة احتياطية للحساب في حال مسحت التغريدات)

لا يعمل باسل لوحده بل يساعده مجموعة مثل إياد الحوشي و لؤي ميداني (صفحته بالفيسبوك) و فادي الموسى.

ليس هذا فحسب، بل يستخدم النظام السوري أنظمة أخرى للحجب والتجسس مثل  ThunderCache من شركة Platinum السورية/الكندية و أحد موظفيها هو لؤي ميداني وإياد الحوشي/الهوشي سابقي الذكر كما هو مذكور بتقرير منظمة OpenNet Initiative و موقع Bluecabinet.

مصادر للاستزادة: ١ ٢ ٣ #OpSyria

 

 ملحق ثاني: نصائح للحماية من الإختراقات

لا يقتصر أمر هذه الهجمات على الحكومة السورية ومخابراتها الإلكترونية، بل تستخدمها العديد من أجهزة الأمن والمخابرات في الدول الأخرى، وينصح فريق سايبركوف للأمن الإلكتروني بالخطوات الأمنية التالية للحماية والحد من هذه الهجمات:

1- التأكد من تحديث النظام والبرامج بشكل مستمر و أن تكون النسخ المستخدمة أصلية، فلا تبخل على أمنك الشخصي.

2- الانتباه والتركيز عند استقبال أي ملفات ورسائل حتى لو كانت من جهة موثوقة كالأصدقاء فيمكن أن يكونوا قد تعرضوا للاختراق.

3- استخدام برامج الحماية التالية:

• برنامج الحماية Kasperky Internet Security يعتبر من أفضل برامج الحماية للأجهزة.
• برنامج الحماية Emsisoft Anti-Malware الألماني ويعتبر من أفضل برامج الحماية من البرامج الخبيثة والروابط المزيفة والروابط التي تقوم بمراقبة نشاطات المتصفحين، ننصح بإستخدامه مع Kasperksy ويوجد منه نسخة مجانية ومدفوعة، والمدفوعة هي الأفضل وتحتوي على العديد من المميزات الأمنية، كما يوجد حالياً للنسخة المدفوعة عرض تحصل معه على خدمة CyberGhost VPN مجانية لمدة عام وهي من أفضل خدمات الـ VPN حيث يعطيك العديد القدرة على الإتصال بالعديد من السيرفرات في دول مختلفة، وأيضاً يحتوي العرض على برنامج Sticky Password Pro لحفظ الأرقام السرية بشكل آمن ومشفر.

سيقوم فريق سايبركوف بنشر مقال مستقل لأفضل طرق الحماية من هذه الهجمات في وقت لاحق.