كشفت شركة أمريكية متخصصة بالأمن السيبراني عن أدلة، قالت إنها تثبت تورط المخابرات العامة المصرية في سلسلة من الهجمات الإلكترونية المتطورة، التي استهدفت 33 من الصحفيين والأكاديميين والمحامين وسياسيي المعارضة وناشطي حقوق الإنسان المصريين.

وذكرت "تشيك بوينت سوفت وير"، وهي إحدى أكبر شركات الأمن السيبراني في العالم ومقرها الرئيسي جنوب سان فرانسيسكو، في تقرير لها، أن المهاجمين قاموا بتثبيت برامج على هواتف الأشخاص المستهدفين، ما مكنهم من قراءة ملفات الضحايا ورسائل البريد الإلكتروني الخاصة بهم، وتعقب مواقعهم، وتحديد هوية من اتصلوا بهم.

وأورد التقرير أن اثنين من المعارضين الذين استهدفهم الهجوم السيبراني، اعتقلتهما السلطات المصرية، في إطار حملة قمع ضد الاحتجاجات الأخيرة ضد الحكومة، وهما "حسن نافعة"، أستاذ العلوم السياسية بجامعة القاهرة، و"خالد داود"، الصحفي وزعيم حزب الدستور السابق، وفقا لما أوردته صحيفة نيويورك تايمز.

ووجدت "تشيك بوينت سوفت وير" أن الخادم المركزي المستخدم في الهجمات تم تسجيله باسم وزارة الاتصالات وتكنولوجيا المعلومات المصرية، وأن الإحداثيات الجغرافية المضمنة في أحد التطبيقات المستخدمة لتتبع الناشطين تتوافق مع مقر جهاز المخابرات العامة.

ووفقًا للمحللة بالشركة "أسيل كيال" فإن الهجوم الإلكتروني الأول بدأ عام 2016، واختيرت قائمة ضحاياه بعناية، لتشمل صحفيين بارزين، وأعضاء منظمات غير ربحية في مصر.

وفي الهجوم الثاني، استخدم المخترقون مجموعة من التطبيقات الخبيثة على الهواتف وحسابات البريد الإلكتروني للناشطين لخداع المستخدمين، بينها "سيكيور ميل  (Secure Mail)، وآي لود 200% " (iLoud200%) ، و"إنديكس واي" (IndexY)، وفقا لما أوردته "نيويورك تايمز".

ويدعي "سيكيور ميل" أنه تابع لبريد جوجل "جي ميل"، ويحذر الأشخاص المستهدفين من أن حساباتهم قد تم اختراقها ليقوم بخداعهم كي يكشفوا له عن كلمات المرور الخاصة بهم.

بينما يعد "آي لود 200% المستخدمين بمضاعفة صوت هواتفهم المحمولة، في الوقت الذي يقوم فيه باختراق موقع الهاتف الجغرافي، حتى إذا أوقف المستخدم خدمات تتبع الإحداثيات.

أما "إنديكس واي" فهو أكثر تطبيقات الاختراق تطورا، إذ تمكن مطوره من وضعه بمتجر جوجل الرسمي، في وقت مبكر هذا العام، حتى بات مشهورا وتم تنزيله 5 آلاف مرة.

وزعم مطور التطبيق آنذاك أنه لتحديد المتصلين المجهولين، مثل التطبيق الشهير "تروكولار"، لكنه يقوم في الحقيقة بنسخ تفاصيل جميع المكالمات التي تمت على الهاتف، وتخزينها على خادم يسيطر عليه المهاجمون.

وظل التطبيق متاحًا على متجر جوجل حتى شاركت "تشيك بوينت سوفت وير" مخاوفها مع المتجر، في 15 يوليو/تموز الماضي، ليقرر الأخير إزالة التطبيق، و"حظر المطور المرتبط به" بعد ذلك بأسبوعين تقريبًا.

ورغم المهارة التي استخدمها المطورون لتفادي اكتشاف هويتهم، إلا أن مستخدمي تطبيقات الهجوم ارتكبوا عددًا من الأخطاء التي سمحت للشركة الأمريكية بتتبع أصول التطبيقات.

ومن هذه الأخطاء، بحسب تقرير "تشيك بوينت سوفت وير"، ربط جميع الصفحات والمواقع المستخدمة لتنفيذ الهجمات بعنوان "آي بي" (IP) خاص بشركة اتصالات روسية تدعى "ماروسنت" (Marosnet)، وخادم مركزي مسجل تحت اسم "MCIT"، في إشارة واضحة إلى وزارة الاتصالات وتكنولوجيا المعلومات في مصر.

كما أن تطبيق "آي لود 200%" يحتوي على إحداثيات افتراضية أولية، وهي نقطة يتم ضبطها لتشير إلى وقت ومكان التنشيط الأولي للمطورين، وقد تطابقت الإحداثيات الافتراضية في التطبيق مع تلك الموجودة في مقر جهاز المخابرات العامة المصرية.

وأشار مسؤولو الشركة الأمريكية إلى احتمال أن تكون الإحداثياتقد  زرعت في التطبيق من قبل شخص يحاول توريط الدولة المصرية، لكن التفسير الأكثر ترجيحا هو أن "الإحداثيات تركت بطريق الخطأ، أو الكسل من جانب الأشخاص الذين يديرون العملية" حسب قولهم.

واستند مسؤول "تشيك بوينت سوفت وير" في ترجيحهم، إلى أدلة تشير إلى تورط الدولة المصرية؛ منها مدة الهجمات التي تطلبت عدة سنوات، والكم الهائل من البيانات التي تم جمعها، والموارد المالية والبشرية الكبيرة، بالإضافة إلى أهداف الهجمات، التي يبدو أنها قد اختيرت لنشاطها أو معتقداتها السياسية، وهو ما لا يتماشى مع دوافع الجريمة السيبرانية التقليدية، التي تميل إلى التركيز على التخريب أو الابتزاز.