برمجيات التجسس على الهواتف المحمولة — غرسات على مستوى الدول

شهد العقد الماضي مجموعة من أكثر عمليات اختراق الهواتف المحمولة تعقيداً وأثراً، مثل Pegasus (من تطوير NSO)، وPredator (من تطوير Cytrox / Intellexa)، وReign (من تطوير QuaDream)، وعملية Triangulation (غير منسوبة لجهة محددة). تشترك هذه العمليات في أنماط تقنية محددة؛ يهدف هذا الدرس إلى تحليل كيفية عمل هذه الغرسات (Implants)، وتحديد الفئات المستهدفة، واستعراض الاستراتيجيات المتاحة للضحايا والمدافعين للتعامل معها.

[!info] الهدف هو العنصر البشري وليس الجهاز في حد ذاته تُستخدم برمجيات التجسس المحمولة بشكل مكثف ضد الصحفيين، والمعارضين، والمحامين، والناشطين، والخصوم السياسيين. يقوم مختبر Citizen Lab وفريق Amnesty Tech بنشر نتائج التحقيقات الجنائية الرقمية بشكل مستمر؛ وما هذا الدرس إلا استخلاص لتلك النتائج.

الموردون الرئيسيون (Vendors of record)

تُباع هذه الأدوات للحكومات بموجب تراخيص رسمية، ومع ذلك، يتم استخدام العديد منها ضد مؤسسات المجتمع المدني رغم القيود التعاقدية المفروضة.

هيكلية سلسلة الاستغلال (Chain Construction)

تتكون عدة الاستغلال الجاهزة للعمليات (Production zero-click kit) من العناصر التالية:

1. ناقل التسليم (Delivery vector): مثل iMessage، أو WhatsApp، أو بروتوكولات التنبيه (Push-only)، أو روابط عبر SMS، أو حقن الإعلانات عبر هجمات الرجل في المنتصف (MITM).
2. ثغرة تحليل البيانات (Parsing exploit): استغلال خلل في مكتبات المعالجة أو العرض (مثل libwebp، ImageIO، AAC parser، NSPredicate).
3. الهروب من بيئة العزل (Sandbox escape): استغلال ثغرات في التواصل بين العمليات (IPC)، أو رسائل Mach، أو تقنية JIT، أو BackBoardd.
4. تصعيد الصلاحيات المحلي في النواة (Kernel LPE): وهي الثغرة الجوهرية؛ فبمجرد الوصول لامتيازات الجذر (Root)، يتم تثبيت الغرسة لضمان الاستمرارية (Persistence) وبدء جمع البيانات.
5. الغرسة والتحكم (Implant + C2): برمجيات نمطية (Modular plugins)، وإعدادات سحابية، ومرحلات "Dead-drop" لتبادل الأوامر.

Attacker C2 (تحكم المهاجم)
    │
    ▼  zero-click iMessage (رسالة بدون تفاعل)
[ AppleSpec parse — libwebp / ImageIO ]
    │  parsing primitive (heap)
    ▼
[ BlastDoor sandbox escape ] (هروب من بيئة العزل)
    │
    ▼
[ XNU kernel exploit — kalloc / IOMobileFrameBuffer / etc. ] (استغلال النواة)
    │
    ▼
ROOT (صلاحيات كاملة) ← تثبيت العميل (Agent) ← مسح رسالة التسليم ← إرسال إشارات (Beacon)

سلاسل استغلال منشورة (Real published chains)

BLASTPASS (Pegasus, سبتمبر 2023)

• CVE-2023-41064: تجاوز سعة الذاكرة (Heap overflow) في مكتبة

  libwebp

  ضمن ImageIO عبر مرفق PassKit.
• متبوعة بسلسلة استغلال للنواة (تم إصلاحها بشكل منفصل).
• نوع الاستغلال: Zero-click؛ كان مجرد استلام رسالة iMessage كافياً للاختراق على إصدارات iOS ≤ 16.6.

FORCEDENTRY (Pegasus, أغسطس 2021)

• خلل من نوع Integer overflow في معالج PDF/JBIG2 ضمن CoreGraphics.
• تم بناء "حاسوب" كامل داخل بوابات منطق JBIG2 للوصول إلى قدرات القراءة والكتابة في الذاكرة (Memory R/W primitives).
• أطلق Citizen Lab عليها اسم "FORCEDENTRY"، وقام فريق Project Zero بنشر تحليل كامل للهندسة العكسية الخاصة بها.

Operation Triangulation (iOS، كُشف عنها في 2023)

• سلسلة مكونة من أربع مراحل:
  • CVE-2023-41990: ثغرة في TrueType

    ADJUST

    توفر قدرة القراءة والكتابة في النواة.
  • CVE-2023-32434: خلل Integer overflow في النواة.
  • CVE-2023-38606: كتابة في سجلات عتاد (Hardware registers) غير موثقة لتجاوز حماية PAC الخاصة بـ MMIO.
  • CVE-2023-32435: مسار بديل عبر Safari WebKit.
• تم التسليم عبر مرفق iMessage غير مرئي يقوم بحذف نفسه بعد الاستغلال.
• أثار تجاوز "سجل العتاد" (#3) دهشة المتخصصين؛ حيث تم استخدام إزاحة MMIO خاصة وغير موثقة وغير محمية لهزيمة آليات تحصين النواة (Kernel hardening).

Predator (من تطوير Cytrox / Intellexa، منذ 2021 حتى الآن)

• سلسلة متعددة المراحل تستهدف نظامي Android و iOS.
• تستخدم نسخة Android ثغرات (WebKit) CVE-2023-41993 و (V8) CVE-2023-4762 مقترنة بتصعيد صلاحيات في النواة (Kernel LPEs).
• يتم التسليم عبر روابط SMS أو عبر هجمات AitM على مستوى مزود الخدمة (لوحظت عمليات استهداف في مصر واليونان وفيتنام).

الاستمرارية وجمع البيانات (Persistence and collection)

بمجرد التثبيت، تقوم الغرسات بـ:

• تسجيل الصوت عبر الميكروفون، واستخدام الكاميرا، وتصوير الشاشة.
• استخراج مفاتيح التشفير من الـ Keychain / Keystore، بما في ذلك رموز OAuth للخدمات السحابية.
• مراقبة قواعد بيانات تطبيقات المراسلة (Signal، WhatsApp، Telegram) بشكل مباشر.
• جمع جهات الاتصال، والموقع الجغرافي، والتقويم، والصور.
• إرسال إشارات (Beaconing) عبر HTTPS إلى نطاقات متغيرة، غالباً ما تختبئ خلف شبكات توزيع محتوى (CDNs) مشروعة.

[!danger] التطبيقات المشفرة لا تحمي من الغرسات بعد التثبيت تطبيقات مثل Signal و Telegram و WhatsApp تشفر البيانات أثناء النقل فقط. بمجرد وجود الغرسة على الجهاز، فإنها تقرأ البيانات من قاعدة البيانات المحلية كـ "نص واضح" تماماً كما يفعل التطبيق نفسه. الاختراق هنا يستهدف الطرف (Endpoint) وليس البروتوكول.

الكشف والتقصي (Detection & Forensics)

إجراءات وقائية بسيطة (للمستخدمين)

• نمط الحماية القصوى (Lockdown Mode) في iOS: (الإعدادات ← الخصوصية ← نمط الحماية القصوى). يعطل معظم أسطح الهجوم القابلة للتحليل (PDF/JBIG2، وتقنيات JIT المعقدة للويب، والمعالجة التلقائية للمرفقات). ثبت نجاحه في حجب عدة سلاسل استغلال حقيقية.
• إعادة التشغيل المتكررة: العديد من الغرسات لا تملك القدرة على الاستمرار بعد إعادة التشغيل؛ فبعض نسخ Pegasus فقدت هذه القدرة منذ تحصينات iOS 15. إعادة التشغيل اليومية تقلل من وقت مكوث المهاجم (Dwell time).
• تعطيل iMessage: بالنسبة للشخصيات عالية الخطر، فإن قصر التواصل على تطبيق Signal يزيل أكبر سطح هجوم للثغرات التي لا تتطلب تفاعلاً (Zero-click).

التقصي الرقمي (للباحثين وفرق الاستجابة للحوادث)

• MVT (Mobile Verification Toolkit): أداة مطورة من قبل Amnesty Tech، تعمل على تحليل ملفات sysdiagnose لنظام iOS و logcat لنظام Android.

# لنظام iOS — قم بجمع sysdiagnose أولاً 
# (اضغط على زر رفع الصوت + خفض الصوت + الزر الجانبي لفترة وجيزة)
# ثم انقل الملف إلى جهاز Mac/Linux وقم بتشغيل:
$ pip install mvt
$ mvt-ios decrypt-backup -p '<password>' -d backup-decrypted ~/Library/MobileSync/Backup/<UDID>
$ mvt-ios check-backup -o results -i indicators/pegasus.stix2 backup-decrypted
$ 
# لنظام Android
$ mvt-android check-adb -o results -i indicators/predator.stix2
$ mvt-android check-bugreport -o results bugreport.txt

• iVerify / Lookout / Zimperium: حلول تجارية للاستجابة والتحكم في الأجهزة المحمولة (Mobile EDR)، مفيدة للمؤسسات.
• Citizen Lab / Amnesty Tech: يقدمون خدمات التحليل مجاناً للصحفيين والناشطين الذين يواجهون تهديدات موثقة.

مؤشرات الشبكة (Network indicators)

• استعلامات DNS إلى بنية تحتية معروفة لـ Pegasus / Predator / Reign.
• بصمات TLS JA3/JA3S غير معتادة مقارنة بالتطبيقات التقليدية للجهاز.
• توقيت الإشارات (Beacon timing) — تواصل HTTPS بفترات زمنية ثابتة مع مضيف واحد دون وجود أي نشاط للمستخدم (نقرات).

أولويات الدفاع — للمؤسسات ذات الكوادر المستهدفة

1. صرف أجهزة مُدارة (Managed devices): مع فرض نمط الحماية القصوى (Lockdown Mode) عبر سياسات MDM للأدوار الحساسة.
2. التحديث الفوري لنظامي iOS / Android: تطبيق سياسات التحديثات الطارئة فور صدورها، وعدم الانتظار للدورات الشهرية.
3. تقليل التعرض للشبكات الخلوية: استخدام eSIM مع مزود خدمة خاص أو ملف تعريف تجوال فقط لحجب وصول روابط SMS من جهات مجهولة.
4. تسجيل السجلات (Endpoint Logging): جمع ملفات sysdiagnose شهرياً وفحصها باستخدام MVT لمقارنتها بخط الأساس (Baseline).
5. الاتصالات القائمة على نمط التهديد (Threat-modeled comms): استخدام تطبيق Signal حصرياً مع تفعيل خاصية الرسائل المختفية، وتعطيل iMessage تماماً.
6. حقائب السفر (Travel kits): استخدام أجهزة مؤقتة (Burner devices) أثناء السفر عالي الخطر، وإجراء مسح كامل للبيانات قبل وبعد السفر.

تكلفة نشر سلسلة استغلال على مستوى الدول

تشير التقارير والتسريبات إلى أن التكلفة التشغيلية لاستهداف فرد واحد تقع في حدود مئات الآلاف من الدولارات (تشمل رخصة البرنامج، والبنية التحتية، ووقت المحلل)، بينما تتراوح تراخيص الموردين للنشر على مستوى وطني بين عشرات ومئات الملايين. لهذا السبب، تُخصص هذه الأدوات للأهداف عالية الأهمية — والتي تشمل للأسف الصحفيين والمعارضين في العديد من الدول.

ماذا تفعل إذا شككت في تعرضك للاستهداف؟