النص التالي ترجمة لتقرير “سيتزن لاب”. يمكنكم قراءة التقرير الأصلي هنا.

تلخيص:

  • في القسم الأوّل، نحلّل برمجيّة خبيثة جديدة مزروعة في نظام “أندرويد” من صناعة “فريق المخترقين” (Hacking Team). ثمّ نوضح ونشدّد على السياق السياسي للطُعم والهجوم.
  • في القسم الثاني، نكشف بالتفاصيل لأوّل مرّة، طريقة عمل برنامج “نظام التحكم عن بعد” (Remote Control System) الذي أنتجه “فريق المخترقين” (Hacking Team) وتركيبته وطريقة عمل موزّع الإنترنت.

 مقدّمة:

يحلّل هذا التقرير البرمجيّة الخبيثة المزروعة في نظام “أندرويد” من صناعة “فريق المخترقين”، ويستعمل وثائق جديدة لإظهار طريقة عمل برنامج نظام التحكم عن بعد (RSC). يعتمد هذا العمل على أبحاثنا القديمة في التكنولوجيا والشركات الداعمة للبرمجيّات الخبيثة التي تتنصّت قانونيًّا. تُسوَّق هذه التكنولوجيا على أنّها تلبّي حاجة ناقصة بين التنصّت السلبي، كمراقبة الشبكات، وبين البحث بشكل فاعل. فعليًّا هي برمجيّات خبيثة تباع للحكومات. ولكن على عكس ما يتم التعامل مع مراقبة الهواتف والتفتيش الفعلي، فإن أغلبية البلدان لديها القليل من المبادئ التوجيهية حول هذه القدرة الجديدة على التنصت وإشراف محدود عليها. بسبب ذلك، وبالإضافة إلى طبيعة هذه التكنولوجيا السرية، فإنها بشكل خاص عرضة لسوء الاستخدام. عبر تحليل هذه الأدوات وانتشارها على يد شركات مثل “فريق المخترقين” ومجموعة “جاما”، نأمل أن ندعم الجهود التي تؤمّن استعمالها بشكلٍ مسؤول ولا يخرق المبادئ الأساسيّة لحقوق الإنسان والقانون.

في تقرير نشر في وقت سابق من العام الحالي، نشرنا نتائج جهد مسح عالمي، وأشرنا فيه إلى 21 بلداً يستعمل نظام مراقبة “فريق المخترقين” للتّحكم عن بعد (RSC). بالإضافة إلى ذلك، هناك أبحاثٌ أخرى تدلّ على استعمال برامج “التنصّت القانوني” ضدّ أهدافٍ سياسيّة من قبل أنظمة حكم قمعيّة. من الأهداف السياسيّة وأهداف المجتمع المدني، يمكننا أن نذكر “مامفاكينش” في المغرب، ناشط حقوق الإنسان أحمد منصور من الإمارات المتّحدة العربيّة، و”ESAT” وسيلة إعلام أميركيّة إخباريّة تركّز على أخبار أثيوبيا. في كلّ هذه الحالات، الأداة التي تمّ تسويقها على أنّها ستستعمل لتطبيق القانون تمّ استعمالها لأسبابٍ سياسيّة بدلًا من الأمنيّة. وفي حالات أخرى، كما في ماليزيا، رأينا ملفّات تستعمل كطعم ممّا يلمّح أنّها لأهدافٍ سياسيّة.

الجزء الأوّل: باب خلفي من فريق متخصّص باختراق “أندرويد” في السعوديّة
إحتجاجات في القطيف

على الرغم من أنّ السعوديّة لم تشهد تظاهرات يمكن مقارنتها بالتي حصلت في بلدان أخرى في الربيع العربي، إلّا أنّها اختبرت مظاهرات مرّكزة في مقاطعة “الشرقيّة” منذ العام 2011. هناك أسبابٌ عديدة للتوتّر السياسي الحاصل وتشمل من الضغوط الديموغرافية، وتكلفة السكن، والبطالة، وقضايا المرأة وحقوق الأقليات. المقاطعة ذات الأغلبية الشيعية، التي تحمّلت مظالم طويلة الأمد من التهميش السياسي والثقافي من قبل النظام السني الحاكم. تضاعفت هذه المظالم عندما، في أوائل العام 2011، قمعت الحكومة البحرينية بعنف الاحتجاجات الشيعية بمساعدة القوات السعودية.

ثم انتشرت الاحتجاجات في عدد من المناطق، بما في ذلك في محافظة القطيف ذات الأغلبية الشيعية. في العام 2011، في بداية الأمر طالب محتجون، معظمهم شيعة، بالإصلاح وليس بتغيير النظام كما نودِيَ في دول عربية أخرى. ومن المثير للاهتمام أنّ القطيف لديها تاريخ من الاحتجاجات الشيعية، وأشهرها احتجاجات واسعة النطاق في العام 1979. ردًا على الاحتجاجات التي طالبت بمشاركة أكبر سياسياً وإقتصادياً، قدم النظام تنازلات اقتصادية واسعة النطاق. لكن في العام 2011، ردّت السلطات باستخدام العنف واعتقال شخصيات شيعيّة بارزة. جرح المحتجون وغيرهم زُعم أنّهم قتلوا على أيدي قوات الأمن، وفقا لـ”هيومن رايتس ووتش”. هذه الحملة ساهمت في تحوّل مطالب المحتجين. اليوم، يطالب البعض بصراحة بتغيير النظام باستخدام لغة علمانية، وفقاً لحديث باحثين وصحفيين معنا، وهم على دراية مباشرة بالتطورات الأخيرة. في ما يمكن وصفه بأنه استجابة تحريضيّة، اعتقلت السلطات السعودية شيخًا شيعيًّا معروفًا جدًّا وصريحٌ في كلامه.

“… طالب المدعي العام ليس فقط بعقوبة الإعدام، بل بعقوبات إضافية بتكليف من الشريعة لأبشع الجرائم حيث يتم فيها تدنيس الجثة عبر تعليقها بعامود.” رويترز

التصعيد، الذي اقترن بالعنف ضد الأجهزة الأمنية بين بعض الشيعة، استخدم من قبل النظام لتبرير تدابير قاسية، بما في ذلك “مكافحة الشغب”، اعتقالات، وأحكام منها الموت للمتظاهرين بتهمة “التحريض على الفتنة”. آخرون اتهموا بالتجسس لصالح إيران، في قضيّة قال العديد من الشيعة إنّها ذات دوافع سياسية.

حُرمت منظمات حقوق الإنسان التي وثقت الانتهاكات المزعومة، مثل “مركز العدالة لحقوق الإنسان”، من القدرة على التسجيل كمنظمات رسمية. تمّ أيضًا حجب مواقعها، وتعرّض موظفوها للمضايقات والسجن. يتم حظر دخول الصحفيين الذين يحاولوا الإبلاغ عن أخبار القطيف، ويتعرضون بانتظام لتهديدات وضغوط حكوميّة.

وسائل الاعلام الاجتماعية والهواتف النقالة هي جزء أساسي من كيفية تنظيم الاحتجاجات. ويستخدم المحتجون تدابير، مثل حسابات باسم مستعار، لمشاركة رسالتهم. ومع ذلك، وفقاً لأشخاص مطلعين على الأحداث، فالممارسات الأمنية الرقمية المستعملة غالباً ما تكون جزئيّة، ولا تتناسب مع قدرات الأجهزة الأمنية.

المراقبة والرصد والتحكم في المعلومات في المملكة العربية السعودية

المملكة العربية السعودية هي بيئة أمنية فريدة ومعقدة، وتلعب أجهزتها الأمنية مجموعة من الأدوار. من ناحية، تواجه السعودية تهديدات أمنية أجنبية ومحلّية لا يمكن إنكارها، وهي تأتي من جماعات معادية، ومتطرفين، وحكومات أخرى. من ناحية أخرى، كان النظام عدوانيًّا بشكل استثنائي في محاولاته للسيطرة وإسكات صوت المعارضة والتعددية السياسية.

تستفيد الأجهزة الأمنية في المملكة العربية السعودية من مجموعة من الأدوات الرسمية وغير الرسمية للسيطرة على بيئة المعلومات الإلكترونية في البلاد. بدءاً من نقاط خنق الإنترنت التي تحافظ عليها الحكومة وامتدادًا إلى مقدمي خدمات الإنترنت، تمنع الدولة مجموعة واسعة من المحتوى السياسي والديني والثقافي. يشمل هذا المنع وسائل الاعلام الاجتماعي، سواء مستخدمين معينين أو منصات كاملة. يمتدّ هذا المنع أبعد من ذلك، إذ تطلب الدولة من المواقع الإخبارية (بالمعنى العام) التسجيل لدى السلطات. تخضع المواقع المسجلة لقوانين عديدة، في حين أن المواقع غير المسجلة تخاطر بعقوبات شديدة. يتم تشجيع مشغلي المواقع على المراقبة الذاتيّة وتعديل المحتوى، تحت تهديد العقوبات المالية، والسجن، والعقاب الجسدي مثل الجلد. بالإضافة إلى ذلك، فقد استخدمت أيضاً تشريعات مكافحة جرائم الإنترنت لاتخاذ اجراءات بخصوص حوارات يعتبرها معظم المجتمعات خطابات سياسيّة مقبولة.

 إنّ الإستخدام العام في رصد الهواتف المحمولة يمتدّ إلى أشكال السيطرة الاجتماعية، ويعارضها العديد من المجتمعات بشكلٍ كبير. على سبيل المثال، تلقت الحكومة إدانة دولية عندما أعلنت أنها ستطبق نظام لتمكين الوصي الذكر من مراقبة سلوك سفر النساء اللواتي يكنّ تحت رعايته. حلّ هذا النظام مكان النظام القديم الذي كان يعتمد على بطاقات إذن مرور (“بطاقات صفراء”)، حيث يستقبل الأوصياء الذكور رسائل نصّية عند وصول النساء اللواتي يكنّ تحت رعايتهم إلى المطار الدولي، ويسألهم ما إذا كان مسموحاً للنساء أن يسافروا.

ويتم تشجيع مستخدمي الإنترنت ووسائل الإعلام الاجتماعية على الرقابة الذاتيّة وكتابة تقارير عن بعضهم البعض. تشارك الحكومة في حملات إعلانية لتشجيع الجمهور على الرقابة الذاتيّة ومراقبة الآخرين، وتجعل من الواضح للمواطنين السعوديين أنّها تراقب، وتستمع. على وجه الخصوص، فإن الدولة قد نفذت عقوبات محددّة بسبب إعادة مشاركة، بشكل خاص أو عام، لمحتوى تعتبره بأنّه غير مرغوب. بالإضافة إلى استخدام الأدوات القانونيّة، فإنه يعتقد، على نطاق واسع، أنّ الدولة تشجع “جيش إلكتروني” من الأفراد الموالين للحكومة أن يغمروا المحادثات في وسائل الاعلام الاجتماعية بالأصوات المؤيدة للنظام ومضايقة المعارضين.

الخطابات التي تنطوي على مواضيع دينية محفوفةٌ بالمخاطر، لأنّ الحكومة مستعدة لاستخدام اتهامات دينية خطيرة، بما في ذلك عقوبة الإعدام والعقوبات البدنية، والأدوات الدوليّة مثل معاهدات تسليم المجرمين، لاعتقال أولئك الذين يخالفون المعايير العامة الصارمة للكلام السياسي والديني والثقافي ومعاقبتهم.

في حالتين ملحوظتين، حكم على مشغل منتدى مناقشة الليبراليين السعوديّين بـ 10 أعوام في السجن و1000 جلدة بسبب تنظيمه منتدى لمناقشة الدين والإصلاح. كان هذا نوع ما من التخفيض، فقد طالبت النيابة بإعدامه. ذكرت منظمات حقوق الإنسان ومعلقون العديد من الحالات المماثلة باستخدام تهم مختلفة.

أثّرت هذه التدابير المقصودة سلباً على الخطاب السياسي، وأصبحت، بشكل منتظم، موضع انتقاد من قبل المجتمع الدولي لحقوق الإنسان. ومع ذلك، لا تزال وسائل الاعلام الاجتماعي المنفذ الرئيسي للخطابات السياسيّة. العديد من المستخدمين يمارسون قدراً من الرقابة الذاتية، أو التعبير بشكلٍ غير مباشر، في حين أن آخرين يستخدمون أسماء مستعارة وغيرها من الوسائل التقنية للحفاظ على سرّية هويتهم، ويستخدمون الشبكات الخاصة الافتراضية (VPNs) للوصول إلى المحتوى المحظور. رداً على ذلك، تقوم الأجهزة الأمنية باستخدام قوّة صلاحيّات الشرطة والسلطة لإجراء التحقيق لكشف الناشرين، وتعاقبهم بشدة، وأحياناً بعد الاعتقالات يُحفظ اسم المعتقل(ة) بشكلٍ سرّي.

نسبة الاشتراك بخدمات الهاتف إلى عدد السكان في السعودية تبلغ 170 بالمئة، وينفق على تكاليف الهاتف المحمول والإنترنت بمعدّل ​​يقدّر بـ 30 بالمئة من دخل الفرد في العام 2014. نتيجة لذلك، يجري استبدال آليات المراقبة القديمة مثل مراقبة مقاهي الإنترنت. يُجبر الأفراد على استخدام هوياتهم الحقيقية عند تسجيل أجهزتهم النقالة، ومن الواضح أن الدولة تسعى إلى فكّ تشفير البيانات المشفرة المرسلة والمستقبلة. في العام 2010، على سبيل المثال، اكتسبت المملكة العربية السعودية بنجاح الوصول إلى اتصالات “بلاك بيري” بعد صفقة قامت بها مع الشركة سامحةً لها بنشر أجهزتها واستعمالها في الشبكات السعودية مقابل حق التنصّت على جميع المحادثات التي تمرّ عبر “بلاك بيري”. تم الكشف مؤخرًا عن شهية الحكومة للاتصالات مشفرة من قبل موكسي مارلينسبايك، وهو باحث ومطور في مجال الأمن الرقمي. تلقّ مارلينسبايك من شركة الاتصالات السعودية “موبايلي” طلباً لمساعدتها في الحصول على البيانات المشفرة المرسلة والمستقبلة. كانت الشركة تسعى للحصول على حل لاعتراض البيانات المرسلة والمستقبلة (بناءً على طلب من الحكومة السعودية، كما قالت) من أجل الوصول إلى مجموعة من بيانات عملاء دردشة المحمول (Viber، Line، WhatsApp) وكذلك نسخة الهاتف الجوال من “تويتر”.

استخدام البرمجيات الخبيثة المحمولة يمكن أن يفهم على أنه جزء من هذه الرغبة، التي لا تقتصر فقط على المملكة العربية السعودية، لتتطابق مع التقنيات المستخدمة من قبل سكّانها.

زرع البرمجيات الخبيثة: طعم في إطار سياسي؟

باستخدام تواقيع إلكترونيّة وضعت كجزء من أبحاثنا الجارية عن البرمجيات الخبيثة التي تأتي ضمن “الاعتراض القانوني”، والتي وضعها “فريق الإختراق”، حدّدنا حزمة تثبيت “أندرويد” مشبوهة (APK). كان الملف نسخة فعّالة من تطبيق “القطيف اليوم” تطبيق أخبار جُمِعَ مع رزمة فريق الإختراق. تشير الوثائق التي راجعناها إلى أن فريق الإختراق يشير إلى هذا النوع من البرمجيّات المزروعة في المحمول باعتبارها “حزمة التثبيت”، حيث يتم زرع البرمجيّة في ملف تطبيق طرف ثالث مشروع وفعّال (انظر: تطوير ونشر البرمجيّات المزروعة). وقد شوهد هذا النوع من التكتيك حيث تزرع البرمجيّة الخبيثة مع حزمة “أندرويد” في غيرها من الهجمات الخبيثة المستهدفة (التي لا تستخدم منتجات “اعتراض قانوني”) بما في ذلك حملة LuckyCat، والهجمات ضد نشطاء التبت، ومجموعات من إثنية الأويغور التي تسعى إلى الاستقلال عن الصين.

التطبيق الأصلي “القطيف اليوم” هو تطبيق “أندرويد” (تحميل هنا) و”أي فون”، يوفّر الأخبار والمعلومات باللغة العربية مع أهمية خاصة لمحافظة القطيف في المملكة العربية السعودية.

"القطيف اليوم" كما يظهر في "متجر غوغل"

“القطيف اليوم” كما يظهر في “متجر غوغل”

صلة الوصل بالقطيف مثيرة للإهتمام نظرًا لتاريخ الاحتجاجات في القطيف كما ذكر أعلاه. نحن لسنا في موقف لتحديد هوية المجموعة أو الشخص المستهدف من هذه البرمجيات الخبيثة، ومع ذلك، فنحن نتكهّن بأن الهجوم قد يكون مرتبطاً بالاحتجاجات السياسيّة في شرق المملكة العربية السعودية.

 

عينات من فريق المخترقين

ملف APK الخبيث، QatifNews.apk، لديه الهاش التالية:

8e64c38789c1bae752e7b4d0d58078399feb7cd3339712590cf727dfd90d254d

في وقت أوّل تقديم لقاعدة البيانات “فيروس توتال”، كشف الملف صفر من أصل 50 برنامج لمكافحة الفيروسات تحتويها قاعدة البيانات:

0 / 50 2014-03-11 09:28:49 2014-03-11 09:28:49

يبدو أن ملف APK يحمل الاسم نفسه تمّ زرعه على تويتر بعد 5 أيام من قبل حساب “تويتر” (bhpearl_@) المرتبط بالبحرين، وهي دولة ذات أهمية كبيرة لشيعة في القطيف.

تويت مع روابط من @_bhpearl (محيت منذ وقتها)

تويت مع روابط من @_bhpearl (محيت منذ وقتها)

 

تم اختصار الروابط المغرّدة باستخدام خدمة goo.gl وكانت تدلّ على الروابط التالية:

https://itunes.apple.com/app/qatiftoday-alqtyf-alywm/id584947120?mt=8

و

https://dl.dropboxusercontent.com/s/fw92fsu9r694iqc/QatifNews.apk

الرابط الأوّل إلى مخزن أي تيونز لديه 18841 نقرة على رابط التقصير ويبدو شرعياً. ولكن الرابط الثاني، لا يعيد التوجيه إلى “متجر غوغل”. بدلاً من ذلك، فهو يدل على ملف في حساب “دروب بوكس” (DropBox) تمّت إزالته لاحقًا. تثير الإهتمام دراسة تحليليّة على الرابط الثاني المقصّر؛ فقد كانت هناك فقط 13 نقرة. يمكننا أن نستبعد 7 من هذه النقرات، تعود إلى باحثين (الموجودة في الولايات المتحدة وألمانيا)، في حين أن هنالك ثلاث نقرات في المملكة العربية السعودية، ونقرة واحدة في تايوان قد تكون عبر VPN، أو لباحث أمني.

تحليلات جوجل لمقصّر الروابط

تحليلات غوغل لمقصّر الروابط

في حين أننا لا نستطيع أن نؤكد أن الملف على “دروب بوكس” كان ملف APK نفسه، فإنّنا نشكّ بأنّ توقيت التغريدة، واستخدام هذه الطريقة غير الإعتيادية في مشاركة تطبيق “أندرويد”، ليس صدفة.

التوقيع الإلكتروني لملف APK الخبيث  

تم التوقيع على ملف APK الخبيث من قبل الشهادة التالية:

Issuer:
DN: C=US, O=Sun, OU=JavaSoft, CN=Server
C: US
CN: Server
O: Sun
OU: JavaSoft
Subject:
DN: C=US, O=Sun, OU=JavaSoft, CN=Server
C: US
CN: Server
O: Sun
OU: JavaSoft
Serial: 1369041295
SHA256 fingerprint: 

8ab03660fe537994b207e900f8e2f5711c08e61232e167ce97e52bb3fd77757f

لاحقًا في هذا المقال، سوف نناقش بطريقة موسّعة الممارسات المستعملة من قبل فريق المخترقين في توقيع البرمجيات المزروعة في قسم “التوقيع الإلكتروني للبرمجيات والشهادات”.

عينات إضافية

استطعنا التعرف على ست عينات إضافية وُقِّعَت باستخدام الشهادة نفسها:

e85db2d92ae97f927905d6e931a0cb1f5b6def2475c23e023fe617249dddddb4
0b657e29a3e249b414fbde3a85e7be0829ddaad49b8ff2832350cfe5af190ba1
535070b5bd076f137052eb82257f16db4c3ba3e3516970b8934524e4a750a8f1
748e04aee9ec1a82abd2f0a9d3ddc33925a8a74b5058088dbf3d6a3c1e9698d8
8d2012d44208e79ea6e511847f86af0c45271e6f678ccc19639fe6c2eee75449
e6a77c8bf232636a505c31fae0215789caf8d73682102304a2541513de945526

قُدِمت العينة الأولى من هذه القائمة (…db4) لـ”فيروس توتال” على النحو التالي:

التاريخ

إسم الملف

رقم التعريف المقدّم

بلد المقدّم

2012-08-28 10:06:01

rcs.apk

18e48a9b (api)

ألمانيا

من المثير للاهتمام أنّ هذا النموذج كان الأوّل (زمنيًا) من مجموعة هذه الملفات التي تمّ رفعها إلى “فيروس توتال”. يبدو إسم “rcs.apk” اختصاراً لاسم منتج المراقبة المركّزة لفريق المخترقين أي “نظام التحكم عن بعد.”

الأذونات

طلب التطبيق الأصلي الأذونات التالية:

android.permission.INTERNET
android.permission.GET_ACCOUNTS
android.permission.WAKE_LOCK
android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
com.google.android.c2dm.permission.RECEIVE
com.aymax.qatiftoday.permission.C2D_MESSAGE
android.permission.USE_CREDENTIALS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.VIBRATE

تطلب البرمجيّة المزروعة الأذونات التالية، ممّا يعطيها القدرة على إجراء المكالمات، قراءة الرسائل القصيرة وكتابتها، رصد موقع GPS المستخدم، وأكثر من ذلك.

android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_WIFI_STATE
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_NETWORK_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.FLASHLIGHT
android.permission.PROCESS_OUTGOING_CALLS
android.permission.READ_CALENDAR
android.permission.READ_CONTACTS
android.permission.READ_LOGS
android.permission.READ_PHONE_STATE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SEND_SMS
android.permission.SET_WALLPAPER
android.permission.USER_PRESENT
android.permission.WRITE_SMS

طُلب الإذن التالي من العديد من البرمجيّات الخبيثة التي زرعها “فريق المخترقين” في تطبيقات “أندرويد”:

android.permission.WRITE_APN_SETTINGS (write Access Point Name settings)

يسمح هذا الإذن للتطبيقات بتغيير اسم نقطة الوصول للشبكة (APN) على الهاتف المحمول. يحدد هذا الإعداد الشبكة الخارجية التي يمكن للهاتف استعمالها للوصول إلى البيانات. يتميز هذا الإذن بأنّ مرجع مطوّرين “أندرويد” يصفه بأنّه لا يجب استخدامه من قبل تطبيقات طرف ثالث. لمزيد من المعلومات عن هذه الوظيفة، انظروا في قسم “القدرات الأخرى”.

سلوك واتصالات الشبكة

بعد تحليل سلوك التطبيق كنا قادرين أن نؤكد طبيعة الملف الخبيثة أكثر.

عند تشغيل التطبيق، فإنّه يقوم بإرسال POST إلى:

http://iphone.al-motamiz.com/qatiftoday/gcms/register.php

يستضاف هذا الخادم في “أي ويب” (iWeb) في مونتريال

عنوان بروتوكول الإنترنت

174.142.97.245

المستضيف

server.5edma.com

الموقع

 CA, كندا

المدينة

مونتريال, QC H3E 1Z6

المنظمة

IWeb Technologies

موزّع خدمة الإنترنت

IWeb Technologies

رقم  AS

AS32613 iWeb Technologies Inc.

نعتقد أن هذا التواصل مشروع، يجريه التطبيق المموّه.

لاحظنا أيضاً إتصالات قيادة وسيطرة (C2) مع خادمين إضافيين. في وقت لاحق، وجدنا عناوين بروتوكولات الإنترنت (IP)

في نص فكّ تشفيره من ملف إعدادات البرمجيّة الخبيثة المزروعة (أنظر: التعتيم/ إعدادات زرع البرمجيّة الخبيثة). بالمناسبة، كان هذا يتطابق مع طريقة تخزين عناوين C2 من البرمجيّات المزروعة من قبل فريق المخترقين.

http://91.109.17.189/

http://106.186.17.60/

تمّت استضافة الخادم الأول على Leaseweb في ألمانيا:

عنوان بروتوكول الإنترنت

91.109.17.189

الموقع

 DE, ألمانيا

المنظمة

Leaseweb Germany GmbH (previously netdirekt e. K.)

  رقم AS

AS16265 LeaseWeb B.V.

واستُضيف الثاني على Linode في اليابان:

عنوان بروتوكول الإنترنت

106.186.17.60

المستضيف

li528-60.members.linode.com

الموقع

 JP, اليابان

المنظمة

Kddi Corporation

رقم AS

AS2516 KDDI KDDI CORPORATION

في منشوراتنا السابقة، حدّدنا أنّ عناوين بروتوكولات الإنترنت لكل من Leaseweb وLinode هي جزء من سلسلة بروكسي “فريق المخترقين”. في ذلك الوقت، حدّدنا أيضاً عنوان بروتوكول إنترنت ثالث (206.190.155.40) ينتمي إلى المجموعة نفسها. هذه الإكتشافات تؤكد بشكل غير مباشر صِحَّة الأساليب المستخدمة في التقرير السابق، وتسلط الضوء على عنوان بروتوكول الإنترنت الثالث كجزء من مجموعة البنية التحتية نفسها.

91.109.17.189
206.190.155.40
106.186.17.60

يتبع عنوان بروتوكول الإنترنت هذا إلى كتلة مملوكة من قبل مزود الاستضافة “سوفت لاير تكنولوجيز”.

ثغرة روتينغ

تحاول البرمجيّة الخبيثة المزروعة أن تقوم بعمليّة (stat) في الملفات التالية:

/dev/exynos-mem
/dev/DspBridge
/dev/s5p-smem

يتفق هذا السلوك مع الثغرة المعروفة (CVE-2012-6422) التي تسمح لمستخدم من دون أذونات أن يكتب على الذاكرة الفعلية لجهاز مختَرق. قدّمت شركة ” Azimuth Security” تحليل معمّق عن هذه الثغرة هنا.

في حين أن استغلال هذه الثغرة لن يكون فعالًا ضد أحدث إصدار من نظام التشغيل “أندرويد”، ولكنّ نسبة عالية من المستخدمين لا يزالون يستخدمون إصدارات قديمة قد تكون معرضة لخطرها.

مصدر الصورة: غوغل

مصدر الصورة: غوغل

معلومات أساسية عن روتينغ أجهزة “أندرويد”

عادة ما ينطوي روتينغ جهاز “أندرويد” على عنصرين: ” SU Binary” و”تطبيق المشرف” (supervisor application).

من أجل تنصيب “SU Binary”، لديكم خياران، فإمّا أن تسمح الشركة المصنعة للجهاز بإلغاء قفل “محمل الإقلاع” (Boot Loader) أو تستغلوا ثغرة لرفع الأذونات مؤقتًا. عندما يتم تثبيت “SU Binary” يصبح بإمكان التطبيقات استخدامها بطريقة مسيطر عليها لرفع الأذونات الخاصة بهم لأغراض أخرى.

يشبه “SU” نظام “يونكس” التقليدي في معظم الحالات، بما في ذلك “روت” (root)، وهو يستخدم عَلَم suid لكي ترفع التطبيقات أذوناتها إلى مستوى الملف القابل للتنفيذ الذي تستدعيه. يتم تشغيل كل تطبيق على “أندرويد” من قبل مستخدمها الخاصة بها من أجل منع التطبيقات من الوصول إلى الموارد التي ليس لديها الأذونات للتعامل معها.

يستخدم التطبيق المشرف (عادة Superuser.apk) من قبل الأشخاص الذين يقومون بإجراء روتينغ هواتفهم عمدًا بحيث يقوم ” SU Binary” باستدعاء المشرف الذي سوف يعلم المستخدم ويسمح له بقبول أو رفض زيادة الإمتياز. وبالتالي، حتى مع وجود “روت” في الهاتف، فلا يزال يتمّ إخطار المستخدم عند أداء التطبيقات التي تتطلب إجراءات “روت”.

كيف ينطبق هذا على البرمجيّة الخبيثة المزروعة ” نظام التحكم عن بعد” RCS

في هذه الحالة يتم استغلال ثغرة في البداية للحصول على “روت”، ويتم إسقاط ثنائي (binary). يقوم بنسخ نفسه إلى /system/bin/rilcap (من خلال /proc/self/exe) ويضع صاحبها بامتيازات “روت” أيضًا وكذلك يُعِدّ أعلام التنفيذ وsuid. هذا يسمح بالوصول إلى “روت” بشكلٍ مستمر.

/system/bin/rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93

وظيفة RILCAP

كشفت دراسة للثنائي (Binary) أنّ تقنيات أساسيّة مثل تشفير البسيط للسلاسل (Strings) تستخدم لعرقلة التحاليل.

خوارزمية التشفير:

if str is b[0]…b[n],

len = b[0] ^ b[1] ^ b[2]

for b[i] in b[3]…b[n]:
b[i] = b[i] ^ b[1]
b[i] = (b[i] – b[1]) & 0xff
b[i] = b[i] ^ b[0]

يحتوي الثنائي (Binary) على الوظائف التالية:

  • التقاط المعلومات من “framebuffer”(/ dev/graphics/fb0)  – الذي يمكنه ان يستخدم بعد ذلك لتجميع لقطات من شاشة الهاتف
  • قتل البرنامج الخفي الخاص بالمجلدات (الذي يكتشف تلقائياً أجهزة التخزين عند إضافتها ويثبّتها)
  • تثبيت/system   للقراءة فقط أو للقراءة والكتابة
  • التحقق من بطاقة الذاكرة الرقمية المؤمنة (SD card) في /proc/mounts
  • تنفيذ أوامر من تطبيقات لا تتمتّع بصلاحيّات باستخدام system()
  • تنفيذ الأوامر من ملف باستخدام execv في /system/bin/sh
  • تعديل/data/system/device-policies.xml  لإضافة تطبيق كمدير(admin) للجهاز
  • نسخ الملفات
  • تعديل أذونات الملفات
  • تغيير أصحاب الملفات
  • إلغاء الربط الذاتي
  • إعادة تشغيل الجهاز

تسمح هذه الوظيفة لـRILCAP بالعمل كما تعمل ثنائية “SU Binary” ولكن، في هذه الحالة، لا يوجد تطبيق المشرف لإعلام المستخدم بطلبات زيادة امتياز الأذونات وتقديم خيار السماح أو الرفض.

يمكن الاطلاع على قائمة كاملة من الأوامر في الملحق “ب”.

وظائف

عندما نظرنا إلى العينات كمجموعة، حدّدنا مجموعة من السلوكيات التي تدلّ على قدرات المراقبة للبرمجيّة الخبيثة المزروعة.

محاولات للوصول إلى تطبيقات الطرف الثالث الخاصّة بالدردشة والتكلّم بالصوت:

وجدنا أن التطبيقات تحاول الوصول إلى الملفات المخزّنة محليًا من قبل وسائل الاعلام الاجتماعي الشعبية، وتطبيقات الدردشة والإتّصال بما في ذلك “فيس بوك”، “فايبر”، “واتساب”، “سكايب”، “لاين” وكيو كيو”.

/data/data/com.facebook.katana/databases
/data/data/com.facebook.orca/databases
/data/data/com.skype.raider/files/shared.xml
/data/data/com.whatsapp/shared_prefs
/data/data/com.whatsapp/shared_prefs/RegisterPhone.xml
/data/data/com.viber.voip/files
/data/data/com.tencent.mm/MicroMsg/
/data/data/com.viber.voip/files/preferences/reg_viber_phone_num
/data/data/jp.naver.line.android/databases/naver_line_myhome
/data/data/jp.naver.line.android
/data/data/jp.naver.line.android/databases

بالإضافة إلى ذلك، يصل التطبيق إلى ملفات البريد المخزنة محليًا، المنتمية إلى حساب بريد المستخدم المُخترق.

/data/data/com.google.android.gm/databases/mailstore.{username}@gmail.com.db

التعتيم/ إعدادات زرع البرمجيّة الخبيثة

من أجل منع التدقيق الإضافي في الأجزاء الداخلية من الباب الخلفي، يظهر أنّه تمّ التعتيم بشكل كبير على “كود” المصدر عبر استخدام DexGuard (أو برنامج مماثل)، الذي بإمكانه أن يوفر التشفير للسلاسل (ٍstrings) والصفوف (Classes) والمقوّمات بأكملها، ممّا يؤدّي إلى تباطؤ كبير وتعقيد عملية الهندسة العكسيّة.

عند تحليل عملية زرع البرمجيّة الخبيثة، قمنا بفكّ تعتيم ملف الإعدادات. قمنا بتسليط الضوء، أدناه، على عدد من الأسطر التي تتطابق من حيث الوظيفة في التحكم عن بعد RCS (للحصول على قائمة أكثر اكتمالاً انظر إلى قسم: زرع وحدات البرمجيّة الخبيثة والأداء الوظيفي).

وجدنا مجموعة من السجلّات من تسجيلات صوتيّة، كاميرا، فيديو، مفاتيح، نقل مباشر لميكروفون، الدردشة، ومعلومات عن الجهاز، الخ. كانت هنالك صلة بين إعدادات التهيئة ووظيفة المراقبة في البرمجيّة المزروعة. لاحظنا أيضاً وجود وحدة “أزمة” (crisis)، والتي كانت توفر وظائف لمكافحة التحليل وقد شرحناها أدناه (انظر إلى: مكافحة وظائف التحليل ومكافحة الأدلة الجنائية).

{“record”:true,”compression”:5,”buffer”:512000,”module”:”call“},{“module”:”camera“,”quality”:”med”},{“module”:”chat“},{“module”:”clipboard“},{“module”:”conference“,”number”:””},{“synchronize”:false,”position”:true,”module”:”crisis“,”mic”:true,”network”:{“processes”:[],”enabled”:false},”call”:true,”camera”:true,”hook”:{“processes”:[],”enabled”:true}},{“module”:”device“,”list”:false},{“module”:”keylog“},{“module”:”livemic“,”number”:””}

نرى أيضاً ما يبدو وحدات تحفظ المواقع، ونشاط التصفح وتأخذ اللقطات عن الشاشة.

{“cell”:true,”gps”:false,”wifi”:true,”module”:”position“},{“quality”:”med”,”module”:”screenshot“,”onlywindow”:false},{“module”:”url“}

وجدنا أيضاً أن برمجيّة مزروعة يبدو أنه قد تم نشرها مع فلاتر لتحديد نطاق للتاريخ (“من تاريخ كذا”(datefrom) و”إلى تاريخ كذا”( dateto) ) للحصول على الرسائل التي يسعى المخترقون إليها من رسائل نصّية قصيرة، وبريد إلكتروني، ورسائل ملتيميديا.

{“mail“:{“filter”:{“datefrom”:”2014-03-10 00:00:00″,”maxsize”:100000,”dateto”:”2100-01-01 00:00:00″,”history”:true},”enabled”:true},”mms“:{“filter”:{“datefrom”:”2014-03-10 00:00:00″,”dateto”:”2100-01-01 00:00:00″,”history”:true},”enabled”:true},”module”:”messages”,”sms“:{“filter”:{“datefrom”:”2014-03-10 00:00:00″,”dateto”:”2100-01-01 00:00:00″,”history”:true},”enabled”:true}}

نرى أيضاً معلومات حول كيفية استخراج البيانات من قبل البرمجيّة الخبيثة المزروعة، مع استعمال خوادمها الـC2 . من المثير للاهتمام أن البرمجيّة الخبيثة المزروعة قادرة على رصد طرق اتصال الجهاز بالشبكة (مثل واي فاي والشبكات الخلوية)، اختيار نوع الاتصال، وتعديل حدود سرعة الإنترنت. لاحظوا أن هذه الخوادم هي نفسها التي لاحظناها في اتصالات شبكة البرمجيّة الخبيثة المزروعة.

{“desc”:”SYNC”, ”subactions”:[{“host”:”91.109.17.189″, “mindelay”:0, “stop”:true, “cell”:true, “action”:”synchronize”, “wifi”:true, “maxdelay”:0, “bandwidth”:500000}, {“host”:”106.186.17.60″, “mindelay”:0, “stop”:false, “cell”:true, “action”:”synchronize”, “wifi”:true, “maxdelay”:0, “bandwidth”:500000}]}]}

 

الجزء الثاني: عمليات نظام التحكم عن بعد لـ”فريق المخترقين”

بعد أن نشرنا دراسة عن “فريق المخترقين” (Hacking Team) في وقت سابق هذا العام، أرسل إلينا شخص مجهول مستندات توثيقية تتعلق بإعداد وآلية عمل “نظام التحكم عن بعد” (RCS) الذي يقدمه “فريق المخترقين” بتقديمه لزبائنه. هذه المستندات يشير تاريخ إعدادها إلى خريف العام 2013. لا نعلم أصل هذه المستندات، ومن أرسلها اتخذ خطوات لإخفاء هويته. وبينما لا تزال صحة هذه الوثائق غير مؤكدة، لم يتم تحديد أي تناقض مع ما نعرفه عن نظام التحكم عن بعد الخاص بـ “فريق المخترقين” (أحدث النتائج التي توصلنا لها مضمّنة). ونحن قلقون أنه إذا قمنا بنشر هذه الوثائق بشكلها الكامل، ربّما سنتسبب بالخطر للمصدر. في ما يلي لمحة عامة عن بعض وظائف نظام التحكم عن بعد وخصائصه، وفقاً لهذه المستندات. لقطات الشاشة التي اقتطفنا منها هي من الحالات التي صنّفت على أنها نسخة “تجريبية” بدلاً من العمليات الفعلية.

 

بنية توزيع نظام التحكم عن بعد

تشير الصورة التالية إلى البنية المنطقية لتوزيع النموذج الأولي لنظام التحكم عن بعد. وفي حالات معيّنة، وفقاً لهذه المستندات، من الممكن استخدام البنية “الموزّعة” (راجعوا الملحق: بنية نظام التحكم عن بعد الموزعة).

 

01 - 5_RCS_Logic

اللاعبون في عمل نظام التحكم

وفقاً لهذه المستندات، نظام التحكم عن بعد لديه سلسلة من المهام المحددة، كل مهمة تأتي مع مسؤولياتها وصلاحياتها، باختصار:

مدير نظام التشغيل يتلقى تدريباً من فريق “فريق المخترقين” خلال “مرحلة العقد”، فضلاً عن بقية مهام إدارة النظام، متضمناً ذلك تنصيب مخدّم شبكات نظام التحكم عن بعد وحاقنات الشبكة وتحديثها.

المدير ينشئ الحسابات، وينشئ كلاً من العمليات ومن يتم اعتبارهم أهداف.

التقني مسؤول عن إنشاء الملفات الخبيثة المزروعة ( أو كما سميت في المستندات “العملاء”) ويدير حاقنات الشبكة.

المحلّل يتعامل مع الناتج الصادر عن النظام، ويجري تحليل استخباراتي عبر وحدة التحكم في نظام التحكم عن بعد.

 

تطوير الملفات المزروعة ونشرها

يمكن للبرنامج أن ينشئ مجموعة كاملة من الملفات المزروعة عبر “مصنع” الذي جمّع خصيصاً للتحقيقات. التقني مسؤول عن إنشاء هؤلاء العملاء عبر “المصنع”. هذه الأوامر التي تظهر للتقني.

02 - 6_RCS_Factory

التقني لديه مجموعة واسعة من الخيارات من “المصنع” وأيضاً قدرة إضافية على استخدام حقن الشبكة، أي زرع برمجية خبيثة في الشبكة (لم يتم تصويرها)، هذه الخيارات تتضمن:

  • حقن الشبكة: عبر بيانات خبيثة محقونة بالتعاون مع مزود الخدمة
  • حقن الشبكة تكتيكياً: على الشبكة المحلية (LAN) أو شبكة “واي فاي”
  • تطبيق ذائب: ربط مُسقط “فريق المخترقين” بتطبيق يستخدم كطُعم
  • رزمة تنصيب: ملف تنصيب على الهاتف المحمول
  • حزمة تنصيب: للهواتف المحمولة
  • الاستغلال: شرح عن الاستغلال للهواتف المحمول والحواسب بناءً على وثائق
  • تنصيب محلّي: على الهواتف النقالة عبر منفذ USB أو بطاقة ذاكرة
  • تنصيب من دون اتصال: إنشاء ملف ISO لبطاقة ذاكرة أو CD أو ذاكرة USB قابلة للإقلاع. هذا الخيار يتضمن القدرة على إصابة الأجهزة الخاضعة لحالة إسبات أو المطفأة.
  • رمز QR: رابط على شكل صورة خاص بأجهزة الموبايل، عندما يتم تصويره سيصاب الجهاز.
  • برنامج صغير للإنترنت: غالباً موقع إنترنت خبيث (depreciated after v. 8.4)
  • ملف تنصيب صامت: ملف تنفيذي على أجهزة الكمبيوتر يقوم بتنصيب الملف المزروع
  • قرصUSB U3  مصاب: قرصUSB U3  يصيب نفسه ببرمجية خبيثة
  • رسالة تسهيل استعمال “تطبيق بروتوكول اللاسلكيات” على الهاتف المحمول)  :(WAP Push Message ستتم إصابة الهدف إذا قبل المستخدم الرسالة (تعمل على جميع أنظمة التشغيل الهاتف المحمول غيرIOS  (

 

الإصابة: “عملاء الاستكشاف” و”العملاء”

تشير المستندات إلى أن “نظام التحكم عن بعد” يستخدم “عميل الاستكشاف” والمعروف باسم “validator” الذي يساعد في تحديد ما إذا كان يجب تنصيب الملف المزروع الكامل “العميل”. هذا الملف المزروع الصغير يقوم بأخذ لقطات عن الشاشة ومعلومات عن الجهاز لتحديد ما إذا كان الهدف مفيداً.

تشير الوثائق إلى أن “فريق المخترقين” قلق بشكل كبير حول إمكانية كشف “الملف المزروع” الخاص به، وترشد التقنيين إلى أن وظيفة “عملاء الاستكشاف” هي تحديد ما إذا كان النظام “آمناً” للاستهداف أو أنه سيقوم بالمجازفة بكشف العميل.

عندما يتم تحديد أن النظام آمن للإصابة، يتم استبدال “عميل الاستكشاف” بالملف المزروع بالكامل.

وفقاً للمستندات، “فريق المخترقين” ينصح مستخدميه بإضافة الوظائف تدريجياً إلى الملف المزروع.

هذه الملفات المزروعة تقوم بسحب البيانات واستقبال التعليمات عبر عملية تسمى “المزامنة”.

مجتزأ الملف المزروع ووظيفته

يوفّر الملف المزروع (العميل) إمكانية الحصول على المعلومات من الأجهزة المستهدفة بنقرة واحدة. وينصح التقنيون بإضافة الوظائف حسب الحاجة.

03 - 7_RCS_Config

إضافة إلى ذلك، يمكن اتباع نهج أكثر تقدماً، يسمح لتقني متقدّم من تحديد سلسلة من مجتزأ التفعيل عند الإصابة، باستخدام نموذج رسومي. يتيح ذلك للمستخدم لتحديد الأحداث التي تؤدي إلى إجراءات معينة، وإجراءات فرعية ومجتزآت ومتواليات.

تقدم الوثائق مثالاً عن متواليات كالمذكورة:

الحدث: الجهاز متصل بمحول طاقة

الإجراء الفرعي: إرسال رسالة نصية قصيرة، بدء وضعية التسجيل، تعطيل حدث مرتبط بالتغييرات على بطاقة الـ SIM.

 04 - 8_RCS_Advanced_Config

 مجتزآت مراقبة متوفرة

  • الملفات التي تم الوصول إليها
  • دفتر العناوين
  • البرامج المستخدمة
  • الروزنامة
  • جهات الاتصال
  • نوع الجهاز
  • الملفات التي تم الوصول إليها
  • تسجيل ضربات المفاتيح
  • كلمات السر المحفوظة
  • نشاط حركة الفأرة (تهدف إلى التغلب على لوحات المفاتيح الافتراضية)
  • تسجيل المكالمات وبياناتها
  • لقطات الشاشة
  • أخذ لقطات من كاميرا الويب
  • تسجيل المحادثات
  • نسخ لوحة القطع واللصق
  • تسجيل الصوت من الميكروفون إضافة إلى إمكانية الكشف عن الصوت والصمت لتوفير المساحة
  • مراقبة الصوت بشكل فوري (“الميكروفون الحي”: يتوفر هذا المجتزأ لنظام التشغيل “ويندوز موبايل” فقط)
  • مكان الجهاز
  • عناوين مواقع الإنترنت التي تمت زيارتها
  • إجراء مكالمات جماعية (مع طرف ثالث خفي)
  • إصابة الأجهزة الأخرى (تم الاستغناء عنها منذ النسخة 8.4)

 

الإمكانيات الأخرى

بمجرّد أن يقوم الملف المزروع بالعمل، تصبح عمليات التجميع قابلة للتحديث، إضافة إلى ذلك، تصبح الملفات قابلة للإرسال والتلقي من الجهاز.

إضافة إلى ذلك، الملف المزروع يملك سقفاً أعلى افتراضي لمساحة الـ”أدلّة” وهي 1غيغا بايت على الجهاز المستهدف. وتسجيل المواد الجديدة يتوقّف حين تمتلئ المساحة. المشغّل أيضاً لديه القدرة على حذف البيانات التي لم يتم إرسالها بعد على الجهاز.

 

مزامنة البيانات وسحبها

تتكون عملية المزامنة من عدد من الخطوات المذكورة أدناه:

  • التفويض بين الملف المزروع والمخدّم
  • مزامنة الوقت بين الملف المزروع ومخدّم نظام السيطرة عن بعد
  • إزالة الملف المزروع (إذا تم تحديد القضية على أنها “مغلقة” من قبل التقني)
  • تحديث إعدادات الملف المزروع
  • الملف المزروع يقوم بتحميل المواد من مخدّم نظام التحكم عن بعد
  • رفع محتوى على خادم نظام التحكم عن بعد، يعطي إشارة لبدء التحميل
  • رفع دليل مجموع مع المسح الآمن على خادم نظام التحكم عن بعد
  • حذف آمن إضافي للأدلّة

نُسخ الهواتف النقالة وأجهزة الحاسوب بها معايير مختلفة قليلاً، فبينما الملفات المزروعة الخاصة بأجهزة الحاسوب لديها عرض محدد للحزمة وتأخير في المواد المضافة، يكون في نسخة الهاتف النقال إعدادات فريدة.

بإمكان التقنيين إجبار الملف المزروع على استخدام نوع معين من قنوات البيانات (الشبكة اللاسلكية Wifi أو شبكة الهاتف المحمول) للتحديث.

ومن المثير للاهتمام أن بإمكان التقنيين تحديد بيانات الدخول لاسم نقطة الوصول (APN) المستخدمة في سحب البيانات. يتيح هذا الخيار للملف المزروع تفادي أي رسوم على البيانات أو عرض أي بيانات تمرّ عبر الجهاز للضحية. هذه الميزة تم تخصيصها لتكون متاحة فقط لأجهزة الهواتف المحمولة التي تعمل على نظامي التشغيل “سيمبيان” و”بلاك بيري”، وذلك في النسخة 9 من نظام التحكم عن بعد.

 آلية عمل مكافحة التحليل ومكافحة الأدلة الجنائية

وظائف يشار إليها كـ”أزمة” تتيح للإجراءات بالكشف عن نشاط “معادٍ” (المستندات توفر مثالاً عن “packet sniffer” وهو برنامج يراقب كل المعلومات على الشبكة التي يرتبط بها). هذه الوظيفة يمكن أن تفعل عبر سلسلة من السيناريوهات ولديها عدد من الخيارات مبنية على تحديد العمليات. في النسخ الخاصة بالحواسيب، يمكن أن تتضمن هذه الخيارات إيقاف مؤقت للمزامنة، وعدم الربط مع البرامج. أما في نُسخ الهاتف المحمول، فتتضمن هذه الخيارات إمكانية الإيقاف المؤقت للصوت، والكاميرا، والتقاط الموقع، والمزامنة.

يمكن تنفيذ مسح نهائي للبيانات، ووفقاً للمستندات، يخبر “فريق المخترقين” مستخدميه بأن هذا المسح لن يترك أي أثر. عملية الإزالة لديها عدة ميزات ربما قد تثير الاهتمام كأدلة جنائية على إصابة الأجهزة: 1- إزالة التنصيب من أجهزة “بلاك بيري” تنفذ عملية إعادة إقلاع للجهاز، 2- على أجهزة “أندرويد” في حال عملية الروتنغ لم تنفذ بشكل تام تتسبب بإظهار رسالة تطلب من المستخدم منحه الصلاحية لإلغاء التنصيب، 3- على أجهزة “ويندوز فون”، عند إلغاء التنصيب يقوم بحذف كافة الملفات ولكنه لا يزيل أيقونة البرنامج من قائمة البرامج.

توقيع الرمز والشهادات

تم تصميم نظام التحكم عن بعد لتسجيل الرمز عند إنشاء الملفات المزروعة، المستندات تقترح Verisign وThawte وGoDaddy كمصادر لتوقيع رمز الشهادات. إضافة إلى ذلك، تشجع المستندات المستخدمين على التواصل مع الدعم التقني لـ “فريق المخترقين” للمساعدة في الحصول على شهادة.

ومن المثير للاهتمام أن مستخدمي نظام “سيمبيان” يتم إرشادهم لشراء “شهادة مطوّر” من TrustCenter كما يتم تزويدهم برابط له: (https://www.trustcenter.de/en/products/tc_ publisher_id_for_symbian.htm).

لإصابة الهواتف المحمولة العاملة بنظام التشغيل “ويندوز فون”، يُنصح المستخدمون بإنشاء حساب لدى “مايكروسوفت” (signup.live.com) وحساب لدى مركز مطوري “ويندوز فون” (https://dev.windowsphone.com/en-us/join).

تشير المستندات إلى أن “فريق المخترقين” قلق بخصوص التأكد من أن المستخدمين قادرون على إدارة عملية الموافقة (تدار من قبل “سيمانتك”) وترشد المستخدمين للرد فوراً على الاتصالات الهاتفية والالكترونية من “سيمانتك”. يتلقى المستخدمون أيضاً إرشادات عن كيفية الحصول على شهادة توقيع رمز الهاتف للشركات (https://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do)

 

مشاكل متعلقة بـ”أندرويد”

من أجل تشغيل بعض الوحدات الخاصة بها (المحادثة، الرسائل، لقطات الشاشة) يحتاج الملف المزروع الخاصة بنظام التشغيل “أندرويد” إلى صلاحية “روت” على الجهاز. في بعض الحالات، حيث يفشل الحصول على صلاحية “روت”، يتم سؤال الضحية يدوياً عن منح صلاحية الروت للتطبيق. إضافة إلى أنه في الحالات التي لا يوجد فيها صلاحية “روت” على جهاز “أندرويد”، ترى الضحية نافذة تطلب صلاحية إلغاء التنصيب.

يشير “فريق المخترقين” إلى أن ملف التنصيب الافتراضي للملف المزروع بلاحقة APK يبدو على أنه برنامج عادي يسمّى “DeviceInfo” وظيفته عرض معلومات الجهاز

 

إخفاء الهوية وهندسة سلسلة البروكسي

تظهر هذه الصورة كيف يرى مدير النظام سلسلة “بروكسي” موزعة (راجعوا الملحق: البنية الموزعة لنظام التحكم عن بعد الخاص بـ”فريق المخترقين”) وبنية المجمِّع.

05 - 9_RCS_Anon

الترخيص والتحديثات

بحسب الوثائق، عند انشاء بنية المجموعة يطلب البرنامج ملف ترخيص من “فريق المخترقين”. بقية الرخص مطلوبة لوظائف معينة، فضلاً عن مجموعة من أدوات مطورة إضافية للتحليل.

وتشير الوثائق إلى أن “فريق المخترقين” يحافظ على التحديثات لمنتجاته بشكل دوري. ويتم تنفيذ عملية التحديث من قبل مسؤول النظام باستخدام التحديثات التي يوفرها “فريق المخترقين” وتشمل هذه التحديثات كل من البنية التحتية والمجموعة وملف الحَقن والملف المزروع.

المراجعة

يبدو البرنامج أنه يحتوي على وظيفة تسجيل بسيطة وإمكانية للمراجعة، تسمح للمسؤول المصرح له بعرض السجلات للإجراءات التي قام بها المستخدم خلال النظام، ويتضمن ذلك التفاعل مع الملفات المزروعة.

هذه القدرة يبدو أنه تم تطويرها لجعل مجموعة الأدوات أكثر توافقاً لمتطلبات الأدلة مع المواد الرقمية. ونلاحظ مع ذلك، سهولة الحذف بشكل نهائي لأي من الأدلة والسجلات والملفات المزروع و”المصانع” من قبل المستخدمين المصرح لهم.

ما يراه المحللون

هذه الصورة تبين رسومياً السبل التي يمكن من خلالها اختراق عدة أجهزة لهدف واحد ومراقبتها في وقت واحد.

06 - 10_RCS_Devices

يمكن للمحلل أن يجري بحثاً عن الملفات باستخدام سلاسل نصية وكذلك تصفية البيانات وفرزها، وإضافة علامة على البيانات للأهمية، وتطبيق قواعد آلية لإضافة علامات على البيانات.

تعمل آلية تخزين البيانات بواسطة قاعدة البيانات مفتوحة المصدر (MongoDB)، وتشير المستندات إلى أن نظام التحكم عن بعد يستخدم قاعدة البيانات النسخة 2.4.8.

أيضاً من خلال التجربة، نرى أن المعلومات تم سحبها من الحاسوب المستهدف. مع ملاحظة الألوان البسيطة المستخدمة في نظام إضافة العلامات (أحمر وأخضر وأصفر) للأدلّة، إضافة إلى نوع المعلومات المتاحة للمحلل من كل لقطة. هنا نرى لقطات لعمليّات برنامج معيّن (مثلاً: برنامج “بلاكبيري” لسطح المكتب وبرنامج “سكايب”) إضافة إلى معلومات عن المكان. العناوين المدرجة في معلومات المكان مطابقة لعنوان “فريق المخترقين” المتاحة للعلن.

07 - 11_RCS_Evidence

في الصورة التالية نرى لوحة تحكم المحلل تستمع إلى مكالمة سكايب تم اعتراضها.

08 - 12_RCS_Skype

في الصورة التالية نشاهد كيف يتم تصفح شجرة ملفات نظام مصاب. هذه الوظيفة يمكن تفعيلها في حالات معينة.

09 - 13_RCS_Live_browse

تظهر الصورة أدناه خريطة وعرض للخط الزمني لمكان الأجهزة المصابة، وما يثير الاهتمام في هذه الصورة المستخدمة كرسم توضيحي، هو أن “فريق المخترقين” يبدو أنه قد كشف لزبائن آخرين عن غير قصد، عرضاً نموذجياً قام به لمؤسسة أمنية أميركية. بشكل خاص، يبدو موقع الجهاز الذي يحمل اسم “Jimmy Page” في موقف السيارات في مقر شريف مقاطعة لوس أنجلوس، وهو مكان الدخول إليه محدود. (ويبدو أنه مختوم بتاريخ 6 أيلول/ سبتمبر 2013 أو 3 كانون الأول/ ديسمبر 2013). قد يكون من السري أن “فريق المخترقين” كان مثلاً على نحو واسع في تدريب أجرته في أيلول/ سبتمبر 2013 في الولايات المتحدة “أي إس إس وورلد“، المؤسسة التي توفر حلول معلوماتية ذات طابع أمني.

10 - 14_RCS_Map

استخدام خرائط “غوغل” في الأداة يقدم عرضاً للأهداف، ومع ذلك فإنه يشكل خرقاً خطيراً لأمن عمل الزبائن، بما فيه خيانة معلومات المكان للتحقيقات الجارية. حتى لو كانت بعض بيانات النقط غير متوفرة، تحتاج “غوغل” إلى معرفة النقط المركزية (وبالتالي موقع الهدف) لإيصال بعض بيانات الخريطة.

من المحتمل أن يكون نظام التحكم عن بعد يقوم بكشف معلومات حساسة للغاية عن عملاء الحكومة لـ”غوغل” باستخدامهم واجهة برمجة البرنامج (API) الخاصة بخرائط غوغل لعرض هذه الخريطة.

بالإضافة إلى ذلك، فقد تعرضت بيانات خرائط “غوغل”، حتى باستخدامها معيار التشفير SSL، لتحليل حركة المرور ناجحة من قبل أطراف ثالثة في وقت سابق. في حين أننا لم نستعرض هذه الثغرة الأمنية، نعتقد بأن هذا الاحتمال يستدعي إجراء مزيد من التحقيقات.

مابعد جمع البيانات، تشير هذه المستندات إلى أن “فريق المخترقين” يوفّر مجموعة بسيطة من أدوات التحقيقات، تتضمن تحليلاً بسيطاً للروابط وبقية الميزات الأخرى عند شراء شهادة إضافية. بإمكان البرنامج إنشاء تحليل للروابط بسيطة جداً باستخدام روابط “Peer” (اتصال بين الجهات مثل المكالمة) و”Know” (شخص أو أكثر موجودين في دفتر العناوين). يقوم النظام أيضاً بالمحاولة التلقائية لإنشاء روابط للهوية حين يتم تشارك التفاصيل بين الجهات (مثال: دفتر العناوين). كما يمكن أيضاً عرض السلاسل الزمنية والبيانات الجغرافية.

 11 - 14_RCS_Network

تطوّر المصطلحات

تشير الوثائق إلى أن “فريق المخترقين” أجرى عدداً من التغييرات في اللغة المستخدمة لوصف الأدوات، ووجدنا على سبيل المثال أنه في النسخة 7.6 تم استخدام المصطلح “باب خلفي” (Backdoor)، للإشارة إلى الملف المزروع، ولكنه غيّر المصطلح إلى “عميل” (Agent) في النسخة 8.0 ومابعدها. بشكل مماثل، غيّر الفريق المصطلح “مصفوفة الباب الخلفي” (Backdoor Class) إلى “مصنع” (Factory) في الفترة الزمنية ذاتها.

التخفي

وفقاً للمستندات، يزوّد “فريق المخترقين” زبائنه بـ “تقرير التخفّي”. قمنا على سبيل المثال بمراجعة “تقرير التخفي للنسخة 9.0” لملفات: Silent Installer و Melted applicationو Network InjectorوINJECT-EXE attack وOffline CD

كما يُعلِم المستند الزبائن: الاختبارات أجريت على نسخة “ويندوز” 7 – 64 بت.

 12 - 16

الخاتمة

يسوّق “نظام التحكم عن بعد” (RSC) من “فريق المخترقين” على أنّه مجموعة أدوات برمجيات خبيثة تستعمل للمراقبة و”الاعتراض القانوني للبيانات”. قمنا بتحديد وتحليل البرمجيّة الخبيثة المزروعة في أندرويد RSC التي كانت تستعمل في إطار سياسي، مستهدفةً محافظة القطيف في المملكة العربية السعودية. تحليل هذه البرمجيّات الخبيثة المزروعة كشف مجموعة من وظائف المراقبة.‎

خلال السنوات الأخيرة، أجرينا بحوثاً عن مجموعة “غاما” و”فريق المخترقين“، كاشفين عن انتشارهما العالمي ومسلطين الضوء على التقنيات والتكتيكات التي يستخدمانها.

اهتمامنا بهاتين المجموعتين ليس لأنهما تطوران أكثر البرمجيات المزروعة تعقيداً. ولكن في الحقيقة منذ أحداث “أورورا” في العام 2009، هناك العديد من التقارير العلنية عن استخدام البرمجيات الخبيثة المعقّدة من قبل الدول. على سبيل المثال: “تورلا”، هي حملة نسبت إلى روسيا وتم اعتبارها “أحد أكثر برامج التجسس تعقيداً التي تم الكشف عنها حتى الآن”. الحملات الأخرى التي تستحق الذكر تتضمن: “كاريتو” التي تنسب إلى إسبانيا (ملف PDF)، و”مينيديوك“. في الوقت ذاته، هناك تحاليل هامة ونقاشات علنية اهتمت بـ”ستوكس نت” و”دوكو” و”فليم”، الذين يُزعم أنهم نتاج تعاون أمريكي-إسرائيلي.

تُستخدم مجموعة البرمجيات المزروعة هذه ذات التأثير الكبير (وكالعادة كلفة تطوير مرتفعة) حصراً من قبل الدول التي تنسب لها، وتصمم لإجراء اختراقات مستهدفة.

“فريق المخترقين” و”مجموعة غاما” مختلفان لأسباب عديدة. أولاً، تتوفر برمجياتهما لجميع البلدان باستثناء قلة منها، وثانياً برمجياتهما يتم التسويق لها لاستهداف الجرائم اليومية و “التهديدات الأمنية”، في حين أن الحملات المسوّق لها من قبل الدولة والتي أشرنا إليها أعلاه، صممت لدعم عمليات التجسس ضد الأهداف الصعبة والمهمة.

هذا النوع من حزمة أدوات اختراق الخصوصية، التي كانت في السابق خدمة مكلفة تستعملها الوكالات الاستخبارية والعسكرية، تتوفر الآن لمجموعة كبيرة من الحكومات. يوجد افتراض غير معلن بأن الزبائن الذين يستطيعون دفع ثمن هذه الأدوات سيستخدمونها بشكل صحيح، وبشكل أساسي لأهداف قانونية وتخضع للمراقبة بشدة. ولكن كما أظهر بحثنا، عبر تخفيض كلفة المراحل التمهيدية للمراقبة التي تخترق الخصوصية والتي يصعب تعقّبها، تخفّض المعدات على الجهات التي بإمكانها استعمال خدمات “فريق المخترقين” و”مجموعة غاما” كلفة مواجهة المخاطر السياسية.

ملحق أ: بنية نظام التحكم عن بعد الخاص بـ”فريق المخترقين”

وفقاً للمستندات، تظهر هذه الصورة البنية التحتية الموزّعة لنظام التحكم عن بعد الخاص بـ”فريق المخترقين”.

 13 - 17_RCS_Distib_Logic

ملحق ب: قائمة بأوامر “rilcap”:

الأوامر يتم تقديمها عن طريق:

/system/bin/rilcap 6250af9750606a4a06ca1ec0bfa127d0e37e1c7676e37773f461a91bfe0daf93

vol
kill the volume daemon (vold)

blr
mount /system as read-only

blw
mount /system as read-write

rt
clone self to /system/bin/rilcap with permissions 04755

qzx [command] [args]
passes argument to system()

fhc [source] [destination]
copy file

pzm [permission flags] [file]
modify file permissions

qzs
read commands from file named qzs and execute them (execv /system/bin/sh …)

reb
reboot

adm [name]
adds [name] to device-policies.xml

ru
unlink self

fho [user] [user] [filename]
modify file owner

sd
check for and mount sd card (but it has path hardcoded as /mnt/sdcard, so won’t always work)

fb [file]
copies from frame buffer to file (for screenshots)