تعرض معارضان مصريان موجودان في المنفى إلى هجمات قرصنة من برنامج بريداتور قامت باختراق أجهزتهم الالكترونية (من صنع شركة آبل)، وهما: السياسي أيمن نور، وإعلامي مصري مقدم برنامج شهير (يفضل عدم الإفصاح عن هويته).

تم الاختراق بواسطة برنامج التجسس بريداتور  (Predator)والذي يبدو أنه تم تطويره وبيعه بواسطة  Cytrox لتطوير برامج التجسس، وهي شركة غير معروفة مسبقاً. وذلك بحسب ما أفاد تقرير مختبر “سيتزن لاب” المتخصص بالأمن الالكتروني ومقره جامعة تورنتو في كندا.

 

من هما المستهدفان؟

أيمن نور هو رئيس مجموعة المعارضة السياسية المصرية “اتحاد القوى الوطنية المصرية”، وهو أيضا مرشح سابق للانتخابات الرئاسية المصرية، ومؤسس ورئيس حزب غد الثورة.

بعد فشل ترشحه لمنصب الرئاسة المصرية عام 2005، تم اتهامه بـ”تزوير تواقيع على التماسات” مما أدى إلى اعتقاله لأكثر من أربع سنوات، ليطلق سراحه عام 2009 لأسباب صحية واثر ضغوط دولية.

عام 2013، عارض الانقلاب العسكري بقيادة الرئيس عبد الفتاح السيسي ولاذ بالفرار من مصر إلى لبنان. عام 2015 رفضت السفارة المصرية في لبنان تجديد جواز سفره، لذا غادر نور لبنان إلى تركيا، حيث يقيم منذ عام 2015.

لا يزال نور صوتاً ناقداً بشدة لنظام السيسي، واصفاً إياه بنظام “عسكري قمعي” قام بارتكاب “انتهاكات جسيمة لحقوق الإنسان” وتحويل البلاد إلى “دولة استبدادية بالمطلق”.

الشخص الآخر الذي تم التأكد من اختراق جهازه ببرنامج التجسس Predator من Cytrox، هو إعلامي مصري موجود في المنفى وهو كذلك ناقد صريح لنظام السيسي، وقد طلب هذا الشخص عدم الإفصاح عن هويته.

 

الإصابة ببرنامجين للتجسس!

بدأت الشكوك تساور أيمن نور بعد ملاحظته ارتفاع حرارة جهاز الآيفون الخاص به بشكل دائم. علم مركز “سيتزن لاب” باستهداف نور فقام بمراجعة السجلات من هاتفه ليكتشف أن جهازه قد تعرض للاختراق من قبل برنامجين مختلفين للتجسس هما: Pegasus spyware  التابع لمجموعة  NSO، وبريداتورPredator  التي طورتها  Cytrox، واللذين يديرهما عميلان حكوميان مختلفان.

الشخصان المستهدفان تعرضا للاختراق بواسطة Predator في شهر تموز 2021، وقد تمكن برنامج التجسس من إصابة آخر نسخة موجودة آنذاك من برنامج التشغيل  (14.6) Apple iOS، وذلك عبر نقرة واحدة على رابط تم ارساله عبر تطبيق واتساب WhatsApp.

ونسب مختبر “سيتزن لاب” الهجمات إلى الحكومة المصرية، بثقة متوسطة إلى عالية. وأشار إلى أن المسح الذي أجراه يصنف الحكومة المصرية كعميل ل Cytrox Predator، فيما تضمنت المواقع المستخدمة في اختراق الهدفين مواضيع مصرية. كما أن رسائل تطبيق الواتساب التي أرسلت روابط الاختراق، قد تم إرسالها من أرقام واتساب مصرية.

في سياق متصل، قام مختبر “سيتزن لاب” بإجراء مسح على الإنترنت لخوادم برامج التجسس Predator ، ووجد عملاء محتملين في كل من أرمينيا، ومصر، واليونان، وإندونيسيا، ومدغشقر، وعُمان، والمملكة العربية السعودية وصربيا.

هذا وتشير التقارير إلى أن Cytrox كانت جزءا من Intellexa، ما يسمى بـ “تحالف النجوم لبرمجيات التجسس”، والتي تم إنشاؤها لمنافسة مجموعة NSO، والتي تصف نفسها بأنها “مرخصة في الاتحاد الأوربي وأن مقرها فيه ولديها ست مواقع ومختبرات بحث وتطوير على امتداد أوروبا”.

 

إخبار الشركات عن بريداتور 

وفقاً لسياسة “سيتزن لاب” في الكشف عن الثغرات، تمت مشاركة نسخة من تحليل آثار Cytrox Predator مع شركة آبل التي باشرت تحقيقاتها. كما أنه ونظراً إلى إساءة استخدام واتساب في شن هجمات Predator، شارك المختبر أيضاً التحاليل مع الفريق الأمني في شركة ميتا Meta (المعروفة بفيسبوك سابقاً).

قامت Meta على الفور باتخاذ إجراءات ضد  Cytroxتضمنت إزالة قرابة 300 حساب فيسبوك وانستغرام ذات صلة بالشركة. وأعربت ميتا في تقرير خاص عن اعتقادها بأن عملاء Cytrox يتضمنون كيانات في مصر، أرمينيا، اليونان، المملكة العربية السعودية، عمان، كولومبيا، الإكوادور، فيتنام، الفلبين، وألمانيا. وأنهم قد حددوا استهدافات مسيئة أخرى قام بها عملاء Cytrox حول العالم.