استخبارات الخصم

ما وراء الاستشارة: فك شفرة تنبيه Apple ومعضلة برامج التجسس

تحذر Apple من هجمات برامج التجسس المرتزقة التي ترعاها الدولة والتي تستهدف أجهزة iPhone في 92 دولة. يربط عملاق التكنولوجيا الهجمات المعقدة والمكلفة بشركات برامج التجسس الخاصة مثل Pegasus التابعة لمجموعة NSO، والتي تعمل غالبًا لصالح الحكومات.

May 22, 2024

دقيقة

جدول المحتوى

مثال H2

خدمة استشارية من Apple

في 10 أبريل 2024، أصدرت Apple نصيحة بشأن إشعارات التهديدات والدفاع ضد هجمات برامج التجسس المرتزقة التي تؤثر على مستخدمي iPhone في 92 دولة. وأشار التقرير الاستشاري أيضًا إلى أنه استنادًا إلى التقارير العامة والأبحاث التي أجرتها منظمات المجتمع المدني وشركات التكنولوجيا والصحفيون، فإن الهجمات بهذه التكلفة والتعقيد غير العاديين قد تم ربطها عادةً بالجهات الفاعلة الحكومية أو الشركات الخاصة التي تصنع برامج تجسس للمرتزقة لهم، مثل Pegasus من NSO Group. اجتذب هذا الإعلان اهتمامًا واسعًا وتغطية إعلامية في جميع أنحاء العالم.

‍

‍

في حين يشير التحذير إلى أن برنامج التجسس يشبه برنامج «Pegasus»، فقد اختارت العديد من المقالات الإخبارية ومنشورات وسائل التواصل الاجتماعي استخدام «Pegasus» في عناوينها وتحديثاتها، ومن المرجح أن تجذب المزيد من الاهتمام وتزيد من الإلحاح مما يؤدي إلى خطأ القارئ/المشاهد النهائي في عزو هذه الهجمات وبرامج التجسس والمنظمات التي تقف وراءها.

تستكشف هذه المقالة كيف استفادت المصادر السرية في جميع أنحاء الويب العميق والمظلم تاريخيًا من اسم وشعار وهوية Pegasus، مما ساهم في تشويه الصورة على نطاق واسع. وهو مدعوم بأبحاث قوية وأدلة وذكاء بشري جمعها باحثو CloudSek في الأشهر الأخيرة.

تحقيق

على مر السنين، عكف باحثو CloudSek على فرز الحوادث التي تحدث في مصادر الويب المظلمة والعميقة والتحقيق فيها، مما يوفر رؤية لمشهد التهديدات العالمية. لقد واجهنا كثيرًا إشارات إلى Pegasus و NSO Group ولاحظنا العديد من الأنشطة التي تدور حولهما. ومع ذلك، بعد استشارة Apple الأخيرة بشأن إشعارات التهديدات، بدأ باحثونا العمل على هذه المقالة للتعمق في الحوادث المختلفة المرتبطة بهذه الكيانات.

واحدة من المصادر الرئيسية التي تمت تغطيتها كجزء من التحليل هي IRC Platforms. قام باحثو CloudSek بنشر حوالي 25 ألف منشور على Telegram. يتضمن جزء كبير من ذلك مطالبات ببيع شفرة مصدر Pegasus الأصلية. تميل منشورات تنبيه البيع هذه إلى اتباع نموذج يقدم خدمات غير مشروعة، ولكن النمط الشائع الذي لوحظ بين هذه الآلاف من المنشورات كان دائمًا أدوات Pegasus و NSO التي يتم تقديمها كخدمات.

*لقطة من القوالب التي تقدم خدمات غير مشروعة بما في ذلك أدوات Pegasus/NSO Group*

‍

تفاعلت مصادرنا مع أكثر من 150 بائعًا محتملًا لـ Pegasus، مما مكننا من الحصول على نظرة ثاقبة لمختلف العينات والمؤشرات المشتركة بين هذه الجهات الفاعلة. وشملت هذه المؤشرات شفرة المصدر لعينات بيغاسوس الرسمية المزعومة، وعروض فيديو حية للعينات قيد التشغيل، وهيكل ملف العينات، ولقطات من شفرة المصدر.

وقد لوحظ أن العينات المسماة Pegasus HVNC (حوسبة الشبكة الافتراضية المخفية) كانت الأكثر انتشارًا مع 6 عينات فريدة تحت نفس الفئة المنشورة على شبكة الويب العميقة بين مايو 2022 ويناير 2024.

‍

*لقطة من عينات Pegasus HVNC المنتشرة على منصات IRC*

‍

كما لوحظ سوء الاستخدام نفسه على منصات مشاركة رموز الويب السطحية، حيث كان الممثلون ينشرون أكواد المصدر الخاصة بهم التي تم إنشاؤها عشوائيًا، ويربطونها بشكل خاطئ ببرنامج Pegasus Spyware.

*لقطة من منصات مشاركة التعليمات البرمجية*

‍

يحتوي الجدول التالي على قائمة العينات المنتشرة في مصادر سرية تدعي أنها برنامج Pegasus Spyware الرسمي الذي يتم بيعه بمئات الآلاف من الدولارات:

Sample Name	MD5/SHA256 Hash
PEGASUS-LIME-HVNC-main.zip	3702DFD61CFCC80592081B8C94B9D5E1D50744FEC375F1E3958CD440A0BD03AC
PegasusHVNCclient-main.zip	5E953E81F81B82E9B8D068201E33721F404834AD1E92959A141024C39EAC25C8
pegasushvnc-main.zip	3371306320ca2b9dda1e1c1e3b92ebd9cf814133e9d4c87feb7bb074979254db
pegasushvnc2-main.zip	9cf46bcfb01bd1963e90f2e763047057275232eba80fbe541b7f3a509e285867
PEGASUS-LIME-HVNC-main.zip	9d080f15c2cdddb27aa5934c30a9ac76e53c1dea8b6bca941ba53e2b65be948c
PegasusHVNCclient-main.zip	d1fd74cc5de27b63530d9501f07450d7b7f6ec816331af858c6cca512217a76d
Pegasus. {ALL Pakages}.zip	60f5d331ac5a55138bbea0d85e844405cee2372c7a4d53c0f2893e4a1ceac635
Assasin 2.3 Pegasus.7z	a447e5f7856e989a2bd3bf782c780f96a873acd04954e63add0ef451b4d62dea
Pegasus Spyware Zero Click.7z	4a5cf1a12144a757d63eb9e7665adb45a5efed8921ffc4ae222d282612472ae2

‍

النتيجة

بعد الحصول على 15 عينة وأكثر من 30 مؤشرًا من HUMINT ومصادر الويب العميقة والمظلمة، تم اكتشاف أن جميعهم تقريبًا قاموا بإنشاء أدوات ونصوص احتيالية وغير فعالة خاصة بهم، في محاولة لتوزيعها تحت اسم Pegasus للاستفادة من Pegasus واسم NSO Group لتحقيق مكاسب مالية كبيرة.

‍

تم العثور أيضًا على مجموعة فرعية من هذه المنشورات لجعل عينات Pegasus متاحة للجمهور. أجرى باحثو CloudSek تحليلهم على أكثر من 15 عينة فريدة ولوحظ أن الجهات الفاعلة تنشر برامج ضارة لاختراق أجهزة المستخدمين النهائيين، مستفيدين من اسم Pegasus لإقناعهم بتنزيل هذه البرامج الضارة.

بالإضافة إلى منصات IRC، لوحظ اتجاه مماثل عبر العديد من المنتديات السرية، حيث يقوم الجناة بتسويق العينات وتوزيعها علنًا، مستغلين اسم Pegasus لتحقيق مكاسب مالية.

*لقطة من نشر البرامج الضارة على قنوات IRC والمنتديات السرية التي تدعي أنها عينات Pegasus الرسمية*

‍

يعد البحث أعلاه دليلًا على حقيقة أن مجموعات Threat Actor المختلفة كانت دائمًا حريصة على الاستفادة من اسم Pegasus للتسويق والربح من عيناتها التي تم إنشاؤها ذاتيًا. إضافة إلى هذه المؤامرة، فإن التطور الأخير على منصات IRC، والذي حظي باهتمام كبير، يتماشى بشكل وثيق مع مناقشاتنا حتى الآن.

‍

في 5 أبريل 2024، أعلنت مجموعة TG المسماة Deanon ClubV7 أنها حصلت على وصول شرعي إلى Pegasus وتوفر وصولاً دائمًا مقابل رسوم قدرها 1.5 مليون دولار أمريكي. زعمت المجموعة بفخر أنها أول من يؤمن الوصول إلى Pegasus، وتمكنت من بيع أربع عمليات وصول، مما حقق ما مجموعه 6000000 دولار، في غضون يومين فقط. ومن المثير للاهتمام أن المجموعة شاركت داخليًا وفخرت بنفس النصائح الرسمية التي أصدرتها Apple.

‍

*لقطة من منشور Deanon ClubV7 حول الوصول إلى Pegasus مقابل 1.5 مليون دولار أمريكي*

‍

*لقطة من منشور Deanon ClubV7 بعد إصدار المشورة الرسمية من Apple*

‍

الخاتمة

هذه الحادثة ليست معزولة، وعلى الرغم من أنه لا يمكن تحديد أي شيء محدد بشكل قاطع، إلا أنها تثير سؤالًا مهمًا. هل كل هذه الادعاءات الداخلية حول الوصول إلى شفرة مصدر Pegasus أو تسريبها، والاستفادة من سمعتها، مجرد خدعة وحيلة للتوزيع والربح من العديد من برامج التجسس المصممة خصيصًا، مع ضمان أنها لا تجذب نفس المستوى من الاهتمام وتبقى تحت الرادار؟ من المهم أن نتذكر أن Pegasus هي مجرد أداة - سلاح إلكتروني. في النهاية، تقع المسؤولية على عاتق المستخدمين الذين يستخدمونها.

‍

في ضوء هذه الأحداث، من الضروري التعامل مع سمات مثل هذه الهجمات بحذر. بدلاً من قبول الافتراضات أو احتمال تورط أفراد أو مجموعات، يعد هذا بمثابة تذكير بالتشكيك في الروايات التي نواجهها، مما يشجع على إجراء فحص نقدي لمعتقداتنا حول أصول برامج التجسس هذه.

‍