تابعنا
استعادت مجموعة القرصنة الإلكترونية "باهاموت" سمعتها السيئة بعدما نشرت شركة "بلاك بيري" تقريراً عنها يُفصِّل وسائلها وقدراتها ونطاقها الواسع.

يبدو أنَّ مجموعة القرصنة الإلكترونية السرية هذه تمتلك عدداً قليلاً من الأنماط في هجماتها، وكان معظم بلدان الشرق الأوسط ضحية لها. واستهدفت هجماتُها المُخطَّط لها جيداً تركيا وقطر وباكستان وإيران ومصر والسعودية، مع اهتمامٍ كبير باستهداف النشطاء والصحفيين ومنظمات حقوق الإنسان.

يشير اسم المجموعة، "باهاموت"، إلى وحش بحري عملاق في الأساطير العربية القديمة، ترتكز فيه الأرض فوق رأس ثور، يقف فوق الباهاموت، الذي يحمله بدوره ملاك. انتقل الاسم الأسطوري إلى اللغة الإنكليزية، وأصبح هو أصل الكلمة "behemoth" (بمعنى القوي والضخم للغاية).

استعادت المجموعة سمعتها السيئة بعدما نشرت شركة "بلاك بيري" تقريراً عن المجموعة يُفصِّل وسائلها وقدراتها ونطاقها الواسع. وحذَّر التقرير كذلك من تنامي قدرات الحرب السيبرانية (الإلكترونية) في شرق أوسط يتسم بالتغيُّر السريع.

استند تقرير بلاك بيري إلى عدد من التقارير السابقة التي تُفصِّل عمليات الاختراق الإلكتروني التي بدأت منذ 2016. وبالنظر إلى النطاق الواسع للأهداف والاهتمامات المتنوعة، خلص باحثو بلاك بيري إلى أنَّ المجموعة على الأرجح مجموعة مرتزقة للإيجار، "وهو ما يعكس مستوى مهارة يتجاوز كثيراً معظم مجموعات التهديد الفاعلة الأخرى المعروفة".

تستخدم المجموعة أساليب متنوعة، بما في ذلك ثغرات يوم الصفر (وهي نقاط ضعف لا يكون مصمم الحاسوب أو الهاتف مدركاً وجودها) وحملات الخداع الإلكتروني الذكية، التي تقدم نسخاً مزيفة من المواقع الإلكترونية أو الرسائل النصية لأحد المستخدمين وتحثه على إدخال اسم المستخدم وكلمة المرور خاصته.

وتفيد شركة بلاك بيري بأنَّ باهاموت صمَّمت أيضاً تطبيقات لاختراق الهواتف، ومواقع شبه مثالية تتضمَّن سياسات للخصوصية وشروطاً للخدمة. وشمل هذا تطبيقات لخدمات بث الفيديو، وتسجيل المكالمات، والموسيقى، ومواقيت الصلاة، والدردشة، والشبكات الخاصة الافتراضية (vpn)، والقرآن الكريم.

وتتمثل إحدى نقاط قوتها الكبيرة في الأخبار الزائفة، مع القدرة الواضحة على اختلاق شخصيات ونشطاء زائفين، وصفحات شخصية، وإعداد مواقع كاملة للأخبار الزائفة تُقدِّم أخباراً حقيقية مع معلومات مضللة غير ملحوظة.

عالم غامض

منذ ظهرت باهاموت لأول مرة عام 2016، تبنَّت عدداً من الأسماء، ووجد باحثو شركة بلاك بيري أوجه تشابه بين الكثير من أسمائها المستعارة. على سبيل المثال، هاجمت المجموعة مصالح أمنية وصحفاً باكستانية تحت شعار "The White Company" (الشركة البيضاء).

لكنَّ التقرير يطرح تساؤلات جدية بشأن أوجه التشابه المحتملة بين المجموعة ودولة الإمارات العربية المتحدة.

اقرأ أيضاً:

أولاً، حدث صعود باهاموت في نفس العام الذي بدأت فيه الإمارات بناء قدراتها الوليدة في الحرب السيبرانية. وكانت مجموعتها التكنولوجية سيئة السمعة "DarkMatter" هي النسخة الأخيرة من "Project Raven" (مشروع ريفين)، الذي استخدم موظفين سابقين بوكالة الأمن القومي الأمريكي للتجسس واختراق حكومات ونشطاء حقوق الإنسان ومواطنين أمريكيين.

اخترق مشروع ريفين في عامَي 2016 و2017 مئات من هواتف آيفون والحواسيب حول العالم، بما في ذلك الأجهزة الخاصة بأفراد في حكومات قطر وتركيا واليمن وإيران.

وعلى نفس المنوال، اضطلعت الإمارات بدور رئيسي في التوسط في صفقة بين ممثلي ولي العهد السعودي الأمير محمد بن سلمان، ومجموعة NSO، وهي شركة معلومات استخباراتية ومراقبة إسرائيلية لها علاقات سياسية عميقة.

شهدت الصفقة استخدام الاستخبارات السعودية برمجية "بيغاسوس"، وهي برمجية قرصنة قادرة على اختراق أجهزة ماك بوك وآيفون التي كانت آمنة قبل ذلك. واستفادت الإمارات والسعودية بشكل كامل من قدراتهما الجديدة، فاخترقتا هاتف الصحفي جمال خاشقجي قبل مقتله، فضلاً عن مجموعة واسعة من المعارضين والأعداء والخصوم السياسيين.

وفي حين تمتد علاقات الإمارات مع مجموعة NSO الإسرائيلية إلى عام 2013، فإنَّ دخولها السعودية حدث قبل أشهر من حملة التطهير سيئة السمعة لمحمد بن سلمان عام 2017، والتي شهدت سجن 159 من الأمراء وقادة الأعمال السعوديين بفندق ريتز كارلتون.

صدفة أم علاقة ارتباط؟

كشف المحلل والباحث الأمني بمجموعة DarkMatter طه كريم، وهو مواطن فرنسي من أصول شمال إفريقية، أحد الأسماء المستعارة لباهاموت، "Windswept" (تذروه الرياح). ويتوسع تقريره بشأن كيفية امتلاك Windswept القدرة على استغلال ثغرات يوم الصفر في هواتف وحواسيب شركة آبل، بعد فترة طويلة من ترسيخ الشركة التي كان يعمل بها استخدامها لنفس الأساليب على المعارضين والنشطاء والخصوم السياسيين.

وفي حين لا يزال غير واضح ما إن كان كريم مدركاً كل ما يدور في شركته، يوجد تشابه مذهل بين المجموعتين اللتين كانتا تستخدمان نفس أساليب الاختراق على بعض الأهداف نفسها وفي نفس الوقت.

لكنَّ الصدف تستمر في الازدياد.

أزمة قطر

كان أحد الأسباب الرئيسية للأزمة الخليجية التي أدَّت إلى حصار قطر هو اختراق وكالة الأنباء القطرية، وهو الأمر الذي يؤكد مسؤولو الاستخبارات الأمريكية أنَّه نُوقِش من جانب أعضاء كبار بالحكومة الإماراتية، مع تأكيد عدم تأكدهم في الوقت نفسه مما إن كانوا نفذوا الهجوم بصورة مباشرة أم تعاقدوا مع طرف ثالث لتنفيذه.

في 24 مايو/أيار 2017، نشر موقع وكالة الأنباء القطرية المُختَرَق تقارير زائفة نقلت خطأً عن أمير قطر الشيخ تميم بن حمد آل ثاني، إعلانه أنَّ إيران "قوة إسلامية" وإشادته بحركة حماس.

حظرت السعودية والإمارات والبحرين ومصر بصورة جماعية وسائل الإعلام القطرية، مُتذرِّعين بتصريحات الأمير التحريضية، وأعلنت تلك الدول فرض مقاطعة تجارية ودبلوماسية، قبل أن تغلق حدودها مع الدولة الخليجية الصغيرة كذلك.

جرى توجيه اختراق وكالة الأنباء القطرية من خلال عنوان بروتوكول إنترنت (IP) روسي، مشابه لهجمات باهاموت المعتادة، ولو أنَّ ذلك لا يثبت أنَّ عملية الاختراق مصدرها روسيا. دُعِم الاختراق أيضاً بجيش من بوتات (روبوتات) تويتر الزائفة، عمل على نشر الأخبار الزائفة.

ويكشف وثائقي استقصائي لشبكة الجزيرة أنَّه جرى استخدام 80 ألف حساب زائف على تويتر. ويقول الاستقصائيون القطريون إنَّ قرابة 80% من الزيارات لموقع الوكالة في يوم الثلاثاء عند منتصف الليل جاءت من عنوانIP في الإمارات، استمر في في تحديث (Refresh) الصفحة، على الأرجح انتظاراً لظهور القصة الخبرية.

وفي حين استولى مخترقون مدعومون من الدولة على رسائل بريد إلكتروني لشركات وسرَّبوها، واخترقوا اللجنة الوطنية للحزب الديمقراطي الأمريكي، وغيَّروا ربما مسار الانتخابات الأمريكية عام 2016، وشنّوا هجمات على محطات الطاقة في أوكرانيا، تمثل هذه المرة الأولى التي يستخدم فيها هجوم سيبراني الأخبار الزائفة لإشعال مواجهة دولية.

والمجموعة الأخرى الوحيدة المعروفة والمتأصلة في استخدامها لحسابات التواصل الاجتماعي الزائفة، ومقالات ومواقع الأخبار الزائفة، هي باهاموت، الأمر الذي يطرح احتمالية مقلقة.

دليل خبري غائب

ودفاعاً عن الإمارات، كان البلد أيضاً ضحية لهجمات مزعومة من جانب باهاموت. لكن بالنظر إلى سوابق الماضي المتمثلة في أنَّ المواطنين الإماراتيين أنفسهم ليسوا محميين من اليد الطولى لدولة الرقابة التي ظهرت في قرصنة الناشط الإماراتي أحمد منصور وتعذيبه، فإنَّ هذا الدفاع ليس مطلقاً.

كان من بين الضحايا المزعومين شيماء قرقاش، نائبة رئيس البعثة الإماراتية لدى الولايات المتحدة حالياً، وأنور قرقاش، وزير الدولة الإماراتي للشؤون الخارجية، ورئيس أحد مراكز الأبحاث الإماراتية، إلى جانب مؤسسات أخرى تابعة للدولة.

مع ذلك لا يمكن العثور على أي مقالات إخبارية تذكر أي شكل من أشكال الاختراق لشيماء قرقاش. أمَّا في ما يتعلَّق بوزير الدولة الإماراتي للشؤون الخارجية، ففي حين توجد إشارة إلى عملية اختراق، فإنَّها لم تتم أبداً. وزُعِمَ أنَّ الوزير خُدِع بتسجيل دخول زائف لغوغل، حدث بعد اختراق وكالة الأنباء القطرية، حين كان يحاول قراءة مقال عن الدعم الحكومي الشرق أوسطي لدونالد ترامب.

لكن يمكن الحسم بدرجة كافية أنَّه لا يمكن العثور على أي اختراق لوزارة الدفاع الإماراتية، أو المجلس الأعلى للأمن الوطني، أو لرئيس مركز الأبحاث الذي يُزعَم أنَّ الهجمات تمّت فيه.

أساليب متشابهة وأدوات متشابهة

على الرغم من عدم وجود دليل دامغ يربط الإمارات بمجموعة باهاموت، فإنَّ أساليبهما وتوقيت تنامي قدراتهما في الحرب السيبرانية تُظهِر أوجه تشابه كبيرة، ما يترك الباب مفتوحاً أمام إمكانية أن يكون جرى التعاقد مع باهاموت كطرف ثالث لتحقيق أهداف إماراتية.

وبوضع الإمارات وملكية باهاموت واستخدام ثغرات يوم الصفر ضد المعارضين جانباً، يبرز رابط مثير للقلق مع مجموعة NSO الإسرائيلية التي قدَّمت برمجية القرصنة الإلكترونية للإمارات في المقام الأول.

ويُفصِّلت قرير أمني لموقع Bellingcat الاستقصائي كيف استخدمت باهاموت إخطاراً زائفاً من تطبيق يُدعىTruecaller لاستهداف أحد أقارب الرئيس الإيراني حسن روحاني، ومعارضَين إيرانيَّين اثنين، ورئيس أحد مراكز الأبحاث الإماراتية.

ووثَّق تقرير لمنظمة العفو الدولية هجوماً مماثلاً تقريباً، يشير إلى استخدام برمجية إسرائيلية في استهداف نشطاء مغاربة، من خلال إخطار زائف من تطبيق Truecaller. وأكَّدت المنظمة أنَّ هذا تم من خلال برمجية التجسس الإسرائيلية بيغاسوس، التي استُخدِمَت منذ ذلك الحين على نطاق واسع من جانب الإمارات والسعودية.

وفي توصيف كتابيّ للباهاموت، يُفصِّل الكاتب خورخي بورخيس كيف أنَّ الرب خلق باهاموت لتدعيم الأرض، وجعل الماء تحت الباهاموت لتدعيمه، وجعل الظلمة تحت الماء.

كتب بورخيس: "تخفق معرفة الجنس البشري في معرفة ما تحت الظلمة". وبعد قرابة 53 عاماً، لا تزال كلماته صامدة وصحيحة. فربما لا يغادر صانعو باهاموت ورُعاته الظلمة أبداً.

TRT عربي