يبدو أن أجهزة الاستخبارات الداخلية اللبنانية ضُبِطَت متلبسةً بالتجسُّس على عشرات الآلاف من الأشخاص – بينهم صحفيون وعسكريون – في أكثر من 20 دولة حول العالم، وفقاً لما كشفه باحثون في مؤسسة الجبهة الإلكترونية وشركة لوك أوت المُتخصِّصة في أمن الهواتف المحمولة.
وتُعد عملية التجسُّس، التي كُشِفَت يوم الخميس 18 يناير/كانون الثاني 2018، واحدةً ضمن دزينةٍ من العمليات التي كشفتها مجموعات حقوق الإنسان والمنظمات التقنية حول العالم في السنوات الأخيرة، بينما شرعت أجهزة الاستخبارات في الاعتماد على برامج التجسُّس الخاصة بالهواتف المحمولة وأجهزة الحاسب الآلي أكثر من الصور التقليدية للتجسُّس الخفي، وفق ما ذكرت صحيفة نيويورك تايمز الأميركية.
التجسس عبر هواتف أندرويد
وأشار الباحثون إلى أنهم وجدوا دليلاً يُؤكد تجسس جهاز المخابرات اللبناني – المديرية العامة للأمن العام أو جهاز الأمن العام – على الهواتف المحمولة وأجهزة الحاسب الآلي لأهدافه مُستخدماً عدة وسائلٍ لأكثر من ست سنوات. وبحسب الباحثين، يعتمد هجومهم الرئيسي على استخدام مجموعةٍ من تطبيقات الأندرويد الوهمية المُصمَّمة لتُشبه خدمات المراسلة الشهيرة والمنتشرة مثل: واتساب وسيجنال.
وبمجرد تحميل تلك التطبيقات، يتمكَّن الجواسيس من سرقة أي شيءٍ تقريباً على هواتف ضحاياهم، ويشمل ذلك رسائل نصية تحمل رمزاً يُستَخدَم مرةً واحدةً للولوج إلى البريد الإلكتروني والخدمات الأخرى، بالإضافة إلى قوائم الاتصال وسجلات المكالمات وتاريخ التصفُّح والتسجيلات الصوتية والصور. وعلاوة على ذلك، تسمح تلك التطبيقات للجواسيس أن يلتقطوا الصور مستخدمين الكاميرا الأمامية أو الخلفية للهاتف المحمول، ويحوّلوا الجهاز إلى ميكروفون صامت لتسجيل الصوت. ولم تُصمَّم تلك التطبيقات لاستهداف مستخدمي جهاز آيفون من شركة آبل.
وقال مايكل فلوسمان، المُحلِّل الأمني في شركة لوك أوت، في إشارةٍ إلى الاسم الذي أطلقه هو والباحثون على الجواسيس اللبنانيين المُحتَمَل أن يكونوا مسؤولين عن عمليات التجسس: "أحد أهم النتائج التي توصَّلنا إليها في التحقيقات هي أن الفاعلين أمثال "Dark Caracal" يبتعدون عن التجسُّس المعتمد على قدرات أجهزة الحاسب الآلي فقط ويتجهون الآن لأدوات الهواتف المحمولة من أجل جمع المعلومات".
ويُعتبر جهاز الأمن العام بمثابة وكالة الاستخبارات الداخلية الرئيسية في لبنان، ويمتلك مدير الجهاز اللواء عباس إبراهيم، الذي يحمل رتبة لواء في الجيش اللبناني، ملفاً ذاتياً متنامياً وملفَ أعمالٍ متوسعاً. وتُشرِف الوكالة على منح تصاريح الإقامة للأجانب، بدايةً من الدبلوماسيين وعشرات الآلاف من مواطني دول جنوب شرق آسيا العاملين في البلاد، وصولاً إلى أكثر من مليون لاجئ سوري. ولطالما عُرِفَ عن الوكالة خبرتها ونفوذها النابع تقليدياً من مخابراتها البشرية، وليس أساليب التجسُّس ذات التقنية العالية.
وصرح اللواء إبراهيم لوكالة رويترز، قُبيل نشر التقرير: "الأمن العام لا يمتلك هذا النوع من الإمكانيات. ونتمنى لو كانت بحوزتنا". لكن المديرية العامة للأمن العام رفضت التعليق على التقرير الصادر يوم أمسٍ الخميس.
الحملة بدأت منذ 6 سنوات
وشرع الباحثون بمؤسسة الجبهة الإلكترونية ولوك أوت في التعاون لكشف ما ظنوا أنه حملةُ تجسُّسٍ قومية مُحتَمَلة من الدولة على المواطنين عام 2016. وفي العام نفسه، أصدرت مؤسسة الجبهة الإلكترونية تقريراً يُوثِّق حملة تجسُّسٍ على الصحفيين والنشطاء الذين انتقدوا السلطات في كازاخستان. وشملت الحملة تقنياتٍ استخدمها الجواسيس ضد مستخدمي نظام تشغيل أندرويد. وعرضت شركة لوك أوت، العاملة في مجال أمن الهواتف المحمولة، تقديم المساعدة.
ونتيجةً لهذا التعاون، تتبَّع الباحثون عمليات التجسس للسيطرة والتحكُّم في الخوادم التي يُديرها المهاجمون. وبالنظر إلى الجهة التي سجَّلَت تلك الخوادم وتوقيت تسجيلها وتواريخ بعض المحتوى المسروق، توصَّلَ الباحثون إلى أن هذه الحملة مستمرةٌ منذ قرابة الست سنوات.
واستهدفت الهجمات عدداً من الصحفيين والنشطاء والمسؤولين في الحكومة وضباط الجيش والمؤسسات المالية ومقاولي الدفاع وغيرهم في 21 دولة. وشملت تلك الدول: الولايات المتحدة والصين وألمانيا والهند وروسيا والمملكة العربية السعودية وكوريا الجنوبية، علاوةً على لبنان نفسها.
وتتبَّع الباحثون الهجمات وصولاً إلى مبنى في بيروت يضم مكاتب المديرية العامة للأمن العام، باستخدام شبكات واي فاي وعناوين آي بي مزعومة مرتبطة بأجهزة المهاجمين. وبينما فشل الباحثون في التأكد من أن الهجمات كانت من تصميم الأمن العام أو صنيعة بعض الموظفين المحتالين، بدت الكثير من الهجمات متصلةً بعنوان البريد الإلكتروني [email protected] – الذي رُبط بينه وبين الكثير من الشخصيات المختلفة على الإنترنت مثل: "نانسي رزوق" و"رامي جبور". وتجمَّعَت العناوين الفعلية المُدرَجة مع التسجيلات التي أجراها ذلك البريد الإلكتروني حول مبنى الأمن العام في بيروت، وفقاً للنشاط اللاسلكي للمستخدمين.
ولم تصل الرسائل التي أُرسلَت لذلك البريد الإلكتروني.
كيف أوقعوا بضحاياهم؟
وكجزءٍ من عملهم، اكتشف الباحثون أدلةً على توجيه الجواسيس اللبنانيين لضحاياهم بتثبيت التطبيقات عن طريق محادثات الواتساب التي بدأت بسؤالٍ بريء مثل: "كيف حالك؟"، وأُرفِقَ رابطٌ لتطبيقات التجسُّس في الرسائل التالية مع عباراتٍ مثل: "يمكنك تحميل التطبيق من هنا للتواصل أكثر".
وفي حالاتٍ أخرى، وصل الجواسيس لأهدافهم على فيسبوك وقاموا بدعوتهم لمجموعات فيسبوك نشروا عليها روابط لتطبيقاتهم المُزيَّفة، والتي أشاروا إليها بأسماءٍ مثل "WhatsApp plus".
وعلاوة على ذلك، وجَّه الجواسيس ضحاياهم إلى مواقعٍ إلكترونية مزيفة للولوج إلى حساباتهم الشخصية على الشبكات الاجتماعية، مثل تويتر وفيسبوك، بغرض سرقة بياناتهم والاستيلاء على حساباتهم وإرسال المزيد من الرسائل المخادعة للمزيد من الناس.
ووجد الباحثون أيضاً دليلاً على استخدام المسؤولين اللبنانيين لبرنامج "FinFisher" من إصدار شركة غاما إنترناشونال البريطانية، التي تبيع أدوات المراقبة التي تسمح للعملاء بتحويل الحاسب الآلي والهاتف المحمول إلى أجهزة تنصت لمراقبة رسائل الهدف واتصالاته وموقعه الجغرافي. وعلاوةً على ذلك، اكتشف الباحثون أن الجواسيس صمَّموا أدواتٍ خاصة بهم للتجسس على الهواتف المحمولة، وهي أدواتٌ أقل تطوراً من "FinFisher" لكنها بنفس الفاعلية في جمع المعلومات التي يسعون للحصول عليها.
وصرَّحَ مارتن جاي مونش، المدير الإداري لغاما إنترناشونال، أن شركته تبيع أدوات المراقبة للحكومات فقط بغرض استخدامها في التحقيقات الجنائية والإرهابية. لكن صحيفة التايمز نشرت في أكثر من مناسبةٍ أخباراً ظهرت فيها أدوات مونش فجأةً على الهواتف المحمولة التي يستخدمها الصحفيون والنشطاء. ورفضت مجموعة غاما التعليق على هذا الشأن يوم الخميس.
وكشف الباحثون النقاب عن أدلةٍ تُثبت تحميل المسؤولين اللبنانيين لعدة أنواعٍ من البرمجيات الخبيثة على الحواسب الآلية المملوكة للضحايا؛ وصُممت تلك البرمجيات الخبيثة للعمل على مختلف أنظمة التشغيل مثل: "مايكروسوفت ويندوز" و"ماكنتوش" من آبل و"لينكس". ويُمكن لتلك البرمجيات الخبيثة سرقة لقطات للشاشة من الحواسب الآلية للضحايا، واستخدام كاميرا الويب للتجسس على موقع الضحية الجغرافي، وتسجيل الصوت، والاستيلاء على صور وأنشطة سكايب، وسجل الملفات والملفات المخزنة، والنسخ الاحتياطية لآيفون.
وبُمجرد نشر الباحثين لتقريرهم يوم الخميس، اختفت الخوادم التي تُنفذ عمليات التجسس من على الشبكة.