يطلقون عليه لقب مستر هاشتاغ السعودي، والآن بعد ما قيل عن أنه أدار عملية اغتيال جمال خاشقجي في إسطنبول، فإنه قد يكون متورطاً أيضاً في صفقات واسعة لشراء برمجيات تجسس على المعارضين السعوديين.
إنه سعود القحطاني، المستشار الأمني السابق لولي العهد السعودي الأمير محمد بن سلمان، الذي أشرف على عملية اختطاف وقتل الإعلامي السعودي عبر "سكايب"، وقد يكون له أيضاً دور محوري في عمليات التجسس الواسعة التي تديرها الرياض ضد معارضيها، حسبما ورد في تقرير لمجلة Motherboard-Vice الأميركية-الكندية.
عمليات تجسس واسعة وصلت إلى تجنيد موظف في تويتر
خلال الفترة الماضية، كُشفت عمليات تجسس واسعة تديرها المملكة ضد معارضيها، وسلّطت جريمة قتل خاشقجي أكثر الضوء على هذه العمليات.
فقد كشف باحثون أمنيون، في مطلع هذا الشهر أكتوبر/تشرين الأول 2018، أنَّ الحكومة السعودية حاولت اختراق أحد المعارضين السعوديين البارزين الذي يعمل في مجال حقوق الإنسان ويعيش في كندا.
وجاء ذلك بعد أسابيع قليلة فقط من اتهام منظمة العفو الدولية (Amnesty) للسعودية باستخدام برامج تجسس متطورة لاختراق أحد الباحثين العاملين لديها.
بعد ذلك، كشفت صحيفة The New York Times الأميركية أنَّ السعوديين حوّلوا أحد موظفي تويتر إلى جاسوس ساعدهم في مراقبة نشطاء الحقوق على شبكة الإنترنت، من خلال الاطّلاع على حساباتهم ورسائلهم الخاصة.
وهذه فقط الأنشطة التي كشفت مؤخراً وأظهرت مساعي السعودية العدوانية لقمع المعارضة وتعقب النشطاء عبر الإنترنت.
ويبدو أن الأدوات التي يفضل النظام استخدامها على الإنترنت هي "البوت" (Bots) على شبكة التواصل الاجتماعي تويتر، لنشر المعلومات المضللة والحملات الدعائية الموالية للحكومة، وبرامج التجسس لتعقب من يجرأون على التحدث.
وتعد تلك الممارسات جزءاً من حملة شاملة شَنَّتها المملكة لسنوات على حرية التعبير.
ولكنها لاقت الاهتمام في أعقاب مقتل الصحافي جمال خاشقجي الذي خططت له الدولة، وهو مواطن سعودي كان ينتقد ولي العهد محمد بن سلمان في مقالاته في صحيفة The Washintgon Post الأميركية.
لقد أصبحت المملكة آلة قرصنة متطورة.. وهذه الشركة الإيطالية ساعدتها على ذلك
أصبحت السعودية آلة قرصنة متطورة، قادرة على استهداف المعارضين الذين يعيشون على الجانب الآخر من العالم باستخدام برامج تجسس باهظة الثمن، حسب وصف التقرير.
فلقد ركَّز النظام السعودي منذ فترة طويلة على مراقبة المعارضين والنشطاء.
إذ اشترت الدولة أدوات القرصنة من شركة برامج التجسس الإيطالية Hacking Team، وفقاً لرسائل البريد الإلكتروني التي خرجت للعلن بعد أن تعرَّضت الشركة لاختراق عام 2015.
Prominent Saudi woman activist #Manal_Alsharif quits social media.
In her video, Sharif said she believes that Twitter is now controlled by "trolls, pro-government mobs and bots" who are being "paid by pro-government [agents] to silence, intimidate and harass dissidents". pic.twitter.com/0SrJM7DrWZ
— Tweeterist (@Tweeterist_) October 30, 2018
وظهرت كمية الأموال التي دفعتها للرياض بعد تعرّض الشركة للاختراق، ثم سارعت المملكة بإنقاذها
وقد دفعت عدة وكالات سعودية ما يقرب من 6 ملايين دولار لشركة Hacking Team خلال خمسة أعوام، حسبما أظهرت جداول بيانات مسّربة ضمن الاختراق الذي تعرَّضت له شركة Hacking Team عام 2015.
وفي عام 2016، أي بعد مرور عام على عملية الاختراق المحرجة التي تعرضت لها الشركة، استحوذ مستثمر سعودي غامض على 20% منها.
وعملية الشراء هذه أنقذت الشركة من الانهيار، كما ذكرت مجلة Motherboard في أوائل هذا العام.
ومراسلات باسم سعود القحطاني ظهرت في سجلات الشركة
ووفقاً لرسائل البريد الإلكتروني الخاصة بشركة Hacking Team، فإن مستشاراً للحكومة السعودية يدعى سعود القحطاني كان بمثابة حلقة الوصل الرئيسية بين السعودية والشركة.
ويبدو أنّ القحطاني هو نفس الشخص الذي قد أشرف أيضاً عبر سكايب على عملية قتل خاشقجي.
إذ يعتقد أن سعود القحطاني أنه وجّه إهانات إلى الصحافي المغدور.
وبحسب ما ذكرت وكالة Reuters فقد أمر مستر هاشتاغ السعودي فريق القتل بالتخلص منه بقوله "أحضروا لي رأس هذا الكلب".
ولهذا السبب نال لقب مستر هاشتاغ السعودي
عمل سعود القحطاني مستشاراً إعلامياً لولي العهد السعودي محمد بن سلمان.
وسمّاه البعض ستيف بانون السعودي، أو مستر هاشتاغ (Mr. Hashtag) لاستخدامه الحاذق للحملات الدعائية والشبكات الاجتماعية عبر الإنترنت.
واعتاد مستر هاشتاغ السعودي أن يضطلع بدور رئيسي لحساب الحكومة السعودية.
إذ تولى قيادة جهود المملكة الحثيثة لنشر المعلومات المضللة ومضايقة المنتقدين على الشبكات الاجتماعية، مما أكسبه لقب "سيد المتصيدين".
والآن تبيَّن أنه له دور خفي أكثر خطورة
لكن بعيداً عن الشبكات الاجتماعية، يبدو أنَّ سعود القحطاني، أو شخص يدَّعي أنه هو، اضطلع بدورأكثر أهمية بالنسبة للحكومة، وهو التواصل مع شركة Hacking Team وعقد اجتماعات مع رؤسائها من أجل شراء أدوات المراقبة التي كانت تنتجها.
ومن المرجح أن مستر هاشتاغ السعودي تفقَّد أيضاً بقية الإنترنت بحثاً عن أدوات القرصنة لاستخدامها ضد المعارضين لصالح بلاده، وفقاً لما أظهرته تحقيقات المجلة الأميركية الكندية.
وكان القحطاني على ما يبدو جزءاً لا يتجزأ من علاقة واسعة بين السعودية مع شركة Hacking Team.
إذ لدى شخص عرّف نفسه باسم سعود القحطاني مراسلات كثيرة على مر السنين مع شركة Hacking Team عبر البريد الإلكتروني الحكومي الرسمي [email protected] و[email protected]، وفقاً لرسائل البريد الإلكتروني الخاصة بالشركة التي سرَّبها القراصنة عام 2015.
كيف بدأ هذه العلاقة مع الشركة المتخصصة بالتجسس؟ بريد سعودي رسمي يكشف التفاصيل
كتب القحطاني مستخدماً ذلك البريد الإلكتروني الذي ينتهي بـ gov.sa في رسالة أُرسلت مباشرة إلى المؤسس المشارك والرئيس التنفيذي لشركة Hacking Team، ديفيد فينسنزيتي عام 2015: "نحن هنا في مركز الرصد والتحليل الإعلامي في الديوان الملكي السعودي (مكتب الملك) ونود أن ينشأ بيننا تعاون مثمر وشراكة استراتيجية طويلة الأمد".
تُظهر رسائل البريد الإلكتروني أنَّ شركة Hacking Team كانت تدير نشاطاً تجارياً مع هذا الشخص، وقد رد فينسنزيتي على القحطاني على الفور، مشيراً إلى أنّ "أحد الزملاء العرب الموثوق بهم سوف يتصل بك قريباً".
وأشارت رسالة بريد إلكتروني تبادلتها شركة Hacking Team مع عنوان البريد الإلكتروني الذي سُجل على الموقع الرسمي للحكومة السعودية إلى أن هناك مكالمات هاتفية أجريت بين ممثلي الشركة والقحطاني، ويبدو أنَّ إحدى تلك الرسائل كانت عن الدعم الفني لاستكشاف الأخطاء وإصلاحها.
ولكن قبل ذلك كان يستخدم بريده الشخصي
وفي عام 2012، أي قبل أن يتواصل عنوان البريد الإلكتروني[email protected] التابع للحكومة مع شركة Hacking Team بأعوام، تواصل شخص أطلق على نفسه اسم "سعود القحطاني" مع شركة Hacking Team.
وعرَّف القحطاني نفسه كأحد أعضاء الحكومة السعودية، قائلاً إن الحكومة السعودية مهتمة بشراء برامج التجسس، وفقاً لما تظهره رسائل البريد الإلكتروني المسربة.
كما عرّف القحطاني نفسه بأنه موظف في "مكتب الملك في الديوان الملكي السعودي"، واستخدم البريد الإلكتروني [email protected].
وقد تحرت المجلة عن هذا البريد.
واستخدم بريده الإلكتروني الموثق على تويتر للتواصل مع الشركة وللدخول لموقع شهير للقراصنة
وعلمت مجلة Motherboard أنَّ حساب القحطاني على تويتر الموثَّق، الذي يستخدمه لكتابة تصريحات سياسية قوية ضد أعداء السعودية في المنطقة، هو @ saudq1978، وقد أنشأه في فبراير/شباط عام 2011.
إذ يبدو أنه يستخدم في هذه المراسلات نفس البريد الموثق على تويتر.
وقد استُخدم عنوان البريد الإلكتروني [email protected] أيضاً عام 2009، لتسجيل حساب على موقع Hack Forums الشهير، الذي يسبق رسائل البريد الإلكتروني إلى شركة Hacking Team وإنشاء حساب تويتر الموثَّق.
أتقدم بجزيل الشكر والعرفان لمقام مولاي خادم الحرمين الشريفين، وسمو سيدي ولي العهد الأمين؛ على الثقة الكبيرة التي أولوني إياها، ومنحي هذه الفرصة العظيمة للتشرف بخدمة وطني طوال السنوات الماضية…
سأظل خادماً وفياً لبلادي طول الدهر، وسيبقى وطننا الغالي شامخاً بإذن الله تعالى.— سعود القحطاني (@saudq1978) October 20, 2018
ولكن الشركة كانت متشككة في البداية فيه، فهي لا تتعامل إلا مع الحكومات
"نريدكم أن تأتوا في أسرع وقت ممكن"، كتب أحدهم هذه الكلمات مستخدماً عنوان البريد الإلكتروني [email protected] في إحدى أوائل رسائل البريد الإلكتروني التي أُرسلت إلى موظفي شركة Hacking Team.
لم تتمكن مجلة Motherboard من الربط بشكل وثيق بين البريد الإلكتروني [email protected] والقحطاني.
لكن لهجة ومحتوى رسائل البريد الإلكتروني مشابهين لتلك الرسائل المُرسلة من عنوان البريد الإلكتروني [email protected] وتُظهر رسائل البريد الإلكتروني أيضاً أن شركة Hacking Team كانت متشككة في البداية وطلبت منه استخدام عنوان بريد إلكتروني رسمي.
وأخبرهم أحد مديري المبيعات في الشركة: "بما أنَّ سياستنا لا تسمح لنا إلا بالعمل مع الوكالات الحكومية، فإنني أرغب في معرفة المزيد من المعلومات حول هذه الفرصة (اسم الوكالة واحتياجاتها). ونرجو التكرم باستخدام عنوان البريد الإلكتروني الرسمي الخاص بكم".
غير أنه ردّ عليهم بأنه مفوض بشكل رسمي من الحكومة السعودية ودعاهم لزيارة الرياض
وردَّ الشخص الذي يستخدم البريد الإلكتروني [email protected] على شركة Hacking Team أنه لم يكن لدى الديوان الملكي في ذلك الوقت بريد إلكتروني رسمي.
وكتب قائلاً: "أنا مفوض من حكومتي للاتصال بكم. نحن من مكتب الملك في الديوان الملكي السعودي، ليس لدينا بريد إلكتروني رسمي ونستخدم الفاكس الآمن فقط".
وكان من الواضح أن شركة Hacking Team تشعر بالرضا عن هذا الرد (أو أنّه أتبع برسالة عبر الفاكس)، لأن الشركة استمرت في التواصل مع عنوان البريد الإلكتروني المذكور.
وفي النهاية رتبت لعقد اجتماع في العاصمة السعودية، الرياض: إذ قال أحد مديري حسابات الشركة في رسالة بريد إلكتروني: "إنه لمن دواعي سرورنا في شركة Hacking Team أن نزوركم في الرياض. سنحضر لنريكم عرضاً تجريبياً مباشراً، وعرضاً للحلول لدينا في 9 مايو/أيار عام 2012".
كما كان نشطاً لسنوات في مجال آخر.. يبحث عن أدوات للرقابة بمنتديات جرائم الإنترنت
وفي حين كانت المراسلات دائرة بين هذا الشخص الذي يستخدم عنوان البريد الإلكتروني [email protected] وشركة Hacking Team، كان ينشط في مكان آخر على الإنترنت في الوقت نفسه تقريباً، بحثاً عن أدوات الاختراق والمراقبة.
كان الشخص الذي يستخدم نفس عنوان البريد الإلكتروني [email protected] المستخدم في المراسلات السابقة مع Hacking Team باسم "سعود القحطاني" أيضاً عضواً فعالاً في منتديات جرائم الإنترنت لعدة سنوات.
إذ كان مستر هاشتاغ السعودي يطلب المساعدة في اختراق الضحايا باستخدام برامج المراقبة.
ويعتبر المنتدى مكاناً لمخترقين أغلبهم صغار السن ومن ذوي المهارات المحدودة، ويمكن لمستخدميه تبادل نصائح القرصنة وشراء أدوات وخدمات القرصنة البدائية.
واستخدم نفس البريد الإلكتروني وأصبح واحداً من أشهر المستخدمين
ويحتاج المستخدمون إلى بريد إلكتروني للتسجيل للحصول على حساب مستخدم في المنتدى، واستُخدم البريد الإلكتروني [email protected] لتسجيل المستخدم Nokia2mon2، وفقاً للبيانات التي نشرها قراصنة الإنترنت الذين اخترقوا موقع Hack Forums عام 2011، التي راجعتها مجلة Motherboard.
وأخبر أحد مرتادي موقع Hack Forum المطلعين مجلة Motherboard أنَّ Nokia2mon2 كان لديه عنوان سعودي على حساب Paypal الذي استخدمه للتبرع للمنتدى. وقال المصدر إن بعض الشركات في المنتديات في ذلك الوقت عملت مع المستخدم على افتراض أنه كان يعمل لحساب الحكومة السعودية.
وقال المصدر، الذي طلب عدم الكشف عن هويته، لتفادي لفت الانتباه إلى شخصيته على الإنترنت: "تكوَّن لديَّ انطباع بأنّه كان على صلة وثيقة بالأسرة المالكة.
وكانت الشائعات تقول إنه كان يستخدم Hack Forums للحصول على أدوات تساعده على التجسس على الصحافيين والأجانب والمعارضين".
وعند إدخال اسم Nokia2mon2، يصفه موقع المنتدى بأنه "أحد أشهر مستخدمي Hack Forums".
حتى إنه قدَّم تبرعات ضخمة للمنتدى
وقد قدم الشخص الذي يحمل اسم Nokia2mon2 تبرعات ضخمة للمنتدى، بلغت أكثر من 100 ألف دولار. حسب ما تقوله الجوائز التي منحها له فريق الإشراف على الموقع والمدرجة في الملف الشخصي للمستخدم.
وقد نشر Nokia2mon2 عدد 501 مشاركة على الموقع بين عاميّ 2009 وأبريل/نيسان 2016.
وكثيراً ما كان هذا المستخدم يطلب المساعدة في استخدام برامج التجسس وشرائها.
ولكن في ذلك عام أي 2016 توقف حساب مستر هاشتاغ السعودي عن العمل.
وطلب فيروساً لاختراق حواسيب ماك
"هل هناك أي فيروس يمكن أن يؤثر على حواسيب ماك"؟
طرح حساب Nokia2mon2 الذي يعتقد أنه يعود لمستر هاشتاغ السعودي هذا السؤال في مارس/آذار عام 2014، باستخدام لغة أمن المعلومات الخاصة بأداة الاختراق عن بعد.
وهو برنامج يمكن استخدامه للتحكم في أجهزة الكمبيوتر عن بعد وهو شائع بين مخترقي الشبكات الذين يهدفون إلى اختراق أجهزة الكمبيوتر الخاصة بالضحايا وسرقة ملفاتهم، أو تشغيل كاميرات الويب الخاصة بهم.
وفي موضوع آخر، قال المستخدم إنه يبحث عن "خبير" يمكنه المساعدة في استخدام njRAT، وهو عبارة عن برنامج تجسس معروف وسهل الاستخدام نسبياً، لأنه "بعد إرسال الملف إلى جهاز الضحية، تتم السيطرة عليه بعد ثانية واحدة".
وعرض مستر هاشتاغ المستخدم 200 دولار لمن يقدم خدماته.
How 'Mr. Hashtag' @saudq1978 (fired & jailed as part of #Khashoggi rogue intelligence operation) Helped #SaudiArabia Spy on Dissidents – Motherboard https://t.co/uTvlkmwQ2x
— Frances Townsend (@FranTownsend) October 30, 2018
كان باحث الأمن جاكوب ريغز أول من نبّه مجلة Motherboard إلى أن البريد الإلكتروني على Gmail الخاص بالقحطاني قد ظهر في كل من تسريبيّ Hacking Team و Hack Forums.
وتأكدت Motherboard بشكل مستقل أنَّ [email protected] هو بالفعل نفس البريد الإلكتروني الخاص بالمستخدم Nokia2mon2.
لم تتمكن المجلة من ربط هذا البريد المستخدم في المراسلات بشكل نهائي بمستشار الحكومة السعودية السابق سعود القحطاني.
ولكنها تمكنت من خلال رسائل Hacking Team، من التأكد من أن عنوان هذا البريد الإلكتروني قد استخدم للحصول على أدوات القرصنة والتخطيط لعقد اجتماع شخصي مع شركة Hacking Team في السعودية.
بالإضافة إلى استخدام مستر هاشتاغ السعودي لهذا البريد في منتديات القرصنة المشار إليها.
ولقد كان مستعداً لدفع كثير من المال مقابل خدمات سهلة
وقال ديلان هايلي، الباحث في مجال الأمن السيبراني، الذي قال إنه كان يحرص على متابعة Hack Forums كجزء من عمله في ذلك الوقت، مجلة Motherboard إنه لا يزال يذكر المستخدم Nokia2mon2.
وقال هايلي إن أكثر ما يميز المستخدم Nokia2mon2 هو أنه كان على استعداد لتقديم الكثير من المال مقابل خدمات سهلة نسبياً وزهيدة الثمن بشكل عام.
وقال هايلي في محادثة عبر الإنترنت: "لقد دفع مبالغ كبيرة لدفع الناس لاستهداف الآخرين لحسابه، لكنه فعل ذلك بشكل سيئ للغاية".
وأضاف أن ذلك كان أمراً غير عادي، لأنه يعتقد أن العديد من مستخدمي الموقع شباب لا يمتلكون عادة الكثير من المال الفائض عن حاجتهم لإنفاقه على تلك الأمور.
وأردف قائلاً: "من النادر أن ترى ذلك في موقع معظم مرتاديه من القاصرين".
وترك آثاراً تشير إلى أنه من السعودية
وقال هايلي إنه لم يكن يعرف هوية Nokia2mon2 في ذلك الوقت.
لكنه قال إنه كان من الواضح أن المستخدم كان من السعودية أو على الأقل من الشرق الأوسط، لأنه في إحدى المرات حاول Nokia2mon2 أن يدفع للشخص ما لتشغيل أحد البرمجيات الخبيثة له، وعرض معلومات مصرفية تشير إلى أنه من السعودية.
وأشار هايلي إلى أن Nokia2mon2 في وقت آخر طلب المساعدة في اختراق أحد الأهداف من خلال نشر عنوان البريد الإلكتروني للضحية، ودفع العديد من المستخدمين إلى إرسال رسائل غير مرغوب فيها على ذلك العنوان.
لم يصل مجلة Motherboard رد على رسائل البريد الإلكتروني التي أرسلتها إلى [email protected] للاستفسار عما ورد في التقرير.
كما لم يرد الرئيس التنفيذي لشركة Hacking Team، على رسالة نصية أرسلتها المجلة له.
وكذلك لم ترد السفارة السعودية في واشنطن على المكالمة الهاتفية ولا على الرسالة التي أرسلتها المجلة على صفحة التواصل الخاصة بهم.