حملة تجسس إلكتروني خطيرة تستهدف الصحفيين والنشطاء في العالم العربي منذ 2022

كشفت تقارير تقنية حديثة صادرة عن Access Now وLookout وSMEX عن حملة تجسس إلكتروني متقدمة تُعد من أخطر العمليات التي استهدفت الصحفيين والنشطاء في المنطقة العربية خلال السنوات الأخيرة.

وبحسب هذه التقارير، فإن الحملة مستمرة منذ عام 2022 حتى اليوم، وتعتمد على تقنيات متطورة تجمع بين الهندسة الاجتماعية والاختراق التقني عالي الدقة.

كيف تتم عملية الاختراق؟

تعتمد هذه الهجمات على مراحل مدروسة بعناية، حيث يتم تخصيص كل عملية استهداف بناءً على هوية الضحية وسلوكه الرقمي.

المرحلة الأولى: جمع المعلومات وبناء الثقة

يبدأ المهاجم بجمع بيانات دقيقة عن الضحية، مثل:

• رقم الهاتف
• البريد الإلكتروني
• الحسابات المرتبطة

بعد ذلك، يتم التواصل معه عبر منصات مثل:

• iMessage
• WhatsApp
• LinkedIn

مع انتحال صفة جهات موثوقة، كالدعم الفني لشركات تقنية أو مسؤولي توظيف.

 في إحدى الحالات، تم استخدام حساب وهمي على LinkedIn لاستدراج الضحية بعرض عمل مزيف قبل بدء عملية الاختراق.

 المرحلة الثانية: إرسال روابط خبيثة

يتم إرسال رابط يبدو رسميًا ويحاكي مواقع معروفة مثل:

• Apple
• Google
• Zoom

وتتميز هذه الصفحات بأنها:

• مصممة باحتراف عالي
• تستخدم تقنيات لإخفاء مصدرها
• يصعب اكتشافها حتى على المختصين

المرحلة الثالثة: سرقة رموز التحقق (2FA)

بعد إدخال كلمة المرور، يُطلب من الضحية إدخال رمز التحقق.

لكن ما يحدث فعليًا:

• يتم اعتراض الرمز في الوقت الحقيقي
• استخدامه فورًا قبل انتهاء صلاحيته

⚠️ النتيجة:

اختراق الحساب بشكل كامل دون أي إشعار واضح.

 المرحلة الرابعة: استغلال صلاحيات الوصول (OAuth)

في بعض الهجمات، يتم استغلال بروتوكول:

👉 OAuth 2.0

حيث يتم خداع الضحية لمنح تطبيق خبيث صلاحيات الوصول إلى حسابه.

 الخطورة هنا:

يبقى الوصول مستمرًا حتى بعد تغيير كلمة المرور، ما لم يتم إلغاء هذه الصلاحيات يدويًا.

المرحلة الخامسة: اختراق أجهزة أندرويد

يتم توجيه الضحية لتحميل تطبيق يبدو رسميًا، لكنه في الحقيقة برنامج تجسس يُعرف باسم:

👉 ProSpy

أبرز قدراته:

• سرقة الملفات (صور، فيديو، مستندات)
• قراءة الرسائل وجهات الاتصال
• استخراج النسخ الاحتياطية
• تنفيذ أوامر عن بُعد بشكل فوري
• مراقبة النشاط على الجهاز

بنية تحتية ضخمة تدعم الهجمات

كشفت التقارير عن استخدام مئات النطاقات المزيفة التي تنتحل هوية:

• شركات تقنية كبرى
• تطبيقات تواصل
• وسائل إعلام عالمية
• جهات حكومية وأكاديمية

اللافت في هذه الحملة:

• يتم تفعيل النطاقات فقط أثناء الهجوم
• يتم إيقافها فور انتهاء العملية
• يتم تغيير النطاقات الفرعية لكل ضحية

من يقف وراء هذه الهجمات؟

تشير تحليلات شركة Lookout إلى ارتباط الحملة بمجموعة:

👉 Bitter APT

وهي مجموعة تجسس إلكتروني يُعتقد أنها تعمل لصالح جهات حكومية في جنوب آسيا.

لكن هناك تطور لافت:

استهداف الصحفيين والنشطاء في العالم العربي لا يتوافق مع نمط هذه المجموعة سابقًا، مما يرجح فرضية:

🔻 وجود جهة أخرى قامت بتوظيف هذه المجموعة لتنفيذ عمليات تجسس بالنيابة عنها

 كيف تحمي نفسك من هذه الهجمات؟

🔹 إجراءات أساسية:

• لا تشارك رموز التحقق مع أي جهة
• تجنب النقر على الروابط المشبوهة
• تحقق من هوية المرسل بدقة
• لا تثبّت تطبيقات من خارج المتاجر الرسمية

🔹 إجراءات متقدمة:

• استخدم مفاتيح الأمان (Security Keys) أو Passkeys
• راجع التطبيقات المرتبطة بحساباتك بشكل دوري
• فعّل الحماية المتقدمة في حساب Google
• راقب سجل تسجيل الدخول بانتظام

نصيحة مهمة:

أي رسالة غير متوقعة تحتوي على رابط—even لو بدت رسمية—يجب التعامل معها بحذر شديد.

 خلاصة

تكشف هذه الحملة عن تحول خطير في أساليب التجسس الإلكتروني، حيث لم يعد الاعتماد فقط على الثغرات التقنية، بل أصبح التركيز الأكبر على خداع المستخدم نفسه.

 في عالم اليوم:

أنت لست مجرد مستخدم… بل هدف محتمل.

المصادر

• تقارير Access Now
• تحليلات Lookout
• أبحاث SMEX