استنفار دولي لمواجهة "برمجيات" استخبارات الأسد الإلكترونية

تهدف الخطوة إلى القبض على النشطاء والتجسس على المواطنين

حذرت مجموعة دولية متخصصة في استراتيجيات "الأمن المعلوماتي"، من خطورة البرمجيات الإلكترونية الخبيثة، التي يستخدمها الجيش السوري الإلكتروني المؤيد لنظام بشار الأسد، في محاولة منه للقبض على نشطاء الثورة السورية المعارضين لنظامه السياسي، في مختلف الوسائط الإلكترونية (المواقع – المنتديات- شبكات التواصل الاجتماعي)، وتطبيقات التراسل الفوري (واتس آب – فايبر) لأنطمة تشغيل سطح المكتب.
ولم يرتكز البحث الاستقصائي -الصادر في أغسطس الجاري وحصلت "الوطن" على نسخة منه- وقام به فريق الأبحاث والتحليل العالمي في كاسبرسكي لاب، على الجانب السوري فقط، إلا أنه أولاه اهتماماً خاصاً في التحقيق نظير ارتفاع حدة الهجمات الإلكترونية بين مؤيدي الثورة، ومؤيدي الأسد، وأشار في أحد فصوله إلى أن استخبارات جيش الأسد الإلكتروني تزيد من حدة استخدام "البرمجيات الخبيثة"، عبر تقنيات مختلفة، بما في ذلك خدع الهندسة الاجتماعية أو ما يعرف بفن اختراق العقول، وذكر فريق التقريرأن ظهور نماذج برمجية خبيثة جديدة على أساس يومي يجعل من الضروري أن يكون لدى المستخدمين فهم واف بالتقنيات والأدوات التي تتم الاستعانة بها حاليا لاستهداف المستخدمين في الشرق الأوسط، وتحديداً المواطنين السوريين، ليكونوا على استعداد تام لمواجهة تهديدات مماثلة.
وعنوان البحث المؤلف من 44 صفحة "البرمجيات السورية الخبيثة.. التهديد المستمر والمتطور"، أدرج ضمن سياقه نماذج من التحذيرات التي يقوم بها نشطاء الثورة الإلكترونية، تجاه البرمجيات التي يستخدمها الجيش السوري الإلكتروني، وهنا يمكن الارتكاز إلى توقع أكده الباحث في مجال أمن المعلومات، والعضو في فريق الأبحاث والتحليل العالمي "في كاسبرسكي لاب" غريب سعد من هجمات قريبة ناشئة من البرمجيات الخبيثة السورية، وتوقع أيضاً استمرارها وتطورها، كما حذرالمستخدمين من الروابط المشبوهة، وضرورة تحققهم من التنزيلات البرامجية التي يجرونها وأن يكون لديهم حل أمني موثوق وشامل على أجهزتهم.
وأفصح البحث عن أن الصراعات الجيوسياسية في المنطقة خلال السنوات القليلة الماضية، عمقت من شكل الحروب الإلكترونية، وبخاصة في الفضاء السوري الإلكتروني، حيث دفعت تلك السنوات الهجمات الإلكترونية في سورية إلى الواجهة، وتم ربط العديد من الأحداث في الفضاء الإلكتروني بسورية، فالجيش الإلكتروني السوري، وهو عبارة عن مجموعة من قراصنة الحاسوب، كان على صلة بالهجمات التي استهدفت بعض المؤسسات البارزة، بما في ذلك العديد من وسائل الإعلام، وقد تم توزيع البرامج الضارة على مواقع الشبكات الاجتماعية للسيطرة على الأنظمة وسرقة البيانات ومعلومات التعريف الشخصية المهمة.
وكشف الفريق العلمي للبحث عن العثور على (Flash 0day CVE-2014-0515) على بعض المواقع في سورية والتي كانت قد تعرضت للهجوم قبل أشهر. وقام مطور برنامج DarkComet RAT بسحب برنامجه الشهير بعد بلاغات عن استخدامه على نطاق واسع في سورية.
إلى ذلك، أكد بحث كاسبرسكي لاب أن البرمجيات السورية الخبيثة تعتمد بشكل كبير على الهندسة الاجتماعية وإصابة أكبر عدد من المستخدمين، كما عدد طرقاً مختلفة لإخفاء تلك البرمجيات التي تتنوع ما بين برامج مكافحة الفيروسات المزيفة، وتطبيقات التراسل الاجتماعي ونظم الخدمات المشروعة المحتوية على برامج Trojan والمتاحة للتنزيل في مواقع التواصل الاجتماعي وخدمات تبادل الملفات العامة المجانية.
ومن العينات التي اختبرها فريق البحث المعلوماتي، والتي استخدمها الجيش السوري الإلكتروني مقاطع الفيديو الصادمة، التي انتشرت على نطاق واسع، لجذب انتباه المستخدمين وتوزيع البرامج الخبيثة، ومن بين هذه الأمثلة، شريط فيديو يظهر الضحايا المصابين في أحد التفجيرات الأخيرة، والذي تم استخدامه لاستغلال خوف الناس وحملهم على تنزيل تطبيق خبيث متاح في موقع عام لتبادل الملفات.
وتبين بعد عملية الاستقصاء والتحقيق البحثي أن الملف معتم بشكل كثيف بواسطة الأداة التجارية MaxToCode من أجل تجنب الكشف المبكر عنه بواسطة برامج مكافحة الفيروسات. ولكن بعد تشغيل الملف، تم إنشاء ملف تنفيذي آخر متطابق مع أداة الدخول عن بعد. يستخدم برنامج Trojan لتعطيل أجزاء من مناطق الحماية، وتخزين جميع النقرات على المفاتيح ومعلومات النظام، وإعادة إرسالها عندما يتم الاتصال بالإنترنت.
ووفقاً لما ورد في الصفحة ال6 من البحث، فإنه عادة ما يتم إرسال رسائل تنزيل برمجيات الجيش الإلكتروني السوري من حسابات وهمية لا أساس لها من الصحة، وتقوم المواقع المؤيدة للثورة السورية ك(تقنيون من أجل الحرية على الفيسبوك)، بدور كبير في الإفصاح عن تلك البرمجيات، وكان آخرها تحذيرهم من استخدام الفايبر.
كما أظهرت الأبحاث أنه يتم استخدام البرمجيات الخبيثة كجزء لا يتجزأ من التطبيقات النظامية للتجسس على المواطنين السوريين، ومثال ذلك برنامجTotal Network Monitor الذي تم تعديله من قبل مجرمي الإنترنت لتفريغ معلومات النظام، في حين يتم إخفاء كل نشاط خبيث إلى أن يقوم المستخدم بتثبيت أداة legitimate بالكامل.
تكريس الفضاء الروسي للتحايل على نشطاء الثورة
الأمر الملفت في الاستقصاء البحثي، هو محاولة الجيش السوري الإلكتروني التحايل على نشطاء الثورة السورية ومؤيديها في الداخل والخارج، وهنا تحديداً يمكن الإشارة – كما ورد في الصفحة 26 من البحث- إلى أنه منذ نهاية 2013، اعتمدت مجموعات القرصنة المؤيدة لنظام الأسد في نطاق واسع على فئة C IP الشبكة الفرعية، التي تقدمها TARASSUL ISP (المؤسسة السورية للاتصالات)، كمنطقة ارتكاز لهجماتها الإلكترونية، ولكن في أوائل 2014، انتقلت المجموعة إلى عنوان IP في روسيا، لإطلاق هجمات إلكترونية جديدة على المعارضين، واستخدموا لحجز النطاقات (الدومين)، بريدا إلكترونيا لتسجيل النطاق باسم aloshalaa@gmail.com