Sudanese government use of Hacking Team’s RCS spyware against activists – برنامج إيطالي متقدم تستخدمه الحكومة السودانية للتجسس على الناشطين والناشطات

Posted on February 22 2014 by nile

في بدايات عام 2011 تم تشكيل كتيبة في جهاز الأمن السوداني تعرف باسم الكتيبة الإلكترونية (أو كتيبة الجهاد الإلكتروني)، ومهمة هذه الكتيبة تخذيل الناس على صفحات الإنترنت وتكذيب الحقائق حول الأحداث الثورية. هذه الكتيبة (التي جهزت لها مكاتب مكيفة وأجهزة حاسوب متصلة بالإنترنت) كلفت أيضاً بمهام التجسس على الناشطين والناشطات واختراق المواقع والصفحات المناوئة للحكومة. لكن هذا التكليف الأخير ليس بالأمر السهل تقنياً، ويحتاج لخبرات واسعة في مجال الشبكات والبرمجة لا يمتلكها كثير من كوادر جهاز الأمن السوداني.

ولذلك قامت الحكومة بشراء برنامج متقدم للتجسس من شركة إيطالية مقرها مدينة ميلان واسمها Hacking Team. هذه الشركة تنتج برنامج تجسس متخصص يعرف باسم (Remote Control System: RCS). هذا البرنامج المتقدم للغاية يباع للحكومات فقط.

وقد أشار مقال بحثي نشره معمل Citizen Lab  بجامعة تورنتو الكندية يوم 17-2-2014 دلائلاً تشير إلى أن هذا البرنامج قد استخدم في السودان في الفترة بين 14-12-2011 وحتى 12-1-2014. مما يجعلنا نظن أن جهاز الأمن السوداني قد واظب على استخدامه ضد الناشطين والناشطات السودانيين وقوى المعارضة طوال هذه الفترة.

فيما يخص السودان،  هنالك بعض الأشياء المهم معرفتها حول هذا البرنامج

1-      قام معمل Citizen Lab  التابع لجامعة تورنتو بكندا برصد استخدام هذا البرنامج في السودان. ووجد أنه قد استخدم من خلال 8 كومبيوترات تحمل كلها اسم “مسبارMesbar “… وقد نشر Citizen Lab رقم التعريف الخاص بها على هذا النحو: VisionValley:41.78.109.91 

2-      باستخدام رقم التعريف الخاص، وجدنا بعض المعلومات عن هذه الكومبيوترات، حيث تقع تعاريفها الخاصة بين عنواين الآي بي الآتية [IP: 41.78.109.88 – 41.78.109.95] وكما أشار البحث فهي تابعة لشركة Vision Valley، التي أكد بحثنا أنها تقع في المنشية – الخرطوم، مربع 25، المبنى رقم 374، كما أن الأجهزة لشخص اسمه مرتضى مكي.

3-      كنا قد تحدثنا عن فساد شركة Vision Valley  في مقال سابق حول خطة المؤتمر الوطني للاستيلاء على مشروع الجزيرة. وبالبحث الآن، وجدنا أن واحدة من الخدمات التي تقدمها هذه الشركة تشتمل على الخدمات الحكومية الإلكترونية، كما تشتمل على خدمات التحكم الريموتي عن بعد والتشفير كما يتضح في الصفحة الثامنة من الملف التعريفي للشركة. 

4-      مشكلة هذا البرنامج أنه لا يمكن رصده من خلال البرامج المضادة للفيروسات، فهو لا يترك أي أثراً واضحاً على وجوده في الجهاز المصاب. ويمنح المستخدم (جهاز الأمن السوداني مثلاً) قدرات فائقة على التحكم عن بعد في جهاز الضحية (الناشطين مثلاً) تصل لدرجة قدرة المستخدم على فتح ميكرفون وكاميرا الضحية وسماع ورؤية ما يقال عن بعد، وفتح وتحميل ملفات الضحية، ومعرفة الأزرار التي تم الضغط عليها في الكيبورد، والمستندات التي تمت طباعتها، وتحميل الملفات من جهاز الضحية الذي يصبح تابعاً تماما للمستخدم.

5-      برنامج التجسس هذا يعمل في جميع أنظمة التشغيل كويندوز وآبل، ويستخدم أيضا في التجسس على الهواتف الذكية كآيفون وبلاكبيري ويستطيع المستخدم من خلاله أن يتحكم تحكماً كاملاً في جهاز الناشط دون أن يعرف الناشط ذلك. هذا البرنامج يتيح للمستخدم متابعة مئات الآلاف من الضحايا في نفس الوقت، مما يجعل مهمة المراقبة الشاملة ممكنة.

هنالك عدة طرق للإصابة بملف التجسس هذا.

ونظراً لتقدم التقنية المستخدمة فباستطاعته أن يصيب حاسوبك أو هاتفك من خلال وصوله عبر الإيميل على شكل ملف وورد بامتداد .doc  مما يجعل الكشف عنه أصعب من الكشف عن الفيروسات التي تحمل الإمتداد .exe  وذلك لأن ملف التجسس مصمم بتقنية عالية تسمح له بتحميل ملف ال .exe  فور فتح ملف ال .doc  أو حتى الاختباء على شكل adobe flash code  في باطن ملف الوورد. ولذلك ننصح جميع الناشطين والناشطات بالعودة بذاكرتهم إلى الوراء وسؤال النفس: هل حدث أن فتحت ملفاً غريبا ولو كان علي هيئة وورد؟ ولو كانت الإجابة نعم، فهنالك احتمال كبير أنك مصاب بملف التجسس وأن كل معلوماتك مكشوفة.

     قام معمل Citizen Lab  بالتعرف على الملف في عدد من الهيئات وتحت عدد من المسميات، عد بذاكرتك إلى الوراء… هل يبدو أي من أسماء هذه الملفات مألوفاً: “scandale.doc  / veryimportant.doc/1.doc  / رسالة الكوفحي.doc   / إماراتي مظلوم. Biglietto Visita.doc  / doc.” هذه اللستة بالتأكيد لا تشمل جميع المسميات التي يصل الفيروس على شاكلتها فمن المؤكد أن رسائلاً كهذه قد تصل تحت عناوين جذابة أخرى.

ملف التجسس قد يزرع في هاتفك النقال أو كومبيوترك عن طريق سي دي، أو بين درايف، أو حتى ذاكرة كاميرا. كل ما يتوجب على من يريد دسه في جهازك أن يفتح الفايل به ولن تلاحظ أي تغير يطرأ على جهازك بعدها.

فكر إذن: هل تثق ثقة عمياء  في كل الناشطين الذين تعمل معهم في شبكتك؟ هل فكرت في إمكانية وجود جاسوس بينهم من الممكن أن يدس السم في الدسم؟

كيف تعرف إن كان هاتفك النقال أو كومبيوترك مصاب؟

ليست هناك أي أعراض ظاهرة. ولا يمكن الإمساك بملف التجسس من خلال برامج الأنتي-فايروس المتداولة. قد تلاحظ بعض البطء حين تستخدم الإنترنت لأن البرنامج يستهلك مساحة من ذاكرة الكومبيوتر وخط الإنترنت لإرسال معلوماتك.
يقال أن برنامج Spy Hunter  قادر على الكشف عن برنامج التجسس هذا، ولكننا لم نختبر هذه الفرضية بعد.

ماهو أفضل حل للمشكلة؟

إن كنت تؤمن بإمكانية أن جهازك مصاب، فأفضل حل هو أن تمسح الهارديسك تماما من خلال إجراء  Format وتعيد انزال نظام تشغيل جديد.  وفى المستقبل، اجعل العمل محصوراً مع من تكن لهم ثقة حقيقية، وكذلك عدم فتح الملفات الغريبة على جهازك الشخصي.

في حالة مصادرة حاسوبك/ هاتفك من قبل السلطات ثم إعادته إليك، فيجب توخي الحذر من أنهم قد زرعوا ملفات التجسس هذه به، واجراء فورمات تام للجهاز قبل إعادة استخدامه مرة أخرى.

معلومات ذات صلة

 يعتبر الإنترنت واحداً من أدوات التنسيق المتبعة بين الناشطين والناشطات السودانيين منذ سنوات. وقد أثبت فعاليته في الحشد والتنسيق، مما حدا بحكومة المؤتمر الوطني لإغلاق عدد من المواقع النشطة بالبروكسي واختراق عدد من الصفحات المعارضة عن طريق السطو على حساباتالناشطين والناشطات القائمين عليها. هنالك أيضاً الكثير من الحالات الموثقة لمصادرة حواسيب وهواتف الناشطين النقالة، وحالات إجبار للمعتقلين والمعتقلات على تسليم كلمات المرور السرية الخاصة ببريدهم الإلكتروني ووسائل التواصل الإلكتروني كفيسبوك، وتويتر وغيرها

بدأت خطوات الحكومة السودانية الفعلية لمحاربة الناشطين في الإنترنت في شهر فبراير عام 2011، إذ صدرت أوامر مباشرة من الرئيس عمر البشير إلى حكومته بتوسيع الجهود لكهربة الريف، ليس حرصاً على وصول هذه الخدمة الأساسية لأهالي الأرياف، ولكن على حد تعبيره بحيث يمكن للمواطنين الصغار في الأرياف استخدام أجهزة الكمبيوتر والإنترنت لمكافحة المعارضة من خلال مواقع الشبكات الاجتماعية مثل فيس بوك.  وفى نفس ذلك العام تم تشكيل كتيبة الجهاد الإلكتروني.

*في يوم 25 سبتمبر 2013، قامت حكومة المؤتمر الوطني بقطع الإنترنت عن السودان تماماً إثر اشتعال التظاهرات. وقد رجح تقرير معمل  Citizen Lab فى جامعة تورنتو وجود علاقة بين تجسس الحكومة السودانية على الناشطين باستخدام برنامج Remote Control System (RCS)، وبين استهداف المتظاهرين في تظاهرات سبتمبر الماضي وقتلهم.

مصادر

1)      https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/

2)      http://myip.ms/view/ip_addresses/693006080/41.78.111.0_41.78.111.255

3)      http://www.girifna.com/5517

4)      http://www.hurriyatsudan.com/wp-content/uploads/2012/12/KETS-Vision-Valley-Profile.pdf

5)      http://www.wired.com/dangerroom/2011/02/sudan-dictator-ill-use-facebook-to-crush-opposition

6)      http://www.afrinic.net/services/whois-query

7)     http://www.theguardian.com/technology/2013/sep/25/sudan-internet-cut-khartoum-protests

 

0 responses to “Sudanese government use of Hacking Team’s RCS spyware against activists – برنامج إيطالي متقدم تستخدمه الحكومة السودانية للتجسس على الناشطين والناشطات”

  1. شكرا على الموضوع الرائع

  2. شكرا على الموضوع الرائع

Leave a Reply

Your email address will not be published. Required fields are marked *