تحليل برامج التجسس Predator يكشف عن تحكم أكبر من Intellexa

لقد دافعت شركات برامج التجسس التجارية لفترة طويلة عن أعمالها من خلال الادعاء بأنها تبيع حلولها للجهات الحكومية لدعم إنفاذ القانون والأمن الوطني، وأن هذه الشركات نفسها لديها رؤية محدودة في كيفية نشر عملائها لتلك الحلول. لكن الأبحاث الجديدة تضعف هذه الادعاءات على الأقل بالنسبة لمورد واحد.

في منشور مدونة يوم أمس، أوضحت شركة Jamf للأمن المحمول كيف أن برامج التجسس الشهيرة Predator تستخدم مجموعة معقدة من ميزات مكافحة التحليل التي تنتج بيانات حول عمليات النشر الفاشلة، والتي يمكن للمشغلين استخدامها لزيادة فعالية الهجمات المستقبلية. كما تشير ميزات مكافحة التحليل إلى أن شركة Intellexa، التي تمتلك Predator، لديها رؤية وتحكم أكبر بكثير في عمليات النشر مما كان يُعتقد سابقًا.

قام الباحثون في Jamf بعكس هندسة عينة من برامج التجسس على نظام iOS التي نشرتها مجموعة Threat Intelligence من جوجل وCitizen Lab في أبحاثهم في ديسمبر 2024. اكتشف فريق البحث ميزات غير موثقة سابقًا، بما في ذلك تصنيف رموز الأخطاء، ونظام مراقبة تقارير الأعطال، وتقنيات ربط SpringBoard في iOS المصممة لإخفاء مؤشرات التسجيل عن الضحايا.

وفقًا للباحث الأمني في Jamf شين يوان ونائب رئيس أبحاث الأمن والمدير العام نير أفرهام، فإن نظام رموز الأخطاء هو الأكثر أهمية من بين ميزات مكافحة التحليل التي تم الكشف عنها حديثًا. بدلاً من إنهاء العملية عند الكشف، تقوم Predator بالإبلاغ عن أخطاء محددة إلى خادم القيادة والتحكم (C2) مما يسمح للمشغلين بتشخيص سبب اكتشاف زرع البرمجيات وكيفية تصحيحه.

ذات صلة: FBI تحذر من هجمات Quishing من مجموعة APT الكورية الشمالية

كتب يوان وأفرهام في منشور المدونة: "يكشف هذا التحليل أن قدرات Predator لمكافحة التحليل أكثر تعقيدًا مما تم توثيقه سابقًا. إن تصنيف رموز الأخطاء يظهر أن مشغلي Intellexa لديهم رؤية دقيقة حول أسباب فشل النشر، مما يمكنهم من تعديل أساليبهم لاستهداف أهداف معينة."

من يدير خادم C2 الخاص بـ Predator؟

تثير أبحاث Jamf أسئلة مهمة لشركة Intellexa: أين تُرسل بيانات تقارير الأخطاء وبيانات مكافحة التحليل، ومن يدير بنية C2 التحتية تلك؟

يخبر أفرهام Dark Reading أن باحثي Jamf لم يتمكنوا من تحديد ما إذا كانت C2 تديرها Intellexa أو العملاء الفرديين. ومع ذلك، يقول إن تعقيد نظام تقارير الأخطاء يشير إلى "بنية تحتية مركزية أو على الأقل إطار نشر محكم" بدلاً من نشر عميل فردي.

يقول أفرهام عبر البريد الإلكتروني: "يبدو أن تصنيف رموز الأخطاء جزء من نظام موحد بدلاً من تنفيذات محددة للعملاء. يشير هذا المستوى من التوحيد القياسي عادةً إلى بنية تحتية مُدارة أو مُسيطر عليها من قبل المورد، حيث سيكون من الصعب الحفاظ على مثل هذه الاتساق عبر نشرات العملاء المستقلة."

ذات صلة: 'Landfall' البرمجيات الخبيثة تستهدف مستخدمي Samsung Galaxy

لقد تم اتهام شركات برامج التجسس التجارية لفترة طويلة بتسهيل الهجمات الإلكترونية على نشطاء حقوق الإنسان، والمرشحين السياسيين، والمسؤولين المنتخبين، والصحفيين، وأفراد آخرين. كانت الحالة الأكثر بروزًا هي اغتيال جمال خاشقجي، الصحفي السعودي وكاتب العمود في Washington Post، الذي تم اختراق اتصالاته بواسطة برامج التجسس Pegasus التابعة لمجموعة NSO، وفقًا لعدة دعاوى قضائية.

وقد نفت شركات برامج التجسس هذه الادعاءات بشكل قاطع وأكدت أن منتجاتها تُستخدم من قبل وكالات حكومية وإنفاذ القانون لمكافحة الجريمة المنظمة، والإرهاب، وغيرها من التهديدات الأمنية الوطنية. كما ادعت شركات مثل NSO Group أنها لا تدير برامج التجسس ولديها رؤية محدودة حول كيفية ومكان اختيار العملاء لنشر منتجاتها. (لم تصدر Intellexa، التي تعرضت لعقوبات في السنوات الأخيرة، بيانات عامة وهي حاليًا لا تملك مواقع تجارية.)

ومع ذلك، تشير أبحاث Jamf إلى أنه في حالة Predator، تمتلك Intellexa رؤية كبيرة في عمليات نشر برامج التجسس الفردية.

لم يكن من الممكن الوصول إلى Intellexa للتعليق. حاولت Dark Reading الاتصال بالشركة عبر عدة قنوات، لكن يبدو أن نطاق Intellexa.com قد تم التخلي عنه مع عناوين البريد الإلكتروني المرتبطة به.

ما مقدار السيطرة التي تمتلكها شركات برامج التجسس؟

بالإضافة إلى الأبحاث من Google وCitizen Lab الشهر الماضي، نشرت Amnesty International والعديد من وسائل الإعلام (Inside Story، Haaretz، وWAV Research Collective) بشكل مشترك سلسلة من التقارير الاستقصائية بناءً على مواد مسربة من Intellexa، وهي اتحاد من شركات التكنولوجيا التي تولت السيطرة على Cytrox، الشركة المقدونية الشمالية التي أنشأت Predator.

كشفت التقارير الاستقصائية عن كيفية عمل شركة برامج التجسس التجارية بالإضافة إلى تفاصيل فنية حول هجمات Predator. واحدة من أكثر الاكتشافات خطورة، وفقًا لـ Amnesty International، كانت أن Intellexa كانت لديها القدرة على الوصول عن بُعد إلى أنظمة عملاء Predator، بما في ذلك تلك الموجودة داخل شبكات عملائها الحكوميين.

من غير الواضح مقدار الرؤية والسيطرة التي تمتلكها هذه الشركات على عمليات نشر برامج التجسس، والتي تركز عادةً على الأجهزة المحمولة والاتصالات. في دعوى قضائية ناجحة ضد NSO Group بسبب اختراق WhatsApp، جادلت Meta بأن بائع برامج التجسس كان يدير عمليات نشر Pegasus للعملاء وبالتالي كان مسؤولًا عن الهجمات الإلكترونية الناتجة.

نظرًا لأن الباحثين قاموا بتحليل عينة Predator فقط وليس لديهم رؤية عن العمليات الداخلية لـ Intellexa، يقول أفرهام إن Jamf لم تتمكن من تحديد ما إذا كانت Intellexa متورطة مباشرة في عمليات النشر؛ يمكن للعملاء نشر خادم C2 الخاص بـ Predator كجزء من مجموعة المنتجات، كما يشير.

ولكن بغض النظر عن مكان وجود C2، يقول أفرهام إن عكس هندسة Predator يظهر "بنية تحتية لدعم العملاء متطورة" تشبه البرمجيات المؤسسية.

يقول: "سواء كانت Intellexa تدير هذه البنية التحتية مباشرة أو تقدمها للعملاء، فإن تصميم النظام يشير إلى أنهم بنوا آليات لرؤية النشر واستكشاف الأخطاء وإصلاحها."

وأضاف أفرهام أن أبحاث Jamf توفر معلومات قابلة للتنفيذ للدفاعات ضد Predator مع رؤى حول الظروف التي تؤدي إلى إلغاء عمليات النشر. على سبيل المثال، وجد باحثو Jamf أنه عندما يتم تمكين وضع المطور في iOS، والذي يستخدمه الباحثون الأمنيون، على جهاز مستهدف، فإنه يؤدي إلى تشغيل رمز خطأ يتسبب في إنهاء Predator لعملية النشر.

لذلك، يقوم المستخدمون ببناء دفاعات متعددة الطبقات من خلال دمج أدوات حماية الهواتف المحمولة مع الشروط والعمليات التي تم برمجة برنامج Predator لتجنبها. يقول أفرهام: "هذا ليس كشفًا تقليديًا لمكافحة الفيروسات، بل يتعلق بخلق بيئة معادية تم تصميم البرمجيات الضارة المتطورة لعدم العمل فيها."

عن الكاتب

روب رايت

مدير الأخبار الأول، Dark Reading

روب رايت هو مراسل قديم يتمتع بخبرة تزيد عن 25 عامًا كصحفي تقني. قبل انضمامه إلى Dark Reading كمدير أخبار أول، قضى أكثر من عقد في TechTarget's SearchSecurity في أدوار مختلفة، بما في ذلك مدير الأخبار الأول، ورئيس التحرير، ومدير التحرير. قبل ذلك، عمل لعدة سنوات في CRN وTom's Hardware Guide وVARBusiness Magazine، حيث غطى مجموعة متنوعة من المواضيع والاتجاهات التقنية. قبل أن يصبح صحفيًا تقنيًا في عام 2000، عمل كمراسل في الصحف الأسبوعية واليومية في فرجينيا، حيث فاز بثلاث جوائز من جمعية الصحافة في فرجينيا في عامي 1998 و1999. تخرج من جامعة ريتشموند في عام 1997 بدرجة في الصحافة والإنجليزية. وهو من مواليد ماساتشوستس، ويعيش في منطقة بوسطن.

شاهد المزيد من روب رايت

الأثر الاقتصادي الكلي لـ Google SecOps

تقرير التهديدات 2025

تقرير الدفاع القائم على التهديدات الأول في الصناعة 2025.

الأثر الاقتصادي الكلي لمنصة أمان الشبكة Strata من Palo Alto Networks

تقرير الاستجابة العالمية للحوادث 2025

الوصول إلى المزيد من الأبحاث

إدارة وضع أمان السحابة المدعومة بالذكاء الاصطناعي

إدارة سطح الهجوم: اكتشاف وتأمين المجهول

Deepfake: تمكين مستخدميك من التعرف على ما يمكن أن يزيفه الذكاء الاصطناعي

أتمتة الأمان: تنفيذ خطط فعالة

من الشك إلى الاتجاه: ماذا يعني الذكاء الاصطناعي حقًا لأمان التطبيقات

المزيد من الندوات عبر الإنترنت

GISEC GLOBAL 2026

تُعتبر قمة GISEC GLOBAL الأكثر تأثيرًا والأكبر في مجال الأمن السيبراني في منطقة الشرق الأوسط وأفريقيا، حيث تجمع بين كبار مسؤولي الأمن السيبراني، وقادة الحكومات، ومشتري التكنولوجيا، والهاكرز الأخلاقيين، على مدار ثلاثة أيام مليئة بالابتكار، والاستراتيجيات، والتدريبات السيبرانية الحية.

📌 احجز مساحتك

الأمن السيبراني
أحدث أخبار وتحليلات الأمن السيبراني

عرض الكل

Gootloader يستخدم أرشيفات ZIP من 1,000 جزء للتسليم الخفي

منذ ساعة 1

Grubhub تؤكد سرقة بياناتها في خرق أمني حديث

منذ ساعتين 2

استغلال ثغرة في إضافة Modular DS للووردبريس للوصول كمسؤول

منذ 3 ساعات 3

ثغرة في AWS CodeBuild تعرض مستودعات GitHub لهجمات سلسلة التوريد

منذ 3 ساعات 4

ثغرة خطيرة تتيح للقراصنة تتبع والتجسس عبر أجهزة الصوت بلوتوث

منذ 7 ساعات 7

48% من شركات الشرق الأوسط تخطط لإنشاء مراكز عمليات أمنية

منذ 8 ساعات 6

##برامج_التجسس ##Predator

شارك هذا المقال

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!