سرايا - كشفت منظمة العفو الدولية "أمنستي" عبر تحقيق جديد نُشر على موقعها الرسمي عن تفاصيل صادمة حول كيفية تنفيذ اختراقات خطيرة باستخدام برمجية التجسس "بريداتور" التابعة لشركة Intellexa، وذلك استناداً إلى تسريب واسع يعرف باسم Intellexa Leaks.

وأظهرت الوثائق والتسجيلات المسربة آليات الهجوم التي تعتمد على روابط خبيثة وحقن الشبكات واستغلال منظومة الإعلانات الرقمية، ما يوفر للمشغّل قدرة على إصابة هواتف الضحايا بصمت ودون أي تفاعل منهم.

كما كشفت تسريبات Intellexa Leaks، الصادرة عن Inside Story وHaaretz وWAV Research Collective، تفاصيل جديدة حول آليات اختراق الهواتف التي يعتمد عليها نظام التجسس "بريداتور" التابع لشركة Intellexa.

آلية عملها
وتعرض المواد المسرّبة من وثائق داخلية ومواد تدريبية ومحفوظات تقنية الصورة الأكثر وضوحاً حتى الآن عن كيفية تنفيذ الهجمات واختراق أجهزة الضحايا.

ويعتمد "بريداتور" بشكل أساسي على هجمات "1-click"، حيث يُرسل للمستهدف رابط خبيث يؤدي فتحه إلى تحميل ثغرة تستهدف متصفحي Chrome في أجهزة أندرويد أو Safari في أجهزة iOS، لتمنح المهاجم وصولاً أولياً إلى الجهاز وتنزيل البرمجية التجسسية كاملة.

وأوضحت المواد أن البرنامج قادر بعد التثبيت على جمع الرسائل المشفرة، والصور، والموقع الجغرافي، وكلمات المرور، وتفعيل الميكروفون، قبل نقل البيانات إلى خوادم "بريداتور" الموجودة داخل بلد العميل، مروراً بشبكة إخفاء هوية تسمى "CNC Anonymization Network".

وللتغلب على مشكلة عدم نقر الضحية على الرابط، طورت Intellexa ما تسميه Vectors أو مسارات للهجوم، تُفعِّل الرابط دون تدخل من المستخدم. وتشمل هذه المسارات Tactical وStrategic.

فمن بين "Tactical Vectors" يظهر "Triton"، وهو استغلال لشرائح Exynos في بعض هواتف سامسونغ، يسمح بحقن الرابط على مستوى الاتصال الخلوي. وتُظهر التسريبات أن هذه المتجهات تحتاج قرباً مادياً من الجهاز أو وصولاً إلى إشاراته.

أما "Strategic Vectors" فهي تُنفَّذ عن بُعد وتشمل Mars وJupiter، وهما نظامان لحقن الشبكة يتطلبان تعاون مزود الاتصالات أو مزود الإنترنت.

الإيقاع بالضحية
وعند تفعيل الهجوم، ينتظر النظام دخول الضحية إلى موقع HTTP غير مشفّر، أو موقع HTTPS محلي تمتلك الجهة المشغّلة مفاتيحه، ثم يُحقَن الرابط الخبيث تلقائياً، ما يؤدي إلى إصابة الجهاز دون أن يلاحظ المستخدم.

أخطر ما كشفته التسريبات هو متجه هجوم جديد باسم "Aladdin"، يتيح إصابة الهاتف بصمت عبر منظومة الإعلانات الرقمية. إذ يقوم المشغل بإنشاء إعلان خبيث يُستهدَف للضحية بناءً على معرف إعلاني أو عنوان IP، ويكفي أن يظهر الإعلان على جهاز المستخدم—في موقع إخباري أو تطبيق—ليتم تفعيل استغلال المتصفح تلقائياً دون أي نقر.

كذلك أشارت الوثائق إلى أن النظام يستهدف في الغالب عنوان الـIP العام للمستخدم، ما يسمح بتوجيه الإعلان بدقة عند توفر بياناته من شركات الاتصالات المحلية.

وأظهرت البيانات المسرّبة أيضاً سجلات لعمليات عدوى حقيقية، منها حالة في كازاخستان، مؤكدةً نسبة نطاقات مثل kz-news[.]cc وkz-ordas[.]com إلى عمليات "بريداتور".

الوصول عن بُعد
كما أوضح دليل داخلي باسم “OPSEC” أن العلامات التقنية الموجودة في عينات "بريداتور" التي حُلّلت سابقاً في الهجمات التي وثقتها Citizen Lab تتطابق مع الملفات المذكورة داخل الشركة، ما يؤكد ارتباط تلك الحالات بنظام Intellexa.

وأشارت التسريبات في ختامها إلى أن Intellexa لم تكتفِ بتطوير أدوات الهجوم فحسب، بل احتفظت أيضاً بإمكانية الوصول عن بُعد إلى أنظمة زبائنها عبر برنامج TeamViewer، ما سمح لها بمتابعة سجلات التشغيل ومحاولات الاختراق وبيانات المستهدفين، في خطوة تعزز المخاوف بشأن خطورة هذه البرمجية واتساع نطاق سوء استخدامها.