تكنولوجيا الجريمة الالكترونية

برنامج بيغاسوس (Pegasus) للتجسس على الهواتف: خطوات كشفه وكيفية إزالته

يمكن لبرنامج التجسس "بيغاسوس" (Pegasus) أن يصيب الهواتف الذكية عن طريق رسالة نصية واحدة أو مكالمة ومن ثم يتجسس على الهاتف. إذن كيف تعرف ما إذا كان هاتفك الذكي مصاباً ببرنامج التجسس "بيغاسوس" (Pegasus)؟

يُستخدم برنامج التجسس "بيغاسوس" (Pegasus) الذي أنشأته مجموعة الحماية الإسرائيلية الشهيرة "إن إس أو" (NSO) من قبل الحكومات والجهات الفاعلة القوية الأخرى في جميع أنحاء العالم للتجسس على الصحفيين والمحامين ورجال الأعمال والعلماء والسياسيين والنشطاء وحتى أصدقائهم وأقاربهم.

قامت كلٌّ من منظمة "فوربيدن ستوريز" (قصص محرمة Forbidden Stories) ومنظمة "العفو الدولية" (Amnesty International) بتحليل قاعدة بيانات مسربة تضم 50000 رقم هاتف تخص ضحايا مشتبه بإصابتهم ببرنامج "بيغاسوس" (Pegasus). أظهرت بعض الأجهزة التي فحصها المحققون أدلةً على تعرضها لهجمات بيغاسوس (Pegasus). تُعارض مجموعة "إن إس أو" (NSO) النتائج وتدعي أنَّ برنامجها مخصصٌ للاستخدام ضد المجرمين والإرهابيين فقط.

إذن ماذا يفعل برنامج التجسس "بيغاسوس" (Pegasus)؟ وكيف يمكنك التحقق مما إذا كان موجوداً على جهاز "أيفون" (iPhone) الخاص بك؟

كيف يصيب برنامج التجسس "بيغاسوس" (Pegasus) أجهزة الهواتف؟

يمكن لبرامج التجسس "بيغاسوس" (Pegasus) مهاجمة أجهزة "أيفون" (iPhone) و"أندرويد" (Android) عن بُعد باستخدام أساليب "صفر نقرة" (Zero-Click) دون أي تدخّل من المستخدمين.

يمكن أن يقوم "بيغاسوس" (Pegasus) بتثبيت نفسه على الهواتف عن طريق "واتساب" (WhatsApp) و"أي مسج" (iMessage) ورسائل (SMS) صامتة ومكالمات فائتة وطرق أخرى غير معروفة حالياً.

إقرأ أيضاً: كيف تحمي محادثات الواتساب لديك من التجسّس والاختراق؟

ما الذي يمكن أن يفعله برنامج التجسس "بيغاسوس" (Pegasus)؟

تسمح برامج التجسس للمهاجمين بالوصول الكامل إلى بياناتك وتسمح لهم بالقيام بأشياء حتى أنت (مالك الجهاز) لا تستطيع القيام بها. يمكن لهذه البرامج إرسال جميع رسائلك ورسائل البريد الإلكتروني والمحادثات وبيانات "نظام تحديد المواقع العالمي" (GPS) والصور والفيديوهات وغير ذلك الكثير بصمتٍ - من جهازك إلى الجهة التي ترغب بالتجسس عليك.

كما يمكن للمهاجمين استخدام ميكروفون هاتفك لتسجيل مكالماتك الخاصة واستخدام الكاميرا لتصويرك سراً.

كيف يمكن إزالة برنامج التجسس "بيغاسوس" (Pegasus)؟

في الوقت الحالي، لا توجد طريقةٌ مؤكدةٌ لإزالة برنامج التجسس "بيغاسوس" (Pegasus). من غير الواضح ما إذا كانت عملية إعادة ضبط المصنع ستنجح في ذلك لأنَّ برامج التجسس قد تستمر في البقاء في المستويات الأدنى من كود نظام تشغيل الهاتف.

إذا كان هاتفك مصاباً ببرنامج "بيغاسوس" (Pegasus)، فقد يكون أفضل حلٍّ هو تغيير هاتفك ورقمك أيضاً. وبالطبع، حتى لو قمت بشراء هاتفٍ جديد يمكن لـ "بيغاسوس" (Pegasus) اختراقه بسهولة كسابقه سوءاً أكان نظام تشغيله "أندرويد" (Android) أو "أيفون" (iPhone)، على الرغم من أنَّ شركة "أبل" (Apple) أصدرت تحديث (iOS 14.7.1) الذي يُعتقد أنه يسدّ بعض الثغرات الأمنية التي تساعد "بيغاسوس" (Pegasus) على الولوج إلى هاتفك.

هل هناك بدائل قوية لهواتف "أي أو إس" (iOS) و"أندرويد" (Android)؟

في وقت كتابة هذه المقالة، فإنّ أنظمة تشغيل الهواتف المحمولة تعاني من نقصٍ خطيرٍ في التنوع بما يخصّ موضوع الحماية، وحتى التفريعات (Forks) القوية من نظام التشغيل "أندرويد" (Android) مثل "غرافين أو إس" (Graphene OS) أو "كالي إكس" (Calyx) قد لا توفر أيَّ حمايةٍ أمام "بيغاسوس" (Pegasus). قد يكون "الأمان من خلال الغموض" (Security-through-obscurity) قابلاً للتطبيق في هذه الحالة، ويعد الجهاز الذي يعمل بنظام التشغيل "سيلفش أو إس" (Sailfish OS) من شركة "جولا" (Jolla) أو ربما هاتف "لايبرم 5" (Librem 5) الذي يعمل بنظام التشغيل "بيور" (Pure) من البدائل الرئيسية للهواتف التي تعمل بأنظمة "أندرويد" (Android) أو "أي أو إس" (iOS).

إقرأ أيضاً: أكثر أربعة هواتف أماناً في العالم

كيف يمكنني التحقق مما إذا كان جهاز "أيفون" (iPhone) مصاباً ببرنامج التجسس "بيغاسوس" (Pegasus)؟

التحقق مما إذا كان جهاز أيفون (iPhone) مصاباً ببرنامج التجسس بيغاسوس (Pegasus)

لحسن الحظ، أصدرت منظمة العفو الدولية أداةً تسمى "أداة فحص الهاتف" (MVT) تتيح للمستخدمين التحقق مما إذا كانت أجهزتهم قد تعرضت لهجوم من قبل برنامج "بيغاسوس" (Pegasus) الضار. على الرغم من أنّ هذه الأداة مصممة للمحققين الجنائيين، إلا أنَّ بعض عمليات الكشف تتم تلقائياً ويجب أن توفر معلومات كافية لتقرير ما إذا كان الأمر يستحق مزيداً من التحقيق، حتى لو لم تكن محترفاً أمنياً.

في الوقت الحالي، يبدو أنَّ أجهزة "أيفون" (iPhone) هي الهدف الأكثر شيوعاً لبرنامج التجسس "بيغاسوس" (Pegasus)، وقد وجد المحققون أيضاً أنَّ أجهزة شركة "أبل" (Apple) توفر الدليل الأكثر تفصيلاً على حدوث عمليات الاقتحام من قبل "بيغاسوس" (Pegasus).

ما الذي أحتاجه لفحص جهاز "أيفون" (iPhone) الخاص بي بحثاً عن برنامج التجسس "بيغاسوس" (Pegasus)؟

لتبسيط العملية والسماح لك بتشغيل الأداة على أنظمة التشغيل "ماك أو إس" (macOS) أو "لينكس" (Linux) أو "ويندوز" (Windows)، سنستخدم حاوية "دوكر" (Docker) معدة خصيصاً لتشغيل "أداة فحص الهاتف" (MVT). لذا، أولاً، ستحتاج إلى تثبيت "دوكر" (Docker) على كمبيوترك.

كيف نقوم بتجهيز جهاز الكمبيوتر لفحص هاتف "أيفون" (iPhone) من أجل "بيغاسوس" (Pegasus)؟

سنذكر لكم كل أمرٍ خطوةً بخطوة أدناه ويجب كتابة أوامر متعددة الأسطر بالكامل قبل الضغط على مفتاح الإدخال (Enter).

1. افتح نافذ "طرفية" (Terminal) وأنشئ مجلداً للاحتفاظ بالملفات التي سنستخدمها عن طريق كتابة هذا الأمر والضغط على زر الإدخال (Enter):

mkdir Pegasus

2. ثم انتقل إلى مجلد (Pegasus) الذي قمت بإنشائه في الخطوة السابقة عن طريق كتابة الأمر التالي:

cd Pegasus

3. الآن تحتاج إلى إنشاء مجلدات "لأداة فحص الهاتف" (MVT). اكتب الأمر التالي:

mkdir ioc backup decrypted checked

4. بعد ذلك، تحتاج إلى الحصول على ملف يحتوي على "مؤشرات السلوك المشبوه" ووضعه في مجلد ioc الذي قمنا بإنشائه في الخطوة السابقة. اكتب الأمر التالي:

wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2

5. خطوتك التالية هي الحصول على ملف "دوكر" (Docker) الخاص بأداة (MVT). اكتب الأمر التالي لتنزيله من الانترنت:

wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile

6. الآن، لإعداد "صورة دوكر" (Docker image)، اكتب الأمر التالي:

docker build -t mvt

كيف نقوم بإعداد جهاز "أيفون" (iPhone) من أجل تحليله باستخدام أداة (MVT)؟

1. علينا أولاً إيقاف شاشة "أيفون" (iPhone) من الاطفاء التلقائي أثناء العملية. اضغط على رمز "الإعدادات" (Settings)، ثم اضغط على "الشاشة والسطوع" (Display & Brightness) > "القفل التلقائي" (Auto-Lock) > "أبداً" (Never)، تضمن هذه الخطوات إبقاء شاشة "أيفون" (iPhone) تعمل.

2. بعد ذلك، قم بتوصيل جهاز "أيفون" (iPhone) بمنفذ (USB) الموجود في جهاز الكمبيوتر. سيتجب عليك الآن إيقاف برنامج (USB) الخفي الذي يتعامل مع الاتصالات بين جهاز الكمبيوتر وجهاز "أيفون" (iPhone). اكتب الأمر التالي لإيقافه:

systemctl stop usbmuxd

3. قد تضطر إلى الانتظار قليلاً حتى تنتهي هذه العملية وعودة مؤشر موجه الأوامر ($). شغّل الآن حاوية "دوكر" (Docker) عن طريق كتابة هذا الأمر بالكامل:

docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host \

-v $PWD/ioc:/home/cases/ioc \

-v $PWD/decrypted:/home/cases/decrypted \

-v $PWD/checked:/home/cases/checked \

-v $PWD/backup:/home/cases/backup \

mvt

ثمّ اضغط زر الإدخال (Enter) لتنفيذ العملية. أنت تعمل الآن داخل حاوية "دوكر" (Docker) ويجب أن يتغير موجه الأوامر إلى شيء مثل:

root@yourmachine:/home/cases#

4. ابدأ تشغيل برنامج (USB) الخفي مرة أخرى عن طريق إدخال الأمر التالي:

usbmuxd

5. يجب أن يعرض جهاز "أيفون" (iPhone) رسالةً تسألك عما إذا كنت تريد الوثوق بجهاز الكمبيوتر، لذا اضغط على "الوثوق: (Trust) وأدخل رمز مرور "أيفون" (iPhone) إذا طُلِبَ منك ذلك.

الوثوق بجهاز الكمبيوتر

6. تحقق من أنَّ جهاز "أيفون" (iPhone) متصل بجهاز الكمبيوتر عن طريق كتابة الأمر التالي:

ideviceinfo

يجب أن يؤدي الاتصال الناجح بين أيفون وجهاز الكمبيوتر إلى إظهار رزم من البيانات التقنية في نافذة "الطرفية" (Terminal). إذا تلقيت خطأ مثل: "لم يتم اكتشاف الجهاز" (device not detected)، فحاول إعادة تشغيل جهاز "أيفون" (iPhone) وكرر الأمر السابق.

7. أنت الآن جاهز لإجراء نسخ احتياطي عن هاتف "أيفون" (iPhone) إلى جهاز الكمبيوتر. تسمح النسخة الاحتياطية المشفرة للعملية بجمع المزيد من المعلومات من جهاز الهاتف، لذلك إذا لم يكن لديك كلمة مرور تحمي الهاتف، فأنت بحاجةٍ إلى تشغيل التشفير على الهاتف عن طريق كتابة الأمر التالي:

idevicebackup2 backup encryption on -i

8. إذا كان التشفير مُمكّن مسبقاً، فستظهر لديك رسالة تفيد بذلك في نافذة "الطرفية" (Terminal). إذا لم يكن التشفير مُمَكَّن مسبقاً، فاختر كلمة مرور وأدخلها عند مطالبتك بذلك. الآن لتشغيل النسخ الاحتياطي، اكتب الأمر التالي:

idevicebackup2 backup --full backup/

9. اعتماداً على كمية المعلومات الموجودة على جهازك، قد يستغرق هذا الإجراء وقتاً طويلاً. لتأكيد نجاح النسخ الاحتياطي، اكتب الأمر التالي:

Run ls -l backup

يجب أن تعطي نتيجة هذا الأمر اسم النسخة الاحتياطية -في حال اكتمالها- التي ستحتاجها للخطوة التالية.

10. أصبحت الآن النسخة الاحتياطية موجودةً على جهاز الكمبيوتر، يمكنك فك تشفيرها عن طريق كتابة الأمر التالي:

mvt-ios decrypt-backup -p <enter your backup password here> -d decrypted backup/<enter backup folder name here>

يجب أن يبدو الأمر الذي تكتبه كهذا الأمر:

mvt-ios decrypt-backup -p password1234 -d decrypted backup/4ff219ees421333g65443213erf4675ty7u96y743

11. بعد فك تشفير النسخة الاحتياطية يمكنك المتابعة إلى مرحلة التحليل. لتحليل النسخة الاحتياطية، ستقوم أداة (MVT) بمقارنة النسخة الاحتياطية بملف (stix2) يحتوي على أمثلة لنشاط ضار. لتشغيل عملية المقارنة، استخدم الأمر التالي:

mvt-ios check-backup -o checked --iocs ioc/pegasus.stix2 decrypted

12. ستقوم أداة (MVT) بعد ذلك بإنشاء سلسلة من ملفات (JSON) تحتوي على نتائج المقارنة. يمكنك التحقق من هذه النتائج باستخدام هذا الأمر:

ls l checked

13. افتح الآن المجلد المسمى "checked" داخل مجلد "بيغاسوس" (Pegasus) الرئيسي. وابحث عن أي ملفات (JSON) والتي تحتوي (detected_) في نهاية أسماء الملفات الخاصة بهم. إذا لم يكن هناك أي شيء، فهذا يعني أنّ أداة (MVT) لم تتمكن من العثور على دليل على إصابة الهاتف ببرنامج "بيغاسوس" (Pegasus). في حالة وجود ملفات تحتوي (detected_) في نهاية أسماء الملفات الخاصة بهم، فقد ترغب في نسخ المجلدات المسماة (backup) و(decrypted) و(checked) إلى موقع مشفر آمن للرجوع إليها في المستقبل، وهذا يعني أنّ الهاتف على الأرجح مصاب ببرنامج "بيغاسوس" (Pegasus).

14. للخروج من حاوية "دوكر" (Docker)، اكتب الأمر التالي:

exit
إقرأ أيضاً: 5 أسباب تجعل هواتف أيفون أكثر أماناً من أندرويد

ماذا لو عثرت أداة (MVT) على دليل لتعرض هاتفك لهجوم بيغاسوس (Pegasus)؟

إذا كانت هناك ملفات تحتوي (detected_) في نهاية أسماء الملفات الخاصة بهم، فمن المحتمل أن يكون الوقت قد حان للاتصال بأخصائي الأمن السيبراني وتغيير هاتفك ورقمك أيضاً.

يجب أن تحتفظ بهاتفك المصاب كدليل، لكن قم بإيقاف تشغيله واحتفظ به بعيداً عن أي محادثات مهمة.

يجب عليك فصل هاتفك من جميع الخدمات عبر الإنترنت، واستخدام جهاز آخر لتغيير كلمة المرور على جميع الحسابات التي كان يتم الوصول إليها من خلال الجهاز المشتبه به.

إقرأ أيضاً: كيف تقوم بحذف حساباتك في شبكات التواصل الاجتماعي

كيف يمكن حماية هاتف "أيفون" (iPhone) من "بيغاسوس" (Pegasus)؟

حماية هاتف أيفون من بيغاسوس

تستخدم برامج التجسس "بيغاسوس" (Pegasus) العديد من طرق الهجوم المعروفة وغير المعروفة، ولكن هناك بعض الخطوات التي يمكنك اتخاذها لتقليل فرص تعرضك للاختراق:

  • من البديهي أن نقول لك أنك بحاجةٍ إلى تأمين هاتفك برمز (PIN) أو يفضل استخدام كلمة مرور قوية.
  • قم بتحديث نظام تشغيل الهاتف بانتظام.
  • قم بإلغاء تثبيت التطبيقات التي لا تستخدمها لتقليل التعرض للهجوم. من المعروف أن "فيس تايم" (Facetime) و"موسيقى أبل" (Apple Music) و"البريد" (Mail) و"أي مسج" (iMessage) جميعها معرضة للإصابة ببرنامج "بيغاسوس" (Pegasus)، ولكن ربما تستخدم اثنين منهم على الأقل.
  • أعد تشغيل هاتفك مرة واحدة على الأقل يومياً لأنَّ هذا يمكن أن يمسح برامج التجسس من ذاكرة الوصول العشوائي ويجعل العملية أكثر صعوبةً بالنسبة لهذه البرامج للعمل بشكلٍ صحيح.
  • لا تنقر على روابط في أي رسائل من أرقام غير معروفة، حتى لو كنت تنتظر تسليم طرد.

هل يجب القلق بشأن برنامج التجسس "بيغاسوس" (Pegasus)؟

يعد "بيغاسوس" (Pegasus) أحد أسوأ الأمثلة على برامج التجسس التي رأيناها حتى الآن. على الرغم من أنَّ عدد الأشخاص الذين تمَّ الإبلاغ عن تأثرهم به حتى الآن ليس ضخماً على المستوى العالمي، فإنَّ حقيقة أنَّ المهاجمين يمكنهم استهداف أحد الأجهزة بأساليب "صفر نقرة" (Zero-Click) هذا يعني أنَّ جميع الأجهزة التي تعمل بأنظمة التشغيل نفسها معرضة للخطر.

قد يكون الأمر مجرد مسألة وقتٍ قبل أن تكرر مجموعات التجسس الأخرى تقنيات "بيغاسوس" (Pegasus)، وينبغي أن يكون هذا بمثابة دعوة للاستيقاظ للجميع لأخذ أمان الهاتف المحمول بجديةٍ أكبر.

المصدر

مقالات مرتبطة