أدهوز
أدهوز أوخرطوم الإعلانات Adhose، هوڤيروس حاسوب يقوم بتوجيه المستخدمين بشكل جماعي إلى إعلانات لفترة قصيرة من الزمن، بعدها يتم استهداف بعض موارد الجاڤا سكرپت في المواقع وإبطالها بغاية حقن إعلانات، ومن المرجح حتى استخدامات أدهوز تهدف إلى جمع الأموال سراً.
استخدامه في مصر
فيتسعة مارس 2018، أصدر معمل المواطن تقرير عن التحقيق في استخدام واضح لأجهزة فحص عميق للحزم (DPI) من شركة ساندڤاين لنشر البرامج الضارة في هجريا وبشكل غير مباشر إلى سوريا، وجمع الأموال سراً من خلال الإعلانات التابعة لتعدين العملات المشفرة في مصر.
عثر الفريق البحثي التابع لمعهد المواطن على مجموعة من الأجهزة (middleboxes) ضمن شبكة تورك تليكوم، كانت هذه الأجهزة تستخدم لإعادة توجيه المستخدمين الذين يقومون بتحميل برامج من الإنترنت إلى نسخ أخرى مدمجة من البرنامج تحتوي على البرنامج المطلوب وبرنامج تجسس بنفس الوقت. برنامج التجسس الذي تم اضافته من قبل المشغّلين شبيه بذلك المُستخدم في هجمة StrongPity APT. قبل الانتنطق إلى برنامج StrongPity قام المشّغلون باستخدام برنامج فينفيشر للتجسس والاعتراض القانوني، والذي تؤكد فينفيشر أنه يباع فقط لجهات حكومية.
قام المستخدمون المستهدفون في هجريا وسوريا بتحميل برامج من المواقع الرسمية لهذه التطبيقات والتي تضم: مضاد ڤيروسات أڤاست، سي كلينر متصفح اوپرا، وبرنامج 7-Zip لفك الضغط. تم تحويلهم بشكل صامت إلى نسخ خبيثة وذلك عبر حقن إعادة توجيه (http redirect). عملية إعادة التوجيه هذه ممكنة بسبب المواقع الرسمية لهذه البرامج، على الرغم من أنهم يقدموا دعم HTTPS إلا انهم يقومون بإعادة تحويل المستخدمين إلى صفحات HTTP للتحميل بشكل افتراضي.
إضافة لذلك، أعيد توجيه المستخدمين المستهدفين في هجريا وسوريا والذين قاموبتحميل البرامج من مسقط Download.com (منصة تحميل برامج من CNET) أيضاً إلى نسخ خبيثة تحتوي فيروسات.
عندما قام الباحثون من معهد المواطن بفحص الإنترنت في هجريا، اكتشفوا بأن عملية حقن الملفات الخبيثة تحدث على الأقل فيخمسة مناطق. فبالإضافة إلى المستهدفين في هجريا، هناك أيضاً مستخدمون موجودون عملياً في سوريا، يستخدمون الإنترنت المرسل من هجريا بواسطة مشهجري تورك تليكوم عبر الحدود عبر اتصال واي-فاي موّجه. في حالة واحدة، مئات المستخدمين من سوريا يتشاركون بعنوان IP هجري واحد. بالاعتماد على المعلومات المتاحة للعموم، على الأقل عنوان IP واحد يظهر أنه يستخدم من قبل قوات وحدات حماية الشعب الكردية. (قوات وحدات حماية الشعب يتم استهدافها من قبل القوات الجوية والأرضية الهجرية ضمن حملة بدأت في ديسمبر 2018). وهناك أيضاً استهداف لمناطق غير مسيطر عليها من قبل وحدات حماية الشعب، مثل المناطق المحيطة بمدينة إدلب.
وفي مصر تم العثور (middle boxes) مشابه في نقطة حدودية في المصرية للاتصالات. هذه الأجهزة تم استخدامها لإعادة توجيه مستخدمي الكثير من مزودي خدمة الإنترنت إلى إعلانات وسكربتات تعدين عملات رقمية. الهيكلية المصرية (والتي اصطلح على تسميتها خرطوم الإعلانات AdHose) تحتوي على نمطين: نمط “الرشّ” بحيث تقوم بتحويل الزائري بشكل جماعي إلى إعلانات لفترة قصيرة من الزمن، والنمط الثاني “التنقيط” حيث يتم استهداف بعض موارد جاڤا سكرپت في المواقع وإبطالها بغاية حقن إعلانات. من المرجح حتى AdHose هي محاولة لجمع الأموال سرا.
بعد تحقيق موسّع ومكّثف، تمكن المحققون من معهد المواطن من مطابقة الخصائص المميزة لأجهزة middleboxes في هجريا ومصر مع أجهزة ساندڤاين باكيت لوجيك (Sandvine PacketLogic). أجهزة ساندفاين باكيت لوجيك قادرة على إعطاء الأولوية لأنواع مختلفة من حركة المرور على الإنترنت وتحليلها وحظرها وحقنها وتسجيلها. الشركة التي تصنّع أجهزة باكيت لوجيك كانت تعهد سابقاً باسم پروسيرا نتورك (Procera Networks)، ولكن تمت إعادة تسميتها مؤخرًا باسم Sandvine بعد قيام شركة أسهم خاصة مقرها في الولايات المتحدة تدعى Francisco Partners، بالاستحواذ على الشركة المالكة Procera وعلى شركة Sandvine لأجهزة الشبكات ودمجت الشركتين في عام 2017. لدى شركة Francisco Partners الكثير من الاستثمارات في شركات تقنية ثنائية الاستخدام، تضم بعض مزودي أدوات مراقبة الانترنت مثل مجموعة NSO الإسرائيلية التي تطور وتبيع أدوات تجسس للهواتف. تم استخدام أدوات مجموعة NSO للتجسس في الكثير من البلدان للتجسس على صحفيين، ومحامين، ومدافعين عن حقوق انسان.
في منطقة تعود لعام 2014 ذكرت صحيفة هجرية بأن هجريا بدأت مفاوضات مع پروسيرا لشراء نظام باكيت لوجيك لأهداف المراقبة والرقابة، الصفقة سببت الذعر داخل الشركة.
في هجريا ومصر، تم العثور على أجهزة تطابق بصمة جهاز Sandvine PacketLogic الموجود لدينا، تقوم هذه الأجهزة بحجب محتويات سياسية، صحفية، ومحتويات متعلقة بحقوق الإنسان.
في مصر، استخدمت هذه الأجهزة لحجب العشرات من المواقع الإخبارية، والسياسية والحقوقية. مثل مواقع مراسلون بلا حدود، والجزيرة، ومدى مصر، وهفنگتون پوست عربي، وهيومن رايتس ووتش. أما في هجريا فقد استخدمت هذه الأجهزة لحجب مواقع مثل ويكيبيديا، ومؤسسة الاذاعة الهولندية، وكذلك مسقط حزب العمال الكردستاني.
المصادر
- ^ "أجهزة ساندفين باكيت لوجيك استُخدمت لنشر برامج التجسس الحكومية في هجريا وإعادة توجيه المستخدمين المصريين إلى الإعلانات التابعة لها؟". المسقط الرسمي لمعهد المواطن. 2018-03-09. Retrieved 2018-03-09.
