حددت مجموعة تحليل التهديدات التابعة لشركة Google 40 شركة تشارك في بيع وتوريد خدمات الاستغلال الأمني وبرامج التجسس للحكومات.
توفر العشرات من شركات المراقبة تكنولوجيا برامج التجسس التي تستخدمها الحكومات في جميع أنحاء العالم للتجسس على الهواتف المحمولة للصحفيين والمدافعين عن حقوق الإنسان والمعارضين والمعارضين السياسيين.
قامت مجموعة تحليل التهديدات التابعة لشركة Google بتحديد ما يصل إلى 40 شركة تعمل في مجال بيع الثغرات الأمنية وقدرات المراقبة للحكومات التي لديها سجلات سيئة في مجال حقوق الإنسان وتقوم بتتبعها بشكل نشط.
وتمتد التجارة إلى ما هو أبعد من شركات برامج التجسس المعروفة، مثل مجموعة NSO الإسرائيلية، وCy4Gate الإيطالية، وIntellexa في اليونان، وتشمل سلسلة توريد موسعة من الشركات الصغيرة التي توفر قدرات المراقبة.
تزامن نشر جوجل للتقرير مع مبادرة فرنسية بريطانية مشتركة، تُعرف باسم عملية بال مولتم الاتفاق عليها في مؤتمر دولي في لانكستر هاوس في لندن، والذي يطمح إلى تقديم ضمانات لاستخدام برامج التجسس التجارية.
وفقًا لشركة Google، فإن شركات القطاع الخاص، المعروفة باسم بائعي المراقبة التجارية (CSVs)، وليس وكالات الاستخبارات الحكومية وإنفاذ القانون، هي المسؤولة عن غالبية أدوات القرصنة والمراقبة الأكثر تطورًا التي اكتشفتها مجموعة تحليل التهديدات (TAG) من Google.
ووجدت الدراسة أنه من بين 25 نقطة ضعف في يوم الصفر – نقاط ضعف أمنية غير عامة يمكن أن تسمح لبرامج التجسس بالوصول إلى البيانات الخاصة على الهواتف أو أجهزة الكمبيوتر المحمولة – التي حددها باحثو جوجل في العام الماضي، تم استغلال 20 منها من قبل موردي المراقبة.
وتقوم جوجل حاليًا بتتبع 40 شركة تشارك في تقديم خدمات المراقبة التجارية للحكومة، على الرغم من أنها تعترف بأنه من المستحيل تحديد أو إحصاء جميع المنظمات المشاركة في هذه التجارة.
تأثير مخيف على الديمقراطية والانتخابات
إن قدرة الحكومات على شراء خدمات التجسس الإلكترونية الجاهزة، تحول مخاطر المراقبة بعيدًا عن الحكومات إلى ملفات CSV نفسها وتزيد من احتمالية نشر برامج التجسس ضد الأفراد ذوي المخاطر العالية.
ويخلص التقرير، الذي يروي القصص الشخصية للناشطين والناشطين الذين تم استهدافهم ببرامج التجسس التي ترعاها الحكومة، إلى أن التجارة في برامج التجسس كان لها تأثير مروع على حرية التعبير وتشكل تهديدًا للانتخابات الحرة والنزيهة.
في العام الماضي، على سبيل المثال، وجدت المجموعة أن أدوات المراقبة التي قدمها Intellexa، وهو تحالف مقره اليونان لموردي المراقبة التجارية، استغلت الانتخابات والمرشحين السياسيين لمحاصرة أهداف في إندونيسيا ومدغشقر. كما تم استخدام برنامج التجسس “بريداتور” التابع للشركة في مصر لاستهداف السياسيين المعارضين.
أظهرت وثائق مسربة سابقًا نقلتها شركة جوجل أن مطالب الحكومة ببرامج التجسس أدت إلى عقود مربحة للشركات والأفراد الذين يشكلون سلاسل التوريد لبائعي المراقبة التجارية.
على سبيل المثال، كشفت وثيقة منشورة في منتدى الجرائم الإلكترونية أن Intellexa عرضت عمليات زرع “Nova” لعملاء حكوميين لإصابة 10 هواتف تعمل بنظام Android أو IoS في وقت واحد في البلد المضيف مقابل 8 ملايين يورو. ومقابل مبلغ إضافي قدره 1.2 مليون يورو، يمكن للعملاء اختيار إصابة الهواتف من خمسة بلدان إضافية خارج البلد المضيف.
يدفع معظم العملاء مقابل إعادة إصابة هواتفهم المستهدفة بانتظام ببرامج تجسس لتجنب خطر اكتشافها من خلال البقاء على الهاتف. لكن Intellexa عرضت أيضًا خيار تثبيت العدوى المستمرة، والتي تظل على الهاتف بمجرد إغلاقه، مقابل المزيد من المدفوعات الكبيرة.
عملت ملفات CSV أخرى مع مزودي خدمة الإنترنت لإقناع المستخدمين بتثبيت تطبيقات مزيفة للوصول إلى بيانات العملاء. وجدت إحدى الحملات التي حددتها TAG في عام 2021، أنه تم إرسال رسائل نصية قصيرة إلى الضحايا في إيطاليا وكازاخستان لتشجيعهم على تنزيل تطبيقات Vodafone المزيفة التي أتاحت للمهاجمين الوصول إلى محتوى هواتفهم المحمولة.
العاب القط والفأر
قامت شركة Google وغيرها من الباحثين الأمنيين بتعطيل نماذج الأعمال الخاصة ببائعي المراقبة التجارية من خلال اكتشاف الثغرات الأمنية التي يستخدمها موفرو برامج التجسس والكشف عنها وتصحيحها.
في أبريل 2023، على سبيل المثال، عطلت جوجل عمليات Intellexa لمدة 40 يومًا بعد أن أصدرت تصحيحات لإصلاح ثغرات اليوم الصفري التي تستخدمها برامج التجسس. على الرغم من أن Intellexa طورت ثغرة بديلة للثغرة الأمنية، إلا أنها استمرت لمدة أسبوع واحد فقط قبل أن تقوم Google بإصلاح الثغرة الأمنية.
أصدرت شركة Apple تصحيحًا يُعرف باسم “BlastDoor” في تحديث نظام التشغيل iOS 14 الخاص بها لتجعل من الصعب على المهاجمين تطوير عمليات استغلال النقر الصفري ضد خدمة الرسائل النصية iMessage. وجدت مجموعة برامج التجسس الإسرائيلية، NSO، طريقة للالتفاف حول الحماية من خلال تسليم الحمولات في شكل ملفات PDF متخفية في شكل ملفات رسومية. عالجت Apple المشكلة في التحديثات اللاحقة.
استمرت شركات CSV في العمل على الرغم من الجهود المبذولة للحد من أنشطتها من قبل الحكومات وشركات التكنولوجيا التي اتخذت إجراءات قانونية مباشرة ضدها. على سبيل المثال، تستمر مجموعة NSO في العمل على الرغم من العقوبات التي فرضتها الحكومة الأمريكية والدعاوى القضائية من Meta وApple.
وترى جوجل أن هناك حاجة إلى مزيد من الإجراءات للحد من انتشار تقنيات المراقبة التجارية، وتحث حكومة الولايات المتحدة على قيادة جهد دبلوماسي مع البلدان التي يعمل فيها بائعو المراقبة التجارية، ومع الحكومات التي تستخدم خدماتهم.
27 دولة تدعم عملية بال مول
وكانت جوجل، إلى جانب ميتا ومايكروسوفت وبي إيه إي سيستمز ديجيتال إنتليجنس، من بين مجموعة متباينة مكونة من 14 شركة لدعم عملية بال مول، وهي مبادرة بريطانية وفرنسية لتطوير ضمانات وإرشادات لاستخدام خدمات المراقبة التجارية.
وتدعو عملية بال مول، التي تم الاتفاق عليها خلال مؤتمر استمر يومين في لانكستر هاوس في 6 فبراير 2023، وحضرته 27 دولة، إلى مساءلة الحكومات ومنظمات القطاع الخاص المشاركة في المراقبة إذا كانت أنشطتها غير متوافقة مع قانون حقوق الإنسان.
وتنص الوثيقة على أنه ينبغي استخدام قدرات المراقبة “بدقة” للتخفيف من “العواقب غير المقصودة أو غير القانونية أو غير المسؤولة”.
ينبغي للحكومات وموردي الصناعة إجراء تقييمات العناية الواجبة لضمان استخدام تكنولوجيا المراقبة بشكل قانوني ومسؤول. ويجب أن يكون استخدامه قانونيًا وضروريًا ومتناسبًا، وفقًا لوثيقة بال مول.
ويرى التقرير أنه يجب أن يتم توفير قدرات المراقبة بشفافية حتى يتمكن المستخدمون والموردين من فهم سلاسل التوريد المشاركة في توفير المراقبة التجارية وبرامج التجسس.
تم استبعاد مجموعات الحقوق الرقمية
وكان من بين الغائبين بشكل ملحوظ عن المؤيدين عدد من الدول التي زُعم أنها نشرت برامج تجسس تجارية، بما في ذلك إسبانيا والمكسيك وصربيا ومصر والأردن. كما لم تحضر إسرائيل، موطن شركة NSO وغيرها من مطوري برامج التجسس، المؤتمر.
مجموعات الحقوق الرقمية، بما في ذلك منظمة العفو الدولية، وBig Brother Watch، وغيرها من المنظمات التي قامت بحملات وأبحاث حول برامج التجسس، لم تظهر أيضًا ضمن قائمة الحاضرين.
البروفيسور الزائر وأخصائي الخصوصية، إيان براون، علق على X“إن هذه العملية تفتقد حقًا قسمًا كبيرًا من أصحاب المصلحة: مجموعات الحقوق الرقمية التي تعمل بشكل وثيق على هذه القضية لأكثر من عقد من الزمن.”
ومن المقرر أن تعقد فرنسا مؤتمر متابعة في عام 2024.
اقرأ المزيد عن الامتثال التنظيمي والمتطلبات القياسية
مراجعة McPartland Cyber Review في المملكة المتحدة لفحص الثقة في التكنولوجيا
بواسطة: أليكس سكروكستون
جوجل: بائعو برامج التجسس يقودون الاستغلال الفوري
بواسطة: أرييل والدمان
المملكة المتحدة وفرنسا تضغطان من أجل التوصل إلى اتفاق دولي بشأن برامج التجسس
بواسطة: بيل جودوين
يعرض Citizen Lab تفاصيل المعركة المستمرة ضد بائعي برامج التجسس
بواسطة: أرييل والدمان