في هذا التقرير ، نَصِف كيف تم استهداف المقيم الدائم في كندا، والمنشق السعودي؛ “عمر عبد العزيز”، عبر إشعار مزيف عن “تتبع شحنة بريد”. نحن وجدنا -وبثقة عالية- أن هاتف عبد العزيز قد تم استهدافه ببرنامج التجسس “بيغاسوس” من شركة NSO. نعزو هذه الإصابة إلى مشغل “بيغاسوس” مرتبط بالمملكة العربية السعودية.

النتائج الاساسية

دينا ثقة كبيرة بأن الهاتف الجوال ل”عمر عبد العزيز”؛ وهو ناشط سعودي ومقيم دائم في كندا، قد تم استهدافه وإصابته ببرنامج التجسس “بيغاسوس” من شركة NSO. عبد العزيز كان صريحا بشأن الخلاف الدبلوماسي المستمر حول قضايا حقوق الإنسان بين كندا والمملكة العربية السعودية. حدث الاستهداف بينما كان عبد العزيز-الحاصل على حق اللجوء في كندا- يدرس في جامعة كيبيك.

خلال عملنا على رسم الخرائط الحديثة لبنية شبكة برنامج بيغاسوس للتجسس، حددنا وجود عدوى مشتبهٍ بها تقع في كيبيك/ كندا ، ويتم تشغيلها من خلال ما استنتجنا انه مشغل “بيغاسوس” مرتبط بالمملكة العربية السعودية، قارنا العدوى بنمط تحركات عبد العزيز وهاتفه. بمساعدته وبعد فحص رسائله النصية، حددنا رسالة نصية تتنكر على أنها رابط “تتبع شحنة بريد”، والتي احتوت على رابطٍ لموقع معروف لثغرات برنامج “بيغاسوس”.

ليس لدينا علمٌ بأيّ تصريحٍ قانونيٍّ للاختراق ومراقبة “عمر عبد العزيز” في كندا من قبل حكومةٍ أجنبية. إن لم تكن عملية المراقبة مرخصة بشكل صحيح ، فقد يكون المشغلون وراء هذا الاستهداف قد ارتكبوا جرائم متعددة في القانون الجنائي الكندي؛ بما في ذلك اعتراض الاتصالات الخاصة عمداً ما يخالف القسم 184 (1) من القانون الجنائي الكندي.

1. الخلاصة

مزود “برامج الحرب الرقمية” NSO يتخذ من إسرائيل مقراً له، ويبيع برنامج “بيغاسوس” للتجسس على الهواتف المحمولة. يتمكن مشغّلو “بيغاسوس” من إصابة أجهزة أندرويد وآيفون؛ عبر إرسال رسائل نصّية للمستهدفين، تحتوي على روابط خبيثة. بعد أن تتم إصابة الهاتف يحصل المشّغل على وصول كامل إلى جهاز الضحية وملفاته الشخصية؛ مثل رسائل المحادثة، والبريد الإلكتروني، والصور. كذلك يتمكن من استخدام الميكروفونات والكاميرات الموجودة في الهاتف والتنصت على الضحايا.

خلال العامين الماضيين ، ظهرت تقاريرٌ متعددةٌ تبين كيف تم استغلال برنامج “بيغاسوس” للتجسس من قبل العديد من عملاء مجموعة NSO بغرض استهداف المجتمع المدني. وفي عام 2016 قام سيتزن لاب بنشر أول تقرير عن استخدام “بيغاسوس” (معارض المليون دولار), والذي يشرح بالتفاصيل كيف تم استهداف الناشط الإماراتي “أحمد منصور” الحائز على جائزة (مارتن إينالز)؛ كيف تم استهدافه على الأغلب من قبل الحكومة الإماراتية.لاحقا، في عام 2017 قام سيتزن لاب بنشر تقرير عن إساءة استخدام برنامج “بيغاسوس” في المكسيك عبر استهداف أشخاص مثل المحامين، والصحفيين، والسياسيين. وفي آب 2018، قامت منظمة العفو الدولية بنشر تقرير عن استهداف الناشط السعودي “يحيى عسيري” -والذي يعمل باحثاً مع منظمة العفو الدولية- ببرنامج “بيغاسوس”. إضافة لذلك قام الرئيس السابق “ريكاردو مارتينيللي” المتهم من قبل حكومة بنما باستخدام برنامج “بيغاسوس” خلال فترة ولايته بين عامي 2009 -2014 للتجسس بشكل ممنهج على المعارضين السياسيين والصحفيين.

في أيلول 2018، وفي تقرير تحت اسم “لعبة الغمّيضة“، بحثنا بشكل مفصّل في انتشار مشغلي برنامج “بيغاسوس” والإصابات حول العالم، و ذلك بعد فحص الإنترنت للبحث عن مخدّمات “بيغاسوس”  وتجميع 1091 مخدّم تابع لبيغاسوس، وجدنا 36 مشغلًا، واستخدمنا “ذاكرة التخزين المؤقت لـ DNS” لإرسال استعلامات لمزوّدي خدمة الإنترنت (ISP) حول العالم، ثم حددنا 120 مزوّدًا لخدمات الإنترنت في 45 بلدًا اشتبهنا بوجود إصابات “بيغاسوس” بها (الشكل 1). كانت تقنيتنا تعتمد على الافتراض؛ بأن الأجهزة المصابة “ببيغاسوس” تقوم بإرسال طلبات بشكل دائم للمخدمات التحكم والقيادة (C&C) التابعة للشركة من أجل استخلاص المعلومات وتلقي أوامر جديدة من المشغل الخاص بهم.

الشكل 1: خريطة للاختراقات المشتبه بها من برنامج بيغاسوس

كشف تقريرنا “لعبة الغمّيضة” عن إصابة محتملة في كيبيك/ كندا. لاحظنا أن الإصابة تنتقل ما بين مزود خدمة إنترنت خاص بمستخدمين عاديين إلى مزود خدمة الإنترنت في الجامعة خلال الأمسيات وخارج السنة الأكاديمية. لقد ربطنا هذه العدوى بالمشغل الذي نسميه “KINGDOM – المملكة”؛ والذي يعتبر مسؤولاً عن استهداف الناشط وباحث منظمة العفو الدولية يحيى عسيري في 2018. بعد أن اشتبهنا بأن الهدف الموجود في كندا هو فرد مرتبط بالسعودية في كيبيك، اتصلنا بأفراد من الجالية السعودية وحاولوا التعرف على شخص تتناسب تحركاته مع نمط الشخص المستهدف، فوجدنا مطابقة واحدة؛ “عمر عبد العزيز” ؛ وهو طالب جامعي لديه نمط من النشاط المسائي

في يومين محددين، تمكنا من مطابقة توقيت نشاطه المسائي، ومن ثم توقيت عودته إلى المنزل بطريقة انتقال حركة الشخص المستهدف بين مزودي خدمة الإنترنت. كذلك فحصنا  هاتف عبد العزيز ووجدنا رسالة نصية قصيرة تحتوي على رابط مزيف “لتتبع شحنة بريد”, هذا الرابط المزيف تابع “لبيغاسوس”. هذه العوامل كلها تقودنا إلى الاستنتاج بثقة عالية بأن هاتف عبد العزيز الآيفون كان مصابًا برنامج التجسس “بيغاسوس” من شركة NSO.

الشكل 2 : العدوى المشتبه بها، والتي يشغلها عميل شركة NSO عبر “KINGDOM – المملكة”.

 

عبد العزيز مقيم دائم في كندا وناقد صريح للحكومة السعودية. في عام 2014 ، أجبر على طلب اللجوء في كندا بعد مواجهة ضغوط قوية من الحكومة السعودية. اليوم عبد العزيز؛ وهو طالب جامعي في كيبيك، لا يزال صوتاً قوياً في قضايا حقوق الإنسان في المملكة العربية السعودية، والذي هددت السلطات السعودية أخاه بالسجن  في آب 2018، واعتبرها عبد العزيز محاولة للضغط عليه للصمت. وعندما استمر بالنشاط فإن اثنين من إخوته والعديد من أصدقائه في السعودية قد اختفو قسرياً.  سمح برنامج “بيغاسوس” للمشّغلين بنسخ جهات الاتصال من هاتف عبد العزيز، والصور العائلية الخاصة، والرسائل النصية، والمكالمات الصوتية عبر برامج المحادثة الشهيرة. حتى إنه كان بإمكان المشغلين تشغيل كاميرا هاتفه والميكروفون لالتقاط المحادثات المحيطة؛  كالمحادثات التي تحدث في منزله.

ليس لدينا علمٌ بأيّ تصريح قانوني لقرصنة “عمر عبد العزيز” في كندا من قبل حكومةٍ أجنبيةٍ. وقد تكون هذه الإجراءات مخالفة لعدّة بنود من أحكام القانون الجنائي الكندي، بما في ذلك اعتراض الاتصالات الخاصة عن قصد، وهي جريمة يعاقب عليها القانون  بموجب المادة 184.

Note on Translation: This is an informal translation of the original report in English. This informal translation may contain inaccuracies. It is intended only to provide a basic understanding of our research. In the event of a discrepancy or ambiguity, the English version of this report prevails.