أدهوز

أدهوز أو خرطوم الإعلانات Adhose، هو ڤيروس حاسوب يقوم بتوجيه المستخدمين بشكل جماعي إلى إعلانات لفترة قصيرة من الزمن، بعدها يتم استهداف بعض موارد الجاڤا سكرپت في المواقع وإبطالها بغاية حقن إعلانات، ومن المرجح أن استخدامات أدهوز تهدف إلى جمع الأموال سراً.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

استخدامه في مصر

في 9 مارس 2018، أصدر معمل المواطن تقرير عن التحقيق في استخدام واضح لأجهزة فحص عميق للحزم (DPI) من شركة ساندڤاين لنشر البرامج الضارة في تركيا وبشكل غير مباشر إلى سوريا، وجمع الأموال سراً من خلال الإعلانات التابعة لتعدين العملات المشفرة في مصر.

عثر الفريق البحثي التابع لمعهد المواطن على مجموعة من الأجهزة (middleboxes) ضمن شبكة تورك تليكوم، كانت هذه الأجهزة تستخدم لإعادة توجيه المستخدمين الذين يقومون بتحميل برامج من الإنترنت إلى نسخ أخرى مدمجة من البرنامج تحتوي على البرنامج المطلوب وبرنامج تجسس بنفس الوقت. برنامج التجسس الذي تم اضافته من قبل المشغّلين شبيه بذلك المُستخدم في هجمة StrongPity APT. قبل الانتقال إلى برنامج StrongPity قام المشّغلون باستخدام برنامج فينفيشر للتجسس والاعتراض القانوني، والذي تؤكد فينفيشر أنه يباع فقط لجهات حكومية.

قام المستخدمون المستهدفون في تركيا وسوريا بتحميل برامج من المواقع الرسمية لهذه التطبيقات والتي تشمل: مضاد ڤيروسات أڤاست، سي كلينر متصفح اوپرا، وبرنامج 7-Zip لفك الضغط. تم تحويلهم بشكل صامت إلى نسخ خبيثة وذلك عبر حقن إعادة توجيه (http redirect). عملية إعادة التوجيه هذه ممكنة بسبب المواقع الرسمية لهذه البرامج، على الرغم من أنهم يقدموا دعم HTTPS إلا انهم يقومون بإعادة تحويل المستخدمين إلى صفحات HTTP للتحميل بشكل افتراضي.

إضافة لذلك، أعيد توجيه المستخدمين المستهدفين في تركيا وسوريا والذين قامو بتحميل البرامج من موقع Download.com (منصة تحميل برامج من CNET) أيضاً إلى نسخ خبيثة تحتوي فيروسات.

عندما قام الباحثون من معهد المواطن بفحص الإنترنت في تركيا، اكتشفوا بأن عملية حقن الملفات الخبيثة تحدث على الأقل في 5 مناطق. فبالإضافة إلى المستهدفين في تركيا، هناك أيضاً مستخدمون موجودون فعلياً في سوريا، يستخدمون الإنترنت المرسل من تركيا بواسطة مشتركي تورك تليكوم عبر الحدود عبر اتصال واي-فاي موّجه. في حالة واحدة، مئات المستخدمين من سوريا يتشاركون بعنوان IP تركي واحد. بالاعتماد على المعلومات المتاحة للعموم، على الأقل عنوان IP واحد يبدو أنه يستخدم من قبل قوات وحدات حماية الشعب الكردية. (قوات وحدات حماية الشعب يتم استهدافها من قبل القوات الجوية والأرضية التركية ضمن حملة بدأت في ديسمبر 2018). وهناك أيضاً استهداف لمناطق غير مسيطر عليها من قبل وحدات حماية الشعب، مثل المناطق المحيطة بمدينة إدلب.^[1]

وفي مصر تم العثور (middle boxes) مشابه في نقطة حدودية في المصرية للاتصالات. هذه الأجهزة تم استخدامها لإعادة توجيه مستخدمي العديد من مزودي خدمة الإنترنت إلى إعلانات وسكربتات تعدين عملات رقمية. الهيكلية المصرية (والتي اصطلح على تسميتها خرطوم الإعلانات AdHose) تحتوي على نمطين: نمط “الرشّ” بحيث تقوم بتحويل الزوار بشكل جماعي إلى إعلانات لفترة قصيرة من الزمن، والنمط الثاني “التنقيط” حيث يتم استهداف بعض موارد جاڤا سكرپت في المواقع وإبطالها بغاية حقن إعلانات. من المرجح أن AdHose هي محاولة لجمع الأموال سرا.

بعد تحقيق موسّع ومكّثف، تمكن المحققون من معهد المواطن من مطابقة الخصائص المميزة لأجهزة middleboxes في تركيا ومصر مع أجهزة ساندڤاين باكيت لوجيك (Sandvine PacketLogic). أجهزة ساندفاين باكيت لوجيك قادرة على إعطاء الأولوية لأنواع مختلفة من حركة المرور على الإنترنت وتحليلها وحظرها وحقنها وتسجيلها. الشركة التي تصنّع أجهزة باكيت لوجيك كانت تعرف سابقاً باسم پروسيرا نتورك (Procera Networks)، ولكن تمت إعادة تسميتها مؤخرًا باسم Sandvine بعد قيام شركة أسهم خاصة مقرها في الولايات المتحدة تدعى Francisco Partners، بالاستحواذ على الشركة المالكة Procera وعلى شركة Sandvine لأجهزة الشبكات ودمجت الشركتين في عام 2017. لدى شركة Francisco Partners العديد من الاستثمارات في شركات تقنية ثنائية الاستخدام، تشمل بعض مزودي أدوات مراقبة الانترنت مثل مجموعة NSO الإسرائيلية التي تطور وتبيع أدوات تجسس للهواتف. تم استخدام أدوات مجموعة NSO للتجسس في العديد من البلدان للتجسس على صحفيين، ومحامين، ومدافعين عن حقوق انسان.

في مقالة تعود لعام 2014 ذكرت صحيفة تركية بأن تركيا بدأت مفاوضات مع پروسيرا لشراء نظام باكيت لوجيك لأهداف المراقبة والرقابة، الصفقة سببت الذعر داخل الشركة.

في تركيا ومصر، تم العثور على أجهزة تطابق بصمة جهاز Sandvine PacketLogic الموجود لدينا، تقوم هذه الأجهزة بحجب محتويات سياسية، صحفية، ومحتويات متعلقة بحقوق الإنسان.

في مصر، استخدمت هذه الأجهزة لحجب العشرات من المواقع الإخبارية، والسياسية والحقوقية. مثل مواقع مراسلون بلا حدود، والجزيرة، ومدى مصر، وهفنگتون پوست عربي، وهيومن رايتس ووتش. أما في تركيا فقد استخدمت هذه الأجهزة لحجب مواقع مثل ويكيبيديا، ومؤسسة الاذاعة الهولندية، وكذلك موقع حزب العمال الكردستاني.

المصادر

^ "أجهزة ساندفين باكيت لوجيك استُخدمت لنشر برامج التجسس الحكومية في تركيا وإعادة توجيه المستخدمين المصريين إلى الإعلانات التابعة لها؟". الموقع الرسمي لمعهد المواطن. 2018-03-09. Retrieved 2018-03-09.

الكلمات الدالة:

[1] "أجهزة ساندفين باكيت لوجيك استُخدمت لنشر برامج التجسس الحكومية في تركيا وإعادة توجيه المستخدمين المصريين إلى الإعلانات التابعة لها؟". الموقع الرسمي لمعهد المواطن. 2018-03-09. Retrieved 2018-03-09.

[1]