شركة إسرائيلية باعت برامج ألكترونية تُساهم في إختراق نظام التشغيل ( وندوز )

باعت مجموعة إسرائيلية أدوات برمجية تسهل من عمليات إختراق نظام التشغيل ( مايكروسوفت ويندوز )، بحسب بيان من شركة مايكروسوفت ومجموعة حقوق الإنسان التكنولوجية – جامعة تورنتو – كندا Citizen Lab يوم الخميس.

يوضح التحليل الفني للباحثين الأمنيين كيف أنتشرت أداة القرصنة الخاصة من شركة ( Candiru )، في جميع أنحاء العالم، إلى العديد من العملاء الذين لم يتم الكشف عن أسمائهم، حيث تم إستخدامها بعد ذلك لإستهداف العديد من منظمات المجتمع المدني، بما في ذلك مجموعة معارضة ( سعودية ومنفذ إخباري إندونيسي يساري ) ، وفقًا لتقرير Citizen Lab وعرض شركة مايكروسوفت.

تشير الأدلة على إستغلال ثغرات في نظام التشغيل وندوز العائد لشركة مايكروسوفت Microsoft Corp، والذي تمكنت من سد هذه الثغرات من خلال التحديثات، أنه تم نشره ضد مستخدمين في عدة دول، بما في ذلك ( إيران ، لبنان، إسبانيا والمملكة المتحدة ).

قامت شركة مايكروسوفت Microsoft بإصلاح الثغرات التي تستخدمها هذه البرامج، يوم الثلاثاء، من خلال التحديث للنظام.

لم تنسب شركة مايكروسوفت Microsoft بشكل مباشر إستغلال تلك الثغرات من قبل برامج Candiru ، وبدلاً من ذلك أشارت إليه بأنه جهة هجومية ضمن القطاع الخاص مقرها إسرائيل، تحت الاسم الرمزي Sourgum.

أستغلت برامج Candiru أيضًا ( نقاط الضعف ) في منتجات مثل متصفح كروم Chrome المطور بواسطة شركة غوغل Google.

أصدرت شركة غوغل Google تعليقات كشفت فيها عن ( عيبين ) في متصفح ألانترنت كروم Chrome وجدهما تحليل Citizen Lab لهم علاقة بـرامج Candiru.

لم تشر شركة غوغل Google إلى برامج Candiru بالاسم، لكنها أشارت بأنه ” شركة مُراقبة تجارية “، حيث قامت شركة غوغل Google بتلافي هذه ( العيوب ).

يشير تحليل Citizen Lab ألى برامج التجسس هذه، والتي تباع بشكل حصري للحكومات، يمكنها مراقبة ( الهواتف التي تعمل بنظام التشغيل iOS من شركة أبل، وأندرويد من شركة غوغل، ونظام التشغيل ماك أو أس من شركة أبل للكمبيوتر المحمول والمكتبي، وحسابات شخصية لمستخدمي Cloud على عدة تطبيقات من أبل، غوغل ومايكروسوفت ).

يوجد هنالك أكثر من ٧٥٠ موقع مرتبط بـ ( Candiru ).

حددت شركة مايكروسوفت ١٠٠ ضحية في ( فلسطين، إسرائيل، إيران، لبنان، اليمن، إسبانيا، المملكة المتحدة، تركيا، أرمينيا وسنغافورة ، والضحايا هم من المدافعين عن ( حقوق الإنسان، معارضين، صحفيين، نشطاء وسياسيين ).

ماهي Candiru ؟

شركة مقرها تل أبيب ، إسرائيل ، هي شركة برامج تجسس ( مرتزقة ) تقوم بتسويق البرامج التجسسية ” التي لا يمكن تعقبها ” للحكومات فقط، ويتضمن عرض منتجاتهم حلولًا للتجسس على أجهزة الكمبيوتر والأجهزة المحمولة وحسابات الإشخاص على Cloud.

تبذل شركة Candiru جهودًا كبيرة لإبقاء عملياتها وبنيتها التحتية وهويات الموظفين غامضة أمام التدقيق العام.

تأسست شركة Candiru Ltd في عام ٢٠١٤، وخضعت لتغييرات عديدة في الأسماء

مثل العديد من شركات برامج التجسس المرتزقة، ورد أن الشركة تجند من صفوف الوحدة ٨٢٠٠ ، وحدة إستخبارات في جيش الدفاع الإسرائيلي.

الاسم الحالي للشركة هو Saito Tech Ltd

شعار الشركة عبارة عن صورة ظلية لسمكة Candiru المشهورة على شكل حرف “C.”

لدى شركة Candiru شركة فرعية واحدة على الأقل وهي : Sokoto Ltd

المبيعات والاستثمارات المبلغ عنها

وفقًا لدعوى رفعها موظف سابق، بلغت مبيعات الشركة ” ما يقرب من ٣٠ مليون دولار” في غضون عامين من تأسيسها.

يقع عملاء الشركة المبلغ في أوروبا ، والاتحاد السوفيتي السابق ، والخليج العربي ، وآسيا ، وأمريكا اللاتينية، بالإضافة إلى ذلك ، تم نشر تقارير عن الصفقات المحتملة مع عدة دول:

* أوزبكستان / في عرض تقديمي في عام ٢٠١٩، ذكر باحث من شركة كاسبرسكاي الروسية، بأن الشركة باعت برامج لجهاز ألامن القومي في أوزبكستان.

* السعودية وألامارات / تشير البيانات ألى أنهم عملاء محتملين للشركة.
* قطر / أحدى الشركات العائدة لصندوق الإستثمار القطري، أستثمرت أموال في شركة Candiru.
* سنغافورة / الشركة تعمل مع أجهزة الإستخبارات في سنغافورة.

عروض برامج التجسس الخاصة بشركة Candiru

يُظهر اقتراح مشروع شركة Candiru لبرامج التجسس، الذي تم تسريبه والذي نشرته TheMarker – صحيفة عبرية تأسست عام ١٩٩٩/ أنه يمكن تثبيت برامج التجسس الخاصة بـالشركة Candiru باستخدام عدد من الطرق المختلفة ، بما في ذلك الروابط الألكترونية الضارة.

مثل العديد من الشركات المماثلة، يبدو أن شركة Candiru تُرخص برامج التجسس الخاصة بها، من خلال عدد الضحايا المحتملين بشكل متزامن، يعني عدد الأهداف التي يمكن أن تكون تحت المراقبة النشطة في أي لحظة.

يسمح إقتراح المشروع الخاص بالشركة، والذي تبلغ قيمته ١٦ مليون يورو، بعدد غير محدود من محاولات الإصابة ببرامج التجسس، ولكن تتم مراقبة ١٠ أجهزة فقط في وقت واحد.

مقابل ١.٥ مليون يورو إضافية، يمكن للعميل شراء القدرة على مراقبة ١٥ جهازًا إضافيًا في وقت واحد، وإصابة الأجهزة في بلد إضافي واحد.

مقابل ٥.٥ مليون يورو إضافية، يمكن للعميل مراقبة ٢٥ جهازًا إضافيًا في وقت واحد ، وإجراء تجسس في خمسة بلدان أخرى.

في الاقتراح، برامج التجسس تعمل على جميع الأراضي المتفق عليها، وهنالك قائمة بالبلدان المحظورة ( الولايات المتحدة وروسيا والصين وإسرائيل وإيران ).

ومع ذلك، لاحظت شركة مايكروسوفت Microsoft أحد ضحايا شركة Candiru في إيران، مما يشير إلى أنه في بعض الحالات، يتم إستخدام برامج شركة Candiru في المناطق المحظورة.

ينص الاقتراح على أن برامج التجسس يمكنها سرقة البيانات الخاصة من عدد من التطبيقات والحسابات بما في ذلك ( خدمة البريد ألالكتروني من غوغل Gmail و تطبيق سكايب Skype و تطبيق تليغرام Telegram و فيسبوك Facebook.

يمكن لبرامج التجسس أيضًا الكشف عن المواقع التي تصفحها الهدف عبر ألانترنت وكلمات المرور وتشغيل كاميرا الخاصة بالمستخدم والميكروفون والتقاط صور لشاشة الكمبيوتر للضحية.

مقابل رسوم إضافية بقيمة ١.٥ مليون يورو، يمكن للعملاء شراء إمكانية تنفيذ أوامر برمجية عن طريق ( shell ) عن بُعد، في كمبيوتر الضحية.

هذا النوع من الإمكانيات مثير للقلق بشكل خاص، نظرًا لإمكانية استخدامهِ في إرسال الملفات لجهاز الضحية ( يتم إدانته بفعل وجود هذه الملفات ) وهو لا يعلم بوجودها.

كيفية العثور على برامج التجسس الضارة لـشركة Candiru ؟

باستخدام بيانات من Team Cymru ، إلى جانب المساعدة من شركاء المجتمع المدني ، تمكن Citizen Lab من تحديد جهاز كمبيوتر نشتبه في إحتوائه على برامج ضارة من شركة Candiru بشكل مستمر.

اتصلنا بمالك الكمبيوتر، وهو فرد ناشط سياسيًا في أوروبا الغربية ، ورتبنا عملية ( بحث ) للقرص الصلب في جهازه، حيث تم إستخراج نسخة من برنامج التجسس الخاص بـشركة Candiru.

يتم تثبيت برامج التجسس الخاصة بـشركة Candiru على كمبيوتر الضحية من خلال منفذ ألاتصالات ( COM )، ضمن العنوان التالي لسجل نظام تشغيل وندوز ( يمكن الوصول اليه من خلال فتح Run في نظام تشغيل وندوز، وكتابة Regedit ).