هآرتس: رفضت إسرائيل الموافقة على صفقة مع المغرب وتم إغلاق شركة كوادريم للتجسس
هآرتس 22-5-2023، عومر بن يعقوب ويورا فإن بيرغن: رفضت إسرائيل الموافقة على صفقة مع المغرب وتم إغلاق شركة كوادريم للتجسس
خلال سنين اعتبرت شركة “كوادريم” التهديد المحلي الأكبر لشركة NSO: فبرنامجها اعتبر في المكان الثاني بعد بيغاسوس من حيث القدرة على اختراق أجهزة “آيفون”، ومن بين زبائنها السعودية. لدى برنامجها قدرة على الاختراق بدون “نقر”، وهو اختراق سري لا يحتاج أي إجراء من جانب الضحية، الأمر الذي يفسح المجال للوصول الكامل إلى جهات الاتصال والمحادثات والرسائل في تطبيقات مثل الواتساب والقدرة على تحويل جهاز “الآيفون” المخترق إلى جهاز تجسس قوي ضد مالكه. رغم الوعد الكبير إلا أن الشركة استدعت الموظفين قبل بضعة أسابيع لجلسة استماع قبل الإقالات، وقالت لهم بأنها ستغلق.
وثائق داخلية ورموز سرية (برنامج) وصلت لـ “هآرتس” تكشف للمرة الأولى عن تطبيق كوادريم – ريجن. إضافة إلى ذلك، فإن محادثات مع خمسة مصادر في عالم السايبر الهجومي تسلط الضوء على الظروف التي أدت إلى إغلاق الشركة، منها عدم الحصول على المصادقة لتسويق منتجات اختراق جديدة، وحقيقة أن وزارة الدفاع رفضت المصادقة للشركة على صفقة جديدة مع المغرب.
“كوادريم” استثمرت في تطوير عدد من المنتجات الجديدة، من بينها القدرة على اختراق أجهزة الأندرويد. الشركة التي تحدت الرقابة الأمنية الإسرائيلية، حاولت تطوير وسيلة اختراق جديدة ذات قدرة “هستيرية”، كما اعتبرت ذلك المصادر التي تحدثت مع “هآرتس”. ولكن تجربة التطوير هذه لم تنضج ولم تصل إلى منتج نهائي. بدون صفقات جديدة وبدون أدوات جديدة، قررت الشركة تقليص نشاطاتها. جهات رفيعة في الشركة تعمل الآن على بيع جزء من أسهمها وممتلكاتها، في حين تجري طواقم التطوير والبيع فيها مقابلات مع الشركات المنافسة المحلية.
واتساب، واي فاي، بدون نقر
الرمز السري لـ”كوادريم” تسرب إلى الشبكة، كما يبدو بالخطأ، عن طريق أحد الموظفين في الشركة. الجهاز الذي يسمى “بلوسبير” هو الرابط بين البرنامج ومنظومة التنصت الذي يصيب الهواتف المستهدفة. يمكن رؤية كيف يسمح النظام للمشغل بإدارة عدة “تحقيقات” (حالات)، إذ إن كل تحقيق يحتوي على عدد من “المهمات” أو أرقام هواتف أو أجهزة تعقب. كل تحقيق لطاقم الإدارة له مراقبون مع امتيازات محدودة أكثر و”قائمة بيضاء” و”قائمة سوداء”، أي هواتف يمكن أو لا يمكن التنصت عليها.
خطوط البرنامج المعروفة باسم “كوانتوم”، بما في ذلك لقطات شاشة للبرنامج، عُثر عليها في موقع تخزين مشهور من أجل تخزين الرموز المشفرة، الذي يستخدمه المبرمجون للتعاون في عملية التطوير. تم تسجيل المستخدم الذي قام بتحميل “الكود” على الموقع برسالة بريد إلكتروني رسمية لموظف “كوادريم”. والمستخدمون الآخرون الذين لديهم بريد إلكتروني لشركة “كوادريم” ردوا على الرمز السري. “الرمز السري المشفر المكشوف يتشارك في الخصائص مع عينات من البرنامج الضار “ريجن”، الذي تم بيعه لمنظمة “أمنستي” الدولية، الأمر الذي يؤكد أن هذا الرمز تم تطويره بالفعل داخلياً من قبل الشركة”، قال دونكا أ. كاربهل، وهو قرصان يقود الطاقم التقني في منظمة حقوق الإنسان الدولية، وكان مشاركاً في تحقيقات كثيرة حول استخدام برامج ضد المواطنين.
بناء على طلب من “هآرتس”، فحص كاربهل الرمز المشفر وأكد أنه يعود لـ”كوادريم”. وأكد أن الأمر قد يتعلق فقط بمنظومة عينات وليس بالضرورة بمنظومة نشطة، لكنه أوضح بأن الرمز المشفر يسلط ضوءاً نادراً على البرنامج وعلى تاريخه وعلى تطور قدرات الشركة. على سبيل المثال، في السابق نشر بأن كانت لـ”كوادريم” قدرة تنصت بدون “الكبس على الزر” بجهاز الآيفون في العام 2021، التي تم تطويرها في موازاة قدرات شركة NSO. حسب “رويترز”، فإن الشركتين استغلتا نقطة ضعف في منظومة رسائل “الآيفون” التابعة لشركة آبل للقيام بعملية الاختراق. ولكن حسب الرمز المشفر الذي تسرب وتم تحليله الآن، فربما أنه في العام 2018 حاولت “كفاردين” الاختراق بواسطة “الواتساب” أو بواسطة نقطة ضعف في تطبيق الرسائل القصيرة أو من خلال استغلاله من أجل إرسال رسائل قصيرة مع روابط خبيثة.
ربما كان يمكن أن تكون واتساب “عامل اختراق”، بالذات لأجهزة الأندرويد وليس الآيفون. ووفقاً للمصادر، فإن “كوادريم” أرادت منافسة NSO أيضاً في هذه الخاصية. الرمز المشفر يكشف عامل اختراق آخر، ربما سيمكن من اختراق الأجهزة عن طريق شبكة “الواي فاي”. ومن غير الواضح إذا كانت هذه التكنولوجيا أو القدرات قد نضجت وتم بيعها فعلياً.
“تطوير عوامل جديدة للهجوم هو تهديد كبير لمنظمات المجتمع المدني ونشطاء حقوق الإنسان. هذه البرامج، التي تعمل بالسر ولا يمكن اكتشافها، تسمح لمن يخرقون حقوق الإنسان بإسكات من ينتقدونهم بدون أي تداعيات”، قال كاربهل.
المصادر التي تحدثت مع “هآرتس” قالت بأن “كوادريم” تنازلت في السنة الماضية عن محاولة التطوير هذه بعد عدم الحصول على المصادقة الإجرائية لتسويق برنامجها في الخارج.
خوادم في قبرص
قبل شهرين على قيام “آبل” في سد الثغرة في الرسائل القصيرة، كشف “غور مجيدو” في “ذي ماركر” عن وجود “كوادريم”، وأن السعودية هي زبونة لها. خلافاً لشركة NSO التي باعت بيغاسوس للسعودية بتشجيع من إسرائيل وبمصادقتها، تمت الصفقة خارج إسرائيل بواسطة شركة في قبرص اسمها “ان ريتش”، التي أقيمت لغرض تسويق منتجات “كوادريم” خارج إسرائيل. شركات إسرائيلية كثيرة تقوم بتسجيل شركات فرعية في قبرص لتجاوز رقابة وزارة الدفاع، في حين أن شركات أخرى تسجل منذ البداية في قبرص.
نموذج “كوادريم”، حسب مصدر مطلع، تحدى الرقابة الإسرائيلية. مصادر ووثائق وصلت “هآرتس” أظهرت بأنه كان للشركة مكتب نشط في قبرص في 2019 – 2020. في تلك الفترة، قلصت الشركة نشاطها في إسرائيل بشكل كبير وحاولت نقل الموظفين إلى قبرص وأقالت من رفضوا الانتقال. المطور الذي حمّل “الكود” على الشبكة كان من بين المقالين. في تلك الفترة، تم تحميل إعلان لتجنيد مطورين ورجال مبيعات على الشبكة عن طريق مستخدم له بريد إلكتروني لفروع “كوادريم”. “أفضلية لمن لديهم جواز سفر أجنبي”، كتب في الإعلان الذي ظهر باسم شركة غير معروفة (4 دي.سي.أو)، “لن تجدوا أي موقع، نحن نتمتع بالبقاء تحت الرادار”.
في العام 2020 انفجر نزاع قانوني بين شركة “ان ريتش” وشركة “كوادريم”، بذريعة أن الأخيرة لم تف بالتزاماتها ولم تحول العمولات المطلوبة من صفقات التسويق. وانتهى النزاع بتسوية بلغت 5 ملايين دولار.
مشكلات في المغرب
عقب الرد على كشف الصفقة غير المراقبة مع السعودية، والنزاع مع أذرع التسويق في قبرص، بدأت “كوادريم” في العمل، لكن تحت قسم الرقابة على التصدير الأمني “آفي”، هذا ما قالته مصادر في المجال. في حين أن NSO سجلت مبيعات ضخمة في الغرب، لا سيما في أوروبا، لكنها اشتهرت بسبب نشاطاتها في أماكن أقل ديمقراطية في العالم، خاصة بفضل “دبلوماسية السايبر” لرئيس الحكومة بنيامين نتنياهو، الذي دفع قدماً بتكنولوجيا التجسس هذه كجزء من تسخين العلاقات مع العالم العربي وإفريقيا. عولت “كوادريم” على ذلك وركزت جهود المبيعات في آسيا وشمال إفريقيا والدول العربية، لا سيما الدول التي لم تنجح في منظومات التجسس من شركة NSO. أجرت “كوادريم” في السنوات الأخيرة محادثات مع أربع دول كهذه. هذه المحادثات حصلت على مصادقة أولية (هناك حاجة إلى مصادقة “آفي” منذ مرحلة التسويق)، لكن في نهاية المطاف لم تتم المصادقة على صفقات البيع نفسها. ونشر في آب 2021 في مجلة “غلوبوس” عن محادثات “كوادريم” في المغرب. دولة المغرب التي طبعت علاقاتها مع إسرائيل في إطار اتفاقات إبراهيم كانت زبونة في شركة NSO، لكنها فصلت عن المنظومة بعد كشف استخدامها لبرنامج “بيغاسوس” ضد شخصيات رفيعة في إسبانيا (رئيس الحكومة ووزيرة الدفاع)، وفرنسا (الرئيس إيمانويل ماكرون) (وهو ما نفته الرباط). هذا الكشف أحرج إسرائيل: تحدث ماكرون مع رئيس الحكومة في حينه نفتالي بينيت، وسافر وزير الدفاع في حينه بني غانتس إلى باريس ووعد بأن “إسرائيل ستفحص الأمر بالجدية القصوى”.
عقب هذه الحادثة، فصلت شركة NSO المغرب، ولم تحصل على مصادقة لاستئناف الصفقة معها. و”كوادريم” أيضاً لم تحصل على مصادقة لبيع برامجها للمغرب. “محاولة البيع للمغرب، رغم عدد كبير من التقارير عن سوء استخدام برامج التجسس، تثبت أن شركات خاصة لا يمكنها وهي غير قادرة على مراقبة نفسها. هي تخفي نشاطاتها بواسطة بنية هيكلية مؤسسية معقدة وتجاوز الرقابة القليلة القائمة”، قال كاربهل.
بعد الكشف عن سوء استخدام بيغاسوس وقرار وزارة التجارة الأمريكية إدخال كانديرو وام.اس.أو إلى القائمة السوداء، قلصت إسرائيل قائمة الدول المسموح التسويق لها وبيع تكنولوجيا تجسس متطورة، من 100 دولة إلى نحو 35 دولة فقط، معظمها دول ديمقراطية غربية. نتيجة لذلك، دخلت الصناعات في هزة، وشركات كثيرة تم إغلاقها، من بينها شركة “أي.سي.إي.لابس” و”نيميسيس”.
إضافة إلى اختراق “الأندرويد”، استثمرت “كوادريم” موارد كثيرة جداً في تطوير على الأقل أداتين جديدتين للاختراق، لكنها لم تنضج أو أن “كوادريم” لم تحصل على مصادقة بيعها. ورغم عودة نتنياهو إلى الحكم وتوقعات التسهيل في الرقابة على التسويق في الخارج، قررت “كوادريم” التراجع عن الصفقة وإغلاق الشركة.
مصدر رفيع في المجال قال إن صعود وهبوط “كوادريم” يعكس التغير في صناعة السايبر الهجومي. “هم أرادوا أن يكونوا NSO أكثر من NSO نفسها”، لكن قرار تقليص قائمة الدول، طبقاً للطلبات الأمريكية، كشف أن السوق العالمية غير كبيرة بما فيه الكفاية للإبقاء على هذه الصناعة. إذا كان يمكن البيع فقط للغرب، فإن الشركات الكبرى فقط هي التي يمكنها البقاء، وستغلق الشركات الصغيرة”.
كوادريم و”ان.اس.أو” ووزارة الدفاع، اختارت عدم الرد. “واتساب” التي تقاضي NSO في هذه الأثناء، قالت في ردها: “صناعة التجسس تعمل بدون مسؤولية مع تجاهل الخصوصية بشكل صارخ وحماية الناس في أرجاء العالم عن طريق استغلال ثغرات في منظومة التشغيل في الهواتف المحمولة. نحن نعمل طوال الوقت على الدفع قدماً بحماية منتجاتنا، ونعمل مع جهات أخرى لمنع هجمات لشركات كهذه”.