داخل بريداتور: زعيم برامج التجسس الذي يستغل أجهزة آيفون بوابل من هجمات الثغرات الصفرية

بائع مراقبة غامض أطلق موجة غير مسبوقة من استغلالات iOS، متجاوزًا العقوبات والتدقيق العالمي.

في عالم القط والفأر للتجسس السيبراني، قلة من الأسماء تثير الرعب مثل إنتيليكسيا - العقل المدبر وراء برنامج التجسس بريداتور. على الرغم من تصاعد العقوبات وكشف الأبحاث المستمر، فقد نظمت هذه الشركة المراوغة حملة لا هوادة فيها من هجمات الثغرات الصفرية ضد أجهزة iOS، مما وضع الخصوصية والأمن السيبراني العالمي على المحك.

معلومات سريعة

إنتيليكسيا مرتبطة بما لا يقل عن 15 استغلال ثغرة صفرية استهدفت iOS وأندرويد وكروم منذ 2021.
تراوحت الاستغلالات بين تنفيذ التعليمات البرمجية عن بُعد وتصعيد الامتيازات، وغالبًا ما استخدمت ثغرات فساد الذاكرة.
تم تسليم برنامج التجسس بريداتور عبر روابط خبيثة ومؤخرًا من خلال إساءة استخدام منصات الإعلانات عبر الإنترنت.
أصدرت جوجل تحذيرات "هجوم مدعوم من الحكومة" لمئات الضحايا في مصر والسعودية وباكستان.
تجري جهود دولية، مثل عملية بال مول، للحد من انتشار برامج التجسس.

وابل بريداتور المستمر من الثغرات الصفرية

وفقًا لمجموعة استخبارات التهديدات في جوجل (GTIG)، تتحمل إنتيليكسيا مسؤولية ما لا يقل عن 15 ثغرة صفرية - ثغرات أمنية غير معروفة للبائعين - منذ عام 2021. وللمقارنة، هذا يمثل أكثر من 20% من جميع الثغرات الصفرية على الأجهزة المحمولة التي تتبعها فرق جوجل خلال السنوات الثلاث الماضية. هذه ليست أخطاء عادية؛ بل هي عيوب خطيرة مثل تنفيذ التعليمات البرمجية عن بُعد (RCE)، حيث يمكن للمهاجمين تشغيل تعليمات برمجية خبيثة على جهاز الضحية، وتصعيد الامتيازات الذي يسمح لهم بالسيطرة العميقة على النظام.

إن التعقيد التقني لافت للنظر. فقد استهدفت استغلالات إنتيليكسيا كل شيء من محرك جافاسكريبت V8 في كروم إلى نواة نظام iOS من آبل. من الأمثلة البارزة CVE-2023-41993 (ثغرة في WebKit الخاص بسفاري) وCVE-2023-41992 (هروب على مستوى النواة). تم تصحيح جميعها بعد اكتشافها، لكن فقط بعد أن تمكن المهاجمون من استغلالها.

في إحدى الحملات المصرية، تمكن الباحثون من التقاط سلسلة استغلال كاملة - اسمها الرمزي "smack" - جمعت بين عدة ثغرات لإصابة الأهداف ببرنامج التجسس بريداتور. سمح الإطار البرمجي المعياري للعملية "JSKit" بتنفيذ التعليمات البرمجية مباشرة من الذاكرة، متجاوزًا ميزات الأمان في آبل مثل رموز مصادقة المؤشرات. أما الحمولة النهائية، المسماة PREYHUNTER، فقد تضمنت فحوصات خفية لتجنب اكتشاف برامج مكافحة الفيروسات، بل وتجنبت التفعيل إذا اكتشفت إعدادًا محليًا أمريكيًا أو إسرائيليًا.

أساليب التسليم والاستجابة العالمية

تقليديًا، كانت إصابات بريداتور تبدأ بروابط لمرة واحدة تُرسل عبر تطبيقات المراسلة المشفرة. لكن إنتيليكسيا رفعت الرهان، حيث استغلت منصات الإعلانات عبر الإنترنت لتتبع المستخدمين بصمت وإعادة توجيه الأهداف المحتملة إلى خوادم الاستغلال. ومنذ ذلك الحين، تحركت جوجل وشركاؤها لحظر هذه الحسابات الإعلانية، لكن التهديد لا يزال قائمًا.

تلقى مئات الأشخاص - العديد منهم في مناطق حساسة سياسيًا - تحذيرات من جوجل حول "هجوم مدعوم من الحكومة". جميع النطاقات الخبيثة المعروفة الآن مدرجة في قوائم الحظر الخاصة بالتصفح الآمن، لكن المعركة الأوسع ضد برامج التجسس التجارية لم تنته بعد.

تتسابق التحالفات الدولية، مثل عملية بال مول، للحد من شركات مثل إنتيليكسيا. لكن طالما استمر الطلب على تقنيات المراقبة، ستستمر لعبة القط والفأر.