December 5, 2012 | By Eva Galperin and Morgan Marquis-Boire

عادت الانترنت إلى سوريا، و عادت برامج تجسس تستهدف الناشطين السوريين

This post was translated from English to Arabic by Nadim Kobeissi

الجمعة الماضية، عندما تم نظام بشار الأسد بفصل الانترنت لمدة ثلاثة أيام، أحد العناوين ال-IP القليلة التي ظلت موصولة كان عنوان متورط بمحاولة جارية لمراقبة الناشطين السوريين منذ تشرين الثاني من سنة 2011. هذا العنوان متورط بتوزيع عدة برامج تجسس متنكرة كبرامج لمنع التجسس زائفة، برامج لتشفير محادثات Skype زائفة، وملفات تقول أنها تحتوي على معلومات عن تكوين المنظمات الثورجية في سورية. منظمة EFF تمت بكشف حملتين جديدتين للتنصت عبر برامج التجسس، وهي أيضاً تتصل بنفس العنوان ال-IP الذي التقطناه في موسم الصيف.

أول حملة جديدة بدأت في ٢١ من شهر تشرين الثاني، في نفس الجمعة التي تمت قوات المعارضة بالتقدم الشديد ضد نظام الأسد. يتم إغراء المستخدم بتنزيل ملف يدعى "أسماء بعض الممولين في سوريا والخارج المطلوبين لدى النظام السوري.pdf.scr" هذا الملف يبدو كأنه ملف PDF، ولكنه فعلاً ملف RAR في كلب ملف SCR قابل للتنفيذ. فوراً بعد إعادة الانترنت إلى سوريا في ١ من كانون الأول، تم توزيع نسخة معدلة جديدة من هذا الملف، وهي تدعى "أسماء بعض المسلحين في سورية والخارج المطلوبين لدى النظام السوري 2012_.pdf.scr."

البصمات الرقمية لدى الملفات هي:

،ed86876db98db35d8c205f8c0b92b0a4
.02c2ee77cf5aaf8ac03739640c46e822

تم الإتصال بالمستخدمين المستهدفين عبر Skype وعبر الوسائل الإعلام الإجتماعية، ربما عبر حسابات قد تم اختراقها، وتم تشجيع المستخدمين بتنزيل هذه الملفات عبر موقع Mediafire (الصور أدناه.) بدلاً عن إرسال رسالات قصيرة وإصطناعية، ذكر إلينا أن هذه التشجيعات كانت مقطعاً من محادثات طويلة وذو طابع أصلي.

http://www.mediafire.com/?zr42ka5838ev4po

يجب على مستخدمين الانترنت السعيين أن يكونو حذرين جداً ضد فتح أي ملفات أو مواقع مشكوك بها، أو تنزيل ملفات من Skype حتى إن كانت تزعم أنها مرسلة من صديق.

لقد تمت شركة Mediafire بإزالة هذه الملفات من موقعها بسبب إساءة إستعمال خدمات الموقع.

عندما يتم تنفيذ الملفات، يتم عرض وثيقة طولها ٢٨٥ صفحة تزعم أنها تحتوي على أسامي ومعلومات شخصية لأشخاص مطلوبة من قبل نظام الأسد لانتمائهم للقوة المعارضة (صورة أدناه

رغم أن فتح الملف يظهر وثيقة PDF، يتم الملف أيضاً بتسجيل برنامج يدعى DarkComet RAT، وهو يمكنه إلتقات صور عبر ال-Webcam، إلغاء الاخطارات لبعض البرامج للحماية ضد الفيروسات، سرق المعلومات وكلمة السر، وأكثر من ذلك. أكثر من دزينةٍ من برامج التجسس التي تمت ال-EFF بتحليلها تحتوي على إصدارات مختلفة من DarkComet RAT. علاقات البرنامج القريبة من النظام السوري، وتقرير Human Rights Watch على شبكات مراكز التعذيب لنظام الأسد ممكن قد ساهمو بقرار مبتكر DarkComet RAT بإلغاء مشروعه. ولكن رغم أن DarkComet RAT لن يعد معتمداً من قبل مبتكره، لا يزال البرنامج الوسيلة المفضلة لدى القوة المشجعة للنظام للتجسس على الناشطين.

DarkComet RAT يسجل الملفات المذكورة أدناه:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\system.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\StartMenu.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\اسماء بعض الممولين في سوريا والخارج المطلوبين لدى النظام السوري.pdf

عندما تبدأ بالكتابة، يسجل البرنامج ملفاً أخر يدعى:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dclogs.sys

وأيضاً يتم DarkComet RAT بخلق ملف "C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\..Ink" (الصورة أدناه:)

يتم البرنامج بالتواصل مع مركز التحكم الأساسي الموجود في عنوان IP 216.6.0.28 إستعمالاً port 885.

TCP 0.0.0.0:0 Connect 216.6.0.28:885

هذا العنوان مملوك من قبل Syrian Telecommunications Establishment STE وهو مسجل في دمشق.

هذه البرامج للتجسس قد تكشفها برامج للحماية ضد الفيروسات، ولكن بيع هذه البرامج ممنوع من قبل الولايات المتحدة إلى سورية بسبب ضوابط التصدير. هذا يشكل مثلاً أخر عن كيف هذه الضوابط تساهم بمنع السوريين بالحصول على البرامج الذين يحتاجونها لحماية أنفسهم من النتصت من قبل الأنظمة.

يمكن أيضاً الكشف عن DarkComet RAT إستعمالاً برنامج مخصص لإبادة DarkComet RAT، مبتكراً من قبل مخترع DarkComet RAT نفسه. الصورة أدناه توضح البرنامج وهو يكشف DarkComet RAT على كمبيوتر قد تم اختراقه:

إن كان حاسوبك يحتوي على DarkComet RAT، إبادة البرنامج لا تؤكد أمانة حاسوبك أبداً. يمكن أن يكون قد سجل برامج تجسس أخرى على حاسوبك عبر DarkComet RAT قبل أن تكون قد تمكنت من ابادته. أئمن طريقة لحماية حاسوبك هاي اعادت تسجيل Windows بعد امحاء كل المعلومات من الحاسوب، وتغيير كل كلمات السر التي قد تكون استخدمتها على هذا الحاسوب حين كان مخترق.

منظمة EFF تعبر بقلق عميق عن عودة ظهور برامج تجسس تستهدف الناشطين السوريين. سوف نتابع التطورات الجارية في هذا الأمر بعناية.


Deeplinks Topics

Stay in Touch

NSA Spying

EFF is leading the fight against the NSA's illegal mass surveillance program. Learn more about what the program is, how it works, and what you can do.

Follow EFF

Tomorrow at @sfiaf in San Francisco, join EFF for "Edward Snowden Revelations and the Public Right to Know." https://eff.org/r.v9n2

May 29 @ 4:33pm

EFF supporters get 20% off registration for @ISSALA's Information Security #Summit7 next week: https://eff.org/r.s2qt

May 29 @ 1:36pm

Higher max sentences for "material support" won't prevent terrorism—but will chill First Amendment rights. https://eff.org/r.x49r

May 29 @ 1:19pm
JavaScript license information