حذّرت وكالة الأمن الإلكتروني والبنية التحتية الأمريكية (CISA) من استغلال جهات مخترِقة مدعومة من دول وبرمجيات تجسّس تجارية للتسلل إلى حسابات تطبيقات Signal وWhatsApp، والسيطرة على الأجهزة، والتنقيب بهدوء في هواتف ما تصفه الوكالة بالمستخدمين “عاليي القيمة”.
وفي تنبيه نشر يوم الإثنين، أشارت CISA إلى أنها تتابع عدة مجموعات تستغل تقنيات التصيد الاحتيالي، أكواد QR مزورة، انتحال التطبيقات، وفي بعض الحالات استغلال ثغرات “صفر نقرة” لاختراق تطبيقات المراسلة، والتي يعتقد معظم المستخدمين أنها آمنة.
وأكدت الوكالة أن هذه الأنشطة تعكس تركيزًا متزايدًا على الأفراد ذوي القيمة العالية، بما في ذلك المسؤولين الحكوميين والعسكريين والسياسيين الحاليين والسابقين، وكذلك منظمات المجتمع المدني في الولايات المتحدة والشرق الأوسط وأوروبا. وفي العديد من الحملات، يقوم المخترقون أولًا بتسليم برامج التجسس قبل أي استفسار، مستفيدين من هذه الثغرة لنشر حمولات إضافية وتعميق الوصول إلى الأجهزة المستهدفة.
وقالت الوكالة: “تدرك CISA وجود عدة فاعلين في الفضاء السيبراني يستخدمون برامج تجسس تجارية لاستهداف مستخدمي تطبيقات المراسلة على الهواتف المحمولة. ويستفيد هؤلاء الفاعلون من تقنيات متقدمة في الاستهداف والهندسة الاجتماعية لتوصيل برامج التجسس والحصول على وصول غير مصرح به لتطبيقات الضحية، مما يتيح نشر حمولات خبيثة إضافية قد تؤدي لمزيد من الاختراق للجهاز”.
وأشار التنبيه إلى أن المخترقين يعتمدون غالبًا على تجاوز التشفير بشكل كامل عن طريق انتحال التطبيقات، واستغلال ميزات الحساب، واستغلال الهواتف نفسها.
على سبيل المثال، أوضح فريق Threat Intelligence التابع لجوجل في فبراير كيف حاولت عدة مجموعات مرتبطة بروسيا، بما فيها Sandworm وTurla، التجسس على مستخدمي Signal عبر استغلال ميزة “الأجهزة المرتبطة” في التطبيق. باستخدام كود QR مزور، تمكن المخترقون من إضافة جهاز ثانٍ تحت سيطرتهم إلى الحساب، ما مكّنهم من متابعة الرسائل الجديدة في الوقت الفعلي.
كما رصدت CISA حملة استغلال على أجهزة Samsung Galaxy باستخدام برامج تجسس تجارية تُعرف باسم LANDFALL. واستُغلت ثغرة في أجهزة سامسونج مع استغلال WhatsApp من نوع “صفر نقرة”، ما مكّن المخترقين من إدخال صورة خبيثة إلى صندوق الرسائل ليتم اختراق الجهاز تلقائيًا عند الاستلام.
ولم تعتمد جميع الحملات على استغلال الثغرات التقنية، حيث حققت عدة حملات مثل ProSpy وToSpy تقدمًا عبر انتحال تطبيقات مألوفة مثل Signal وTikTok، لالتقاط بيانات الدردشة والتسجيلات والملفات. كما اكتشف باحثو Zimperium برنامج التجسس ClayRat على أجهزة أندرويد، الذي تم توزيعه في روسيا عبر قنوات Telegram مزيفة ومواقع تصيّد تحاكي WhatsApp وTikTok وYouTube.
ويأتي هذا التحذير في ظل تدقيق متزايد على شركات برامج التجسس التجارية، إذ حظرت الولايات المتحدة مؤخرًا مجموعة NSO من استهداف مستخدمي WhatsApp بواسطة برنامج Pegasus، كما منعت مجلس النواب استخدام WhatsApp على أجهزة الموظفين بعد سلسلة من المخاطر الأمنية. ويعكس هذا الواقع أن المخترقين لا يكسرون التشفير، بل يتسللون تحت التطبيقات المشفرة.
