محقق أمني يكشف حملة قرصنة روسية استهدفت 13500 مستخدم لتطبيق Signal

مقدمة تحليلية

في مطلع عام 2026، وجد دونشا أوكيرفيل Donncha Ó Cearbhaill، مدير مختبر الأمن في منظمة العفو الدولية Amnesty International، نفسه في موقف غير مألوف؛ فبعد سنوات من تتبع برمجيات التجسس، أصبح هو الهدف. بدأت القصة برسالة مريبة على تطبيق Signal من حساب ينتحل صفة Signal Security Support ChatBot، تدعي رصد نشاط مشبوه وتطلب كود التحقق. لم تكن هذه مجرد محاولة عشوائية، بل كانت طرف الخيط الذي كشف عن عملية استخباراتية روسية واسعة النطاق استهدفت أكثر من 13,500 مستخدم، بينهم سياسيون رفيعو المستوى وصحفيون. تكمن أهمية هذا الكشف في كونه يسلط الضوء على تحول استراتيجي في أساليب الجماعات المرتبطة بالحكومة الروسية، حيث انتقل التركيز من محاولة كسر التشفير القوي لنظام End-to-End Encryption (E2EE) إلى استهداف بروتوكولات التحقق والربط بين الأجهزة. هذه العملية ليست مجرد حادثة قرصنة، بل هي درس في الهندسة الاجتماعية المتقدمة التي تتجاوز التحصينات التقنية للتطبيقات المشفرة.

التحليل التقني

اعتمد المهاجمون في هذه الحملة على نظام أتمتة متطور أطلق عليه أوكيرفيل اسم ApocalypseZ. هذا النظام يسمح بإدارة هجمات واسعة النطاق بحد أدنى من التدخل البشري، ويعمل وفق الآليات التقنية التالية:

• انتحال الهوية الرقمية: استخدام حسابات Signal مهيأة لتبدو كأنها قنوات دعم فني رسمية، مع استخدام لغة تحذيرية لإثارة الذعر (Panic-induced phishing).
• آلية ربط الأجهزة (Device Linking): بدلاً من سرقة الحساب بالكامل، يسعى المهاجمون للحصول على كود التحقق لربط نسخة من الحساب بجهاز يتحكمون به. هذا يتيح لهم قراءة الرسائل المستقبلية دون تنبيه المستخدم بشكل فوري.
• نظام ApocalypseZ: كشف التحليل أن واجهة المشغل والكود البرمجي للنظام مكتوبان باللغة الروسية، مع ميزة برمجية تقوم بترجمة محادثات الضحايا إلى الروسية تلقائياً باستخدام واجهات برمجة تطبيقات (APIs) مخصصة للترجمة.
• فرضية كرة الثلج (Snowball Hypothesis): لاحظ الباحث أن الهجوم ينتشر عبر المجموعات المشتركة؛ بمجرد اختراق ضحية واحدة، يقوم النظام بسحب جهات الاتصال واستهداف أعضاء المجموعات التي تنتمي إليها الضحية، مما يفسر الوصول إلى 13,500 هدف في وقت قياسي.

تعتبر هذه الهجمات من نوع One-click attacks، حيث تتطلب تفاعلاً بسيطاً من المستخدم (إدخال الكود) لتنفيذ الاختراق، وهو أسلوب أقل تكلفة بكثير من استخدام ثغرات Zero-day التي يبرع أوكيرفيل في التحقيق فيها عادةً.

السياق وتأثير السوق

تتقاطع نتائج هذا التحقيق مع تحذيرات سابقة أصدرتها وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية CISA، والمركز الوطني للأمن السيبراني في المملكة المتحدة NCSC، بالإضافة إلى المخابرات الهولندية. جميع هذه الجهات وجهت أصابع الاتهام صراحةً إلى مجموعات تجسس تابعة للحكومة الروسية. وتؤكد تقارير مجلة Der Spiegel الألمانية أن هذه الحملة نجحت بالفعل في اختراق حسابات شخصيات سياسية ألمانية بارزة، مما يشير إلى أن الهدف يتجاوز مجرد جمع البيانات العامة إلى التجسس السياسي الاستراتيجي. في سوق تطبيقات المراسلة المشفرة، يضع هذا الهجوم Signal في موقف حساس. فرغم أن التشفير لم يُخترق، إلا أن ثقة المستخدمين في "هوية" المراسل اهتزت. المنافسون مثل Telegram و WhatsApp يراقبون هذه التطورات عن كثب، حيث تعاني جميع هذه المنصات من نفس نقطة الضعف: العنصر البشري. إن نجاح المهاجمين في أتمتة الهجوم عبر ApocalypseZ يرفع سقف التهديدات السيبرانية من هجمات فردية منسقة إلى هجمات جماعية مؤتمتة تستهدف النخب الفكرية والسياسية.

رؤية Glitch4Techs

في Glitch4Techs، نرى أن هذه الواقعة تثبت حقيقة قاسية: التشفير القوي ليس كافياً إذا كانت بوابة الوصول (Access Control) ضعيفة. إن اعتماد المهاجمين على ترجمة المحادثات فورياً يشير إلى وجود بنية تحتية استخباراتية متكاملة خلف الكواليس، وليس مجرد مجموعة من الهواة. تتمثل المخاوف الأمنية المستقبلية في دمج الذكاء الاصطناعي التوليدي مع أنظمة مثل ApocalypseZ لإنشاء رسائل تصيد مخصصة لكل ضحية بناءً على سياق محادثاتها السابقة، مما سيجعل اكتشاف Phishing شبه مستحيل. نصيحتنا التقنية الصارمة هي تفعيل ميزة Registration Lock في تطبيق Signal، والتي تطلب PIN عند محاولة تسجيل الرقم على أي جهاز جديد، مما يشكل حائط صد منيعاً حتى لو حصل المهاجم على كود التحقق عبر الرسائل النصية أو الدردشة. الأمان الرقمي في 2026 ليس خياراً، بل هو ممارسة يومية مستمرة. بيانات غير متوفرة بخصوص التكلفة الإجمالية لتطوير نظام ApocalypseZ أو الهويات المحددة للمبرمجين المشاركين.