برنامج التجسس غرافايت.. الشبح الرقمي الصامت

[الباسل]

برنامج التجسس غرافايت.. الشبح الرقمي الصامت


آلية الاختراق في غرافايت تعتمد على سلسلة من الخطوات، تبدأ بمرحلة الإعداد،
مرورا بتنفيذ الهجوم، وانتهاء بتثبيت البرنامج في الجهاز المستهدف (شترستوك)


28/3/2026


برنامج تجسس متطور من إنتاج شركة باراغون سوليوشنز الإسرائيلية يستهدف اختراق أنظمة تشغيل الهواتف الذكية، مثل نظامي "آي أو إس" (iOS) وأندرويد، ويهدف للوصول إلى بيانات التطبيقات وجمع المعلومات، مع إمكانية تحويل الجهاز إلى أداة للتنصّت والمراقبة.
تستخدمه الجهات الحكومية، مثل أجهزة الأمن وإنفاذ القانون، في إطار ما تُعرف ببرمجيات التجسس التجارية. ويُباع عادة بموجب تراخيص خاصة، ولا يتاح للأفراد أو الجهات غير الرسمية.
ورغم تأكيد شركة باراغون أن البرنامج مُقيّد بضوابط تهدف إلى الحد من إساءة استخدامه، وأنه يُباع حصريّا لجهات حكومية تعمل ضمن أطر قانونية، فقد ربطت تقارير إعلامية وحقوقية استخدامه بحالات استهداف شملت صحفيين وناشطين في المجتمع المدني، مما أثار جدلا حول مدى الالتزام بهذه الضوابط، ودفع منظمة العفو الدولية (أمنستي) للدعوة إلى حظره.

التطوير والتسويق

عملت شركة باراغون سوليوشنز على تطوير برنامج التجسس غرافايت، وهي شركة إسرائيلية متخصصة في تقنيات المراقبة الرقمية، تأسست عام 2019.
وشارك في تأسيسها عدد من الشخصيات البارزة، من بينهم رئيس الوزراء الإسرائيلي الأسبق إيهود باراك، إلى جانب مسؤولين سابقين في وحدة الاستخبارات السيبرانية (8200)، من أبرزهم إيهود شنيرسون القائد السابق للوحدة.

غرافايت هو طليعة الجيل الثالث من برمجيات التجسس المأجورة التي تطورها شركة "باراغون" الإسرائيلية (باراغون سوليوشنز)

وقدّمت الشركة نفسها بوصفها بديلا "أخلاقيا" لشركات برامج التجسس الأخرى، مؤكدة امتلاكها آليات تهدف إلى الحد من إساءة استخدام منتجاتها، ومعلنة أنها لا تبيعها إلا لجهات حكومية تلتزم بالمعايير الدولية واحترام الحقوق والحريات الأساسية، وذلك لاستخدامها في مجالات مثل "مكافحة الإرهاب" والجريمة المنظمة.
ولا تعتمد الشركة على أساليب التسويق التقليدية، كالمعارض الدفاعية أو المنصات المفتوحة، بل تروّج لمنتجاتها عبر قنوات مغلقة وعلاقات مباشرة مع جهات حكومية رفيعة المستوى.

وفي أواخر عام 2024، أعلنت شركة "إيه إي إندستريال بارتنرز" (AE Industrial Partners) الأمريكية استحواذها على باراغون، ودمجها مع شركة "ريد لاتس" (REDLattice) المتخصصة في الأمن السيبراني الهجومي.
وقد عثر مختبر "سيتيزن لاب" الكندي، المتخصص في التحقيق في تهديدات الأمن الرقمي، على مؤشرات استخدام البرنامج في عدد من الدول، من بينها إيطاليا والولايات المتحدة وأستراليا وكندا والدانمارك وسنغافورة وإسرائيل وقبرص.

آلية الاختراق

تعتمد آلية الاختراق في برنامج غرافايت على سلسلة من الخطوات المتتابعة، تبدأ بمرحلة الإعداد، مرورا بتنفيذ الهجوم، وانتهاء بتثبيت البرنامج داخل الجهاز المستهدف.

برنامج غرافايت يتميز بقدرته على الوصول إلى بيانات التطبيقات المشفرة (الفرنسية)


- الإعداد: تقوم الجهة المشغّلة (مثل أجهزة إنفاذ القانون أو الاستخبارات) بتحديد الهدف، ثم تهيئة البنية اللازمة للهجوم، بما في ذلك إعداد خوادم القيادة والتحكم ضمن البنية التحتية للشركة المطوّرة.
- تنفيذ الهجوم: ترسل الجهة المشغّلة إلى الجهاز المستهدَف محتوى مُعدّا خصيصا، قد يكون رسالة أو ملفا خبيثا عبر أحد التطبيقات، أو من خلال إدخال الهدف في سياق محادثة (مثل إضافة المستهدَف إلى مجموعة)، ثم تمرير الملف أو الوسائط المعدّة إلى تلك المحادثة.
- تثبيت برنامج التجسس: يتم عبر استغلال ثغرات أمنية دون حاجة إلى تفاعل من المستخدم "بدون نقر".

ويمكن تصنيف هذه الثغرات إلى نوعين رئيسيين:

- ثغرات في معالجة الرسائل والوسائط: تُستغل هذه الثغرات عبر تطبيقات المراسلة، مثل واتساب وسيغنال وآي مسج، إذ يُثبَّت البرنامج دون أي تفاعل من المستخدم، وذلك في أثناء المعالجة التلقائية للرسالة أو الملف (كعرض الصور أو معاينة المحتوى)، إذ يُستغل خلل خفي لتنفيذ تعليمات برمجية ضارة مضمّنة في المحتوى، مما يؤدي إلى تنزيل مكونات برنامج التجسس على الجهاز.
- ثغرات على مستوى نظام التشغيل: ترتبط هذه الثغرات بأنظمة مثل أندرويد و"آي أو إس" (نظام تشغيل أجهزة آيفون)، إذ تتيح ثغرات متقدمة -غالبا غير معروفة- منح برنامج التجسس صلاحيات واسعة على مستوى النظام، بما يشمل الوصول إلى بيانات حساسة والحصول على رموز المصادقة، أو تثبيت نفسه بشكل دائم، مع تجاوز آليات الحماية المدمجة.

آلية التشغيل داخل الجهاز

بعد نجاح الاختراق، يبدأ برنامج التجسس العمل داخل الجهاز، إذ يحصل على مستوى عالٍ من الوصول إلى النظام عبر آلية متعددة المراحل:
- أولا: العمل داخل النظام: يندمج البرنامج داخل التطبيقات الموجودة مسبقا، ولا يظهر في شكل تطبيق مستقل، إذ قد يعمل على هيئة تعليمات برمجية تُنفَّذ في الذاكرة المؤقتة، أو في صورة جزء مخفي ضمن مكونات النظام.
- ثانيا: الاتصال بخوادم التحكم: بمجرد تثبيته، ينشئ البرنامج اتصالا سريا بخوادم القيادة والتحكم، مما يتيح للجهة المشغِّلة إرسال الأوامر واستقبال البيانات، ويمنحها قدرة واسعة على إدارة الجهاز عن بُعد.
- ثالثا: تجاوز التشفير: يصل البرنامج إلى البيانات بعد قيام التطبيق نفسه بفك تشفيرها، دون أن يتدخل في العملية، مما يسمح له بقراءة المحتوى في حالته الأصلية.
- رابعا: جمع البيانات ونقلها: يقوم البرنامج بنسخ البيانات أو التقاطها من الذاكرة، ثم إرسالها إلى خوادم يتحكم فيها المشغِّل عبر قنوات اتصال مشفّرة، غالبا عبر بنية تحتية سحابية أو خوادم وسيطة تُستخدم لإخفاء المصدر.

بعد نجاح الاختراق، يبدأ برنامج التجسس العمل داخل الجهاز، إذ يحصل على مستوى عالٍ من الوصول إلى النظام (شترستوك)

البنية التحتية للبرنامج

يعتمد برنامج غرافايت في تنفيذ عملياته على بنية تحتية متعددة الطبقات، تُستخدم لإدارة الهجمات والتحكم بها وجمع البيانات، وتتكوّن من مستويات مترابطة:

- خوادم القيادة والتحكم (C2): تُشكّل هذه الخوادم نقطة الاتصال الأساسية مع الأجهزة المستهدفة، وغالبا ما تكون مستضافة على خدمات سحابية تجارية عامة، مثل "غوغل كلاود". وتشير تحليلات "سيتيزن لاب" إلى أنها قد تكون مُدارة من قبل الشركة المطوّرة أو من قبل عملائها. وتتولى هذه الخوادم استقبال البيانات من الأجهزة المخترَقة، وإرسال الأوامر إلى برنامج التجسس فيها.
- خوادم ضمن بنى حكومية: تُشير بعض التحليلات إلى استخدام خوادم تعمل ضمن شبكات حكومية أو بنى تابعة لجهات أمنية، تُستخدم لمعالجة البيانات أو تخزينها. وغالبا ما تكون هذه الخوادم أقل انكشافا على الإنترنت، مما قد يمنحها مستوى أعلى من الحماية التشغيلية مقارنة بالخوادم العامة.
- بنى تحتية مخصّصة لكل عميل: يتم تخصيص بيئات تشغيل منفصلة لكل جهة مستخدِمة، بحيث يمتلك كل عميل بنية تقنية خاصة به، وهو ما يتيح استقلاليته وعزل بياناته.

برنامج "غرافايت" لا يُعد تهديدًا مباشرًا للمستخدمين العاديين بسبب تكلفته المرتفعة واعتماده على استهداف شخصيات محددة(منتجة بالذكاء الاصطناعي)

القدرات والمميزات

يتميز برنامج غرافايت بمجموعة من القدرات، من أبرزها:

- الوصول إلى بيانات التطبيقات المشفرة: يتيح البرنامج الوصول إلى محتوى تطبيقات المراسلة، مثل واتساب وسيغنال وتلغرام، بما يشمل الرسائل والصور والملفات وجهات الاتصال، وتسجيلات الميكروفون والكاميرا.
- المراقبة في الوقت الفعلي: يمكن للبرنامج مراقبة نشاط المستخدم بشكل مباشر، بما في ذلك تفعيل الميكروفون والكاميرا وتتبع الموقع الجغرافي.
- التثبيت دون علم المستخدم: يتم تحميل البرنامج دون علم المستخدِم، بدون روابط مشبوهة أو رسائل نصية تصيدية مرئية، أو طلب تثبيت يحتاج موافقته.
- التخفي داخل النظام: يعمل البرنامج ضمن التطبيقات والعمليات القائمة أصلا على الجهاز، بحيث تصبح هذه التطبيقات بمثابة مضيفات لبرمجيات التجسس، مما قد يحتاج معه المحلل الجنائي إلى فهم دقيق لآلية عمل كل تطبيق ليتوصل إلى وجود اختراق.
- مقاومة التحليل والكشف: صُمَّم البرنامج بحيث يترك آثارا رقمية شبه معدومة، وهو ما يزيد من صعوبة اكتشافه حتى باستخدام أدوات التحليل الجنائي الرقمي.
- قنوات اتصال مشفّرة: يعتمد البرنامج على اتصالات مشفّرة مع خوادم التحكم، مستخدما تقنيات لإخفاء النطاقات الحقيقية والمرور عبر خوادم وسيطة، مما يصعّب تتبع مصدر الاتصال.
- البقاء الدائم عبر الحسابات السحابية: تشير تقارير إلى أن بعض آليات التشغيل قد ترتبط بالبيانات أو النسخ الاحتياطية السحابية، ما قد يسمح باستمرار الوصول إلى المعلومات حتى عند تغيير الجهاز.

استهداف المجتمع المدني وانتهاك حقوق الإنسان

أشارت تقارير إعلامية وحقوقية إلى استخدام برنامج التجسس غرافايت في استهداف صحفيين وناشطين في المجتمع المدني، لا سيما في أوروبا، بمن فيهم عاملون في منظمات غير حكومية معنية بقضايا اللجوء والهجرة عبر البحر الأبيض المتوسط، إضافة إلى جهات تعمل على التحقيق في قضايا الفساد.
ففي أبريل/نيسان 2025، أبلغت شركة آبل عددا من مستخدمي نظام "آي أو إس" بتعرّضهم لهجمات باستخدام برنامج تجسس متطور.
وأظهر تحليل تقني أجراه مختبر "سيتيزن لاب" مؤشرات قوية تربط بعض هذه الحالات ببرنامج غرافايت.

كما أعلنت شركة ميتا في فبراير/شباط 2025 اكتشاف حملة استهداف عبر تطبيق واتساب طالت نحو 90 شخصا، يُعتقد أنها استخدمت برنامج غرافايت. وأكدت التقارير أن عديدا من الضحايا كانوا صحفيين ونشطاء حقوقيين.
وأفاد تطبيق واتساب بأنه وجّه خطاب إنذار إلى شركة "باراغون" يطالبها بوقف هذه الأنشطة، كما أعلن أنه يدرس إمكانية اتخاذ إجراءات قانونية.
من جهتها، دعت منظمة العفو الدولية إلى حظر غرافايت، معتبرة أنه لا يتوافق مع معايير حقوق الإنسان، نظرا لقدرته على الوصول إلى بيانات شديدة الحساسية، وصعوبة إخضاعه لرقابة مستقلة.
وكانت صحيفة نيويورك تايمز قد أفادت عام 2022 بأن جهات إنفاذ قانون أمريكية استخدمت غرافايت، وذكر مختبر "سيتيزن لاب" أن 36 منظمة مجتمع مدني على الأقل أعربت عن قلقها، ودعت إلى مزيد من الشفافية عقب الكشف عن ذلك.

التدابير الأمنية

لا يُعد برنامج "غرافايت" تهديدًا مباشرًا للمستخدمين العاديين بسبب تكلفته المرتفعة واعتماده على استهداف شخصيات محددة. ومع ذلك، تظل الوقاية ضرورية عبر اتباع إجراءات أساسية، من أبرزها:

- تحديث أنظمة التشغيل والتطبيقات بانتظام لسد الثغرات الأمنية.
- استخدام مفاتيح أمان مادية لتعزيز حماية الحسابات.
- تقليل تخزين البيانات الحساسة على الخدمات السحابية أو تشفيرها قبل رفعها.
- تفعيل وضع الإغلاق في أجهزة "آيفون" للحد من فرص الاختراق.
- الاعتماد على تطبيقات أمنية موثوقة لرصد التهديدات.
- الانتباه لأي مؤشرات غير طبيعية مثل استنزاف البطارية أو زيادة استهلاك البيانات.
- تجنب كسر حماية الجهاز "جيل بريك" (Jailbreak) أو "روت" (Root) لما يسببه من إضعاف لأنظمة الحماية.

المصدر: مواقع إلكترونية + الجزيرة نت

 

 

[الباسل]

 

 

[الباسل]

 

 

[الباسل]