كشفت مجلة "نيو لاينز" عن تطبيق وهمي غريب، ربما كان له دور كبير في السقوط السريع لقوات نظام الأسد، من خلال اختراق صفوف الضباط وتوجيه أوامر وهمية.
ونقلت المجلة عن "ضابط سوري رفيع المستوى"، أن تطبيقًا للهاتف المحمول، تم توزيعه بهدوء بين الضباط السوريين عبر قناة على تطبيق تيليغرام، وانتشر بسرعة داخل صفوفهم، مضيفًا أنه "كان فخًا مُعدًّا بعناية، يشكّل الطلقة الأولى في حرب سيبرانية خفية، وربما كانت الأولى من نوعها التي تستهدف جيشًا نظاميًا حديثًا".
ولفت إلى أن هذا التطبيق حوّل الهواتف الذكية إلى أدوات قاتلة تُستخدم ضد قوة عسكرية نظامية، عبر نشر معلومات مغلوطة، أسهمت في إرباك الصفوف، وفقا لترجمة موقع نون بوست.
أما عن الأطراف المنخرطة في هذا التطبيق، فقد اعتبر المصدر أنها غير معروفة، فربما تكون من إدارة العمليات العسكرية، أو أجهزة استخبارات إقليمية أو دولية، أو جهات أخرى لم تُعرف بعد.
واعتبر أن توقف جيش الأسد فجأة عن القتال في معركة حلب، واكتفاء معظم الوحدات بالمراقبة مع تقدم قوات المعارضة، ثم الوصول إلى دمشق بسرعة كان أمرا غريبا، وقبل أشهر من إطلاق عملية "ردع العدوان"، بدأ تطبيقٌ اسمه "إس تي إف دي- 686"، ينتشر في أجهزة الضباط، وهو سلسلة من الأحرف ترمز إلى "الأمانة السورية للتنمية"، وهي "منظمة إنسانية" تقدّم المساعدات المادية والخدمات، وتشرف عليها أسماء الأسد.
وبما أن تلك المنظمة لم يسبق لها أن دخلت المجال العسكري، لم يستطع أي من الضباط أو المصادر الذين تحدثت المجلة إليهم تفسير كيف وصل التطبيق إلى أيدي قوات الأسد، وتشير التفسيرات الأكثر ترجيحًا إلى تواطؤ من ضباط مخترقين أو إلى عملية خداع متقنة، وما أضفى على التطبيق مصداقيته هو أن اسمه ومعلوماته كانت متاحة علنًا، ولإضفاء هالة من الموثوقية والتحكم في انتشاره، تم توزيعه حصريًا عبر قناة على تطبيق تيليغرام تحمل الاسم نفسه، "الأمانة السورية للتنمية"، وكانت مستضافة على المنصة لكنها تفتقر لأي توثيق رسمي.
ووفقا للمصدر فقد رُوِّج للتطبيق على أنه مبادرة تحظى بدعم مباشر من أسماء الأسد شخصيًا، ما جعله يتجاوز أي تدقيق؛ فبمجرد اقتران اسمه باسمها، نادرًا ما شكك أحد في شرعيته أو في الوعود المالية التي أغرى بها المستخدمين، حيث كان يعمل ببساطة تامة، فقد وعد بتقديم مساعدات مالية، ولم يتطلب من الضحية سوى تعبئة بعض البيانات الشخصية، وطرح أسئلة مثل: "ما نوع المساعدة التي تتوقعها؟" و"أخبرنا المزيد عن وضعك المالي"، مع وعود بتحويلات نقدية شهرية تبلغ حوالي 400,000 ليرة سورية، أي ما يعادل نحو 40 دولارًا في ذلك الوقت، تُرسل بشكل مجهول عبر شركات تحويل الأموال المحلية.
وهكذا بدا التطبيق وكأنه يقدم خدمة خاصة للضباط، حيث ادعى أنه يدعم "أبطال الجيش العربي السوري" من خلال مبادرة جديدة، بينما كان يعرض صورًا لأنشطة حقيقية من موقع "الأمانة السورية للتنمية" الرسمي، كما استخدم لغة توقير تمجد الجنود: "إنهم يقدمون أرواحهم لكي تعيش سوريا بعزة وكرامة"، وبمجرد تحميل التطبيق، كان يفتح واجهة ويب بسيطة مدمجة بداخله، تقوم بإعادة توجيه المستخدمين إلى مواقع خارجية لم تظهر في شريط التطبيق.
وكانت هذه المواقع، syr1.store وsyr1.online، تحاكي النطاق الرسمي لـ"الأمانة السورية للتنمية" (syriatrust.sy)، وكان استخدام "syr1" كاختصار لسوريا في اسم النطاق بدا معقولًا بما فيه الكفاية، ولم يلتفت إليه سوى قليل من المستخدمين، وفي هذه الحالة، لم يُولَ أي اهتمام خاص للرابط الإلكتروني؛ فقد تم افتراض موثوقيته ببساطة.
وللوصول إلى الاستبيان، طُلب من المستخدمين تقديم مجموعة من التفاصيل التي بدت بريئة للوهلة الأولى: الاسم الكامل، واسم الزوجة، وعدد الأطفال، ومكان وتاريخ الميلاد. لكن الأسئلة تصاعدت بسرعة إلى معلومات أكثر حساسية وخطورة، مثل رقم هاتف المستخدم، والرتبة العسكرية، ومكان الخدمة بالضبط وصولًا إلى مستوى الفيلق والفرقة واللواء والكتيبة.
وقد مكّن تحديد رتب الضباط مشغلي التطبيق من التعرف على من يشغلون مناصب حساسة، مثل قادة الكتائب وضباط الاتصالات، بينما مكّن معرفة مكان خدمتهم الدقيق من بناء خرائط حية لانتشار القوات، ومنح ذلك المشغلين القائمين على التطبيق والموقع الإلكتروني القدرة على رسم خرائط لكل من المعاقل والثغرات في الخطوط الدفاعية للجيش السوري.
وكانت النقطة الأهم هي الجمع بين هاتين المعلومتين: "كان كشف أن "الضابط س" متمركز في "الموقع ص" بمثابة تسليم العدو دليل تشغيل الجيش كاملاً، خاصة في الجبهات المتحركة مثل تلك الموجودة في إدلب والسويداء"، ووفقًا لتحليل أجراه مهندس برمجيات سوري؛ فإن ما اعتبره الضباط مجرد استبيان ممل كان في الواقع نموذج إدخال بيانات لخوارزميات عسكرية، مما حول هواتفهم إلى طابعات حية تنتج خرائط ميدانية دقيقة للغاية.
وفي الجزء السفلي من صفحة الويب الخاصة بالتطبيق، كان هناك فخ آخر: رابط اتصال مدمج على الفيسبوك، وفي هذه المرة، كانت بيانات الدخول إلى حسابات وسائل التواصل الاجتماعي تُسحب مباشرة إلى خادم بعيد، مما أدى إلى سرقة الوصول إلى الحسابات الشخصية بهدوء، وإذا نجح المستخدم بطريقة ما في الإفلات من الفخ الأول، فهناك احتمال كبير أن يقع في الفخ الثاني.
وبعد جمع المعلومات الأساسية عبر روابط تصيد مدمجة، انتقل الهجوم إلى مرحلته الثانية: نشر برنامج "سباي ماكس"، وهو أحد أشهر أدوات المراقبة على نظام أندرويد، ويُعتبر نسخة متطورة من "سباي نوت"، المشهور في السوق السوداء، وعادةً ما يُوزع عبر ملفات "إيه بي كيه" خبيثة (وهي ملفات تُستخدم لتثبيت التطبيقات على هواتف أندرويد)، متخفية في بوابات تحميل وهمية تبدو شرعية.
والأهم أن "سباي ماكس" لا يحتاج إلى صلاحيات الروت (أعلى مستوى وصول لنظام تشغيل الهاتف) ليعمل، مما يجعله سهل الاستخدام وخطيرًا للغاية للمهاجمين لاختراق الأجهزة، بينما تباع الإصدارات الأصلية من البرنامج بحوالي 500 دولار، فإن الإصدارات المخترقة متاحة مجانًا أيضًا، وفي هذه الحالة، تم زرع برنامج التجسس عبر نفس قناة تيليغرام التي وزعت تطبيق "الأمانة السورية للتنمية" المزيف، وتم تثبيته على هواتف الضباط تحت غطاء تطبيق شرعي.
ويحتوي برنامج سباي ماكس على جميع وظائف برامج الرات (الطروجان ذو الوصول عن بُعد)، بما في ذلك تسجيل ضغطات المفاتيح لسرقة كلمات المرور واعتراض الرسائل النصية، واستخراج البيانات مثل الملفات السرية والصور وسجلات المكالمات، بالإضافة إلى الوصول إلى الكاميرا والميكروفون، لقد استهدف برنامج التجسس إصدارات أندرويد قديمة تعود إلى نظام "لوليبوب" الذي أُطلق سنة 2015، مما يعني أن نطاقًا واسعًا من الأجهزة القديمة والحديثة كان عرضة للخطر، وأظهر فحص الأذونات الممنوحة للتطبيق أنه حصل على صلاحيات 15 وظيفة حساسة، من أبرزها تتبع المواقع الحية ومراقبة تحركات الجنود والمواقع العسكرية والتنصت على المكالمات وتسجيل محادثات القادة لكشف خطط العمليات مسبقًا واستخراج مستندات مثل الخرائط والملفات الحساسة من هواتف الضباط، والوصول إلى الكاميرا مما يتيح للمُشغل إمكانية البث المباشر عن بُعد للمنشآت العسكرية.
وبمجرد استخراج المعلومات الأولية، تولت الخوادم المزيفة المهمة؛ حيث قامت بتحويل البيانات عبر منصات سحابية مجهولة المصدر لجعل تتبع مصدر البرمجيات الخبيثة شبه مستحيل، كما تم توقيع التطبيق بشهادات أمان مزورة، وهو ما يشبه اللص الذي يرتدي زي شرطي مزيف للتسلل عبر نقاط التفتيش الأمنية، وجمع الهجوم بين عنصرين قاتلين: الخداع النفسي (التصيد الاحتيالي) والتجسس السيبراني المتقدم (سباي ماكس)، وتشير الأدلة إلى أن البرمجيات الخبيثة كانت فعالة والبنية التحتية جاهزة قبل يونيو/ حزيران 2024، أي قبل خمسة أشهر من بدء العملية التي أدت إلى سقوط نظام الأسد.
وأظهر فحص النطاقات المرتبطة بموقع Syr1.store وجود ستة نطاقات مرتبطة، أحدها مسجّل بشكل مجهول، ومن خلال برنامج "سباي ماكس"، تمكن القائمون على التطبيق من استخراج مجموعة مدمّرة من البيانات من هواتف الضباط، شملت رتبهم وهوياتهم، وما إذا كانوا يشغلون مناصب حساسة، ومواقعهم الجغرافية (ربما لحظيًا). كما أتيح لهم الوصول إلى مواقع تمركز القوات والمكالمات الهاتفية والرسائل النصية والصور والخرائط الموجودة على أجهزة الضباط، إضافة إلى إمكانية مراقبة المنشآت العسكرية عن بُعد، أما موقع التصيّد الإلكتروني نفسه، فقد جمع عددًا كبيرًا من البيانات الحساسة من عناصر الجيش، بما في ذلك الأسماء الكاملة وأسماء أفراد أسرهم، ورتبهم والمواقع العسكرية، وتواريخ وأماكن ميلادهم، وبيانات دخول الفيسبوك إذا استخدموا نموذج الاتصال عبر وسائل التواصل الاجتماعي.
وكانت استخدامات هذه البيانات أيضًا متعددة، إذ مكّنت القائمين على العملية من تحديد الثغرات في الخطوط الدفاعية، والتي تم استغلالها في حلب، إضافة إلى تحديد مواقع مستودعات الأسلحة ومراكز الاتصالات، وتقييم الحجم الحقيقي للقوات المنتشرة وقوتها، كما أتاح لهم ذلك تنفيذ هجمات مباغتة على مواقع مكشوفة، وقطع الإمدادات عن الوحدات العسكرية المعزولة، وإصدار أوامر متضاربة للعناصر لزرع الفوضى في صفوف القيادة، فضلًا عن إمكانية ابتزاز الضباط الذين تم جمع معلومات حساسة عنهم.
وتبيّن أن أحد النطاقات المرتبطة بالقراصنة مستضاف في الولايات المتحدة، إلا أن موقع الخادم قد يكون خادعًا ومقصودًا به التضليل.
ومن الصعب تحديد عدد الهواتف التي تم اختراقها بدقة خلال الهجوم، لكن من المرجح أنه يصل إلى الآلاف، فقد أشار تقرير نُشر على قناة تليغرام نفسها في منتصف تموز إلى إرسال 1500 حوالة مالية خلال ذلك الشهر، مع منشورات أخرى تتحدث عن جولات إضافية من توزيع الأموال، ولم يوافق أيٌّ من الذين تلقوا الأموال عبر التطبيق على التحدث، بسبب مخاوف أمنية.
قد يُسهم اختراق القيادة العسكرية في تفسير بعض الأحداث الغريبة التي أحاطت بانهيار النظام، إلى جانب النجاح العسكري السريع الذي حققته حملة المعارضة. ومن الأمثلة اللافتة على ذلك، تبادل إطلاق النار الذي اندلع في 6 ديسمبر/ كانون الأول 2024 بين قوات موالية لاثنين من كبار قادة جيش الأسد، اللواء صالح العبدالله واللواء سهيل الحسن، في ساحة السباعي بمنطقة حماة؛ حيث كان ما لا يقل عن 30 ألف عنصر قد تمركزوا هناك. وبحسب شهود عيان، أصدر العبدالله أوامر بالانسحاب نحو الجنوب، في حين أمر الحسن قواته بالتقدم شمالًا لمواجهة وحدات المعارضة، ما أدى إلى اشتباك بالأسلحة النارية بين الفصيلين استمر لأكثر من ساعتين، ويُحتمل أن يكون هذا التصادم نتيجة تلقي كل قائد أوامر متضاربة، سواء نتيجة اختراق مباشر لهيكل القيادة أو من خلال استغلال جهات خارجية لقنوات اتصال مخترقة لإصدار تعليمات زائفة، ولا يزال حجم الاختراق داخل القيادة غير واضح.
