إنتاج مزود إنترنت آخر من أجل منع التجسس..

هكذا يتجسس الحوثيون على اليمنيين!

حوثيون في شمال اليمن

وكالات

منذ استيلائها على العاصمة صنعاء، سيطرت القوات الحوثية المتمردة على مزود الإنترنت الرئيس في اليمن “يمن نت”. ومنذ ذلك الحين، عمل الحوثيون على قطع الإنترنت في مناطق عدة، وفي أوقات مختلفة باستخدام أساليب إلكترونية وكذلك فيزيائية. هنالك 4 كابلات توفر بحرية الإنترنت لليمن عبر 3 نقاط رئيسة واقعة تحت السيطرة الحوثية. وقد وجد تحقيقنا أن مزودات الحوثيين “تيلي يمن” و”يمن نت” تستخدم الكوابل البحرية لتسيير تدفق بيانات الإنترنت، ما يمنحها سيطرة كاملة على استخدام المدنيين لهذه الخدمات.

ومن الجدير ذكره أن جماعة الحوثي تسيطر كذلك على تجمع كوابل إنترنت بحرية في ميناء الحديدة، وهي أحد الأسباب التي تحث الحكومة اليمنية وحلفاءها على استعادة مدينة الحديدة من السيطرة الحوثية، نظرًا لأهميتها الحاسمة في توصيل الغذاء والإمدادات الطبية. وإذا تمكنت حكومة هادي من السيطرة على الميناء، فهذا يعني انقطاع المزود “يمن نت” الذي يصل بين جماعة الحوثي والعالم الخارجي.

تفيد نتائج التحقيق أن جماعة الحوثي تفرض رقابة على المحتوى الخاص بالمواطنين اليمنيين الذين يستخدمون المزود الخاضع للسيطرة الحوثية “يمن نت”، وذلك من خلال خادمين للتخزين المؤقت، هما (cache0.yemen.net[.]ye)، وكذلك (cache1.yemen.net[.]ye)، ما يسمح للمجموعة بمراقبة أو اعتراض حركة المرور عبر الإنترنت بشكل كامل. وقد وجدت “ريكورديد فيوتشر” أن مزود “يمن نت” التابع للحوثي استخدم أداة “نت سويبر” (NetSweeper)، وكذلك محرك البحث الخاص بقراصنة الإنترنت “شودان” (Shodan)؛ من أجل تصفية المحتوى عبر بروتوكل إنترنت (IP 82.114.160.98).

وبالإضافة إلى السيطرة على “يمن نت” و”تيلي يمن” وجميع المزودات الأخرى القائمة في صنعاء في أيلول/سبتمبر 2014، فرضت جماعة الحوثي سيطرتها على مزود خدمة الهاتف المحمول “أم تي أن يمن” (MTN Yemen)، وذلك في يونيو/حزيران 2018. وهكذا، أصبح لدى الحوثيين إمكانية الوصول إلى جميع أدوات التحكم الخاصة بالدخول والرقابة من أجل عرقلة أو رصد نشاطات الإنترنت الخاصة بالسكان القاطنين في المناطق الخاضعة لسيطرة المجموعة. لكن المقلق أكثر هو قدرة الحوثيين على المراقبة والتجسس على حسابات المواطنين سواء كانوا في وضع الاتصال أو عدم الاتصال.

وتفيد المعلومات أن الحوثيين استخدموا المزودات لمراقبة أو حظر تطبيقات مثل “واتس اب” و”فيس بوك” و”تويتر” و”تلغرام”. علاوة على ذلك، اتخذ الحوثيون خطوات لقطع الإنترنت بالكامل عبر مزودات الإنترنت الخاضعة لسيطرتها في الكثير من المناطق. في ديسمبر/كانون الأول 2017، شرعت وزارة الاتصالات وتكنولوجيا المعلومات الخاضعة للسيطرة الحوثية بقطع الإنترنت بشكل كامل لمدة 30 دقيقة في أوقات متباينة. وبحسب التحقيق، قام الحوثيون كذلك بتعطيل الوصول إلى الإنترنت في مدينة عدن. ووجدت تقارير عديدة أن الحوثيين قاموا بقطع أكثر من 80% من خطوط الألياف الضوئية عن “يمن نت”، واتبعوا نهجًا أكثر وحشية للسيطرة على المعلومات في جميع أنحاء البلاد. ومن الجدير ذكره أن بعض المواطنين استخدموا متصفحات مثل VPN وTor من أجل الهروب من رقابة الحوثيين، إلا أن ذلك لم يضمن لهم الأمن والسلامة.

ومن أجل تخليص المواطنين من رحمة جماعة الحوثي التي باتت تتحكم بالمزود “يمن نت”، عملت حكومة هادي على إنشاء المزود “عدن نت” في حزيران/يونيو 2017، بتمويل من الإمارات العربية المتحدة، باستخدام تدفق منفرد (AS39386) من “تيليكوم السعودية”، عبر موجهات صينية من طراز هواوي.

وقد استطاعت “ريكورديد فيوتشر” تتبع نشاطات مشبوهة داخل البنية التحتية للإنترنت في اليمن، ووجدت أن مزود “يمن نت” الخاضع للسيطرة الحوثية يزرع في الخادم (ns1.yemen.net[.]ye) نموذج “تندا باكدور” (Tenda-Backdoor) من أجل إجراء أوامر عن بعد في أجهزة الراوتر المستخدمة من قبل المواطنين، وذلك باستخدام ثغرة متعارف عليها بالرمز “CVE-2017-16923”.

علاوة على ذلك، فإن الخوادم التي يسيطر عليها الحوثيون (82.114.162.66) و(82.114.162.10)، استضافت أكثر من 500 موقع حكومي يمني حتى يونيو/حزيران 2018، وزرعت بها ثغرات مثل (CVE-2003-1582) ،(CVE-2009-2521) ،(CVE-2008-1446)؛ من أجل التجسس على المستخدمين عبر الأنظمة المذكورة. وفي هذا السياق، من الجدير ذكره أن جماعة الحوثي استغلت استيلاءها على “يمن نت” وكذلك “نطاق .ye” من أجل السيطرة على المواقع الإلكترونية الحكومية، بغرض تمثيل ما تسميه “حكومة الحوثي” عبر محتويات تلك المواقع. على سبيل المثال، يحتوي موقع وزارة الخارجية اليمنية على قائمة محدثة حول الوزارة الحالية التي يقودها الحوثي.

كما استطاعت “ريكورديد فيوتشر” أن تحدد عددًا من خوادم التحكم الأساسية (command and control servers) المستخدمة من قبل الحوثيين من أجل الوصول إلى معلومات المستخدمين عن بعد، باستخدام برامج خبيثة تشمل “تروجان” و”حصان طراودة”، وكذلك برمجيات مثل (Bozok) و(DarkComet) و(NetBus).

كما لاحظت “ريكورديد فيوتشر” زيادة كبيرة في انتشار برامج ضارة في المزودات العاملة في المناطق الحوثية، شملت تطبيقات “أندرويد” مزيفة، تستطيع التجسس بشكل كامل على الأجهزة الإلكترونية. وقد تم التعرف على برمجيات خبيثة كثيرة كذلك، شملت (AhMyth) و(DroidJack) و(Hiddad) و(Dianjin)، وكذلك العديد من التطبيقات المزيفة التي تستطيع التجسس على المستخدمين بشكل مباشر، تشمل الاطلاع على جميع الرسائل القصيرة والمكالمات وسجلات التصفح وغيرها من النشاطات. كما تستطيع بعض البرامج الخبيثة المرصودة أن تتحكم بالتطبيقات المثبتة على الأجهزة المحمولة، وأن تشغل خدمات التصوير وتسجيل الصوت حتى لو كانت شاشات الهواتف مغلقة.

وبالإضافة إلى استخدام الإنترنت لجمع معلومات استخبارية، وجدت “ريكورديد فيوتشر” أن المزودات الحوثية تستخدم 973 خادمًا لتعدين العملات الرقمية داخل هواتف بعض المستخدمين، عبر استهداف وحدات المعالجة المركزية داخل تلك الأجهزة، باستخدام برمجيات “جافا سكربت”. جرت هكذا عمليات عبر مزود “يمن نت” باستخدام الثغرة (AS30873) عبر النطاق (dynamic.yemennet[.]ye). وما يثير الانتباه هو أن جميع نطاقات الاستضافة التي جرت بها عمليات القرصنة تمت عبر أجهزة راوتر من طراز (Mikro Tik)، من خلال المزود “يمن نت” في صنعاء.

 

الخلاصة

برغم استمرار المناوشات المسلحة بين القوات الحكومية الشرعية ومقاتلي جماعة الحوثي، والتدهور العام الذي لحق بالبنية التحتية اليمنية، تمكن آلاف المواطنين اليمنيين من الوصول إلى خدمة الإنترنت مجددًا بفضل إنشاء مزود “عدن نت” الممول من قبل دولة الإمارات العربية المتحدة. ولكن من المتوقع أن يواصل الحوثيون في صنعاء إنتاج برمجيات ضارة تستهدف المستخدمين في المناطق الخاضعة لسيطرتهم، فضلًا عن تعزيز أشكال من قرصنة العملات الرقمية بغرض الدفع بعملياتهم العسكرية ماليًا ومعنويًا.