-->

2025/05/28

اختراق سيبراني أدى لسقوط نظام الأسد

 كيف اخترق تطبيق تجسس جيش الأسد

تحقيق يكشف كيف استغل هجوم سيبراني نقاط ضعف الجنود وربما غيّر مسار الصراع في سوريا

فشل الجيش السوري في صدّ هجوم متواضع شنته قوات المعارضة على مدينة حلب في ديسمبر، وهو الهجوم الذي انتهى في نهاية المطاف بانهيار نظام بشار الأسد، يبقى دون تفسير واضح.

تابعونا على تلغرام تابعونا على واتسآب

صحيح أن القوة العسكرية للمعارضة واستخدامها للطائرات المسيرة كانا من العوامل المؤثرة، لكنهما لم يكونا كافيين وحدهما. فالجيش السوري كان قد استعاد في السابق مساحات شاسعة من الأراضي من أيدي الفصائل المعارضة. وبحلول صيف 2024، كانت حكومة الأسد تسيطر على ثلثي البلاد. هذا الانهيار المفاجئ، والتفسيرات التقليدية المصاحبة له، تخفي ما كان يحدث في الخفاء أثناء الحدث العسكري نفسه.

اختراق سيبراني أدى لسقوط نظام الأسد
مترجم عن مجلة نيو لاينز


في مقابلة سابقة مع مجلة نيو لاينز، كشف ضابط سوري رفيع المستوى، كان يروي الأيام الأخيرة من عمر النظام، عن تفصيل مهم أثار اهتمامي، فقررت متابعته. التحقيق العميق كشف أن هذا التفصيل قد يكون المفتاح لفهم انهيار النظام من زاوية مختلفة—ليس فقط كفشل ميداني أو لوجستي، بل كنتيجة لحرب صامتة وغير مرئية.


وكان هذا التفصيل هو: تطبيق هاتف محمول تم توزيعه بهدوء بين الضباط السوريين عبر قناة على تطبيق تلغرام، وانتشر بسرعة في صفوفهم. في الحقيقة، كان التطبيق فخاً زُرع بعناية، بمثابة الطلقة الأولى في حرب سيبرانية خفية—وربما أولى من نوعها ضد جيش نظامي حديث. لقد حولت الميليشيات الهواتف الذكية إلى أدوات فتاكة ضد قوة عسكرية نظامية.


بعيدًا عن كشف ملامح الهجوم السيبراني على الجيش السوري، يسعى هذا التحقيق لفهم التطبيق نفسه، وتقنيته، ومدى انتشاره، وطبيعة المعلومات التي تمّ سحبها من داخل المؤسسة العسكرية. وهذا يقود مباشرة إلى التأثير المحتمل على العمليات العسكرية السورية.


لكن السؤال الأكبر يبقى: من الذي خطط لهذا الهجوم السيبراني؟ ولماذا؟


قد تشير الإجابات إلى أطراف داخل الصراع ذاته—فصائل من المعارضة السورية، أو أجهزة استخبارات إقليمية أو دولية، أو جهات أخرى لا تزال غير معروفة. في جميع الأحوال، لا بد من فهم هذا الهجوم ضمن سياقه السياسي والعسكري الكامل.


حادثة سابقة تُنبئ بالخطر


في فبراير 2020، تسبب هاتف محمول تركه جندي سوري داخل نظام دفاع جوي روسي من طراز Pantsir-S1 في تدمير كامل النظام. فقد تتبعت القوات الإسرائيلية إشارة الهاتف، وحددت موقع البطارية، وأطلقت غارة جوية سريعة دمّرت النظام قبل أن يُعاد تسليحه. وكشف فاليري سلوجين، المصمم الرئيسي لنظام بانتسير، في مقابلة مع وكالة تاس الروسية، أن هاتفاً واحداً يمكن أن يتسبب بكارثة—سواء عن قصد أو عن جهل تام.


وكانت العواقب مدمرة: فقد خسر الجيش السوري معدات حيوية وأفرادًا في لحظة لم يكن يستطيع تحمّلها. الجندي المسؤول، والذي نجا من الغارة، قد يكون عميلاً مجنداً أو مجرد جندي غير مدرك لما فعله. ووفقًا لسلوجين، كان ينبغي إيقاف تشغيل جميع وسائل الاتصال مثل الهواتف والراديو أثناء العمليات، وتغيير موقع البطارية مباشرة بعد إطلاق الصواريخ لتجنب الكشف. هذه بروتوكولات أمنية أساسية، لكن فشل الطاقم السوري في اتباعها حوّل الهاتف العادي إلى منارة حية قادت العدو مباشرة إلى الهدف.


وفقًا للمنطق العسكري البديهي، كان من المفترض أن تطلق السلطات السورية تحقيقًا شاملاً بعد تدمير نظام بانتسير—تحظر فيه استخدام الهواتف المحمولة في صفوف الجيش أو تطور آليات مضادة لمنع تحولها إلى أدوات تجسس متنقلة. لكن هذا لم يحدث أبدًا. لقد تصرّف الجيش السوري حينها، وكثيرًا بعد ذلك، بنفس القدر من الإهمال القاتل—ودفع الثمن غاليًا.

ما كان لافتًا بعد أحداث 27 تشرين الثاني وسقوط حلب بيد المعارضة هو كيف توقف الجيش السوري فجأة عن القتال. معظم الوحدات لم تُبدِ سوى مقاومة متقطعة، واكتفت بالمشاهدة بينما تقدمت قوات المعارضة، إلى أن وصلت إلى مشارف دمشق صباح 8 كانون الأول. في المناطق الريفية من إدلب وحلب، اجتاحت فصائل المعارضة عشرات المواقع التابعة لألوية من الفرقتين 25 و30، بالإضافة إلى نقاط حراسة ضيقة في التضاريس الجبلية، وقطعت أكثر من 65 كيلومترًا خلال 48 ساعة فقط.

بحلول ذلك الوقت، لم يكن الجيش السوري سوى ظلّ لما كان عليه سابقًا. بعد عقدٍ من الحرب الطاحنة، التي حصدت عشرات آلاف القتلى وألحقت خسائر مادية ومعنوية لا تُعوض، لم يتبقَّ الكثير ليتم استدعاؤه أو حشده. سنوات الصراع أنهكت القوات، ليس فقط عبر الهزائم الميدانية، بل عبر انهيار داخلي خبيث: فقد تهاوت قيمة الليرة السورية من 50 ليرة للدولار في 2011 إلى 15,000 في 2023، ما جعل رواتب الجنود والضباط نكتة قاسية—لا تتعدى 20 دولارًا في الشهر. كثيرون لم يعودوا يقاتلون من أجل "الوطن والقائد"، بل فقط من أجل البقاء. تكاليف النقل تضاعفت، ولم يعد راتب ضابط رفيع يكفي لإطعام أسرته. أحد الضباط من الفوج 47 ذكر أنهم غالبًا ما كانوا يتلقون فقط نصف الوجبات المقررة، وغالبًا ما تكون نيئة وغير مطهية. في كثير من الوحدات، كان بعض الضباط المميزين يتناولون طعامهم في أماكن منفصلة، ما أثار سخطًا مريرًا في صفوف الجنود.


بعيدًا عن الانهيار الاقتصادي، الذي فاقمته العقوبات الغربية جزئيًا، كانت سوريا قد دخلت، بحلول عام 2018، في حالة من الجمود العسكري والسياسي العميق. جبهات القتال تجمّدت، المعنويات انهارت، والقادة العسكريون تحولوا إلى مهرّبين للكبتاغون وهاربين من القانون. في المقابل، تمسك النظام بالسلطة بعناد، رافضًا حتى أكثر الحلول الواقعية، سواء جاءت من أعداء الأمس في الدول العربية، أو من تركيا، أو من الغرب.


هذا الجمود، والشعور الخانق بانعدام الأفق، أفرزا نوعًا بشعًا من "الريادة" داخل الجيش. لم يعد الضباط والجنود يركّزون على واجباتهم العسكرية، بل كانوا يتسابقون على أي فرصة قد تؤمن لهم البقاء. كانوا يتاجرون بأي شيء وكل شيء، دون مبالغة، فقط ليستمروا في الحياة.


تخيّل جيشًا يبيع ضباطه بقايا حصص الخبز اليابسة المخصصة للجنود، وضباطًا كبارًا يشترون ألواح طاقة شمسية ويؤجّرون خدمات الشحن لجنود يائسين لشحن هواتفهم أو إنارة ملاجئهم. يبدو أن من قرر استغلال هذه اللحظة كان يعلم تمامًا ما الذي ينظر إليه—وما الذي يمكن استغلاله.


في أوائل صيف 2024، قبل أشهر من إطلاق المعارضة لـ"عملية ردع العدوان"، بدأ تطبيق موبايل بالانتشار بين مجموعة من ضباط الجيش السوري. حمل اسمًا بريئًا: STFD-686، وهي أحرف ترمز إلى "صندوق سوريا للتنمية".


كان السوريون يعرفون "صندوق سوريا للتنمية" كمؤسسة إنسانية تقدم مساعدات وخدمات، تشرف عليها أسماء الأسد، زوجة بشار. ولم يكن لهذه المؤسسة أي نشاط في المجال العسكري. لم يستطع أي من الضباط أو المصادر الذين تحدثنا إليهم تفسير كيف وصل التطبيق إلى أيدي الجيش. أقرب التفسيرات تشير إلى تواطؤ ضباط مخترقين—أو عملية خداع محكمة.


ما منح التطبيق مصداقيته هو أن اسمه ومعلوماته كانت متاحة علنًا. ولتعزيز طابع الموثوقية، ولفرض السيطرة على انتشاره، تم توزيعه حصريًا عبر قناة على تطبيق تلغرام تحمل نفس الاسم "صندوق سوريا للتنمية"، موجودة على المنصة ولكن دون تحقق رسمي. رُوّج للتطبيق على أنه مبادرة برعاية مباشرة من السيدة الأولى، مما جعله يفلت من التدقيق. فحين يُرفق اسمها بشيء، نادرًا ما يشكك أحد في شرعيته—خاصة إذا ترافق بوعود مالية.

عمل تطبيق STFD-686 ببساطة مخادعة. فقد وعد بتقديم مساعدات مالية، وكل ما طُلب من الضحية هو ملء بعض المعلومات الشخصية. كانت الأسئلة تبدو بريئة، مثل: "ما نوع المساعدة التي تتوقعها؟" و"حدثنا عن وضعك المالي."


وكان الجواب المتوقع واضحًا: مساعدة مالية. وفي المقابل، يُفترض أن يتلقى المستخدمون تحويلات نقدية شهرية بقيمة حوالي 400,000 ليرة سورية — ما يعادل نحو 40 دولارًا في ذلك الوقت — تُرسل عبر شركات تحويل محلية وبشكل مجهول. ولم يكن إرسال مبالغ صغيرة داخل سوريا، سواء بأسماء حقيقية أو وهمية، يتطلب أكثر من رقم هاتف، وكانت السوق السوداء تعج بالوسطاء المستعدين لتسهيل هذه العمليات.


في الظاهر، بدا التطبيق وكأنه يقدم خدمة خاصة للضباط. وكان أول قناع له قناعًا إنسانيًا: يدّعي دعم "أبطال الجيش العربي السوري" من خلال مبادرة جديدة، ويعرض صورًا حقيقية لأنشطة منشورة على الموقع الرسمي لـ"صندوق سوريا للتنمية".


القناع الثاني كان عاطفيًا، يستخدم لغة تبجيل تمجد تضحيات الجنود: "إنهم يهبون أرواحهم لتعيش سوريا بعزة وكرامة."

أما القناع الثالث فكان قوميًّا، وقدّم التطبيق كمبادرة وطنية لتعزيز الولاء، وكان هذا القناع هو الأكثر إقناعًا.


القناع الرابع كان بصريًا: فقد طابق اسم التطبيق، بالإنجليزية والعربية، اسم المنظمة الرسمية تمامًا، بل وحتى الشعار كان نسخة طبق الأصل من شعار صندوق سوريا للتنمية.

بمجرد تنزيله، كان التطبيق يفتح واجهة ويب بسيطة مضمنة داخله، تُعيد توجيه المستخدم إلى مواقع خارجية لا تظهر في شريط العنوان. هذه المواقع، مثل syr1.store وsyr1.online، كانت تُحاكي النطاق الرسمي للصندوق (syriatrust.sy). استخدام "syr1" كاختصار لكلمة "سوريا" بدا معقولًا بما فيه الكفاية، ولم يُعر كثير من المستخدمين انتباهًا لذلك. في هذه الحالة، لم تُولَ عناية خاصة بعنوان الموقع، بل تم افتراض موثوقيته تلقائيًا.


وللوصول إلى الاستبيان، طُلب من المستخدمين تقديم سلسلة من التفاصيل التي تبدو غير ضارة: الاسم الكامل، اسم الزوجة، عدد الأطفال، مكان وتاريخ الميلاد. لكن الأسئلة سرعان ما تطورت إلى مناطق أكثر حساسية: رقم الهاتف، الرتبة العسكرية، والموقع الدقيق للخدمة حتى مستوى الفيلق والفرقة واللواء والكتيبة.


تمكين القائمين على التطبيق من معرفة رتب الضباط مكّنهم من تحديد الأفراد في مواقع حساسة، مثل قادة الكتائب وضباط الاتصالات، ومعرفة أماكن خدمتهم بدقة سمح لهم برسم خرائط حية لانتشار القوات. هذه المعلومات مكّنت مشغلي التطبيق والموقع من تحديد كل من نقاط القوة والثغرات في خطوط الدفاع التابعة للجيش السوري. وكان أهم ما في الأمر هو الدمج بين القطعتين من المعلومات: الكشف عن أن "الضابط X" متمركز في "الموقع Y" يُعادل تسليم العدو دليل تشغيل الجيش بأكمله، خصوصًا في الجبهات المتحركة مثل إدلب والسويداء.


ووفقًا لتحليل أجراه مهندس برمجيات سوري، فإن ما اعتبره الضباط استبيانًا مملًا لم يكن سوى نموذج إدخال بيانات لخوارزميات عسكرية، حول هواتفهم إلى "طابعات مباشرة" تُنتج خرائط ميدانية عالية الدقة. قال المهندس: "غالبًا ما تجاهل الضباط بروتوكولات الأمان. أشك أن أحدًا منهم أدرك أن خلف تلك النماذج البريئة، فُخُوخ نُصبت لهم ببراءة الذئب." وأضاف أن آلية التجسس، رغم قدمها تقنيًا، لا تزال فعالة بشكل مدمر، خاصةً مع الجهل الواسع بأساليب الحرب السيبرانية داخل الجيش السوري.


وفي أسفل صفحة التطبيق، كان هناك فخ آخر بانتظار الضحية: رابط تواصل عبر فيسبوك مضمن. هذه المرة، تم سحب بيانات الدخول إلى حسابات التواصل الاجتماعي مباشرة إلى خادم بعيد، وسُرقت صلاحيات الوصول إلى الحسابات الشخصية بهدوء. وإذا نجا الضحية من الفخ الأول، فهناك احتمال كبير أن يقع في الثاني.

بعد أن تم جمع المعلومات الأساسية من خلال روابط تصيد مخفية داخل التطبيق، انتقل الهجوم إلى مرحلته الثانية: تفعيل برنامج التجسس SpyMax، وهو أحد أشهر أدوات المراقبة على أجهزة أندرويد. يُعتبر SpyMax نسخة متقدمة من SpyNote، سيء السمعة في السوق السوداء، وغالبًا ما يتم توزيعه على هيئة ملفات APK خبيثة (ملفات تثبيت تطبيقات أندرويد) تُخفي نفسها ضمن مواقع تنزيل زائفة تبدو شرعية. وما يجعل SpyMax أكثر خطورة هو أنه لا يتطلب صلاحيات "روت" (وهي أعلى صلاحية على نظام تشغيل الهاتف) ليعمل، مما يجعل من السهل جدًا على المهاجمين اختراق الأجهزة.


تُباع النسخ الأصلية من البرنامج بحوالي 500 دولار، لكن النسخ المُخترقة متوفرة مجانًا في بعض المنتديات. في هذه الحالة، تم زرع البرنامج عبر نفس قناة التلغرام التي وزعت تطبيق "صندوق سوريا للتنمية" المزوّر، وتم تثبيته على هواتف الضباط تحت غطاء تطبيق شرعي.


يمتلك SpyMax جميع وظائف برامج "حصان طروادة للتحكم عن بُعد" (RAT)، بما في ذلك:


تسجيل نقرات لوحة المفاتيح لسرقة كلمات المرور واعتراض الرسائل النصية،


استخراج الملفات السرية والصور وسجلات المكالمات،


الوصول إلى الكاميرا والميكروفون لمراقبة الضحايا في الزمن الحقيقي.


بمجرد الاتصال، يظهر الضحية على لوحة تحكم المهاجم، مع بث مباشر يعرض كل شيء من سجل المكالمات إلى نقل الملفات، حسب الوظائف المفعّلة.


استهدف البرنامج إصدارات أندرويد القديمة مثل "لوليبوب" الذي أُطلق عام 2015، ما يعني أن مجموعة واسعة من الأجهزة القديمة والحديثة كانت معرضة للخطر. عند فحص صلاحيات التطبيق، تبيّن أنه يمتلك حق الوصول إلى 15 وظيفة حساسة، من أبرزها:


تتبع المواقع الحية،


مراقبة تحركات الجنود والمواقع العسكرية،


التنصت على المكالمات،


تسجيل محادثات القادة العسكريين لكشف الخطط العملياتية مسبقًا،


استخراج خرائط ومستندات حساسة من هواتف الضباط،


الوصول إلى الكاميرا مما يُتيح بث صور حية من منشآت عسكرية عن بُعد.


وبعد استخراج البيانات الأولية، تولّت خوادم وهمية عملية تمرير المعلومات عبر منصات سحابية مجهولة المصدر، مما جعل تعقّب مصدر البرمجية الخبيثة شبه مستحيل. وقد تم توقيع التطبيق بشهادات أمان مزيفة، تمامًا كما يرتدي لصّ زي شرطي لتجاوز الحراسة. هذا الهجوم جمع بين عنصرين قاتلين: الخداع النفسي (التصيد) والتجسس السيبراني المتقدم (SpyMax). وتشير الأدلة إلى أن البرمجية كانت قيد التشغيل والبنية التحتية جاهزة قبل يونيو 2024، أي قبل خمسة أشهر من انطلاق العملية التي أدت إلى سقوط نظام الأسد.

كشفت مراجعة النطاقات المرتبطة بموقع Syr1.store عن وجود ستة نطاقات مرتبطة به، أحدها مسجّل بشكل مجهول. ومن خلال SpyMax، تمكّن الجهة المسؤولة من استخراج كمّ هائل ومدمّر من البيانات من هواتف الضباط، منها:


رُتبهم وهوياتهم،


مواقعهم الجغرافية (ربما في الزمن الحقيقي)،


مواقع تجمعات القوات،


المكالمات الهاتفية،


الرسائل النصية،


الصور والخرائط،


مراقبة المنشآت العسكرية عن بُعد.


كما جمع موقع التصيّد نفسه كمًا هائلًا من البيانات الحساسة من الضباط، مثل:


الأسماء الكاملة،


أسماء أفراد الأسرة،


الرتب والمناصب،


تواريخ وأماكن الميلاد،


ومعلومات الدخول إلى حساباتهم على فيسبوك إن استخدموا نموذج التواصل الاجتماعي.


الاستخدامات المحتملة لهذه البيانات متعددة وخطيرة، من بينها:


تحديد الثغرات في خطوط الدفاع (كما حدث في حلب)،


تحديد مواقع مخازن السلاح ومراكز الاتصال،


تقدير حجم القوات المنتشرة وقوتها الحقيقية،


تنفيذ هجمات مباغتة على مواقع مكشوفة،


قطع خطوط الإمداد عن وحدات معزولة،


إصدار أوامر مضادة تبث الفوضى في القيادة،


وابتزاز الضباط نفسيًا ومهنيًا.

من الواضح على الأقل أن أعداء نظام الأسد استفادوا من هذا التطبيق بطريقة ما—رغم أن الطريقة الدقيقة لا تزال من الصعب تأكيدها، كما يصعب الجزم بهوية الجهة التي كانت وراءه. فعلى سبيل المثال، أحد النطاقات المرتبطة بالمخترقين يبدو مستضافًا في الولايات المتحدة، وهي دولة كانت لها صلات بالمعارضة المسلحة، لكن من المحتمل أن يكون موقع الخادم قد تم تمويهه عمدًا كنوع من التضليل.

بعد سقوط النظام مباشرة، شنّت إسرائيل غارات جوية دمّرت تقريبًا كل البنية العسكرية التقليدية المتبقية في سوريا. وأفاد أحد ضباط الدفاع الجوي السوريين الذين خدموا في محافظة طرطوس لمجلة New Lines أن التطبيق كان نشطًا في موقعه، مما يعني أن الضباط السوريين قاموا—بإهمالهم—برفع مخططات الدفاع السورية إلى خادم سحابي يمكن لأي شخص لديه معرفة كافية أن يصل إليه.


لكن البيانات التي تم اختراقها قد تكون أيضًا قد ساعدت المعارضة، التي نفّذت عمليات نوعية، مثل الهجوم السري على غرفة العمليات العسكرية المشتركة في حلب، والذي سبق وأن أبلغت عنه هذه المجلة، وكان جزءًا من الحملة الكبرى التي أطاحت بالأسد.


وربما هذا ما يجعل هذا البرنامج التجسسي فريدًا من نوعه: فعلى عكس معظم عمليات التجسس الإلكتروني التي كانت تستهدف أفرادًا—مثل استخدام تطبيق "بيغاسوس" للتجسس على نشطاء في الشرق الأوسط—فإن هذه الحملة على ما يبدو كانت تهدف إلى اختراق مؤسسة عسكرية كاملة من خلال هجوم تصيّد بدائي ولكنه مدمر.


يصعب تحديد العدد الدقيق للهواتف التي تم اختراقها في هذا الهجوم، لكن يُرجّح أنه بالمئات أو حتى الآلاف. نُشرت قصة على نفس قناة التلغرام في منتصف تموز/يوليو تفيد بأنه تم إرسال 1,500 حوالة مالية في ذلك الشهر وحده، مع منشورات أخرى تشير إلى جولات إضافية من التوزيع. ولا أحد من أولئك الذين تلقوا الأموال عبر التطبيق وافق على التحدث للصحفي، بدافع الخوف على سلامتهم.


اختراق قيادة الجيش ربما يفسّر أيضًا بعض الأحداث الغريبة التي أحاطت بانهيار النظام، إلى جانب النجاح العسكري السريع لحملة المعارضة.


من هذه الأمثلة، تبادل إطلاق النار الذي اندلع في 6 ديسمبر 2024 بين قوات موالية لاثنين من كبار قادة الجيش السوري—اللواء صالح العبدالله واللواء سهيل الحسن—في ساحة سباهي بمنطقة حماة. في ذلك الوقت، كان هناك ما لا يقل عن 30,000 مقاتل من الجيش السوري مجتمعين في تلك المنطقة. وبحسب الشهود، أمر العبدالله بالانسحاب جنوبًا، بينما أمر الحسن قواته بالتقدم شمالًا واشتباك مع المعارضة. وقد أدّت هذه الأوامر المتضاربة إلى نشوب معركة بين القوتين استمرت لأكثر من ساعتين.


ويمكن تفسير هذا الاشتباك أيضًا باحتمالية أن كلًا من القائدين تلقى أوامر متناقضة، إما بسبب اختراق مباشر لبنية القيادة، أو بسبب قيام جهات خارجية باستخدام قنوات تم اختراقها لإصدار تعليمات زائفة. لا يزال من غير الواضح حجم الضرر الذي لحق ببنية القيادة.


وفي مقابلة له مع قناة "سوريا" عقب سقوط النظام، كشف أحمد الشرع، القائد الانتقالي لسوريا، عن تفاصيل إضافية حول عملية "ردع العدوان"، وهو الاسم الذي أُطلق على الحملة التي أطاحت بالدكتاتور السابق. وأكد أن التخطيط للعملية امتد على مدى خمس سنوات، وأن النظام السوري كان على علم بها لكنه فشل في إيقافها. وأضاف أن هذه المعلومة مؤكدة، وليست مجرد تحليل.


كيف عرف ذلك؟


من غير المحتمل أن يكون هناك خيط واحد يمكن تتبعه هو المسؤول الوحيد عن انهيار النظام السوري بهذا الشكل الدراماتيكي، وقد لا تُكشف القصة الكاملة للأيام التي سبقت الحملة الأخيرة. لكن ما يُعرف بـ"حصان طروادة السوري" قد يشير إلى أحد أكثر الأجزاء حسماً في تلك القصة.

مترجم عن نيولاينز


التالي التالي
المشاركة السابقة المشاركة التالية
التالي التالي
المشاركة السابقة المشاركة التالية