"عملية التثليث — أكثر هجمات التجسس تعقيداً على iPhone تم اكتشافها على الإطلاق"
اللغات المتاحة
في يونيو 2023، هزّ عالم الأمن السيبراني اكتشاف من باحثي كاسبرسكي: حملة تجسس متطورة كانت تخترق أجهزة iPhone بصمت لسنوات، باستخدام رسائل iMessage غير مرئية لا تتطلب أي تفاعل من المستخدم على الإطلاق. لا روابط للنقر عليها. لا مرفقات لفتحها. لا مطالبات بالموافقة عليها.
أُطلق على الحملة اسم Operation Triangulation (عملية التثليث)، ووُصفت لاحقاً بأنها واحدة من أكثر سلاسل الهجمات تعقيداً على الإطلاق على منصة محمولة. إليك ما حدث، وكيف عملت، وما يجب أن يتعلمه كل مستخدم هاتف ذكي منها.
ما هي عملية التثليث؟
عملية التثليث هو الاسم الذي أُطلق على حملة تجسس مستهدفة هاجمت أجهزة iPhone من خلال سلسلة غير مسبوقة من أربع ثغرات يوم الصفر. اكتشفها باحثون في مختبر كاسبرسكي، حيث وجدوا الإصابة على أجهزة داخل مؤسستهم نفسها.
كان الهجوم استثنائياً لعدة أسباب:
- كان هجوماً بدون نقرة — لم يحتج الضحايا للتفاعل مع أي شيء
- استغل أربع ثغرات يوم الصفر منفصلة بشكل متسلسل
- تجاوز عملياً كل آلية أمان في iOS، بما في ذلك الحماية على مستوى العتاد
- ترك آثاراً جنائية ضئيلة للغاية، مما جعل الاكتشاف صعباً جداً
- عمل لمدة تقدر بحوالي أربع سنوات قبل اكتشافه
لم يكن هذا اختراقاً بدائياً. كانت عملية جراحية استغلت ميزات عتاد غير موثقة في شرائح Apple نفسها.
كيف عملت سلسلة الهجوم
استخدمت عملية التثليث سلسلة استغلال متعددة المراحل مصممة بدقة. كل مرحلة بُنيت على سابقتها، متصاعدة من الوصول الأولي إلى اختراق كامل للجهاز.
المرحلة الأولى: رسالة iMessage غير المرئية
بدأ الهجوم برسالة iMessage مصممة خصيصاً تُرسل إلى الهدف. كانت الرسالة غير مرئية — لم تظهر في أي إشعار، ولا في قائمة الرسائل، ولا في صندوق الوارد. عالج نظام iOS مرفق الرسالة تلقائياً في الخلفية، مما أدى إلى تشغيل الاستغلال الأول دون أي تفاعل من المستخدم.
المرحلة الثانية: ثغرة تحليل الخطوط
استغل المرفق الخبيث ثغرة في محرك تحليل الخطوط الخاص بـ Apple — وهو مكون يعالج خطوط TrueType. أعطى هذا المهاجم تنفيذاً أولياً للشفرة داخل عملية iMessage المعزولة.
المرحلة الثالثة: استغلال النواة (CVE-2023-32434)
من العملية المعزولة، استفادت سلسلة الهجوم من CVE-2023-32434، وهي ثغرة تجاوز عدد صحيح في نواة iOS. سمح هذا للمهاجم بالخروج من صندوق رمل التطبيق والحصول على وصول على مستوى النواة — بمعنى آخر، تحكم كامل بالجهاز بأكمله.
المرحلة الرابعة: استغلال ميزات العتاد
ربما كانت هذه المرحلة الأكثر إثارة للصدمة: استغل المهاجمون سجلات إدخال/إخراج معيّنة بالذاكرة (MMIO) غير موثقة في رقائق Apple المخصصة. هذه الميزات لم تكن موثقة علنياً ويبدو أنها كانت مخصصة للاختبار المصنعي أو التصحيح. بالتلاعب بهذه السجلات، تمكن المهاجمون من تجاوز حماية الذاكرة على مستوى العتاد من Apple (طبقة حماية الصفحات / PPL)، مما جعل الاختراق غير مرئي عملياً لآليات الأمان الخاصة بنظام التشغيل نفسه.
النتيجة: مراقبة شاملة
بعد اكتمال المراحل الأربع، أصبح لدى برنامج التجسس:
- وصول كامل إلى ميكروفون الجهاز وكاميرته
- الوصول إلى جميع الرسائل (SMS، iMessage، البريد الإلكتروني، تطبيقات الطرف الثالث)
- تتبع موقع GPS في الوقت الفعلي
- الوصول إلى سلسلة المفاتيح (كلمات المرور وبيانات الاعتماد المخزنة)
- القدرة على تحميل وتنزيل الملفات
- القدرة على تنفيذ حمولات إضافية
نُفذت سلسلة الاستغلال بالكامل في ثوانٍ، وحُذفت رسالة iMessage الأصلية تلقائياً بعد الاستغلال، دون ترك أي دليل مرئي.
الجدول الزمني للأحداث
| التاريخ | الحدث |
|---|---|
| ~2019 | يُعتقد أن عملية التثليث بدأت |
| 1 يونيو 2023 | كاسبرسكي تكشف علنياً عن الحملة |
| 21 يونيو 2023 | Apple تصدر iOS 16.5.1 لإصلاح CVE-2023-32434 و CVE-2023-32435 |
| يوليو 2023 | نشر تفاصيل تقنية إضافية |
| أكتوبر 2023 | Apple تصلح ثغرة MMIO العتادية (CVE-2023-38606) |
| ديسمبر 2023 | كاسبرسكي تقدم التحليل التقني الكامل في مؤتمر Chaos Communication Congress الـ37 |
| 2024 | الهجوم يُعترف به على نطاق واسع كأكثر سلسلة استغلال محمولة تعقيداً |
لماذا كان هذا الهجوم غير مسبوق
بدون نقرة، بدون أثر
معظم هجمات برامج التجسس تتطلب من الضحية فعل شيء ما — النقر على رابط، تثبيت تطبيق، زيارة موقع. عملية التثليث لم تتطلب شيئاً. تم اختراق هاتف الضحية ببساطة عند تلقي رسالة iMessage غير مرئية. بعد الاستغلال، حُذفت الرسالة تلقائياً.
استغلال على مستوى العتاد
كان استخدام ميزات عتاد غير موثقة مقلقاً بشكل خاص. أشار إلى أن المهاجمين كان لديهم وصول إلى معلومات حول شرائح Apple غير متاحة للعامة — ربما من وثائق داخلية، أو هندسة عكسية، أو وسائل أخرى. أثار هذا تساؤلات جدية حول أمن سلسلة التوريد ومخاطر "الأمان عبر الغموض" في تصميم العتاد.
تعقيد السلسلة
استغلال أربع ثغرات يوم الصفر منفصلة في سلسلة واحدة أمر نادر للغاية. كل ثغرة كانت قيّمة بذاتها — الجمع بين أربع في سلسلة هجوم موثوقة وصامتة يمثل استثماراً هائلاً في الموارد والخبرات، مما يشير إلى فاعل تهديد على مستوى الدولة.
من يقف وراءها؟
لم ينسب كاسبرسكي ولا باحثون آخرون عملية التثليث رسمياً إلى دولة محددة، رغم أن مستوى التعقيد والاستثمار يشير بقوة إلى جهات حكومية. نمط الاستهداف — الذي أثّر بشكل رئيسي على أفراد داخل شركة أمن سيبراني — يوحي بدوافع استخباراتية وليس جرائم مالية.
كيف تحمي جهاز iPhone الخاص بك
رغم أن المستخدمين العاديين من غير المرجح أن يُستهدفوا ببرامج تجسس حكومية من هذا المستوى، إلا أن الثغرات التي استغلتها أثرت على جميع أجهزة iPhone. إليك خطوات عملية لتقليل المخاطر:
1. حدّث iOS فوراً
أصلحت Apple ثغرات عملية التثليث في iOS 16.5.1 والتحديثات اللاحقة. يجب تثبيت كل تحديث iOS في أسرع وقت ممكن، لأن ثغرات يوم الصفر غالباً ما تُكتشف فقط بعد استخدامها في هجمات حقيقية.
فعّل التحديثات التلقائية: الإعدادات > عام > تحديث البرنامج > التحديثات التلقائية
2. فكّر في وضع التأمين (Lockdown Mode)
قدمت Apple Lockdown Mode في iOS 16 خصيصاً للمستخدمين المعرضين لخطر مرتفع من الهجمات المتطورة. عند تفعيله:
- يحظر معظم أنواع مرفقات iMessage (وهو ما كان سيمنع الاستغلال الأولي)
- يعطل عدة أسطح هجوم بما في ذلك معاينات الروابط وتجميع JavaScript JIT
- يحظر مكالمات FaceTime الواردة من جهات اتصال غير معروفة
- يمنع تثبيت ملفات تعريف التكوين
ينطوي Lockdown Mode على تنازلات في الراحة، لكن للأفراد المعرضين لمخاطر عالية (صحفيون، ناشطون، تنفيذيون)، يُعد طبقة دفاع ذات معنى.
3. لا تقم بعمل Jailbreak أبداً
يزيل Jailbreak طبقات الأمان المدمجة في iOS، مما يجعل جهازك أكثر عرضة بشكل كبير لجميع أنواع الاستغلالات — وليس فقط المتطورة منها.
4. راجع إعدادات iMessage
إذا لم تكن بحاجة إلى iMessage، فكّر في تعطيله. كحد أدنى، عطّل معاينات الرسائل على شاشة القفل، والتي يمكن أن تكشف معلومات حساسة دون فتح قفل الجهاز.
5. راقب السلوك غير المعتاد
انتبه لهذه المؤشرات المحتملة على الاختراق:
- استنزاف غير متوقع للبطارية
- ارتفاع حرارة الجهاز أثناء عدم الاستخدام
- ارتفاعات غير عادية في استهلاك البيانات
- إعادة تشغيل أو تعطل عشوائي
- ظهور تطبيقات أو ملفات تعريف تكوين غير معروفة
6. استخدم VPN لحماية مستوى الشبكة
رغم أن VPN لم يكن ليمنع استغلال iMessage تحديداً، إلا أنه يحمي من هجمات مستوى الشبكة التي يمكن أن تكون جزءاً من عمليات مراقبة أوسع:
- يمنع اعتراض حركة المرور على الشبكات المخترقة
- يخفي عنوان IP الخاص بك وموقعك التقريبي
- يشفر استعلامات DNS، مما يمنع مراقبة التصفح
- يحمي من هجمات الوسيط على شبكات Wi-Fi العامة
ماذا يعني هذا لمستقبل أمن الأجهزة المحمولة
كشفت عملية التثليث عن حقائق غير مريحة حول أمن الأجهزة المحمولة:
-
لا يوجد جهاز محصن. سمعة Apple في مجال الأمان مستحقة، لكن حتى أكثر الأجهزة الاستهلاكية تأميناً يمكن اختراقها من قبل مهاجمين لديهم دوافع كافية.
-
"الأمان عبر الغموض" في العتاد محفوف بالمخاطر. ميزات العتاد غير الموثقة التي "لا يعرف عنها أحد" لا تزال أسطح هجوم محتملة. الباحثون الأمنيون والمهاجمون على حد سواء سيجدونها في النهاية.
-
الهجمات بدون نقرة هي الحدود الجديدة. مع تزايد وعي المستخدمين بالتصيد والروابط الخبيثة، يتحول المهاجمون إلى أساليب لا تتطلب أي تفاعل من المستخدم.
-
الانضباط في التحديثات أهم من أي وقت مضى. الفترة بين اكتشاف الثغرة وإصدار التصحيح هي عندما يكون المستخدمون أكثر عرضة للخطر. التحديثات الفورية ليست اختيارية — إنها ضرورية.
الخلاصة
كانت عملية التثليث جرس إنذار لصناعة أمن الأجهزة المحمولة بأكملها. أظهرت أنه حتى أكثر بنى الأمان تطوراً يمكن هزيمتها من قبل مهاجمين يمتلكون موارد ومعرفة كافية.
بالنسبة للمستخدمين العاديين، الدرس واضح: حدّث أجهزتك، فعّل ميزات الأمان المتاحة، وافهم أنه لا يوجد إجراء واحد يوفر حماية مطلقة. الأمان ليس منتجاً تشتريه — إنه ممارسة تحافظ عليها.
حدّث أجهزتك. كن واعياً. ابقَ محمياً.
الوسوم