"سيد الذباب الإلكتروني".. تحقيق في تجسس سعود القحطاني

قبل مداخلته عبر موقع سكايب للإشراف على عملية قتل وتقطيع أوصال الصحفي السعودي جمال خاشقجي، كان سعود القحطاني، المُستشار رفيع المستوى لدى ولي عهد السعودية محمد بن سلمان، يُدير أنشطة الديوان الملكي على مواقع التواصل الاجتماعي ويشرف على الدعاية وتنفيذ أوامر بن سلمان. كما يتضمن ملف أعماله عمليات قرصنة ومُراقبة منتقدي المملكة وولي العهد.

وكشف موقع "بيلينغ كات" البريطاني في تحقيق استقصائي، نشاطات القحطاني التجسسية وعلى نطاق القرصنة الإلكترونية، لتلميع صورة ولي العهد محمد بن سلمان.
 
هذا مُلخّصٌ لنتائج التحقيق المُتعلق بأنشطة سعود القحطاني:

خلال الفترة الممتدة بين سنتي 2012 و2015، حاول شخص يطلق على نفسه اسم "القحطاني" شراء أدوات مراقبة من شركة تجسس إيطالية تعرف باسم "هاكنغ تيم". وفي الخامس من تموز/ يوليو 2015، تم الكشف عن المراسلات التي دارت بين الطرفين من قبل أحد المخترقين الذي يستخدم اسم "فنياس فيشر"، الذي سرق ونشر حوالي 400 جيغابايت من الوثائق الداخلية والشفرة المصدرية ورسائل البريد الإلكتروني التابعين لهذه الشركة.
 
يبدو أن عمليات تواصل القحطاني مع شركة برامج التجسس لم يقع الكشف عنها طيلة أربع سنوات إلى حدود 29 أغسطس/ آب 2017، عندما جرى إنشاء حساب على موقع تويتر باللغة العربية ينشر مقتطفات من رسائل القحطاني الإلكترونية التي كان يرسلها لشركة "هاكنغ تيم". 
 
ربط الحساب، الذي يستعمل @HIAHY كاسم للمستخدم ويحمل اسم "تاريخ وذكريات"، عناوين البريد الإلكتروني المستخدمة من قبل القحطاني بعدة حسابات أخرى متواجدة على الإنترنت. كما أشار هذا الحساب إلى أن عنوان البريد الإلكتروني الذي يستخدمه الشخص الذي يزعم أنه القحطاني للتواصل مع شركة "هاكنغ تيم"، [email protected]، قد استخدم أيضا لتسجيل حساب تحت اسم "نوكيا2مون2" على موقع قرصنة شهير يعرف باسم "هاك فورومز"، الذي وقع اختراقه في يونيو/ حزيران سنة 2011 من قبل مجموعة قراصنة شهيرة تطلق على نفسها اسم "لولزسيك".
 
كشفت تقارير أخرى قدمها موقع ماذربورد في أغسطس/ آب من سنة 2018 أن رسائل شركة "هاكنغ تيم" المُسرّبة تضمنت عنواني بريد إلكتروني إضافيين كان يستخدمهما الشخص الذي يزعم أنه القحطاني وهما   [email protected]  و[email protected]
 
لم يتمكن كل من حساب "تاريخ وذكريات" وموقع "ماذربورد" من إثبات أن عناوين البريد الإلكتروني التي تم تسريبها تعود إلى القحطاني، على الرغم من أن كلاهما قدّم أدلّة استنتاجية مُقنعة تُؤكد أن القحطاني هو من بعث برسائل البريد الإلكتروني إلى فريق "هاكنغ تيم"، وهو من يملك حساب "نوكيا2مون2" على موقع "هاك فورومز".
 
يتطرق هذا التقرير إلى عمليات الأبحاث والإبلاغ التي قام بها كل من حساب "تاريخ وذكريات" وموقع "ماذربورد" الذي ينقسم إلى سبعة أقسام. ويتضمن القسم الأول تلخيصا لأهم نتائج التقرير. ويقدم القسم الثاني سيرة مُختصرة لرحلة صعود القحطاني إلى السلطة ويلخص كيفية تورطه في مقتل خاشقجي. ويكشف القسم الثالث عن امتلاك القحطاني لعناوين البريد الإلكتروني في ملف تفريغ تابع لشركة "هاكنغ تيم"، بالإضافة إلى رقم هاتف جوال (+966 55 548 9750) لم يتم الإبلاغ عنه سابقا، الذي ظهر أيضا في رسائل البريد الإلكتروني التي تم تسريبها.
 
أما القسم الرابع من هذا التقرير، فيمحّص في نشاطات القحطاني في موقع "هاك فورومز"، في حين خُصص القسم الخامس لتحديد وتحليل شبكة من البنية التحتية للإنترنت يستخدمها القحطاني لأغراض ضارة. ويؤكد القسم السادس أن بيانات الاتصال التابعة للقحطاني التي كُشف عنها في القسم الثالث استُخدمت للكشف عن تفاصيل إضافية حول نشاطاته على الإنترنت، على غرار إنشائه لحسابات وهمية على مواقع التواصل الاجتماعي. ويتطرق القسم الأخير من التقرير إلى دور القحطاني غير الواضح في الجهود التي يبذلها بن سلمان بشكل مستمر لكتم أصوات النقاد والمعارضين.
 
هذه بعض النتائج الرئيسية للتقرير:
القحطاني صاحب بيانات الاتصال المنسوبة إليه في بيانات "هاكنغ تيم" المسربة
يمتلك سعود القحطاني عناوين البريد الإلكتروني [email protected] و[email protected] و[email protected] بالإضافة إلى رقم الهاتف المحمول +966 55 548 9750، وهو ما يؤكد أن القحطاني هو من تواصل مع شركة "هاكنغ تيم" لشراء أدوات التجسس بين سنتي 2012 و2015. 
 
أما الشخص الذي يطلق على نفسه اسم القحطاني فقد استخدم في رسائل البريد الإلكتروني المُرسلة إلى "هاكنغ تيم" بين سنتي 2012 و2015 عُنواني البريد الإلكتروني [email protected] و[email protected] فضلا عن رقم الهاتف +966 55 548 9750، ويمكن ربطها بالقحطاني بشكل حاسم وذلك من خلال المعلومات المسربة من صفحات استعادة كلمة المرور الخاصة بغوغل وتويتر.
 
لقد استخدم الشخص نفسه عنوان البريد الإلكتروني [email protected] للتواصل مع الشركة. وعلى الرغم من أنه لا يمكن إثبات ملكية القحطاني لهذا البريد الإلكتروني من خلال المعلومات المسربة من صفحات استعادة كلمة المرور، إلا أن هذا التقرير يحسم أن    [email protected] هو عنوان البريد الإلكتروني الحكومي الرسمي للقحطاني، ويعزى ذلك جزئيا إلى أن رسائل البريد الإلكتروني التي يعود تاريخها إلى يونيو/ حزيران 2015 مع ممثل الشركة استخدم خلالها البريدين الإلكترونيين التابعين للقحطاني، الأمر الذي كشف أن مالك الحسابين هو شخص واحد.
 
القحطاني يمتلك 22 نطاق إنترنت بعضها مخصص للبرامج الخبيثة والآخر لهجمات حجب الخدمات
يمتلك القحطاني منذ سنة 2009 نحو 22 نطاق إنترنت على الأقل استخدم البعض منها كخوادم للتحكم في البرامج الضارة:
الديوان-الملكي [.]كوم 
الديوان-إس إي [.]كوم 
الديوان الملكي [.]كوم
الديوان كي إس إي [.]كوم
الديوان نيوز [.]كوم
ديوان ملكي [.]كوم
فهد سيرفر [.]كوم
جاسمن [.]أنفو
كي إس إي-الديوان-الملكي [.]كوم
كي تي-لابريري [.]كوم                                                                                                                                                    أم-دي-إس إي-نيوز [.]كوم
مركز-ديوان [.]كوم
مركز-ديوان [.]نت                                                                                                                                                   مركز-رويال [.]كوم
مركز-رويال[.]نت
رويال كورت-كي إس إي [.]كوم
رويال كورت-إس إي [.]كوم
رويال كورت-العربية-السعودية [.]كوم
إس إي-الديوان-الملكي [.]كوم
ديوان سعودي [.]كوم
سعود كيو [.]كوم
سعود كيو كيو [.]كوم
 
على سبيل المثال، استخدم القحطاني العديد من النطاقات الفرعية التابعة لشبكة "مركز-رويال[.]نت" لاستضافة الحمولات الخبيثة التي وقع الكشف عنها على أنها برمجيات خبيثة وُضعت قيد العمل، على غرار بلاك شايدز، وداركناس/أوبتيما.   وأُدرج المضيف "نوكيا2مون2.مركز رويال[.]نت" في قائمة تضم أكثر من 13 ألف مضيف حددها مكتب التحقيقات الفيدرالي على أنها تورطت في نشاط بلاك شايدز، كما لوحظ أنها تستضيف برنامج شال بوتر، الذي يتيح استخدام المواقع الإلكترونية المهددة بالاختراق لصالح هجمات الحرمان من الخدمات.
 
يوجد مجال فرعي آخر، وهو "سعود4.مركز-رويال [.]نت". لقد استضاف برنامج أوبتيما الضار، بناءً على اللقطات اللحظية التي التقطها "واي باك مشين"، والتي رصدت صفحة روسية للأسئلة الشائعة حول أوبتيما وصفحة تسجيل الدخول إلى لوحة تحكم في هذا البرنامج:


https://017qndpynh-flywheel.netdna-ssl.com/wp-  content/uploads/2019/06/optima-faq.png
 
خلال شهري أيلول/ سبتمبر وتشرين الأول/ أكتوبر من سنة 2016، حفظ موقع "واي باك مشين" تكرارين لملف نصي وقع استضافته على برنامج "سعود كيو كيو [.]كوم"، وأدرج ما يبدو أنه سجلات خدمة الرسالة القصيرة لرموز المصادقة ثنائية العوامل وإشعارات تسجيل الدخول وغيرها من الاتصالات المرسلة إلى حوالي 12 رقم هاتف في جميع أنحاء كندا.
 
تُظهر الصورة التي التقطها الموقع خلال شهر أيلول/ سبتمبر 2016 سجلات 12 رسالة نصية قصيرة أُرسلت إلى أرقام هواتف كندية تحتوي على رموز منطقة كيبك (450) ومقاطعة مانيتوبا (204). كما أرسلت الرسائل من أرقام هواتف كندية تحتوي على رموز منطقة أونتاريو (289، 705)، تورونتو (647)، مونتريال (438) وألبرتا (403). وتحتوي جميع الرسائل رموز تحقق واتساب، باستثناء رمز تحقق غوغل وحيد (وقع تنقيح معلومات التعريف الشخصية):


https://017qndpynh-flywheel.netdna-ssl.com/wp-content/uploads/2019/06/SMS-logs.png
 
تحتوي الصورة التي التقطها الموقع خلال شهر كانون الأول/ أكتوبر 2016 على 142 رسالة نصية قصيرة، أرسلت إلى أرقام كنديّة مع رمز منطقة كيبك 450. والجدير بالذكر أن خمسة أرقام فقط استُهدفت، حيث أُرسلت رسالة مرة واحدة لرقمين؛ وأُرسلت 17 رسالة لرقم آخر؛ فضلا عن أربع رسائل أخرى لرقم مختلف؛ و76 رسالة لرقم رابع. وكان محتوى الرسائل مختلفا، إذ بدت كأنها رموز أمان أو تأكيد للعديد من المواقع والشركات والتطبيقات، على غرار كوينباس ووي شات وإنستغرام ومايكروسوفت وفكونتاكتي وواتسآب وستيم وإير بي إن بي وفايبر وآي أو أل.
 
بعض الرسائل تضمنت تحذيرات أمنية:
·       "شخص بصدد استبدال معلومات الأمان الخاصة بحساب مايكروسوفت [منقّح] @ gmail.com، أليس أنت؟ 
                        “https://account.live[.]com/Proofs/Manage"
·       "رمز التحقق: [منقّح]. يقع استخدام الرمز لإزالة القيود المفروضة على وي شات ولا تشاركه مع أي شخص".
·       "تسجيل دخول غير عادي لحساب مايكروسوفت [منقّح]. راجع على https: // الحساب.
 
أظهر القحطاني ضعفًا في الأمن التشغيلي بشكل استثنائي عند تسجيله في جميع هذه المجالات تقريبا. وتتضمن سجلات "هوإيز" جميعها باستثناء ثلاثة (سعود كيو [.]كوم و"سعود كيو كيو [.]كوم" و"جاسمن [.]أنفو") إما عنوان بريده الإلكتروني الشخصي ([email protected]) أو رقم هاتفه المحمول (+966 55 548 9750) أو متغيرات باسمه الحقيقي.
 
إن مجالين من المجالات المذكورة أعلاه فحسب نشطة في الوقت الراهن، وهي سعود كيو [.]كوم وجاسمن [.]أنفو.
 
كان القحطاني نشطا على "هاك فورومز"، يشترى برامج تجسس، ويشارك منشورات وهو في حالة سكر
بما أن عنوان البريد الإلكتروني [email protected] تابع للقحطاني، فإن حسابه على موقع "هاك فورومز" المسجل تحت عنوان البريد الإلكتروني "نوكيا2مون2" ملك للقحطاني أيضا. وكان القحطاني يستخدم "هاك فورومز" بشكل نشط، حيث نشر أكثر من 500 منشور بين تموز/ يوليو 2009 وأيلول/ سبتمبر 2016.
 
كان القحطاني يشارك بشكل مفصل منشورات على "هاك فورومز" يتناول فيها أدوات وخدمات الاختراق التي اشتراها واستخدمها ومنصات التواصل الاجتماعي وتطبيقات الجوال التي استهدفها. وبحلول حزيران/ يونيو 2011، أي بعد مرور أقل من سنتين من انضمامه إلى هذا المنتدى، قُدّر أنه يملك 90 بالمئة من أدوات الإدارة عن بعد المدفوعة والمجانية في السوق. وعموما، دفع القحطاني مقابلا ماديا لأعضاء "هاك فورومز" لحذف حساباتهم من مواقع التواصل الاجتماعي، كما سعى لتصنيع نشاط المشاركة على منصات التواصل الاجتماعي الرئيسية، بما في ذلك موقعي يوتيوب وفيسبوك.
 
شارك القحطاني منشورات في ثلاث مناسبات على الأقل وهو في حالة سكر، حيث اعترف بذلك بنفسه وركز على مواضيع لا علاقة لها بالاختراق، على غرار دور الدين في السياسة، والسياسة تجاه إيران.
 
وتجدر الإشارة إلى أن القحطاني وقع ضحية ثلاث عمليات احتيال على الأقل أثناء نشاطه على "هاك فورومز". وفي كانون الأول/ ديسمبر 2015، تعرض حسابه للاختراق لفترة وجيزة. وعندما استعاد السيطرة على حسابه، نصح زملاءه من أعضاء "هاك فورومز" بتمكين المصادقة الثنائية.
 
إنشاء حسابات وهميّة على لينكد إن وفيسبوك
من خلال استخدام قائمة الاتصالات التي يملكها القحطاني، كان ممكنا تحديد معلومات إضافية عن معارفه والكشف عن عدة حسابات مرتبطة بعناوين البريد الإلكتروني وأرقام الهواتف. ويملك القحطاني أيضا حسابا على لينكد إن بريمير تحت اسم "سعود ع" (علما بأن اسم القحطاني الأوسط هو عبد الله)، حيث يصف نفسه بأنه "قاتل مأجور" ومقره المملكة العربية السعودية. 
 
كما أنشأ القحطاني حسابا شخصيا على فيسبوك لشخص مصري من مؤيّدي مبارك تحت اسم "مواطن مصري في آخر سنوات حياته"، بالإضافة إلى بعض الحسابات الأخرى التي يملكها على سناب شات وواتسآب وسيجنال.
 
الخلاصة
تظل سياسة القمع التابعة لمحمّد بن سلمان نشطة وفعّالة، ويرجع الفضل في ذلك إلى رفض إدارة ترامب محاسبة هذا الرجل السعودي القويّ ونظامه. فمنذ مقتل خاشقجي في تشرين الأول/ أكتوبر الماضي، أدّت وكالة المخابرات المركزية "واجبها في التحذير" في ثلاث مناسبات منفصلة، حيث تبادلت المعلومات الاستخباراتية لتنبيه المعارضين المتمركزين في الولايات المتحدة وكندا والنرويج من التهديدات القادمة من السعودية.
 
إن قوّة الدور الذي لا يزال سعود القحطاني، مساعد ولي العهد، يلعبه في حملة التخويف التي تشنّها المملكة غير واضحة تماما. لم تناقش الحكومة السعودية علنا مكان وجود القحطاني، ولكن على انفراد، يزعم المسؤولون السعوديون أنه قيد الإقامة الجبرية.
 
مع ذلك، استدلّت العديد من وسائل الإعلام ببعض المصادر التي صرّحت بأن القحطاني لا يزال في رعاية ولي العهد ويواصل عمله بنفس الصفة التي كان يحظى بها قبل إقالته رسميًا من البلاط الملكي. وفي كانون الثاني/ يناير 2019، ذكرت صحيفة "واشنطن بوست" أن القحطاني شوهد في مكاتب البلاط الملكي في الرياض. وفي نفس الشهر، ذكر الكاتب عمود في "واشنطن بوست" ديفيد إغناتيوس، نقلا عن مصادر أمريكية وسعودية، أن محمّد بن سلمان على اتصال منتظم بالقحطاني، الذي التقى مؤخرًا بكبار نوابه من المركز. 
 
في نيسان/ أبريل 2019، أخبر أحد المصادر صحيفة "الغارديان" بأن محمد بن سلمان لا يزال مخلصًا للقحطاني، الذي "يشارك بنشاط" في دور مماثل للدور الذي شغله كرئيس للمركز، على الرغم من أنه يتواجد في الوقت الراهن في المكتب الخاص بولي العهد. وفي هذا الإطار، قدّمت صحيفة" الغارديان" أهم دليل حتى الآن يفيد بأن القحطاني يواصل أعماله المتعلقة بالقرصنة. كما ذكرت الصحيفة البريطانية في حزيران/ يونيو 2019، أنها استُهدفت من قبل فريق اختراق سعودي بأمر من القحطاني.
 
في البداية، تلقّت الصحيفة تحذيرات من قبل مصدر في الرياض في وقت سابق من هذه السنة، وتم تأكيد هذا التهديد لاحقًا بموجب أمر داخلي سري وقّع عليه القحطاني، واطلعت عليه "الغارديان". وكُتبت هذه الوثيقة، المؤرخة في السابع من آذار/ مارس 2019، باللغة العربية، إذ أَصدرت تعليمات إلى "رؤساء الإدارات التكنولوجية والتقنية" التي تديرها مديرية الأمن السيبراني داخل المكتب الخاص لولي العهد، تأمرهم "باختراق أنظمة الحاسوب الخاصة بصحيفة "الغارديان" والأشخاص الذين عملوا على التقرير الذي نُشر، مع الحرص على التعامل مع القضية بسرية تامة، ومن ثمّ إرسال جميع البيانات لهم في أقرب وقت ممكن".
 
لا يعدّ القحطاني من ضمن المشتبه بهم الإحدى عشر الذين يواجهون المحاكمة في المملكة العربية السعودية بتهمة قتل خاشقجي. وفي 19 حزيران/ يونيو 2019، نشرت أنييس كالامار، المقررة الخاصة للأمم المتحدة المعنية بعمليات الإعدام خارج نطاق القضاء أو بإجراءات الإعدام التعسفيّة، تقريرا عن وفاة خاشقجي، واصفة إياه بأنه "إعدام خارج نطاق القضاء مع سبق الإصرار" من تنفيذ الدولة السعودية. 
 
وأضافت كالامار أن "مقتله كان نتيجة تخطيط تفصيلي تضمن تنسيقا واسعا وموارد بشرية ومالية كبيرة، بإشراف وتخطيط وتنفيذ من قبل مسؤولين رفيعي المستوى. وبالتالي فقد كان عملا متعمدا". ويذكر التقرير على وجه التحديد أن القحطاني ومحمد بن سلمان لم توجّه لهما أي تهم جنائية ولكن هناك "أدلة موثوقة ضدّهما تستحق المزيد من التحقيق".
 
من المقرر أن تُقدّم كالامار نتائج التحقيق الذي أجرته إلى مجلس حقوق الإنسان التابع للأمم المتحدة بتاريخ 27 حزيران/ يونيو 2019، كما ستمثل خطيبة خاشقجي خديجة جنكيز بدورها أمام المجلس. 
 
لا تعد النتائج الواردة في هذا التقرير شاملة، كما أن البحث المتعلق بشبكة اتصالات القحطاني لا يزال جاريا. وإلى جانب النطاقات الاثنين والعشرين التي تم تحليلها أعلاه، كشف هذا التحقيق العديد من المجالات الأخرى التي يحتمل ارتباطها بالقحطاني ولكنها تتطلب مزيدًا من البحث والتحليل. وستنشر أي نتائج إضافية ضمن تقرير المتابعة.