5772
انتشرت برمجيات Pegasus الخبيثة في الأسابيع القليلة الماضية على نطاق واسع، وذلك بهدف التجسّس على الصحفيين والمحامين ورجال الأعمال والعلماء والسياسيين والنشطاء وحتى أصدقائهم وأقاربهم، وتجدر الإشارة هنا إلى تعرّض مئات المستخدمين لهذا النوع من البرمجيات الخبيثة، ولكن في المقابل أصبح بإمكانك التحقّق ما إذا تعرّض هاتفك لهذه البرمجيات الخبيثة، في حال كنت تستخدم أحد هواتف iPhone يمكنك التحقّق بخطوات بسيطة وسنحاول شرح آلية القيام بذلك عبر هذا المقال.
كيفية التحقّق من وجود برمجية Pegasus الخبيثة
لحسن الحظ هناك أداة مخصّصة لذلك تدعى MVT ولكن عملية التحقّق تتطلّب بعض العمل وليست بسيطة بما فيه الكفاية لذا سنحاول شرح الخطوات بالتفصيل فيما يلي.
في البداية حتى يمكنك استخدام الأداة الخاصّة بالتحقّق عليك تحميل Docker على الحاسب الخاص بك، وهنا يمكنك الوصول إلى آلية تحميل Docker على Ubunto، وهنا يمكنك معرفة كيفية تشغيل نظام Ubunto على نظام Windows أو نظام mac.
في البداية قم بتشغيل Terminal وأنشئ مجلدًا يحتوي على الملفات التي سنستخدمها عن طريق كتابة هذا الأمر والضغط على Enter عند الانتهاء من كتابة الامر كاملًا.
mkdir Pegasus
بعد ذلك انتقل إلى الملف الذي قمت بإنشائه.
cd Pegasus
أنت الآن بحاجة إلى إنشاء مجموعة مجلّدات خاصّة بأداة MVT.
mkdir ioc backup decrypted checked
بعد ذلك تحتاج إلى الحصول على ملف يحتوي على مؤشرات السلوك المشبوه والذي يخبرك بوجود Pegasus، وذلك عبر كتابة الأمر التالي:
wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2
بعد ذلك عليك الحصول على ملف MVT Docker file وذلك عبر كتابة الأمر التالي:
wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile
وبعد ذلك عليك تهيئة الملف الخاص ب Docker حتى يمكنك القيام بعملية التحقّق بشكل صحيح.
docker build -t mvt
تحضير هاتف iPhone لإجراء مسح التحقّق
أولاً عليك إيقاف تشغيل شاشة iPhone أثناء العملية، وذلك من خلال التوجّه إلى Display & Brightness > Auto-Lock > Never، بعد ذلك قم بتوصيل جهاز iOS بمنفذ USB مع الحاسب.
عليك في البداية كتابة هذا الأمر.
systemctl stop usbmuxd
قد تستغرق العملية بعض الوقت، وبعد الانتهاء عليك كتابة الأمر التالي.
\docker run -it –privileged –rm -v /dev/bus/usb:/dev/bus/usb –net=host
\v $PWD/ioc:/home/cases/ioc –
\v $PWD/decrypted:/home/cases/decrypted –
\v $PWD/checked:/home/cases/checked –
\v $PWD/backup:/home/cases/backup-
mvt
بعد كتابة الأمر السابق عليك ضغط Enter ومن ثم سيتغيّر موجّه الأوامر وحينها ستعمل ضمن بيئة Docker.
بعد ذلك عليك كتابة الأمر التالي:
usbmuxd
وحينها ستظهر الرسالة التالية على هاتفك الذكي:
هنا عليك تأكيد العملية عبر كتابة الأمر التالي:
ideviceinfo
بعد ذلك عليك كتابة الأمر التالي:
idevicebackup2 backup encryption on -i
ثم عليك انشاء نسخة احتياطية لبيانات الهاتف عبر كتابة الأمر التالي:
\idevicebackup2 backup –full backup
عليك الانتظار بعض الوقت، ويتحدّد الوقت بكمية البيانات على الهاتف، وعليك كتابة الأمر التالي حتى تبدأ العملية:
Run ls -l backup
ستحصل بعد ذلك على اسم النسخة الاحتياطية الذي ستحتاجه للخطوة التالية، الآن أصبحت النسخة الاحتياطية على جهاز الكمبيوتر الخاص بك، يمكنك فك تشفيرها عن طريق كتابة:
mvt-ios decrypt-backup -p <enter your backup password here> -d decrypted backup/<enter backup folder name hereولكن عليك الانتباه إلى المعلومات ضمن علامات التضمين <> عليك وضع البينات الخاصّة بك، وبعد فك التشفير يمكنك القيام بتحليل MVT عبر كتابة الأمر التالي:
mvt-ios check-backup -o checked –iocs ioc/pegasus.stix2 decrypted
بعد ذلك ستحصل على مجموعة من ملفّات Json ولكن عليك اختبار النتائج التي حصلت عليها، ويمكنك التحقّق من النتائج عبر كتابة الأمر التالي، والتحقّق يعني مقارنة الملفّات مع مؤشّرات Pegasus التي تم جمعها سابقًا.
ls l checked
افتح الآن المجلد المسمى “check” داخل مجلد Pegasus الرئيسي، ابحث عن أي ملفات JSON مع _detected في نهاية اسم الملف، إذا لم تجد أي منها فإنّ الأداة لم تتمكّن من إيجاد أي شيء يتعلّق ب Pegasus وهاتفك سليم من هذه البرمجية الخبيثة.
في النهاية عليك إنهاء هذه العملية عبر الأمر التالي:
exit
نظرًا لتعقيد الامر، نترك لكم المصدر الأساسي الذي اعتمدنا عليه في كتابة هذا المقال، يمكنكم العودة إلى المصدر عند القيام بعملية التحقّق من وجود برمجية Pegasus الخبيثة، وخاصّة فيما يتعلّق بالأوامر داخل Terminal.
