سيد الذباب: إمبراطورية سعود القحطاني لملاحقة السعوديين

ترجمة أحمد محرم

حتى اللحظة التي أشرف فيها عبر سكايب على قتل وتمزيق أوصال الصحفي السعودي «جمال خاشقجي»، كان أكثر ما اشتُهر به سعود القحطاني، المستشار رفيع المستوى لولي العهد السعودي محمد بن سلمان، أنه يدير أنشطة منصات التواصل الاجتماعي لحساب الديوان الملكي السعودي، ويخدم ولي العهد كمسئول دعاية وذراع يمنى.

ومن بين المهام المكلف بها القحطاني، كانت الرقابة واختراق الحسابات المعارضة للمملكة وولي عهدها تكتسب أهمية خاصة.

السطور التالية توجز نتائج تحقيق حول أنشطة القحطاني، يمكن قراءته كاملًا من هنا.

«سيد الذباب»

حدث مرتان، في 2012 و2015، أن طلب شخص عرّف نفسه باسم القحطاني شراء برامج مراقبة من شركة «هاكنج تيم» الإيطالية المثيرة للجدل والمتخصصة ببرمجيات التجسس.

انكشف هذا الأمر في 5 يوليو/تموز 2015، حين سرق قرصان إنترنت ينتحل لنفسه اسم «فينيز فيشر» ونشر 400 جيجابايت من الوثائق الداخلية ورسائل البريد الإلكتروني الخاصة بشركة «هاكنج تيم».

ولسنوات، مرّ تواصل القحطاني مع شركة برمجيات التجسس مرور الكرام، حتى 29 أغسطس/آب 2017، يومها أُنشئ حساب باللغة العربية على موقع «تويتر»، وبدأ بنشر مقتطفات من مراسلات القحطاني مع شركة «هاكنج تيم».

ربط الحساب، الذي استعمل اسم المستخدم «@HIAHY» واسم العرض «تاريخ وذكريات»، بين حسابات البريد الإلكتروني التي استخدمها القحطاني وحسابات أخرى عدة على الإنترنت. وكشف الحساب أن عنوان البريد الإلكتروني «[email protected]» الذي يستخدمه من يُفترض أنه القحطاني، استُخدم أيضًا لتسجيل حساب باسم «nokia2mon2» على موقع القرصنة الشهير «Hack Forums»، الذي تعرض بدوره للاختراق في يونيو/حزيران 2011 من جانب مجموعة القرصنة المعروفة باسم «LulzSec».

وفي تقرير آخر نشره موقع «ماذربورد» في أغسطس/آب 2018، ورد أن مراسلات «هاكنج تيم» حَوَت عنواني بريد إلكتروني استخدمهما من قال، إنه سعود القحطاني، وهما: «[email protected]» و«[email protected]».

على أنه لا الحساب «@HIAHY» ولا موقع «ماذربورد» استطاعا البرهنة على أن القحطاني يملك بالفعل عناوين البريد الإلكتروني المسربة، وإن قدم كل منهما أدلة ظرفية مقنعة على أن القحطاني هو بالفعل من أرسل الرسائل المذكورة إلى شركة «هاكنج تيم»، وأنه مالك الحساب «nokia2mon2» على موقع «Hack Forums».

يتوسع تحقيقنا في البحث، بالإحالة إلى البيانات التي يقدمها الحساب «@HIAHY» وموقع «ماذربورد»، وهو مقسم إلى سبعة أقسام؛ الأول، يسرد ملخصًا لنتائج التحقيق، والثاني، سيرة موجزة لقصة صعود القحطاني إلى السلطة ودوره في الفتك بخاشقجي، والثالث، يثبت تبعية عناوين البريد الإلكتروني المستخدمة في المراسلات مع شركة «هاكنج تيم» إلى القحطاني، وكذلك رقم الهاتف 9750 548 55 966+ الذي يظهر في رسائل البريد الإلكتروني المسربة من الشركة.

يفحص القسم الرابع بالتفصيل أنشطة القحطاني على موقع «Hack Forums»، والخامس يحدد ويحلل بنية تحتية إنترنتية لم يتناولها أي تقرير من قبل، استخدمها القحطاني لأغراض خبيثة.

أما القسم السادس، فنستخدم فيه بيانات الاتصال الخاصة بالقحطاني والواردة بالقسم الثالث لإماطة اللثام عن أنشطة أخرى على الإنترنت تحمل بصمات القحطاني، مثل إنشاء حسابات وهمية على مواقع التواصل الاجتماعي، وأخيرًا تتناول خاتمة التحقيق دور القحطاني المبهم في حملة محمد بن سلمان المستمرة لتكميم معارضيه ومنتقديه.

الأجزاء التالية هي من بين أبرز نتائج التحقيق:

القحطاني صاحب بيانات الاتصال المسربة من مراسلات «هاكنج تيم»

سعود القحطاني هو صاحب عناوين البريد الإلكتروني «[email protected]» و«[email protected]» و«[email protected]»، وكذلك رقم الهاتف 9750 548 55 966+، ومن ثَمَّ فالثابت أن القحطاني هو من تواصل مع شركة «هاكنج تيم» لشراء برامج تجسس في 2012 و2015.

استخدم الشخص الذي عرّف نفسه باسم القحطاني في المراسلات مع «هاكنج تيم» عامي 2012 و2015 عنواني البريد الإلكتروني «[email protected]» و«[email protected]» ورقم الهاتف 9750 548 55 966+، وكلها بيانات يمكن ربطها بالقحطاني اعتمادًا على بيانات مسربة من صفحات استعادة كلمات مرور على موقعي جوجل وتويتر.

واستخدم الشخص عينه عنوان البريد الإلكتروني «[email protected]» للتواصل مع شركة «هاكنج تيم»، ومع أنه لم يتسن إثبات تبعية هذا العنوان للقحطاني عبر صفحات استعادة كلمات المرور، ينتهي التحقيق بقدر معتبر من الثقة إلى أن هذا هو عنوان البريد الإلكتروني الحكومي الرسمي للقحطاني، استنادًا إلى استخدامه مع العنوان «[email protected]» بشكل متزامن في المراسلات مع «هاكنج تيم» عام 2015، مما ينبئ بأن الحسابين مملوكان للشخص ذاته.

القحطاني سجل في 22 نطاقًا على الأقل… وفي بعض الحالات للحصول على برمجيات خبيثة وشن هجمات حجب الخدمة

سجل القحطاني في 22 نطاقًا (domain) على الأقل، واستخدم بعضها كخوادم قيادة وسيطرة لإطلاق برمجيات خبيثة، وفيما يلي النطاقات التي ثَبُت استخدام القحطاني لها:

• aldewan-almalaky[.]com
• aldewan-sa[.]com
• aldewanalmalaky[.]com
• aldewanksa[.]com
• aldewannews[.]com
• dewanmalaky[.]com
• fahadserver[.]com
• jasmn[.]info
• ksa-aldewan-almalaky[.]com
• kt-library[.]com
• m-d-sa-news[.]com
• markaz-dewan[.]com
• markaz-dewan[.]net
• markaz-royal[.]com
• markaz-royal[.]net
• royalcourt-ksa[.]com
• royalcourt-sa[.]com
• royalcourt-saudi-arabia[.]com
• sa-aldewan-almalaky[.]com
• saudidewan[.]com
• saudq[.]com
• saudqq[.]com

ومثلًا، استخدم القحطاني نطاقات فرعية للنطاق الرئيسي «markaz-royal[.]net» لاستضافة حمولات خبيثة، واكتُشفت إدارته لبرمجيات خبيثة مثل Blackshades وDarkness/Optima. وأُدرج المضيف (host) «nokia2mon2.markaz-royal[.]net» ضمن قائمة تضم أكثر من 13 ألف مضيف حددهم مكتب التحقيقات الفيدرالي الأمريكي، ورصد ضلوعهم في أنشطة باستخدام أداة Blackshades واستضافتهم لأدوات بوتر (booter) القادرة على استغلال مواقع إلكترونية عادية لشن هجمات حجب الخدمة (DDos).

وأظهرت صور ملتقطة من أرشيف «Wayback Machine» أن النطاق الفرعي «saud4.markaz-royal[.]net» استضاف أداة Optima، ومن بين الصور الملتقطة صورة لصفحة أسئلة شائعة باللغة الروسيةعن الأداة Optima وصفحة تسجيل للحصول على لوحة تحكم بها.

في سبتمبر/أيلول وأكتوبر/تشرين الأول 2016، حفظ أرشيف «Wayback Machine» نسختين من ملف بصيغة (تكست/text) استضافهما المضيف «saudqq[.]com»، ويتضمن ما يبدو أنه سجلات رسائل نصية قصيرة لأكواد توثيق ثنائية وإشعارات تسجيل دخول وبيانات اتصال أخرى، مُرسلة إلى نحو 12 رقم هاتف في أنحاء كندا.

يُظهر الملف المحفوظ في سبتمبر/أيلول 2016 سجلات 12 رسالة نصية قصيرة مرسلة إلى أرقام هواتف كندية تضم رمزيّ مفاتيح الاتصال في مدينتي كيبيك (450)، ومانيتوبا (204). أما أرقام الهواتف التي تم إرسال الرسائل منها، فتضم رموز مفاتيح الاتصال في مدن أونتاريو (289 و705)، وتورنتو (647)، ومونتريال (438)، وألبرتا (403). وجميع الرسائل الاثنتي عشرة عبارة عن أكواد تحقق (verification) خاصة بتطبيق واتساب، باستثناء رسالة واحدة لكود تحقق خاص بحساب جوجل.

أما الملف المحفوظ في أكتوبر/تشرين الأول 2016، فيُظهر 142 رسالة نصية قصيرة، جميعها مرسلة إلى خمسة أرقام هواتف كندية تضم رمز مفتاح الاتصال الخاص بمدينة كيبيك (450)، من بينها رقمان أُرسل إلى كل منهما رسالة واحدة، ورقم أُرسلت إليه 17 رسالة، وآخر أُرسلت إليه 47 رسالة، وثالث أُرسلت إليه 76 رسالة.

هذه المرة يتنوع محتوى الرسائل بشكل كبير، وهناك رسائل عبارة عن أكواد تأمين أو تأكيد (confirmation) خاصة بتطبيقات ومواقع «Coinbase»، و«WeChat»، و«Instagram»، و«Microsoft»، و«VK»، و«WhatsApp»، و«Steam»، و«AirBnB»، و«Viber»، و«AOL»، وتضمنت بعض الرسائل تحذيرات أمنية:

لقد برهن القحطاني على افتقاره إلى أبسط مهارات الأمن التشغيلي، فكل سجلات (Whois) لكل النطاقات التي استخدمها القحطاني، عدا ثلاثة نطاقات (saudq.com, saudqq.com and jasmn.info)، تضمنت عنوان بريده الإلكتروني «[email protected]»، أو رقم هاتفه الجوال 9750 548 55 966+، أو تنويعات مختلفة من اسمه الحقيقي. وحتى الآن، لا يزال نطاقان من النطاقات المذكورة أعلاه نشطين، وهما «saudq.com» و«jasmn.info».

القحطاني كان نشطًا على موقع «Hack Forums» واشترى برمجيات تجسس وكان يكتب منشورات وهو مخموراً

يقود إثبات تبعية عنوان البريد الإلكتروني «[email protected]» للقحطاني إلى إثبات ملكية الأخير للحساب المسمى «nokia2mon2»، والذي سجله باستخدام نفس عنوان البريد الإلكتروني على موقع «Hack Forums»، وكان القحطاني نشطًا بشكل ملحوظ على الموقع، وكتب أكثر من 500 منشور بين يوليو/تموز 2009 وسبتمبر/أيلول 2016.

تعطي منشورات القحطاني على موقع «Hack Forums» فكرة مفصلة عن أدوات القرصنة والخدمات التي اشتراها واستخدمها، ومنصات التواصل الاجتماعي وتطبيقات الهواتف الذكية التي استهدفها؛ فبحلول يونيو/حزيران 2011، بعد أقل من عامين من تاريخ تسجيله على الموقع، قدّر هو أنه حصل على 90% من برامج الاختراق (Remote Access Trojan – RATs) المدفوعة أو المجانية المطروحة في السوق.

دفع القحطاني كذلك أموالًا لبعض مستخدمي موقع «Hack Forums» مقابل حذفهم حسابات على مواقع التواصل الاجتماعي، وسعى لبناء نشاط تشاركي على منصات تواصل اجتماعي كبرى، بما فيها يوتيوبوفيس بوك.

وكتب القحطاني منشورات ثلاث مرات على الأقل بينما كان مخمورًا، باعترافه هو نفسه، وفتح موضوعات للنقاش بعيدًا عن أنشطة القرصنة، مثل دور الدين في السياسة، والسياسة تجاه إيران.

وسقط القحطاني ثلاث مرات على الأقل ضحية لعمليات احتيال بينما كان نشطًا على موقع «Hack Forums»، وفي ديسمبر/كانون الأول 2015 تعرض حسابه للاختراق والسرقة، وحين استعاده نصح أعضاء الموقع بتفعيل أكواد التوثيق الثنائية.

القحطاني أنشأ حسابات وهمية على لينكد إن وفيسبوك

كان من السهل، اعتمادًا على بيانات الاتصال الخاصة بالقحطاني، العثور على بيانات اتصال أخرى خاصة به، وتحديد عدة حسابات على الإنترنت مرتبطة بعناوين البريد الإلكتروني وأرقام الهواتف المملوكة له.

ولدى القحطاني حساب «LinkedIn Premium» باسم «saud a» (اسم القحطاني الثاني هو عبدالله)، وفي خانة الوصف نجد عبارة «headhunter»، ومكان الإقامة المملكة العربية السعودية.

أنشأ القحطاني حسابًا على موقع فيس بوك، انتحل فيه شخصية مؤيد للرئيس المصري المخلوع محمد حسني مبارك، واصفًا إياه بـ«مواطن مصري في نهاية عمره»، ولديه حسابات أيضًا على تطبيقات سنابشات وواتساب وسيجنال.

خاتمة

إذا كانت آلة محمد بن سلمان القمعية حية ودائرة بكفاءة، فجزء كبير من الفضل في ذلك يرجع إلى رفض إدارة الرئيس الأمريكي «دونالد ترامب» محاسبة رجل السعودية القوي ونظامه.

منذ مقتل جمال خاشقجي في أكتوبر/تشرين الأول الماضي 2018، حذّرت وكالة المخابرات المركزية الأمريكية، في ثلاث مناسبات منفصلة، معارضين سعوديين مقيمين في الولايات المتحدة وكندا والنرويج، من تهديدات مصدرها المملكة العربية السعودية.

وليس معروفًا الآن حجم الدور الذي لم يزل سعود القحطاني، الذراع اليمنى لولي العهد، يلعبه في حملة الترويع بالمملكة. ولا تفصح الحكومة السعودية عن مكان وجود القحطاني، وإن ذكر مسئولون سعوديون في أحاديث خاصة أنه تحت الإقامة الجبرية في منزله.

بيد أن وسائل إعلام عدة نقلت عن مصادر أن ولي العهد محمد بن سلمان يسبغ حمايته وعطاياه على القحطاني، وأن الأخير لم يزل يعمل متمتعًا بسلطة تكاد تضاهي سلطته قبل عزله رسميًا من الديوان الملكي.

في يناير/كانون الثاني 2019، ذكرت صحيفة واشنطن بوست أن القحطاني شُوهد في مكاتب الديوان الملكي بالرياض. وفي الشهر ذاته، كتب كاتب الأعمدة في واشنطن بوست «ديفيد إجناتيوس»، نقلًا عن مصادر أمريكية وسعودية، أن بن سلمان يتواصل بانتظام مع القحطاني، الذي كان قد التقى نوابه بمركز الدراسات والشئون الإعلامية التابع للديوان الملكي في وقت قريب.

وفي أبريل/نيسان 2019، نقلت صحيفة الجارديان عن مصدر أن ابن سلمان لا يزال وفيًا للقحطاني، الذي «يمارس بنشاط» دورًا شبيهًا بدوره السابق كرئيس لمركز الدراسات والشئون الإعلامية، ولكن من داخل مكتب ابن سلمان الخاص.

أما أقوى إشارة في مصدر مفتوح حتى الآن عن استمرار القحطاني في أنشطة القرصنة الإلكترونية، فهي الواردة في تقرير لصحيفة الجارديان منشور في يونيو/حزيران 2019، حول تعرض الصحيفة لمحاولات قرصنة من جانب فريق قراصنة سعودي يأتمر بالقحطاني.

تلقت الجارديان تحذيرًا من مصدر داخل الرياض أوائل العام الحالي، وتأكدت صدقية التحذير بعدما اطلعت الصحيفة على وثيقة أمر داخلي سري مكتوبة بالعربية وممهورة بتوقيع القحطاني، بتاريخ 7 مارس/آذار 2019.

حملت الوثيقة توجيهًا إلى «رؤساء الإدارات الفنية والتكنولوجية» التابعة لمديرية الأمن السيبراني الملحقة بالمكتب الخاص لمحمد بن سلمان بـ «تنفيذ اختراق خوادم صحيفة الجارديان والمحررين الذين شاركوا في صناعة التقرير المنشور، وتوخي السرية الشديدة في التعامل مع الأمر، وموافاتنا بالمعلومات أولًا بأول».

ومما يسترعي الانتباه، أن القحطاني ليس من بين الأشخاص الأحد عشر الذين يخضعون للمحاكمة في قضية قتل خاشقجي.

في 19 يونيو/حزيران 2019، نشرت «آجنس كلامارد»، مقرر الأمم المتحدة المعنية بالقتل خارج نطاق القضاء والإعدام التعسفي، نشرت تقريرًا حول مقتل خاشقجي، واصفة إياه بـ«إعدام متعمد خارج نطاق القضاء» على يد الدولة السعودية.

وكتبت كالامارد «كان مقتله (خاشقجي) نتاج تخطيط مدروس، تضمن تنسيقًا مكثفًا وموارد بشرية ومالية ضخمة. وقد أقره وخطط له وأشرف عليه مسئولون رفيعو المستوى. لقد تم الأمر بنية مبيتة سلفًا».

ويشير التقرير بأصابع الاتهام إلى سعود القحطاني ومحمد بن سلمان بالتحديد، كمسئولين رفيعي المستوى لا يواجهان اتهامات جنائية، وإن كانت هنالك «أدلة موثوقة تستحق مزيدًا من التحقيق» حول ضلوعهما.

وسلمت كالامارد نتائج تحقيقها إلى مجلس حقوق الإنسان التابع للأمم المتحدة في 27 يونيو/حزيران الماضي، كما خاطبت المجلس «خديجة جنكيز»، خطيبة خاشقجي.

وختامًا، فإن النتائج الواردة في تحقيقنا هذا ليست شاملة، ولا يزال فحص البنية التحتية السيبرانية التي يستخدمها القحطاني جاريًا؛ فبالإضافة إلى عناوين النطاقات الـ 22 المذكورة أعلاه، وقعنا أثناء التحقيق على عناوين نطاقات أخرى يُعتقد أنها مرتبطة بالقحطاني، وإن كان الأمر بحاجة إلى مزيد من البحث والتحليل، وسيتم نشر أي نتائج إضافية في تقرير قادم.

(المصدر: موقع إضاءات نقلاً عن موقع bellingcat.com)