برمجة روسية متخفية كأميركية في تطبيقات جيش الولايات المتحدة

كشف تحقيق خاص لوكالة "رويترز" عن أن شيفرة برمجية موجودة ضمن آلاف التطبيقات في "أبل" و"غوغل" طورتها شركة تكنولوجيا برمجيات حاسوب روسية تعلن عن نفسها على أنها شركة أميركية. وكشف تحقيق الوكالة أن برمجيات شركة "بوشووش" موجودة في تطبيقات شركات عالمية كبرى وهيئات حكومية ومؤسسات غير حكومية من شركة السلع الاستهلاكية "يونيليفر" والاتحاد الأوروبي لكرة القدم "يويفا" إلى جماعة الضغط السياسي الأميركية الشهيرة "رابطة السلاح الوطنية" وحتى حزب العمال البريطاني.

ونقلت الوكالة عن مركز مكافحة الأمراض الأميركي أنه "خدع معتقداً أن شركة بوشووش مقرها في العاصمة الأميركية، وبعد أن عرف أن أصل الشركة روسي حذف شيفرة برمجة الشركة من 7 تطبيقات للمركز على أساس مخاوف أمنية".

كما أكد الجيش الأميركي أنه أزال تطبيقاً يحتوي على شيفرة برمجة من الشركة الروسية في مارس (آذار) أيضاً لمخاوف من الاختراق الأمني. وكان تطبيق الجيش الأميركي يستخدم من قبل القوات في أكبر قاعدة تدريب قتالية بالولايات المتحدة.

وتقول الوكالة إنها اطلعت على وثائق الشركة المقدمة للسلطات الروسية التي تظهر أن شركة "بوشووش" مسجلة في بلدة نوفوسيبيرسك في سيبيريا كشركة برمجيات حاسوب وتقوم أيضاً بعمليات تناول البيانات والمعلومات. وتوظف الشركة 40 شخصاً، وكانت عائداتها العام الماضي 2.4 مليون دولار (أكثر من 143 مليون روبل روسي) بحسب إفصاحات الشركة للسلطات الروسية التي اطلعت عليها "رويترز".

تخفٍ وتزوير

يكشف التحقيق الذي أجرته الوكالة أن الشركة الروسية لا تذكر موطنها ومكان تسجيلها الأصلي في الأوراق الرسمية التي تقدم للسلطات الأميركية وللسوق في الولايات المتحدة أو في صفحاتها على مواقع التواصل. ففي كل تلك الحالات تبدو الشركة مسجلة في أكثر من مكان بالولايات المتحدة، مرة في كاليفورنيا وأخرى في ماريلاند وأخيرة في واشنطن العاصمة.

فمثلاً في صفحتها على مواقع "تويتر" و"فيسبوك" و"لينكد إن" تذكر شركة "بوشووش" عنوانها على أنه في واشنطن العاصمة. وفي أحدث مستنداتها لمصلحة الشركات الأميركية يظهر عنوانها في حي "كنزنغتون" في ماريلاند، وذلك العنوان في ماريلاند هو منزل لشخص روسي صديق لمؤسس وصاحب الشركة ماكس كونيف. وحين سأله صحافيو "رويترز" قال إنه لا علاقة له بالشركة وإنه فقط وافق على أن يستخدم صديقه كونيف عنوان منزله ليتلقى عليه البريد. وأكد كونيف ذلك بقوله إنه استخدم عنوان المنزل "لتلقي بريد الشركة في وقت وباء كورونا".

وفي رسالة بالبريد الإلكتروني في سبتمبر (أيلول) الماضي نفى كونيف أي محاولة لإخفاء هوية شركته، وقال، "أنا فخور بأني روسي، ولا يمكن أن أنكر أبداً هويتي الروسية". وقال كونيف إنه الآن يدير شركته من تايلاند، لكن "رويترز" تقول إنها بحثت ولم تجد أثراً لشركة بهذا الاسم "بوشووش" مسجلة رسمياً في تايلاند.

كما استخدمت شركة "بوشووش" حسابين على موقع "لينكد إن" لاثنين من مديريها في واشنطن هما ماري براون ونواه أوشيه لترويج مبيعاتها. وكلا الشخصيتين لا وجود لهما. أما حساب ماري براون فهو اسم مدرسة رقص في النمسا أخذت صورة لها في موسكو. وحين تواصلت معها "رويترز" قالت إنها ليس لديها أدنى فكرة كيف وضعت صورتها على الموقع. وقامت "لينكد إن" بإلغاء الحسابين.

واعترف كونيف بأن الحسابين ليسا أصليين، لكنه قال إن شركته "بوشووش" تعاقدت مع وكالة تسويق في 2018 لتنشئ تلك الحسابات بغرض تسويق منتجات الشركة وليس لإخفاء هويتها الروسية.

تعاقدات واحتمال مخالفات

وعن وصول شيفرة الحاسوب التي طورتها الشركة لآلاف التطبيقات التي يصل عددها إلى 8 آلاف تطبيق على "أبل" و"غوغل" فمرده إلى أن تطوير التطبيقات يأخذ وقتاً وجهداً كبيرين، لذا يلجأ المطورون إلى شراء شيفرات جاهزة لبعض مكونات التطبيق من شركات تطوير.

أما شيفرة "بوشووش" فتتعلق بإشعارات التطبيقات التي تصل للمستخدم استناداً إلى تجميع معلومات تصفحه، بالتالي تكون الإشعارات مستهدفه لاختيارات المستخدم المفضلة. وعلى رغم تأكيد ماكس كونيف أن كل المعلومات والبيانات التي تحصلها الشركة عن الأفراد المستخدمين لتلك التطبيقات تخزن على خوادم في الولايات المتحدة وألمانيا، إلا أنه ليس هناك ما يمنع إمكانية الوصول إليها من روسيا.

وإضافة إلى وجود تلك الشيفرة في تلك التطبيقات، هناك تعاقدات لشركات ومؤسسات وهيئات مع "بوشووش" لاستخدام برمجياتها في تطبيقات إرسال الإشعارات للمتعاملين مع تلك الهيئات والمؤسسات. وتشمل البيانات التي تجمعها برمجية الشركة الموقع الجغرافي للمستخدم وغيرها من بيانات الخصوصية.

ومع أن تحقيق "رويترز" ذكر أنه خلال فترة البحث لم يتم العثور على أي دليل لاستغلال الشركة الروسية تلك البيانات لأغراض غير قانونية، إلا أن المخاوف تزايدت منذ حرب أوكرانيا، إذ فرضت السلطات الروسية على كل الشركات في البلاد التعاون مع الأجهزة الأمنية وتوفير المعلومات التي تطلبها.

وأكدت الجهات التي أزالت شيفرة "بوشووش" من تطبيقاتها أنها لم تتعرض لأي اختراق أمني أو قرصنة معلومات. وبعضها كان في غاية الحساسية مثل تطبيق الجيش الأميركي، فقد كان يستخدم في مركز التدريب الوطني في كاليفورنيا، وهو المكان الذي تذهب إليه القوات الأميركية قبل نشرها في الخارج. ومن شأن جمع المعلومات منه معرفة تحركات تلك القوات وأماكن عملياتها حول العالم.

ومع أن السلطات الأميركية يمكنها حظر كل برمجيات "بوشووش" بموجب قرارات العقوبات على روسيا، إلا أن كل تلك البيانات التي تجمعها الشركة لا تختلف عن المعلومات التي يجمعها "فيسبوك" و"غوغل" و"أمازون" عن مستخدميها.