كشفت شركة رائدة في مجال حلول الأمن الإلكتروني عن عصابة إلكترونية إيرانية استهدفت قطاعي الطاقة والطيران خصوصاً في المملكة العربية السعودية، والولايات المتحدة الأمريكية وكوريا الجنوبية، معتبرة أن تحديد هذه العصابة والتعرف على قدرتها التدميرية يشكل فرصة مواتية للمؤسسات للكشف عن التهديدات ذات الصلة والتعامل معها على نحو استباقي. وأفصحت شركة "فاير آي" الرائدة في مجال حلول الأمن الإلكتروني القائم على استخبارات التهديدات عن تفاصيل العصابة التي أطلقت عليها اسم "APT33"، مشيرة إلى أنها تنفذ عمليات التجسس الإلكتروني منذ عام 2013، ومن المرجح أنها تعمل لصالح الحكومة الإيرانية. وأشارت إلى أنها حصلت على هذه المعلومات من التحقيقات الأخيرة التي أجراها عدد من استشاريي فريق الاستجابة الطارئة في "مانديانت"، بالتعاون مع شبكة تحليل استخبارات التهديدات لديها، والتي كشفت النقاب عن معلومات حول عمليات عصابة APT33 وقدراتها ودوافعها المحتملة. وقال مدير تحليل استخبارات المعلومات في "فاير آي" جون هولتكويست، إن العصابة استهدفت مؤسسات تغطي العديد من القطاعات، وتقع مقراتها في الولايات المتحدة والمملكة العربية السعودية وكوريا الجنوبية، وأظهرت المجموعة اهتماماً خاصاً بالمؤسسات العاملة في قطاع الطيران التي تنشط في مجال القدرات العسكرية والتجارية، بالإضافة إلى المؤسسات العاملة في قطاع الطاقة ولها صلات بإنتاج البتروكيماويات. وأوضح أنه منذ منتصف عام 2016 وحتى أوائل العام الحالي 2017 تمكنت "APT33" من اختراق مؤسسة أمريكية تنشط في قطاع الطيران، واستهدفت تكتلاً تجارياً يقع في السعودية وله حصص مساهمة في قطاع الطيران، علاوة على شركة تقع في كوريا الجنوبية تعمل في مجال تكرير النفط والبتروكيماويات. وأضاف أنه في مايو الماضي، استهدفت العصابة مؤسسة سعودية وتكتلاً تجارياً باستخدام ملف خبيث حاول إغواء الضحايا عن طريق إخبارهم بوجود شواغر وظيفية في شركة بتروكيماويات سعودية. وبشأن أسباب استهداف المؤسسة السعودية، قال إنه قد يكون محاولة لتكوين رؤى وتصورات حول المنافسين الإقليميين، في حين أن السبب في استهداف شركات في كوريا الجنوبية قد يرجع إلى شراكات كوريا الجنوبية مع قطاع البتروكيماويات في إيران، إضافة إلى علاقات كوريا الجنوبية مع شركات البتروكيماويات السعودية، وقد تكون العصابة استهدفت هذه المؤسسات كنتيجة لنوايا إيران بزيادة إنتاج المواد البتروكيماوية وتحسين قدرتها التنافسية في المنطقة. ولفت إلى أن العصابة سجلت هجمات انتحال الهوية التجارية في شكل نطاقات وهمية عدة، انتحلت من خلالها هوية شركات الطيران السعودية والمؤسسات الغربية التي لديها شراكات بهدف تقديم خدمات التدريب والصيانة والدعم للأسطول العسكري والتجاري السعودي. وأوضح أن استهداف العصابة للمؤسسات الناشطة في قطاع الطيران والطاقة يتطابق بشكل وثيق مع مصالح الحكومات، مما يشير إلى أن هناك على الأرجح جهة حكومية ترعى وتدعم هذه العصابة الإلكترونية، كما إن توقيت شن الهجمات يتزامن مع أوقات العمل في إيران واستخدام العديد من أدوات القرصنة الإيرانية وأسماء السيرفرات، يؤكد نتائج التحليلات التي توصلت إليها "فاير آي" والتي خلصت إلى أن العصابة تعمل على الأرجح، نيابة عن الحكومة الإيرانية.