كشفت شركة رائدة في مجال حلول الأمن الإلكتروني عن عصابة إلكترونية إيرانية استهدفت قطاعي الطاقة والطيران خصوصاً في المملكة العربية السعودية، والولايات المتحدة الأمريكية وكوريا الجنوبية، معتبرة أن تحديد هذه العصابة والتعرف على قدرتها التدميرية يشكل فرصة مواتية للمؤسسات للكشف عن التهديدات ذات الصلة والتعامل معها على نحو استباقي.
وأفصحت شركة "فاير آي" الرائدة في مجال حلول الأمن الإلكتروني القائم على استخبارات التهديدات عن تفاصيل العصابة التي أطلقت عليها اسم "APT33"، مشيرة إلى أنها تنفذ عمليات التجسس الإلكتروني منذ عام 2013، ومن المرجح أنها تعمل لصالح الحكومة الإيرانية، ومنبهة إلى أنها حصلت على هذه المعلومات من التحقيقات الأخيرة التي أجراها عدد من استشاريي فريق الاستجابة الطارئة في "مانديانت"، بالتعاون مع شبكة تحليل استخبارات التهديدات لديها، والتي كشفت النقاب عن معلومات حول عمليات عصابة APT33 وقدراتها ودوافعها المحتملة.
وحول الجهات المستهدفة قال جون هولتكويست مدير تحليل استخبارات المعلومات في "فاير آي"، إن العصابة استهدفت مؤسسات تغطي العديد من القطاعات، وتقع مقراتها في الولايات المتحدة والمملكة العربية السعودية وكوريا الجنوبية، وأظهرت المجموعة اهتماماً خاصاً بالمؤسسات العاملة في قطاع الطيران التي تنشط في مجال القدرات العسكرية والتجارية، بالإضافة إلى المؤسسات العاملة في قطاع الطاقة ولها صلات بإنتاج البتروكيماويات.
وأوضح هولتكويست أنه منذ منتصف عام 2016 وحتى أوائل العام الحالي 2017 تمكنت عصابة "APT33" من اختراق مؤسسة أمريكية تنشط في قطاع الطيران، واستهدفت تكتلاً تجارياً يقع في السعودية وله حصص مساهمة في قطاع الطيران، علاوة على شركة تقع في كوريا الجنوبية تعمل في مجال تكرير النفط والبتروكيماويات.
وأضاف هولتكويست أنه في شهر مايو الماضي استهدفت العصابة مؤسسة سعودية وتكتلاً تجارياً باستخدام ملف خبيث حاول إغواء الضحايا عن طريق إخبارهم بوجود شواغر وظيفية في شركة بتروكيماويات سعودية.
وبشأن أسباب استهداف المؤسسة السعودية، قال هولتكويست إنه قد يكون محاولة لتكوين رؤى وتصورات حول المنافسين الإقليميين، في حين أن السبب في استهداف شركات في كوريا الجنوبية قد يرجع إلى شراكات كوريا الجنوبية مع قطاع البتروكيماويات في إيران، إضافة إلى علاقات كوريا الجنوبية مع شركات البتروكيماويات السعودية، وقد تكون العصابة استهدفت هذه المؤسسات كنتيجة لنوايا إيران بزيادة إنتاج المواد البتروكيماوية وتحسين قدرتها التنافسية في المنطقة.
وبين هولتكويست أن عصابة APT33 نفذت هجمات تصيد احتيالي من خلال إرسالها رسائل عبر البريد الإلكتروني لموظفين تتعلق مهام عملهم بقطاع الطيران، منها رسائل تعرض وظائف عمل وهمية وتحتوي على روابط تؤدي إلى ملفات إحدى تطبيقات HTML الخبيثة، وتضمنت تلك الملفات وصفاً لوظائف وروابط لإعلانات عن وظائف شاغرة منشورة على المواقع الإلكترونية لشركات توظيف شهيرة بحيث تبدو ملائمة وذات صلة بالأفراد المستهدفين.
ولفت هولتكويست إلى أن العصابة سجلت هجمات انتحال الهوية التجارية في شكل نطاقات وهمية عدة، انتحلت من خلالها هوية شركات الطيران السعودية والمؤسسات الغربية التي لديها شراكات بهدف تقديم خدمات التدريب والصيانة والدعم للأسطول العسكري والتجاري السعودي.
وأوضح هولتكويست أن استهداف العصابة للمؤسسات الناشطة في قطاع الطيران والطاقة يتطابق بشكل وثيق مع مصالح الحكومات، مما يشير إلى أن هناك على الأرجح جهة حكومية ترعى وتدعم هذه العصابة الإلكترونية، كما أن توقيت شن الهجمات يتزامن مع أوقات العمل في إيران واستخدام العديد من أدوات القرصنة الإيرانية وأسماء السيرفرات، يؤكد نتائج التحليلات التي توصلت إليها "فاير آي" والتي خلصت إلى أن العصابة تعمل على الأرجح، نيابة عن الحكومة الإيرانية.
وأكد هولتكويست أن إيران أظهرت مراراً وتكراراً استعدادها للاستفادة عالميا من قدراتها على التجسس الإلكتروني، كما أن استخدام هذه الأداة العدوانية، إلى جانب نفوذها الجيوسياسي، يؤكد المخاطر الكبيرة لعصابة APT33 على الحكومات والمصالح التجارية في الشرق الأوسط وفي جميع أنحاء العالم.