حذرت شركة "فاير آي"، المتخصصة في مجال الأمن الإلكتروني، من مخاطر عصابة قرصنة وتجسس إلكتروني إيرانية، تستهدف قطاعي الطاقة والطيران في المملكة العربية السعودية والولايات المتحدة وكوريا الجنوبية.

وقال ستيورات ديفيس المسؤول الإقليمي بالشركة في مؤتمر صحافي الأربعاء، في دبي: "إن العصابة الإيرانية التي أطلق عليها اسم "APT33" أظهرت اهتماماً خاصاً بالمؤسسات العاملة في قطاع الطيران التي تنشط في مجال القدرات العسكرية والتجارية، بالإضافة إلى المؤسسات العاملة في قطاعات لها صلات بإنتاج البتروكيميائيات، غير أنه لم يستبعد أن تخطط لهجمات إلكترونية بالدولة، بحكم أن قطاعي الطاقة والطيران نشطان في الإمارات".

وحذر ديفيس من مخططات إيران، حيث أظهرت في مناسبات عدة استعدادها للاستفادة عالمياً من قدراتها على التجسس الإلكتروني، كما أن استخدام هذه الأداة العدوانية، إلى جانب نفوذها الجيوسياسي، يؤكد المخاطر الكبيرة لعصابة "APT33" على الحكومات والمصالح التجارية في الشرق الأوسط وفي جميع أنحاء العالم. ويشكل تحديد هذه العصابة والتعرف إلى قدرتها التدميرية فرصة للمؤسسات للكشف عن التهديدات ذات الصلة والتعامل معها على نحو استباقي".

ورجح أن تكون جهة حكومية إيرانية ترعى وتدعم هذه العصابة، حيث إن توقيت شن الهجمات يتزامن مع أوقات العمل في إيران، واستخدام الكثير من أدوات القرصنة الإيرانية وأسماء السيرفرات، يؤكد نتائج التحليلات التي توصلت إليها "فاير آي"، والتي خلصت إلى أن عصابة "APT33" تعمل على الأرجح نيابة عن الحكومة الإيرانية.

وأضاف أن العصابة باشرت تنفيذ عمليات التجسس الإلكتروني منذ 2013، مشيراً إلى أنه منذ منتصف 2016 وحتى أوائل عام 2017، تمكنت العصابة من اختراق مؤسسة أميركية تنشط في قطاع الطيران، واستهدفت مجموعة تجارية في السعودية لها حصص مساهمة في قطاع الطيران، كما استهدفت شركة تقع في كوريا الجنوبية تعمل في مجال تكرير النفط والبتروكيماويات، كما مارست العصابة نشاطاً في مايو/أيار 2017 مستهدفة مؤسسة سعودية، وتكتلاً تجارياً، باستخدام ملفات خبيثة تصطاد الضحايا عن طريق إخبارهم بوجود شواغر وظيفية في شركة بتروكيماويات سعودية، وفق التحقيقات الأخيرة التي أجراها عدد من استشاريي فريق الاستجابة الطارئة في "مانديانت"، بالتعاون مع شبكة تحليل استخبارات التهديدات iSIGHT من "فاير آي".

وأوضح أن استهداف المؤسسة السعودية جاء بقصد تكوين رؤى وتصورات حول المنافسين الإقليميين، في حين أن السبب في استهداف شركات في كوريا الجنوبية يرجع إلى شراكاتها مع قطاع البتروكيميائيات في إيران، بالإضافة إلى علاقات كوريا الجنوبية مع شركات البتروكيميائيات السعودية. كنتيجة لنوايا إيران بزيادة إنتاج المواد البتروكيماوية، وتحسين قدرتها التنافسية في المنطقة. وكانت العصابة الإلكترونية ترسل رسائل تصيد احتيالي عبر البريد الإلكتروني لموظفين تتعلق بمهام عملهم في قطاع الطيران، تعرض عليهم وظائف عمل وهمية، وتحتوي على روابط تؤدي إلى ملفات إحدى تطبيقات "HTML" الخبيثة. وتضمنت تلك الملفات وصفاً لوظائف وروابط لإعلانات عن وظائف شاغرة منشورة على المواقع الإلكترونية لشركات توظيف شهيرة، بحيث تبدو ملائمة وذات صلة بالأفراد المستهدفين.

وبين بعض الأخطاء التي وقعت بها العصابة، حيث ترك مشغلو هجمات "APT33" قيماً افتراضية في نمط التصيد الاحتيالي للواجهة إذ ما تلبث بإرسال رسائل إلكترونية إلى المتسلمين أنفسهم، ولكن بعد إزالة تلك القيم الافتراضية. وقال: "إن عصابة "APT33" سجلت نطاقات متعددة، انتحلت من خلالها هوية شركات الطيران السعودية والمؤسسات الغربية التي لديها شراكات بدعوى تقديم خدمات التدريب والصيانة والدعم للأسطول العسكري والتجاري السعودي، واستناداً إلى نوعية وأنماط الاستهداف الملحوظة، فمن المحتمل أن تكون عصابة "APT33" قد استخدمت هذه النطاقات في رسائل البريد الإلكتروني للتصيد الاحتيالي لاستهداف المؤسسات الضحية".