الهجمات السيبرانية على قطاع الطاقة – بولندا 2025

في 29 كانون الأول 2025 شهدت بولندا واحدة من أخطر الهجمات السيبرانية على قطاع الطاقة في تاريخها ، حيث استهدفت العمليات التخريبية مزارع طاقة رياح وطاقة شمسية

13 مشاهدة
6 دقائق
الهجمات السيبرانية على قطاع الطاقة
الهجمات السيبرانية على قطاع الطاقة

في 29 كانون الأول 2025 شهدت بولندا واحدة من أخطر الهجمات السيبرانية على قطاع الطاقة في تاريخها الحديث، حيث استهدفت العمليات التخريبية مزارع طاقة رياح وطاقة شمسية، ومحطة توليد مشتركة للكهرباء والحرارة (CHP)، إضافة إلى شركة في القطاع الصناعي. ووفقاً لتقرير صادر عن فريق الاستجابة السيبراني البولندي أطلع عليه روبودين، فإن الهجمات اتسمت بطابع تدميري بحت، دون مطالب فدية، ما يضعها ضمن إطار الهجمات التخريبية الموجهة ضد البنية التحتية الرئيسة. في هذا المقال نشارك معكم تفاصيل الهجوم، وآلية الاختراق، وتحليل البرمجيات الخبيثة المستخدمة، إضافة إلى الدروس الأمنية المستفادة لتعزيز الأمن السيبراني في قطاع الطاقة في عالمنا العربي.

استهداف مزارع الطاقة المتجددة

استهدف الهجوم أكثر من 30 منشأة لطاقة الرياح والطاقة الشمسية. ورغم أن إنتاج الكهرباء لم يتوقف فعلياً، إلا أن المهاجمين تمكنوا من تعطيل الاتصال بين هذه المنشآت ومشغلي أنظمة التوزيع (DSO)، وهو ما كان قد يؤدي إلى تأثيرات أوسع لو تم استغلاله بشكل مختلف.

كيف تم الاختراق؟

اعتمد المهاجمون على أجهزة FortiGate التي تعمل كبوابات VPN وجدران حماية على أطراف الشبكة. وكان من أبرز الثغرات التي استُغلت:

  • تعرض واجهات VPN مباشرة للانترنت.
  • استخدام حسابات بدون مصادقة متعددة العوامل (MFA).
  • إعادة استخدام كلمات المرور عبر عدة منشآت.
  • وجود أجهزة لم تُحدَّث وتحتوي على ثغرات تنفيذ أوامر عن بُعد (RCE).

بعد الحصول على صلاحيات إدارية، أعاد المهاجمون ضبط الأجهزة إلى إعدادات المصنع لمسح الأدلة وإعاقة جهود الاستعادة.

تدمير أجهزة التحكم الصناعية (OT)

كان الجانب الأخطر في في هذا النوع من الهجمات السيبرانية على قطاع الطاقة هو استهداف أنظمة التشغيل الصناعي (Operational Technology)، وهو أمر نادر نسبياً في مثل هذه الهجمات، مما أدى إلى أضرار منها:

تخريب وحدات التحكم RTU من Hitachi

تم حقن Firmware معدل إلى أجهزة RTU560، حيث أُدخلت تعديلات تؤدي إلى حلقة إعادة تشغيل مستمرة (Boot Loop)، ما عطّل الاتصال بالكامل. ومن الملاحظات التقنية المهمة بهذا الخصوص:

  • استخدام حساب افتراضي باسم “Default”.
  • تعطل ميزة التحقق من التوقيع الرقمي للبرمجيات.
  • استغلال ثغرة CVE-2024-2617 في منتج لتجاوز الحماية.

تدمير وحدات Mikronika عبر SSH

في بعض المواقع، استخدم المهاجمون بيانات اعتماد افتراضية للوصول عبر SSH وتنفيذ أوامر لحذف كامل ملفات النظام، مما أدى إلى توقف الأجهزة.

تعطيل أجهزة الحماية (Protection Relays)

تم استغلال حساب FTP افتراضي لحذف ملفات أساسية في أجهزة Hitachi Relion، مما جعلها غير قابلة لإعادة التشغيل.

الهجوم على محطة التوليد المشتركة (CHP)

مقارنة مع ما يحدث في الهجمات السيبرانية على قطاع الطاقة ، كان الهجوم على محطة CHP كان أكثر تعقيداً وامتداداً زمنياً، إذ بدأ التسلل منذ آذار-2025.

مراحل الهجوم

  1. الوصول الأولي عبر FortiGate VPN.
  2. تحرك جانبي (Lateral Movement) باستخدام RDP وأدوات Impacket.
  3. سرقة بيانات الاعتماد من LSASS.
  4. نسخ غير مشروع لقاعدة بيانات Active Directory (ملف ntds.dit).
  5. إنشاء تذاكر Kerberos مزورة (Diamond Ticket).
  6. توزيع برمجية Wiper عبر GPO.

لكن الخبر الجيد أن نظام EDR نجح في اكتشاف النشاط ومنع التنفيذ الكامل لعملية التدمير.

تحليل البرمجيات الخبيثة: DynoWiper و LazyWiper

DynoWiper

هي برمجية مكتوبة بلغة ++C، هدفها إتلاف البيانات بشكل غير قابل للاسترجاع.

  • تستخدم خوارزمية Mersenne Twister لتوليد بيانات عشوائية.
  • تكتب فوق أجزاء من الملفات بدل حذفها مباشرة.
  • تستثني مجلدات نظام محددة مثل: System32 ، Program Files

لا تحتوي على:

  • آلية استمرارية (Persistence)
  • اتصال بخادم تحكم (C2)
  • محاولة إخفاء من مضاد الفيروسات

LazyWiper

استهدف سكريبت PowerShell شركة صناعية، بحيث يكتب بيانات عشوائية فوق الملفات ذات الامتدادات الحساسة مثل:

  • .docx
  • .xlsx
  • .pdf
  • .sql
  • .pst
  • .exe

اللافت أن جزءاً من ذلك الكود يبدو مولداً باستخدام نموذج ذكاء اصطناعي، نظراً لأسلوب البرمجة والتعليقات غير المنطقية.

استهداف الخدمات السحابية Microsoft 365

بعد الحصول على بيانات اعتماد من البيئة المحلية، حاول المهاجمون الوصول إلى:

  • Exchange
  • SharePoint
  • Teams

وكان تركيزهم على ملفات تتعلق بتحديث شبكات OT وأنظمة SCADA، مما يشير إلى اهتمام استخباراتي طويل الأمد.

الهجمات السيبرانية على قطاع الطاقة – من المسؤول؟

تشير تحليلات البنية التحتية إلى تشابه مع أنشطة مجموعة قرصنة تُعرف باسم “Static Tundra”، والتي ارتبطت سابقاً بأسماء مثل:

  • Berserk Bear
  • Ghost Blizzard
  • Dragonfly

وهذه المجموعات معروفة باهتمامها بقطاع الطاقة. لكن التقرير يؤكد أنه لا توجد أدلة قاطعة تتيح تحميلها مسؤولية الهجوم بشكل حاسم.

كيف نعزز الأمن السيبراني في قطاع الطاقة العربي؟

يتضمن هذا الحادث السيبراني عدة دروس لأي مؤسسة تعمل في البنية التحتية:

  • تغيير الحسابات الافتراضية فوراً، حيث كان عدم بقاء بيانات الاعتماد تلك على حالها، عاملاً أساسياً في نجاح الهجوم.
  • فرض المصادقة متعددة العوامل (MFA) خصوصاً على أجهزة VPN والحلول الطرفية.
  • عزل شبكات IT عن OT. تقلل تجزئة الشبكات (Segmentation) من فرص التحرك الجانبي.
  • تفعيل التحقق الرقمي للـ Firmware والتأكد من تحديث الأجهزة بانتظام.
  • مراقبة نشاط Active Directory ورصد محاولات نسخ LSASS أو ntds.dit.
  • استخدام حلول EDR متقدمة التي أثبتت فعاليتها في إيقاف الهجوم في محطة CHP.

كلمة أخيرة

في عالم يعتمد بشكل متزايد على الرقمنة، يصبح الأمن السيبراني لقطاع الطاقة مسألة أمن قومي، وليس مجرد مسألة تقنية. يمثل الهجوم السيبراني على قطاع الطاقة في بولندا تصعيداً خطيراً في استهداف البنية التحتية الحيوية يؤكد أن الهجمات الحديثة لم تعد تركز على الفدية فقط، بل على التخريب وتعطيل الخدمات الأساسية.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *