هجمات سيبرانية منسقة تستهدف منشآت الطاقة والتدفئة في بولندا

كشفت تحقيقات فنية أجراها فريق الاستجابة لطوارئ الحاسب في بولندا (CERT Polska) عن تفاصيل هجمات سيبرانية منسقة استهدفت، في أواخر ديسمبر 2025، منشآت للطاقة المتجددة ومحطة لتوليد الكهرباء والتدفئة المركزية، بالإضافة إلى شركة صناعية كبرى.

وصنف التقرير النشاط بأنه تخريبي بحت، حيث خلا من أي دوافع لابتزاز مالي، مؤكداً أن الهجمات لم تسبب انقطاع التيار الكهربائي، لكنها تسببت في فقدان مؤقت للرؤية والتحكم عن بعد في نقاط ربط حيوية بالشبكة الوطنية.

مسارات الهجوم المنسق

توزعت العمليات التخريبية عبر 3 مسارات رئيسية، استهدفت البنية التحتية الحساسة كالتالي:

استهداف مزارع الرياح والطاقة الشمسية

طالت الهجمات ما لا يقل عن 30 منشأة، حيث ركز المهاجمون على المحطات الفرعية التي تربط هذه المزارع بشبكة التوزيع الرئيسية. وعبثوا بمكونات أنظمة التحكم الصناعي (ICS)، وهي الأنظمة المسؤولة عن إدارة المعدات المادية آلياً.

وشمل التخريب ما يلي:

• وحدات الطرفية البعيدة (RTU): وهي أجهزة تجمع البيانات من المعدات وترسلها لمركز التحكم.
• أجهزة الحماية (Protection Relays): مفاتيح أمان ذكية تفصل التيار في حال حدوث خلل لمنع الحرائق.
• واجهات التفاعل بين الإنسان والآلة (HMI): الشاشات التي تسمح للمشغلين بمراقبة سير العمل.
• خوادم الأجهزة التسلسلية (Serial Device Servers): أجهزة تربط المعدات القديمة بشبكات الإنترنت الحديثة.

تسبب ذلك في رفع برمجيات تالفة لإعطاب الأجهزة، وحذف ملفات التشغيل، ما أدى لانقطاع اتصال المواقع بمركز المراقبة الرئيسي.

محطة التوليد المشترك للكهرباء والتدفئة (CHP)

استهدف المهاجمون محطة تزود قرابة نصف مليون مستفيد بالتدفئة. وبدأ الهجوم بعمليات استطلاع دقيقة استمرت أشهراً لسرقة بيانات الوصول. 

استخدم المهاجمون دليل النشاط، وهو نظام يدير الهويات والصلاحيات في شبكات Windows، للوصول إلى صلاحيات إدارية عليا، ثم نشروا برمجية DynoWiper لمسح البيانات بشكل نهائي عبر كائنات نهج المجموعات (GPO)، وهي أداة إدارية تتيح تطبيق أوامر موحدة على جميع أجهزة الشبكة دفعة واحدة.

قطاع التصنيع والبرمجيات الخبيثة

أصيبت شركة تصنيع خاصة عبر استغلال جهاز Fortinet كان مكشوفاً مسبقاً في منتديات إجرامية. استخدم المهاجمون سكربت PowerShell يسمى LazyWiper لتدمير بيانات الأعمال. وأشار التقرير إلى أن الكود المستخدم في التدمير ربما تمت صياغته بواسطة نماذج لغوية كبرى (LLM).

ثغرة الدخول: الباب المفتوح

أجمع المحققون على أن ثغرة الدخول في الحالات الثلاث كانت متشابهة، وتلخصت في الآتي:

• الشبكات الافتراضية الخاصة (VPN) المكشوفة: استخدم المهاجمون أجهزة FortiGate المهيأة كبوابات دخول عن بعد، وكانت هذه الواجهات متاحة مباشرة عبر الإنترنت العام.
• غياب المصادقة الثنائية (MFA): سمحت الأنظمة بالدخول بمجرد كتابة اسم المستخدم وكلمة المرور، دون طلب رمز تأكيد إضافي، ما جعل اختراق الحسابات أمراً يسيراً.

المسؤولية والارتباطات الجيوسياسية

أفادت رئاسة الوزراء البولندية بأن البلاد نجحت في احتواء الأثر دون حدوث انقطاع شامل للكهرباء. ونسب التقرير العمليات إلى مجموعات تهديد مرتبطة بروسيا، تُعرف في الأوساط الأمنية بأسماء مثل Static Tundra وBerserk Bear وGhost Blizzard.