في ديسمبر الماضي، تعرضت بولندا لهجوم إلكتروني مدمر على شبكة الطاقة، مما أثار قلقًا واسعًا حول الأمن السيبراني في المنطقة.
تمت نسبة الهجوم الإلكتروني المدمر الذي استهدف شبكة الطاقة في بولندا الشهر الماضي إلى مجموعة التهديد المستمر المتقدمة الروسية المعروفة باسم Sandworm.
استهدفت بولندا الشهر الماضي هجومًا مدمرًا على شبكة الطاقة، حيث وصف وزير الطاقة ميشيل موتيكا الهجوم بأنه من بين الأقوى التي شهدتها البلاد منذ سنوات. في 29 و30 ديسمبر، استهدف المهاجمون مصنعين لتوليد الطاقة بالحرارة المدمجة، بالإضافة إلى “نظام يمكّن من إدارة الكهرباء المولدة من المصادر المتجددة، أي مصادر الطاقة المتجددة مثل توربينات الرياح ومزارع الطاقة الشمسية”، وفقًا لإعلان على موقع رئيس الوزراء دونالد توسك.
وأضاف الإعلان أن الهجوم فشل وأنه “لم يكن هناك انقطاع في التيار الكهربائي أو أي عواقب سلبية أخرى”. على الرغم من أن توسك لم يذكر Sandworm في الإعلان بتاريخ 15 يناير، إلا أنه أشار إلى الحكومة الروسية كطرف محتمل مسؤول.
نسب الباحثون من شركة ESET للأمن السيبراني الهجوم في 23 يناير إلى مجموعة التهديد الروسية الشهيرة بثقة متوسطة. وبالمثل، ذكرت ESET في منشورها على المدونة أنها “لم تكن على علم بأي تعطيل ناجح نتيجة لهذا الهجوم”.
ومع ذلك، فإن أي عمل هجومي محتمل في الفضاء السيبراني بين الدول يعتبر ملحوظًا. بينما تبقى دوافع الهجوم الروسي ضد بولندا غير واضحة، فإن بولندا هي دولة عضو في الناتو وكذلك حليف استراتيجي لأوكرانيا. لدى روسيا تاريخ في استهداف الدول المتحالفة مع أوكرانيا منذ بدء غزوها للأخيرة قبل بضع سنوات؛ كما استهدفت روسيا بولندا في هجمات إلكترونية مؤخرًا في الصيف الماضي.
فيما يتعلق بالهجوم الذي حدث في ديسمبر، رأت ESET ما وصفته بأنه “تداخل قوي مع العديد من أنشطة Sandworm السابقة التي قمنا بتحليلها”، بناءً على البرمجيات الخبيثة الملاحظة، فضلاً عن التكتيكات والتقنيات والإجراءات.
“لدى Sandworm تاريخ طويل من الهجمات الإلكترونية المدمرة، خاصة على البنية التحتية الحيوية في أوكرانيا”، قرأت مدونة ESET. “بينما الهجوم على شبكة الطاقة في بولندا في الأسبوع الأخير من ديسمبر شمل برمجيات خبيثة تمسح البيانات والتي قامت ESET الآن بتحليلها وتسميتها DynoWiper. وتقوم حلول الأمان من ESET بالكشف عن DynoWiper كـ Win32/KillFiles.NMO.”
ماضي Sandworm المدمر
تعتبر Sandworm مجموعة APT سيئة السمعة، حيث تم نسب العديد من الهجمات الإلكترونية الأكثر شهرة على مر الزمن إليها. في عام 2015، استخدمت برمجيات BlackEnergy لتعطيل شبكة الطاقة في أوكرانيا وترك مئات الآلاف بدون كهرباء لعدة ساعات. لاحظ باحثو ESET أن هذا الهجوم الأخير ضد بولندا حدث في الذكرى العاشرة لهجوم BlackEnergy.
في عام 2017، استهدفت Sandworm منظمات في أوكرانيا وأكثر من 60 دولة أخرى باستخدام NotPetya، وهي برمجيات خبيثة مدمرة تمسح البيانات تستند إلى برمجيات Petya الفدية.
تزايدت الأنشطة التهديدية مرة أخرى بعد غزو روسيا لأوكرانيا في أوائل عام 2022. أطلقت Sandworm هجمات منتظمة تمسح البيانات ضد أوكرانيا سواء في بداية الغزو أو مؤخرًا. وفقًا لتقرير ESET من سبتمبر، استهدفت Sandworm منظمات حكومية وأخرى في قطاعات الطاقة واللوجستيات والحبوب الأوكرانية خلال الصيف بهجمات تمسح البيانات. لاحظ الباحثون في ذلك الوقت، “نظرًا لأن تصدير الحبوب يبقى أحد المصادر الرئيسية للإيرادات في أوكرانيا، فإن هذا الاستهداف يعكس على الأرجح محاولة لإضعاف اقتصاد الحرب في البلاد.”
على الرغم من أن Sandworm قد تم نسبها إلى أنشطة تتعلق بالتجسس في الماضي، إلا أنها معروفة أكثر كقوة للتدمير والاضطراب بما يتماشى مع الأهداف الجيوسياسية الروسية. بالإضافة إلى البرمجيات الخبيثة المذكورة أعلاه، تم رصد Sandworm أيضًا مع سلالات أخرى من البرمجيات الخبيثة مثل Industroyer (المعروفة أيضًا باسم CrashOverride). كانت Industroyer، التي استخدمت أيضًا ضد أوكرانيا، واحدة من الحالات الأكثر بروزًا للبرمجيات الخبيثة التي تركز على أنظمة التحكم الصناعية/التكنولوجيا التشغيلية التي تم ملاحظتها منذ Stuxnet.
دخلت DynoWiper، البرمجيات الخبيثة المستخدمة في الهجوم ضد بولندا الشهر الماضي. لم يقدم باحثو ESET تفاصيل تقنية بشأن برمجيات DynoWiper التي تبدو جديدة؛ وقد تواصلت Dark Reading للحصول على مزيد من المعلومات.
تظل التهديدات السيبرانية من روسيا مستمرة، مما يتطلب يقظة متزايدة من الدول المتأثرة لضمان سلامة بنيتها التحتية الحيوية.
