- لماذا تُعد برامج "الماسح" السلاح المفضل في هجمات "العمل الزائد"؟
- دليل الاستراتيجيات المكون من أربع مراحل الذي تستخدمه برامج الويبر الخبيثة
- كيف تبدو هجمات "وايبر" في بيئات تكنولوجيا التشغيل (OT) في الواقع؟
- لماذا تبدأ كل هجمة من نوع "Wiper" بعبور ملف لحدود الثقة؟
- أحدث هجوم إلكتروني على قطاع الطاقة في فنزويلا
- عينات ومؤشرات المساحات المشار إليها في هذا التحليل
- أوقف هجمات برامج الويبر قبل تنفيذها
في مدونتنا السابقة، قمنا بتحليل الهجمات الإلكترونية الكبرى التي استهدفت أنظمة التحكم الصناعية (ICS) والتكنولوجيا التشغيلية (OT) في الفترة من عام 2024 وحتى أوائل عام 2026. وقد برز نمط واحد بشكل واضح: فقد أصبحت برامج "المسح" (wipers) السلاح المفضل للجهات الفاعلة المدعومة من الدول التي تستهدف بيئات التكنولوجيا التشغيلية. وقد أثرت ست حملات منفصلة لاستخدام برامج "المسح" على القطاعات الصناعية في الفترة 2024-2025، بما في ذلك شبكات الكهرباء وأنظمة المياه والرعاية الصحية والتصنيع في جميع أنحاء العالم.
يتناول هذا المقال هذا الاتجاه بالتفصيل. فهو يشرح أسباب فعالية برامج "الويبر" في بيئات OT، ويستعرض ثلاث حوادث وقعت بالفعل، ويحدد نمط الهجوم المتكرر الكامن وراءها. وأثناء كتابة هذا المقال، ظهر مثال آخر؛ فقد استهدفت تهديدات "لوتس ويبر" (Lotus Wiper)، التي تم الإبلاغ عنها مؤخرًا، قطاع الطاقة في فنزويلا. وقد أُدرجت هذه الحالة في القسم الأخير.
لماذا تُعد برامج "الماسح" السلاح المفضل في هجمات "العمل الزائد"؟
صُممت برامج المسح لتدمير البيانات، وهو ما يجعلها تختلف جذريًا عن برامج الفدية. ونظرًا لأنها لا تتيح الابتزاز، فإنها لا تُعد أداة مفيدة للجهات الخبيثة التي لا تهتم سوى بتحقيق مكاسب مالية. بل إنها فعالة للغاية بالنسبة للجهات التي تهدف إلى إحداث اضطراب أو أضرار، لا سيما عندما تسعى إلى ترجمة العمليات السيبرانية إلى تأثيرات ملموسة في العالم الواقعي مع الحفاظ على درجة عالية من إخفاء الهوية. ولهذا السبب، غالبًا ما ترتبط برامج المسح بالأنشطة التي ترعاها الدول.
في بيئات تكنولوجيا المعلومات التقليدية، تعمل برامج الحذف في المقام الأول على إتلاف الملفات. ورغم أن ذلك قد يتسبب في اضطراب شديد، إلا أن التأثير غالبًا ما يمكن إصلاحه في حال وجود نسخ احتياطية موثوقة. غير أن الوضع يختلف في بيئات تكنولوجيا التشغيل (OT) وأنظمة التحكم الصناعية (ICS). فالأنظمة مثل خوادم SCADA ومحطات العمل الهندسية وشاشات HMI لا تقتصر على تخزين البيانات فحسب، بل تتحكم في العمليات المادية وتراقبها بشكل فعال. وعندما يتم تدمير البيانات الموجودة على هذه الأنظمة، يفقد المشغلون الرؤية والتحكم في العمليات، مما يجعلهم عمليًا غير قادرين على رؤية ما يحدث على أرض الواقع.
وهنا تكمن خطورة برامج المسح بشكل خاص، فهي قادرة على ربط الصلة بين الهجمات الإلكترونية والعواقب المادية. ونظرًا لهذه القدرة، غالبًا ما تلجأ الجهات الفاعلة المدعومة من الدول إلى استخدام برامج المسح. وغالبًا ما يُلاحظ استخدامها في المناطق التي تشهد نزاعات مسلحة أو توترات جيوسياسية متصاعدة، حيث يكون الهدف الأساسي هو إحداث الاضطراب.
دليل الاستراتيجيات المكون من أربع مراحل الذي تستخدمه برامج الويبر الخبيثة
كل برنامج مسح تم تحليله، بغض النظر عن اللغة أو النظام الأساسي أو درجة تعقيده، يتبع نفس النمط الأساسي. ويُعد فهم هذه المراحل نقطة انطلاق عملية للدفاع ضد هجمات برامج المسح.
المرحلة 1: التهيئة
يقوم برنامج المسح بإعداد حمولته التلفية، وعادةً ما يتم ذلك عن طريق إنشاء بيانات شبه عشوائية باستخدام مولد أرقام عشوائية شائع. وتجعل البيانات العشوائية عملية الاستعادة الجنائية أكثر صعوبة مقارنة بالكتابة فوق البيانات بالأصفار.
المرحلة الثانية: الاستكشاف
يقوم برنامج wiper بتحديد كل ما يمكنه تدميره من خلال حصر محركات الأقراص ووحدات التخزين والدلائل والملفات.
المرحلة الثالثة: التدمير
يقوم برنامج المسح بفتح كل ملف، وإزالة خصائص الحماية، ثم الكتابة فوقه ببيانات عشوائية. كما يقوم بعض البرامج بحذف الملفات بعد ذلك. بينما يستهدف البعض الآخر سجل التمهيد الرئيسي (MBR) أو جدول الملفات الرئيسي (MFT)، مما يجعل القرص بأكمله غير قابل للقراءة.
المرحلة الرابعة: منع الاستعادة
تؤدي إعادة التشغيل القسرية إلى تثبيت الأضرار. يقوم برنامج الحذف برفع مستوى الصلاحيات، والحصول على حقوق إيقاف التشغيل، وإعادة تشغيل النظام. وعندما يعود النظام إلى العمل، إن عاد، لن يتبقى شيء يمكن استعادته.
يطبق القسم التالي دليل الإجراءات هذا على حوادث واقعية.
كيف تبدو هجمات "وايبر" في بيئات تكنولوجيا التشغيل (OT) في الواقع؟
DynoWiper — شبكة الكهرباء البولندية
الجهات الفاعلة: Sandworm/ELECTRUM (GRU)
الهدف: بولندا، قطاع الطاقة (موارد الطاقة الموزعة)
طريقة التوصيل: ملف تنفيذي لنظام ويندوز (ملف ثنائي PE) تم توصيله عبر شبكة تم اختراقها
في ديسمبر 2025، استهدفت «ساندورم»، وهي الوحدة الأكثر كفاءة في جهاز الاستخبارات العسكرية الروسية (GRU) والمتخصصة في أنظمة التحكم الصناعية (ICS)، البنية التحتية الكهربائية في بولندا باستخدام برنامج «داينوويبر». ووفقًا لشركة «دراغوس»، كان هذا أول هجوم إلكتروني منسق يستهدف موارد الطاقة الموزعة (DER) على نطاق واسع.
تأثر ما يقرب من 30 موقعًا، بما في ذلك محطات توليد الطاقة الحرارية والكهربائية، ومزارع الرياح، وأنظمة توزيع الطاقة الشمسية. وعلى عكس الهجمات السابقة التي ركزت على محطات الطاقة المركزية، استهدفت هذه العملية منشآت أصغر حجمًا وموزعة تتوسع بسرعة في أسواق الطاقة الحديثة. كما أن هذه المنشآت عادةً ما تكون أقل حماية.
قد يكون الهجوم قد أثر على ما يصل إلى 500,000 من السكان. وقد صرح رئيس وزراء بولندا بأن شبكة النقل لم تكن معرضة للخطر، لكن المهاجمين تمكنوا من الوصول إلى أنظمة التشغيل التشغيلي (OT) وأدى ذلك إلى تعطيل بعض المعدات بشكل دائم. وقد اتبعت أداة «DynoWiper» خطة العمل المكونة من أربع مراحل بدقة: إنشاء حمولة شبه عشوائية، وتحديد محركات الأقراص، والكتابة فوق الملفات، وإعادة التشغيل القسري. وقد تم تنفيذها كملف ثنائي مُجمَّع مصمم للتدمير المنهجي.
PathWiper — البنية التحتية الحيوية لأوكرانيا
الجهة الفاعلة: Russia-nexus (وحدة غير محددة)
الهدف: أوكرانيا، البنية التحتية الحيوية (قطاعات متعددة)
طريقة التوصيل: أداة توزيع VBScript مقترنة بملف قابل للتنفيذ
تم استخدام برنامج «PathWiper» ضد البنية التحتية الحيوية الأوكرانية من قِبل جهة لها صلة بروسيا، وذلك في إطار حملة إلكترونية مستمرة في ظل الحرب. وفي حين استهدف برنامج «DynoWiper» قطاعًا محددًا، استهدف برنامج «PathWiper» البنية التحتية الحيوية على نطاق أوسع، مما أثر على العديد من الخدمات الأساسية الخدمات النزاع الدائر.
ما يميزه هو شمولية عملية التدمير. فبرنامج PathWiper لا يكتفي بمحو الملفات فحسب، بل يدمر وحدة التخزين المحلية على مستوى وحدة التخزين. وفي حالة الحرب الفعلية، الخدمات مسح الأنظمة التي تدير الخدمات الأساسية الخدمات عواقب تتجاوز مجرد فقدان البيانات.
تنطبق المراحل الأربع نفسها، لكن برنامج PathWiper يذهب في مرحلة التدمير إلى أبعد مما تفعله معظم البرامج الأخرى. فمن خلال استهداف وحدة التخزين بأكملها بدلاً من الملفات الفردية، يضمن البرنامج أن يكون حتى الاسترداد الجنائي الجزئي مستحيلاً فعلياً. والهدف هو المحو التام، ليس للبيانات فحسب، بل لقدرة النظام على العمل أيضاً.
LazyWiper — قطاع التصنيع في بولندا
الجهات الفاعلة: Sandworm/ELECTRUM (GRU)
الهدف: بولندا، قطاع التصنيع
طريقة التنفيذ: نص برمجي لـ PowerShell يتم توزيعه عبر كائنات سياسة المجموعة (GPO)
لم تكن حملة «LazyWiper» حملة مستقلة. فقد وقعت في نفس اليوم الذي وقعت فيه حملة «DynoWiper»، أي في 29 ديسمبر 2025، كجزء من العملية المنسقة نفسها. ومع ذلك، فقد استهدفت شركة تصنيع، ووصفتها «CERT Polska» بأنها حملة انتهازية. فقد حدد المهاجمون نقطة دخول مكشوفة واستغلوها.
كانت نقطة الدخول تلك عبارة عن جهاز من طراز Fortinet سُرقت إعداداته ونُشرت على أحد المنتديات الإجرامية. استخدم المهاجمون بيانات الاعتماد المسربة لإنشاء وصول دائم، وانتقلوا أفقياً إلى امتيازات مسؤول المجال، ودفعوا LazyWiper إلى كل جهاز عبر GPO. على عكس الملف الثنائي المُجمَّع لـ DynoWiper، فإن LazyWiper هو برنامج نصي لـ PowerShell. وهو يعطل Defender، ويستخدم أدوات إدارة Windows المدمجة أدوات جميع محركات الأقراص، ويعيد تسمية الملفات بأسماء عشوائية مكونة من أربعة أحرف، ويستبدلها ببيانات شبه عشوائية.
هناك تفصيل واحد يجعل هذه الحالة جديرة بالملاحظة بشكل خاص. فقد خلصت CERT Polska إلى أن أجزاءً من كود الكتابة فوق الملفات قد تم إنشاؤها على الأرجح بواسطة نموذج لغوي ضخم، مما يشير إلى تطوير برامج ضارة بمساعدة الذكاء الاصطناعي في بيئة حقيقية. وإذا افترض المدافعون أن برامج المسح ستظهر دائمًا في شكل برامج ضارة مجمعة تقليدية، فإن LazyWiper تسلط الضوء على ضرورة أخذ التهديدات القائمة على البرامج النصية والمولدة ديناميكيًا في الحسبان.
لماذا تبدأ كل هجمة من نوع "Wiper" بعبور ملف لحدود الثقة؟
تشترك كل حادثة وردت في هذا المدونة، وكل حادثة وردت في التقرير السابق عن المشهد التهديدي، في عامل واحد ثابت: وهو تجاوز ملف لحدود الثقة. تختلف التنسيقات وطرق التوصيل، لكن النمط واحد.
- DynoWiper: ملف تنفيذي لنظام ويندوز يتم توزيعه عبر شبكة مخترقة
- PathWiper: أداة توزيع VBScript مقترنة بملف قابل للتنفيذ
- LazyWiper: نص برمجي لـ PowerShell يتم توزيعه عبر GPO
Sandbox منصة " Adaptive Sandbox OPSWATSandbox كل ملف عند كل حدود الثقة قبل وصوله إلى محطة عمل المهندسين، وقبل تفاعله مع نظام SCADA، وقبل انتقاله من مجال تكنولوجيا المعلومات إلى مجال تكنولوجيا التشغيل. ولا تعتمد هذه المنصة على رصد السلوك التدميري، بل تعمل على تحديد القدرات الخبيثة في بيئة خاضعة للرقابة قبل اعتبار الملف موثوقًا به.
إذا كنت تعمل في مجال الطاقة أو المياه أو التصنيع أو الرعاية الصحية أو القطاع الحكومي، فإن المخترقين يُعدون جزءًا من نموذج التهديدات الخاص بك، سواء تم أخذهم في الحسبان صراحةً أم لا.
ستتطور برامج المسح مع ظهور لغات وطرق توصيل وأهداف جديدة، لكن النمط يظل ثابتًا. يجب أن يصل الملف إلى النظام ويتم تنفيذه. وقد ظل هذا الأمر صحيحًا منذ ظهور فيروس «ستوكسنت» في عام 2010 وحتى ظهور «داينووايبر» في عام 2025. ويُعد فحص الملف قبل عبوره الحدود إجراءً وقائيًا ينطبق على جميع برامج المسح والجهات الفاعلة والقطاعات.
أحدث هجوم إلكتروني على قطاع الطاقة في فنزويلا
في الوقت الذي كان يجري فيه وضع اللمسات الأخيرة على هذا المقال، في 21 أبريل، أبلغت مجموعة كاسبرسكي GReAT عن ظهور فيروس محو بيانات لم يكن معروفًا من قبل، يُدعى «Lotus Wiper»، يستهدف قطاع الطاقة والمرافق العامة في فنزويلا.
الهجوم يتم بشكل منهجي. حيث يعمل نصان برمجيان على عزل الجهاز أولاً عن طريق الخدمات، وإيقاف واجهات الشبكة، وإنهاء جلسات العمل. ثم يقومان بمسح أقراص التخزين، والكتابة فوق المجلدات، وملء المساحة المتبقية على وحدة التخزين. ولا يتم تنفيذ الحمولة النهائية إلا بعد الانتهاء من هذه الخطوات.
يتم إخفاء برنامج المسح هذا على أنه أحد مكونات برامج المؤسسات الشرعية، ويتم توزيعه في شكل مشفر ثم يتم فك تشفيره عند التشغيل. وبمجرد تفعيله، يصبح النظام غير قابل للتمهيد، ولا يمكن استعادة أي بيانات منه. ولا يوجد أي طلب فدية ولا ما يشير إلى تسريب البيانات بهدف تحقيق مكاسب مالية. وعلى غرار برامج المسح الأخرى التي تمت مناقشتها في هذا المقال، صُمم برنامج Lotus Wiper لغرض التدمير.
يتكرر هذا النمط مرة أخرى في الوقت الفعلي. حيث يعبر الملف حدود الثقة، ويتم تنفيذه، ثم يدمر كل ما يمكنه الوصول إليه. ويُعد الفحص على مستوى الملف قبل فك تشفير الحمولة الفرصة الأولى لاعتراضه.
عينات ومؤشرات المساحات المشار إليها في هذا التحليل
المساحة | نوع | الهدف | ممثل | هاش / مؤشر |
DynoWiper | Windows PE | بولندا، الطاقة | ساندورم/إلكتروم (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | أوكرانيا، البنية التحتية الحيوية | الصلة بروسيا | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | بولندا، الصناعة التحويلية | ساندورم/إلكتروم (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
ماسحة لوتس | Windows PE | فنزويلا، الطاقة والمرافق العامة | مجهول (لأسباب جيوسياسية) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
أوقف هجمات برامج الويبر قبل تنفيذها
تتبع هجمات "وايبر" نمطًا ثابتًا عبر مختلف البيئات والقطاعات والجهات المهددة. وبغض النظر عن طريقة تنفيذها أو اللغة المستخدمة فيها، فإنها تعتمد على نفس التسلسل: حيث يعبر ملف ما حدود الثقة، ثم يتم تنفيذه، ويقوم بتدمير بيانات النظام.
يؤدي هذا الاتساق إلى إتاحة فرصة دفاعية واضحة. ولا يزال تحديد الملفات وتحليلها قبل اعتبارها موثوقة من أكثر الطرق فعالية لوقف برامج الحذف قبل أن تتمكن من إحداث أي ضرر.
يطبق MetaDefender نهجًا متعدد المستويات لمعالجة هذه المشكلة. فهو يجمع بين تحليل السمعة في الوقت الفعلي، وتقنية العزل المتقدمة، والارتباط السلوكي للكشف عن التهديدات المجهولة والمتهربة قبل تنفيذها. ويكشف تحليله القائم على المحاكاة الحمولات الخفية، ويفك ضغط البرامج الضارة متعددة المراحل، ويحدد مؤشرات الاختراق دون الاعتماد على التوقيعات.
بالنسبة للمؤسسات التي تدير بنى تحتية حيوية، يتيح هذا النهج الكشف المبكر عن الهجمات في مرحلة بدايتها، قبل أن يصل الاضطراب إلى أنظمة التكنولوجيا التشغيلية (OT). لفهم كيفية تطبيق ذلك على بيئتك، اتصل بأحد OPSWAT لمناقشة MetaDefender .
- MetaDefender Aether ،
- تحليل التهديدات
