تتسارع هجمات ICS/OT مع اشتداد أنشطة التهديدات
خلال العامين الماضيين، تحولت الهجمات الموجهة ضد أنظمة التحكم الصناعية والتكنولوجيا التشغيلية من مجرد مخاطر نظرية إلى حقيقة واقعة. فلم تعد الدول القومية تكتفي بوضع خطط مسبقة داخل البنية التحتية الحيوية، بل أصبحت تنفذها فعليًا. وقد تجاوزت برامج «المسح» برامج «الفدية» لتصبح السلاح المفضل للجهات الفاعلة المدعومة من الدول التي تستهدف بيئات التكنولوجيا التشغيلية. وهناك نمط واحد يربط بين كل الحوادث الكبرى تقريبًا: وهو تجاوز ملف ضار لحدود الثقة التي لم يكن أحد يراقبها.
تستعرض هذه المقالة المشهد العام للتهديدات التي تواجه أنظمة التحكم الصناعية (ICS) وتكنولوجيا التشغيل (OT) في الفترة الممتدة من عام 2024 وحتى أوائل عام 2026، ليس كقائمة بأسماء الهجمات المتقدمة المستمرة (APT) وأرقام الثغرات الأمنية (CVE)، بل كقصة متكاملة. نبدأ بإلقاء نظرة عامة على الصورة الكلية: ماذا حدث ومتى. ثم ننظر إلى من يقف وراء ذلك، وكيف نفذوا الهجوم، وأخيرًا، نحلل حادثة واحدة بالتفصيل لإظهار الشكل الداخلي لهجوم "المسح" (wiper) الحديث الذي يستهدف أنظمة التحكم الصناعية.
أرقام رئيسية
- في عام 2025، استهدفت 119 مجموعة من مجموعات برامج الفدية بنشاط بيئات التكنولوجيا التشغيلية، بزيادة قدرها 49% مقارنة بـ 80 مجموعة في عام 2024
- كان أكثر من ثلثي ضحايا برامج الفدية التي تستهدف أنظمة التشغيل (OT) من الشركات الصناعية، وهو القطاع الأكثر استهدافًا على الإطلاق
- ظل فيروس «فولت تايفون» يعمل دون أن يُكتشف داخل شبكة التشغيل (OT) لإحدى شركات الكهرباء الأمريكية لأكثر من 300 يوم
- استهدفت ست حملات إزالة برمجيات خبيثة أنظمة التحكم الصناعية (ICS) والبنية التحتية التشغيلية (OT) في الفترة 2024-2025 وحدها، وهو عدد يفوق ما سُجل في أي فترة مماثلة
نظرة عامة على الجدول الزمني لحوادث أنظمة التحكم في العمليات (ICS) وعمليات التشغيل (OT)
قبل تحليل الجهات التي تقف وراء هذه الهجمات أو كيفية عملها، من المفيد وضعها في سياق زمني. يوضح الجدول أدناه كل حادثة مهمة تتعلق بأنظمة التحكم الصناعية (ICS) أو البنية التحتية التشغيلية (OT) خلال هذه الفترة — مصنفة حسب القطاع والجهات المهددة والموقع الجغرافي — حتى تتمكن من تكوين فكرة عامة قبل التعمق في الموضوع.
تاريخ | حادث | القطاع | ممثل | الجغرافيا |
أبريل 2026 | مجموعة هجمات متطورة إيرانية تستغل أجهزة التحكم المنطقية القابلة للبرمجة (PLC) من شركة روكويل — مما يؤدي إلى تعطيل العمليات في البنية التحتية الحيوية الأمريكية | الطاقة والمياه والحكومة | مجموعة IRGC-CEC / CyberAv3ngers | الولايات المتحدة الأمريكية |
مارس 2026 | برنامج "هاندالا" يقطع اتصال أجهزة "سترايكر" بالإنترنت — يُزعم محو بيانات أكثر من 200 ألف جهاز في 79 دولة | الرعاية الصحية | هاندالا / مانتيكور الفراغ (MOIS) | عالمي (79 دولة) |
2025 | تستهدف شركة DynoWiper شبكة الكهرباء البولندية ومصادر الطاقة المتجددة الموزعة | الطاقة | ساندورم / إلكتروم (GRU) | بولندا (حلف شمال الأطلسي) |
2025 | استخدام برنامج «PathWiper» في هجوم على البنية التحتية الحيوية الأوكرانية | البنية التحتية الحيوية | الصلة بروسيا | أوكرانيا |
2025 | حملة "بوكسيت" / "بلووايب-سيويرغو" للمساحات | تخزين الطاقة | البوكسيت (الحرس الثوري الإيراني - اللجنة التنفيذية المركزية) | إسرائيل |
2025 | يستهدف برنامج "PYROXENE" المؤسسات الحكومية والبنى التحتية الحيوية | البنية التحتية الحيوية الحكومية | بيروكسين (الحرس الثوري الإيراني - اللجنة التنفيذية المركزية / APT35) | إسرائيل، ألبانيا |
2025 | تسلل إلى سلسلة التوريد الخاصة بـ SYLVANITE → VOLTZITE | الطاقة والمياه | مرتبطة بالدولة الصينية | الولايات المتحدة الأمريكية |
2025 | شركة «كاماسيت» تستطلع أهدافًا صناعية في الولايات المتحدة | التصنيع | روسيا (مرتبطة بجهاز الاستخبارات العسكرية الروسية) | الولايات المتحدة الأمريكية |
2025 | شركة Z-PENTEST تخترق واجهة المستخدم البشرية (HMI) لسد نرويجي | المياه/السدود | Z-PENTEST (المؤيدة لروسيا) | النرويج |
يناير 2024 | تقوم شركة FrostyGoop بتعطيل نظام التدفئة المركزية في مدينة لفيف عبر بروتوكول Modbus TCP | الطاقة/التدفئة | مرتبطة بروسيا | أوكرانيا |
2024 | فولت تايفون / فولتزايت — أكثر من 300 يوم داخل شبكة الكهرباء الأمريكية | الطاقة والمياه | جمهورية الصين الشعبية (فولت تايفون) | الولايات المتحدة الأمريكية |
2024 | برنامج AcidPour يستهدف البنية التحتية للاتصالات في أوكرانيا | الاتصالات | ساندورم (GRU) | أوكرانيا |
2024 | "ساندورم سبرينغ" — هجوم على سلسلة التوريد في قطاعي الطاقة والمياه | الطاقة والمياه | ساندورم (GRU) | أوكرانيا |
أغسطس 2024 | شركة «هاليبرتون» تتعرض لهجوم من «رانسوم هاب» — خسائر بقيمة 35 مليون دولار | النفط والغاز | رانسوم هاب | الولايات المتحدة الأمريكية |
2024 | فوكسنت تدمر البنية التحتية لأجهزة الاستشعار التابعة لمرافق موسكو | المرافق | بلاك جاك (مرتبط بأوكرانيا) | روسيا |
سبتمبر 2024 | فيروس الفدية الذي استهدف محطة معالجة المياه في أركنساس سيتي بولاية كانساس | المياه | فيروس الفدية «هازارد» | الولايات المتحدة الأمريكية |
2023–2024 | CyberAv3ngers / IOCONTROL — اختراق أكثر من 75 جهازًا في منشآت مياه بالولايات المتحدة | المياه | الحرس الثوري الإيراني (إيران) | الولايات المتحدة، إسرائيل |
يناير 2024 | تدفق مياه خزان في مولشو، تكساس، عبر واجهة HMI مكشوفة | المياه | جيش_روسيا_السيبراني_المُجدد | الولايات المتحدة الأمريكية |
تزايد حملات "وايبر" وتوسيع نطاق أهداف "أوت"
تتسارع وتيرة الأحداث. فقد شهد عام 2025 وحده حملات إزالة بيانات أكثر وضوحًا استهدفت أنظمة التحكم الصناعية (ICS) والبنية التحتية التشغيلية (OT) أكثر من أي عام سابق. كما اتسع نطاق الانتشار الجغرافي، حيث تجاوز مسرح العمليات بين أوكرانيا وروسيا ليشمل دولًا أعضاء في حلف الناتو مثل بولندا، وأوروبا الغربية بما في ذلك النرويج، والشرق الأوسط بما في ذلك إسرائيل. كما توسع نطاق القطاعات المستهدفة ليتجاوز قطاعي الطاقة والمياه ليشمل قطاعات الرعاية الصحية والاتصالات والتصنيع.
تستهدف هذه الهجمات بلدانًا وقطاعات وضحايا مختلفين — لكنها تبدأ جميعها بنفس الطريقة: بملف تمكن من التسلل دون أن يلاحظه أحد. ما عليك سوى تشغيل ملف واحد منها لتدرك على الفور أنه مصمم للتدمير.
الدول القومية والجماعات الناشطة في مجال القرصنة Drive هجمات Drive
الجدول الزمني أعلاه حافل بالأحداث، لكنه ليس عشوائياً. فالحوادث تتركز حول عدد قليل من المجموعات الفاعلة، لكل منها دوافعها وقدراتها وأهدافها المفضلة.
روسيا — لا تزال المصدر الأكبر للتهديدات التي تستهدف أنظمة التحكم الصناعية
تستحوذ الجهات المرتبطة بروسيا على الحصة الأكبر من الأنشطة التي تستهدف أنظمة التحكم الصناعية (ICS) خلال هذه الفترة، حيث تعمل من خلال مجموعات متعددة تضطلع بأدوار مختلفة.
لا تزال مجموعة «ساندورم» (إلكتروم) أقوى جهة معادية في العالم تركز على أنظمة التحكم الصناعية (ICS). فقد استهدفت حملتها التي شُنت في ديسمبر 2025 ضد شبكة الكهرباء البولندية ما يقرب من 30 موقعًا للطاقة الموزعة، بما في ذلك منشآت توليد الطاقة الحرارية والكهربائية وأنظمة توزيع الطاقة المتجددة مثل طاقة الرياح والطاقة الشمسية. وقد شكّل هذا أول هجوم إلكتروني منسق كبير يستهدف موارد الطاقة الموزعة على نطاق واسع.
كان برنامج «DynoWiper» الخبيث الذي استُخدم في ذلك الهجوم عبارة عن برنامج محو يعمل على بيئة Windows PE، وقد استُخدم ضد البنية التحتية للطاقة. وقد أدى هذا البرنامج إلى مسح الأجهزة التي تعمل بنظام Windows في مواقع موارد الطاقة الموزعة (DER)، كما تسبب في تعطيل بعض معدات التكنولوجيا التشغيلية (OT) وأنظمة التحكم الصناعية (ICS) بشكل لا يمكن إصلاحه. ورغم عدم حدوث انقطاع في التيار الكهربائي، فقد تمكن المهاجمون من الوصول إلى أنظمة التكنولوجيا التشغيلية الحيوية لعمليات الشبكة.
وفي وقت سابق، استهدفت حملتهم المسماة «PathWiper» البنية التحتية الحيوية الأوكرانية باستخدام أداة «dropper» تعمل بلغة VBScript مقترنة ببرنامج «wiper» بتنسيق PE، يعمل على تدمير قطاعات MBR و MFT الملفات الموجودة على جميع محركات الأقراص. وفي عام 2024، استخدموا برنامج «AcidPour»، وهو برنامج «wiper» بتنسيق ELF يعمل على نظام لينكس، ضد البنية التحتية للاتصالات الأوكرانية، كما نظموا هجوماً على سلسلة التوريد استهدف أنظمة الطاقة والمياه.
يعمل نظام «كاماسيت» (KAMACITE) كطبقة بنية تحتية تمكينية. وفي عام 2025، لوحظ أن هذه المجموعة المرتبطة بـ«جهاز الاستخبارات العسكرية الروسية» (GRU) كانت تجري عمليات مسح استطلاعية لأهداف صناعية أمريكية، وهو ما يمثل نشاطًا تمهيديًا عادةً ما يسبق العمليات التدميرية التي تنفذها عملية «إلكتروم» (ELECTRUM).
الصين — صبورة، عميقة، وذات نطاق متوسع
يختلف نهج الصين اختلافاً جذرياً عن نهج روسيا. ففي حين تعمل الجهات الفاعلة الروسية على التدمير، تواصل الجهات الفاعلة الصينية عملها.
تم تأكيد وجود فيروس «فولتزيت» (Volt Typhoon) داخل شبكة التشغيل التقني (OT) لإحدى شركات الكهرباء الأمريكية لمدة تجاوزت 300 يوم، حيث قام بسرقة بيانات نظام معلومات الجغرافيا (GIS) وتكوينات نظام التشغيل التقني. ولم يكن ذلك مجرد تجسس في حد ذاته. بل إن نمط التمركز المسبق يتوافق مع الاستعدادات الرامية إلى تعطيل البنية التحتية الكهربائية الأمريكية في المستقبل.
في عام 2025، استغل وسيط الوصول الأولي «سيلفانيت» بسرعة الثغرات الأمنية في أجهزة «إيفانتي» للوصول عن بُعد (VPN) وأجهزة «إف 5» وغيرها من البنى التحتية الطرفية. ثم تم إدخال هذه النقاط الاستيطانية في مسار «فولتزيت» لتنفيذ عمليات اختراق أعمق في شبكات التكنولوجيا التشغيلية (OT). وتوسعت قائمة الأهداف لتشمل شركات مرافق الكهرباء والمياه.
تمت الإبلاغ عن مجموعة «AZURITE» مؤخرًا في عام 2025، وهي تمثل تصعيدًا في الهجمات التي تستهدف شبكات التشغيل (OT) المرتبطة بالصين. وتقوم مجموعة «AZURITE» باستهداف محطات عمل مهندسي شبكات التشغيل (OT) في قطاعات التصنيع والدفاع والسيارات في جميع أنحاء الولايات المتحدة وأستراليا وأوروبا. وتركز المجموعة على سرقة مخططات الشبكات وبيانات الإنذارات وتكوينات العمليات.
إيران — تجاوز الحدود إلى استخدام القوة الجسدية
أحدثت الجهات الإيرانية المدعومة من الدولة تحولاً حاسماً خلال هذه الفترة، حيث انتقلت من الاستغلال الانتهازي إلى الاستهداف المتعمد للعمليات المادية.
اخترقت مجموعة CyberAv3ngers (BAUXITE / IRGC) أكثر من 75 جهازًا في العديد من منشآت المياه الأمريكية خلال الفترة 2023-2024، بما في ذلك الاستيلاء المباشر على وحدة تحكم منطقية قابلة للبرمجة (PLC) في محطة تعزيز الضغط بولاية بنسلفانيا. وقد صُممت برمجيتهم الخبيثة IOCONTROL، وهي ملف ثنائي يعمل بنظام لينكس ويحتوي على نظام قيادة وتحكم قائم على بروتوكول MQTT مدمج في حزم تحديث البرامج الثابتة للأجهزة، خصيصًا لاختراق أجهزة التكنولوجيا التشغيلية (OT). في عام 2025، نشرت مجموعة BAUXITE متغيرات من برنامج BlueWipe-SewerGoo ضد البنية التحتية الإسرائيلية للطاقة والتخزين.
استهدفت مجموعة «بيروكسين» (PYROXENE) (التابعة لـ IRGC-CEC، مع تداخل مع APT35) البنى التحتية الحيوية والشبكات الحكومية في إسرائيل وألبانيا في عام 2025. واستخدمت المجموعة مزيجًا من أساليب الهندسة الاجتماعية واختراق سلسلة التوريد لتوصيل حمولات برمجيات «بي إي ويبر» (PE wiper).
تمثل مجموعة «هاندالا» الخط الفاصل غير الواضح بين النشاط الإلكتروني النضالي والتدمير الذي توجهه الدولة. وقد صنفت العديد من شركات استخبارات التهديدات هذه المجموعة على أنها واجهة لجهات خبيثة تُعرف باسم «فويد مانتيكور»، التي ترعاها وزارة الاستخبارات والأمن الإيرانية؛ وقد ظهرت المجموعة في أواخر عام 2023، وقامت منذ ذلك الحين بشن عمليات مسح مستمرة ضد أهداف إسرائيلية.
تتميز مجموعة أدواتهم بالتطور التقني. حيث تُرسل رسائل البريد الإلكتروني الاحتيالية، التي غالبًا ما تكون مكتوبة بلغة عبرية سلسة، ملف تثبيت NSIS الذي يقوم بتشغيل برنامج نصي AutoIT لإدخال أداة مسح البيانات في عملية Windows شرعية. وتقوم الحمولة النهائية بالكتابة فوق الملفات ببيانات عشوائية، وتصعيد الصلاحيات باستخدام برنامج تشغيل معرض للثغرات الأمنية، وتسريب معلومات النظام عبر API Telegram API تدمير البيانات.
يحتوي هذا المثبت على العديد من العناصر المتحركة — حيث يتم تقسيم الملفات وإعطاؤها أسماء مزيفة، كما يتم تجميع الأوامر أثناء تشغيله. لكن كل خطوة لا تعدو في الحقيقة أن تكون مجرد إضافة ملف آخر وإطلاقه. ويكشف تحليل العينة عن التسلسل الكامل قبل أن يقوم برنامج المسح بمحو أي شيء.
في مارس 2026، هاجمت مجموعة «هاندالا» شركة «سترايكر»، وهي شركة تصنيع أجهزة طبية مدرجة في قائمة «فورتشن 500»، وقامت بمسح البيانات من الأجهزة في 79 دولة من خلال استغلال ثغرة في «مايكروسوفت إنتون»، وهي منصة إدارة الأجهزة الطرفية الخاصة بالشركة. ولم تكن هناك حاجة إلى برامج ضارة مخصصة لتنفيذ المرحلة التدميرية. فقد أتاح الوصول إلى «إنتون» بمستوى المسؤول ميزة «مفتاح الإيقاف» المركزي للأجهزة المسجلة.
في أبريل 2026، حذرت مذكرة استشارية مشتركة صادرة عن ست وكالات أمريكية من أن نفس المجموعة الإيرانية كانت تعمل بنشاط على تعطيل وحدات التحكم المنطقية القابلة للبرمجة (PLC) من طراز «روكويل» المتصلة بالإنترنت في أهداف حكومية ومرافق مياه وطاقة منذ مارس 2026 على الأقل. واستخدم المهاجمون برامج هندسية أصلية من «روكويل» للتلاعب بملفات مشاريع وحدات التحكم المنطقية القابلة للبرمجة (PLC) والتلاعب بشاشات المشغلين من خلال استغلال ثغرة معروفة لتجاوز المصادقة (CVE-2021-22681). كان هذا تعطيلًا فعليًا للعمليات الصناعية على الأراضي الأمريكية.
الناشطون الإلكترونيون — الوصول إلى الطبقة المادية
تجاوزت الجماعات الناشطة في مجال القرصنة المؤيدة لروسيا عتبة جديدة خلال هذه الفترة. فقد تمكنت مجموعة «Z-PENTEST» في عام 2025 من اختراق واجهة HMI متصلة بالإنترنت في سد نرويجي باستخدام كلمة مرور ضعيفة، مما مكنها من التحكم في أنظمة التحكم المادية في المياه. كما تمكنت مجموعة «CyberArmyofRussia_Reborn» من الوصول إلى واجهة HMI في مولشو بولاية تكساس، مما تسبب في فيضان خزان مياه قبل أن يتحول الموظفون إلى التشغيل اليدوي.
هذه الهجمات ليست معقدة. فهي بسيطة وتستغل الفرص المتاحة، وتزداد خطورتها يوماً بعد يوم. إن عائق إحداث اضطراب مادي في بيئات تكنولوجيا التشغيل أقل مما يفترضه العديد من المشغلين.
الهجمات القائمة على الملفات، وبرامج المسح، والتحويل بين تكنولوجيا المعلومات والتكنولوجيا التشغيلية (IT/OT) هي السمات المميزة لاختراق أنظمة التحكم الصناعية (ICS) والتكنولوجيا التشغيلية (OT)
وعبر كل هذه الحوادث التي شملت أطرافًا وقطاعات ومناطق جغرافية مختلفة، تظهر مجموعة متسقة من الأنماط.
أصبحت المساحات الأداة التدميرية السائدة
هذا هو الاتجاه الأبرز في أنشطة التهديدات التي تستهدف أنظمة التحكم الصناعية (ICS) والتكنولوجيا التشغيلية (OT). في الفترة 2024-2025 وحدها، استهدفت ست حملات "ويبر" (wiper) متميزة على الأقل بيئات البنية التحتية الصناعية والحيوية: DynoWiper التي استهدفت قطاع الطاقة في بولندا، وPathWiper التي استهدفت البنية التحتية الحيوية الأوكرانية، وAcidPour التي استهدفت قطاع الاتصالات الأوكراني، وBAUXITE أو BlueWipe-SewerGoo التي استهدفت قطاع الطاقة الإسرائيلي، وPYROXENE التي استهدفت البنية التحتية الحكومية والحيوية في إسرائيل وألبانيا، وHandala التي استهدفت قطاع الرعاية الصحية العالمي.
أصبحت برامج المسح أكثر استهدافًا. فقد تم نشر برنامج «DynoWiper» خصيصًا لاستهداف البنية التحتية للطاقة في بولندا، حيث قام بمسح الأجهزة التي تعمل بنظام «ويندوز» في مواقع الطاقة الموزعة، وتعطيل بعض معدات التكنولوجيا التشغيلية (OT) بشكل لا يمكن استعادته. أما برنامج «PathWiper» فيقوم بتدمير «MBR» MFT الكتابة فوق الملفات، مما يجعل عملية الاستعادة صعبة للغاية. ويستهدف برنامج «AcidPour» أجهزة «لينكس» المدمجة، حيث يقوم بمسح وحدات التخزين «UBI» وأقسام «Device Mapper» المستخدمة في معدات التكنولوجيا التشغيلية (OT).
أظهر هجوم «هاندالا» على مركبات «سترايكر» نمطًا مختلفًا من التطور. فبدلاً من نشر برامج ضارة مخصصة على نطاق واسع، استغل المهاجمون أداة إدارة مؤسسية شرعية تُدعى «مايكروسوفت إنتون» لإصدار أمر محو جماعي عبر جميع الأجهزة المسجلة في الوقت نفسه. وقد أدى ذلك فعليًّا إلى تحويل البنية التحتية الخاصة بالمؤسسة نفسها إلى سلاح. وهذه ليست أدوات عامة الغرض أدوات في مجال التكنولوجيا التشغيلية (OT). بل إنها مصممة خصيصًا أو تم تكييفها لتناسب البيئات التي تستهدفها.
تزداد درجة تعقيد البرامج الضارة المخصصة لنظام ICS
يستحق برنامج «FrostyGoop» اهتمامًا خاصًا باعتباره علامة فارقة. فقد تم نشره لاستهداف نظام التدفئة المركزية في مدينة لفيف في يناير 2024، وكان أول برنامج ضار يستغل بروتوكول Modbus TCP بشكل مباشر في بيئة تشغيلية. وقد كُتب البرنامج بلغة Go وتم تجميعه كملف ثنائي بنظام Windows PE، وتم توزيعه عبر شبكة الهندسة، حيث انتقل من شبكة تكنولوجيا المعلومات (IT) إلى شبكة تكنولوجيا التشغيل (OT) عن طريق نقل الملفات. وأدى الهجوم إلى انقطاع التدفئة عن أكثر من 600 مبنى سكني لمدة يومين في ظل درجات حرارة دون الصفر.
تكتسب «FrostyGoop» أهمية كبيرة لأن بروتوكول Modbus TCP يُستخدم على نطاق واسع في البيئات الصناعية في جميع أنحاء العالم. وقد أظهرت هذه البرمجية الخبيثة أن المهاجمين لم يعودوا يقتصرون على استهداف محطات عمل «ويندوز» المجاورة للأنظمة التشغيلية (OT)، بل أصبحوا الآن يكتبون أكوادًا تتواصل مباشرةً مع البروتوكولات الصناعية.
يتمثل الغرض من FrostyGoop في الكود الذي يقوم بتحميله — فالمكتبات التي يستوردها موجودة لغرض واحد فقط: التواصل مع أجهزة التحكم الصناعية
كل اختراق لنظام التشغيل له ملف خاص به ضمن سلسلة الهجوم
هذا هو القاسم المشترك. ففي كل حادثة من الحوادث الواردة في التسلسل الزمني، وبغض النظر عن الجهة الفاعلة أو القطاع أو الموقع الجغرافي، كان هناك ملف ضار قد تجاوز حدود الثقة في مرحلة ما من سلسلة الهجوم:
- تم توزيع برامج المسح على شكل ملفات PE قابلة للتنفيذ، وبرمجيات VBScript لنقل الملفات، وملفات ثنائية ELF لنظام لينكس.
- استُخدمت في اختراق سلسلة التوريد حزم تثبيت وتحديثات برمجية مزودة ببرامج طروادة.
- استُخدمت هجمات التصيد الموجهة لتوزيع مستندات مسلحة، بما في ذلك ملفات Excel تحتوي على ماكروات VBA وملفات OneNote تحتوي على حمولات مدمجة.
- وقد ظهرت البرامج الضارة المخصصة لنظام التحكم في الصناعة (ICS) في شكل ملفات ثنائية مجمعة بلغة Go مثل FrostyGoop، وحمولات بلغة Python مثل Triton وCOSMICENERGY، وملفات ثنائية PE مخصصة مثل Industroyer2 وDynoWiper.
- حتى الحملات التي تعتمد على الاستفادة من الموارد المتاحة محليًّا، مثل حملة «فولت تايفون»، تركت آثارًا في الملفات، بما في ذلك بوابات الويب، ونصوص برمجية للتحرك الأفقي، أدوات لجمع بيانات الاعتماد أدوات في الأنظمة المخترقة.
- تم توزيع حمولات برامج الفدية التي أثرت على البيئات المرتبطة بالتكنولوجيا التشغيلية، مثل «هاليبرتون» و«أركنساس سيتي»، عن طريق مرفقات رسائل التصيد الاحتيالي واختراق الخوادم.
تختلف أنواع الملفات. وتختلف آليات التوزيع. وتختلف الجهات الفاعلة. لكن النمط يظل ثابتًا: يدخل الملف إلى البيئة، ويخترق منطقة موثوقة، ثم إما يُنفَّذ مباشرةً أو يمهد الطريق للمرحلة التالية من الاختراق.
أجهزة الحافة وواجهات المستخدم المرئية هي خط الدفاع الجديد
استغل كل من هجوم "Z-PENTEST" على السد في النرويج وحادثة فيضان مياه "Muleshoe" في تكساس نفس نقطة الضعف: واجهات المستخدم البشرية (HMIs) المعرضة للإنترنت والتي تستخدم بيانات اعتماد ضعيفة أو افتراضية. واستهدفت حملة "CyberAv3ngers" ضد منشآت المياه الأمريكية وحدات التحكم المنطقية القابلة للبرمجة (PLCs) من شركة "Unitronics" باستخدام بيانات اعتماد افتراضية. وهذه ليست استغلالات من نوع "صفر يوم". بل هي أخطاء في التكوين على الحدود الفاصلة بين أنظمة التكنولوجيا التشغيلية (OT) والإنترنت.
الحد الفاصل بين تكنولوجيا المعلومات وتكنولوجيا التشغيل هو النقطة التي تنطلق منها الهجمات
في كل حادثة تلو الأخرى، يحدث نقطة الانطلاق للهجوم عند الحدود الفاصلة بين تكنولوجيا المعلومات (IT) وتكنولوجيا التشغيل (OT). وتُعد محطات عمل المهندسين، التي توجد في كلا البيئتين وتربط شبكات المؤسسة بأجهزة التحكم المنطقية القابلة للبرمجة (PLC) في قاعات الإنتاج، نقطة الانطلاق الأكثر شيوعًا. ويستهدفها فيروس «أزوريت» (AZURITE) بشكل مباشر. كما استغل فيروس «فولت تايفون» (Volt Typhoon) هذه المحطات للانتشار. أما فيروس «تريتون» (Triton) فقد تطلب الوصول المادي إلى إحدى هذه المحطات. وتم توزيع فيروس «فروستي جوب» (FrostyGoop) عبر شبكة المهندسين. وحماية محطة العمل تعني حماية الملفات التي تصل إليها.
التنبؤ قبل التنفيذ وتحليل السلوك يوقفان هجمات OT قبل وقوعها
الكشف السلوكي عن الثغرات الأمنية في يومها الأول باستخدام MetaDefender
تشير الأنماط السائدة في هجمات أنظمة التحكم الصناعية (ICS) وتكنولوجيا التشغيل (OT) إلى حقيقة ثابتة: وهي أن التهديدات المجهولة والمتخفية تتسلل إلى البيئات في شكل ملفات، وتتجاوز حدود الثقة، وتُنفَّذ قبل أن تتمكن الدفاعات التقليدية من التصدي لها. ويتطلب وقف هذه الهجمات إجراء تحليل سلوكي متعمق، إلى جانب القدرة على توقع النوايا الخبيثة قبل تنفيذها.
MetaDefender هو الحل الموحد OPSWATللكشف عن التهديدات من نوع "صفر يوم"، والمصمم للكشف عن التهديدات المجهولة والمتسترة المخبأة في الملفات. فهو يجمع بين تقنية "الصندوق الرملي" التكيفي، ومعلومات استخبارات التهديدات، وتقييم درجة خطورة التهديدات، والبحث عن أوجه التشابه باستخدام التعلم الآلي، في مسار كشف واحد يقدم تقييمًا موثوقًا لكل ملف.
من خلال اختبار الملفات في بيئة محاكاة، يكشف Aether عن السلوكيات الخفية مثل آليات عمل برامج الفدية، وحقن الشفرات، وتقنيات مقاومة التحليل، والحمولات متعددة المراحل التي أدوات الثابتة اكتشافها. كما يربط هذه النتائج بمليارات مؤشرات التهديدات لتحديد المخاطر، وكشف المتغيرات، وربط الأنشطة بتقنيات المهاجمين المعروفة.
يتيح هذا النهج للمؤسسات اكتشاف التهديدات من نوع "صفر يوم" في الملفات القابلة للتنفيذ والبرامج النصية والأرشيفات وملفات التصحيحات التي لا يمكن تنظيفها أو تعديلها. كما أنه يدعم متطلبات الامتثال في مختلف القطاعات الخاضعة للتنظيم التي يُشترط فيها إجراء التحليل الديناميكي ويجب الحفاظ على سلامة الملفات.
التنبؤ بالتهديدات قبل تنفيذها باستخدام تقنية الذكاء الاصطناعي التنبؤية من Alin
وتكملةً لذلك، تقدم تقنية Predictive Alin AI طبقة كشف قبل التنفيذ تعمل على مستوى الحدود الخارجية للشبكة. فبدلاً من انتظار تفجير الملفات، تقوم بتحليل المؤشرات الهيكلية والسلوكية للتنبؤ بالنوايا الخبيثة في غضون أجزاء من الثانية. وهذا يتيح للمؤسسات حجب الملفات عالية المخاطر قبل دخولها إلى البيئة أو وصولها إلى الأنظمة الحيوية.
يتم إعادة تدريب نظام Alin AI التنبئي باستمرار باستخدام التهديدات التي تظهر في يومها الأول (zero-day) والتي يكتشفها MetaDefender . فكل تهديد يتم تأكيده يعزز قدرة النموذج على اكتشاف الهجمات المماثلة في مرحلة مبكرة من سلسلة الهجوم. ويؤدي ذلك إلى تكوين حلقة تغذية مرتدة بين التحليل المتعمق والكشف التنبئي، حيث يكشف Aether عن التهديدات المجهولة ويستخدم Alin تلك المعلومات الاستخباراتية لوقف الجيل التالي من الهجمات قبل تنفيذها.
عند استخدامهما معًا، يوفر كل من MetaDefender وPredictive Alin AI عمقًا وسرعةً في آنٍ واحد. يقدم Predictive Alin AI تقييمات فورية قبل التنفيذ على مستوى محيط الشبكة، بينما يقوم MetaDefender بإجراء تحليل سلوكي شامل للملفات التي تتطلب فحصًا أعمق. ويؤدي هذا النهج متعدد الطبقات إلى تقليل حالات الإنذارات الكاذبة، وتسريع استجابة مركز عمليات الأمن (SOC)، وضمان تحديد التهديدات المعروفة والمجهولة على حد سواء قبل أن تتمكن من التأثير على بيئات التكنولوجيا التشغيلية (OT).
يتطلب التصدي لهجمات OT القائمة على الملفات كشفًا متعدد المستويات لثغرات "اليوم صفر"
لم يعد مشهد التهديدات التي تستهدف أنظمة التحكم الصناعية (ICS) وتكنولوجيا التشغيل (OT) يتسم بحوادث منعزلة، بل يتشكل من أنماط متكررة. فقد أصبحت برامج الحذف أكثر استهدافًا، وأصبح المهاجمون يتحركون بسرعة أكبر، وتستهدف الهجمات باستمرار نقاط الضعف في حدود الثقة. وفي كل حالة من هذه الحالات، يبقى هناك عامل ثابت واحد: دخول ملف إلى البيئة مما يتيح تنفيذ الهجوم.
أدوات الفحص الثابت أدوات القائمة على التوقيعات تحديد القاسم المشترك بين هذه الهجمات، وهو عبارة عن ملف يعبر حدود الثقة بنية لم يتم تصنيفها بعد. ووقف هذه الهجمات يتطلب فحص ذلك الملف قبل تنفيذه، وتوقع ما سيفعله بمجرد تنفيذه.
وهذا هو الدور الذي صُمم كل من MetaDefender وPredictive Alin AI من أجله. حيث يصدر Predictive Alin AI قراره عند نقطة الحماية الخارجية في غضون أجزاء من الثانية؛ بينما يقوم MetaDefender بتحليل العناصر التي تستدعي فحصًا أعمق، ويقوم بإدخال كل ثغرة أمنية من نوع «صفر يوم» تم تأكيدها في النموذج التنبئي. والنتيجة هي نظام دفاع متعدد الطبقات يزداد دقة مع كل ملف يتم فحصه عند الحدود الدقيقة التي تبدأ عندها هجمات أنظمة التحكم الصناعية (ICS) والتكنولوجيا التشغيلية (OT).
اكتشف كيف يعمل كل من MetaDefender و Predictive Alin AI على سد الثغرة الأمنية التي تسمح بالهجمات القائمة على الملفات في بيئة التكنولوجيا التشغيلية (OT) الخاصة بك.
