برمجية Lotus Wiper الخبيثة تضرب قطاع الطاقة في فنزويلا

كشف خبراء الأمن الرقمي عن برمجية Lotus Wiper الخبيثة التي تستهدف تدمير أنظمة الطاقة في فنزويلا، مما يهدد استقرار البنية التحتية الحيوية بشكل كبير، وفق ما تابعه فريق تيكبامين.

ما هي برمجية Lotus Wiper الخبيثة وكيف تعمل؟

تعد Lotus Wiper نوعاً جديداً من برمجيات "مسح البيانات" (Data Wiper) التي لا تهدف للربح المادي، بل للتدمير الشامل للمعلومات. تم رصد هذه البرمجية لأول مرة في هجمات استهدفت قطاع الطاقة والمرافق العامة في فنزويلا نهاية العام الماضي وبداية عام 2026، وهي مصممة لجعل الأنظمة غير قابلة للتشغيل تماماً.

تعتمد عملية الهجوم على مرحلتين أساسيتين تبدأ بنصوص برمجية تهيئ البيئة التدميرية، وتشمل هذه المراحل:

• تنسيق بدء العملية عبر الشبكة لضمان انتشار واسع.
• إضعاف دفاعات النظام الأمنية لسهولة الاختراق.
• تعطيل العمليات الطبيعية للنظام قبل إطلاق الحمولة التدميرية.
• استرداد وفك تشفير مسح البيانات المجهول سابقاً وتنفيذه.

كيف يقوم فيروس لوتس بتدمير البيانات والأنظمة؟

بمجرد نشر البرمجية، تبدأ سلسلة من العمليات التدميرية الممنهجة. لا تكتفي البرمجية بحذف الملفات، بل تعمل على تدمير هيكلية النظام من الجذور لضمان عدم القدرة على استعادته مرة أخرى.

أبرز الأنشطة التدميرية لبرمجية لوتس:

• مسح آليات الاسترداد: حذف كافة نقاط استعادة النظام والنسخ الاحتياطية المحلية.
• الكتابة فوق محتويات الأقراص: استبدال محتوى محركات الأقراص الفعلية ببيانات عشوائية لتدمير الملفات الأصلية.
• الحذف المنهجي: مسح الملفات عبر جميع وحدات التخزين المتصلة بالجهاز المصاب.
• تعطيل النظام: ترك جهاز الكمبيوتر في حالة عطل كامل تجعله غير قابل للإقلاع أو الإصلاح.

هل ترتبط هجمات لوتس بأهداف سياسية أو مالية؟

حسب ما ورد في تقارير خبراء التقنية التي اطلع عليها تيكبامين، لا توجد أي دلائل على وجود دوافع مالية وراء هذا الهجوم. فالبرمجية لا تحتوي على أي تعليمات لطلب فدية أو طرق دفع، مما يشير إلى أن الهدف هو التخريب الاستراتيجي البحت.

من المثير للاهتمام أن العينة الأولى تم رفعها إلى منصة عامة في منتصف ديسمبر 2025 من جهاز داخل فنزويلا، قبل أسابيع من أحداث سياسية وعسكرية هامة شهدتها البلاد في أوائل عام 2026. ورغم أنه لم يتم تأكيد الصلة المباشرة بين هذه الأحداث، إلا أن توقيت الهجوم يشير إلى أنه كان موجهاً بدقة لاستهداف قطاع الطاقة الحيوي في وقت حساس.

ما هي أنظمة ويندوز المهددة ببرمجيات لوتس؟

كشف التحليل الفني أن الهجوم يبدأ بمحاولة إيقاف خدمة Windows Interactive Services Detection (UI0Detect). وهذه الخدمة كانت مسؤولة عن تنبيه المستخدمين عند محاولة البرامج عرض واجهات رسومية في جلسات الخلفية.

بناءً على هذا التحليل، يمكن تحديد الأنظمة المستهدفة كالتالي:

• إصدارات ويندوز ما قبل النسخة 1803 من ويندوز 10.
• الأنظمة القديمة مثل ويندوز 7 وويندوز 8 التي لا تزال تستخدم في المنشآت الصناعية.
• الأجهزة التي تعتمد على ميزة UI0Detect التي تمت إزالتها في الإصدارات الحديثة.

في الختام، يمثل ظهور Lotus Wiper تهديداً متطوراً يتطلب من المؤسسات مراجعة خطط الطوارئ الأمنية لديها. إن الحماية من مثل هذه الهجمات التدميرية تستلزم تحديث الأنظمة بشكل دوري، وتأمين مشاركات الشبكة، والاعتماد على حلول نسخ احتياطي خارجية لا يمكن للفيروس الوصول إليها وتدميرها.