هجمات سيبرانية روسية تستهدف محطات الطاقة في بولندا

كشف فريق الاستجابة للطوارئ في بولندا (CERT Polska) عن هجمات سيبرانية منسقة استهدفت أكثر من 30 منشأة للطاقة المتجددة، في تصعيد خطير للأمن الرقمي رصده موقع تيكبامين.

تفاصيل الهجمات السيبرانية على قطاع الطاقة البولندي

أعلن الفريق البولندي أن الهجمات التي وقعت في 29 ديسمبر 2025 استهدفت البنية التحتية الحيوية للبلاد، وشملت قائمة الأهداف ما يلي:

• أكثر من 30 مزرعة للرياح والطاقة الشمسية.
• شركة خاصة تعمل في قطاع التصنيع.
• محطة كبيرة لتوليد الطاقة والحرارة (CHP) تخدم نصف مليون عميل.

وقد نُسبت هذه الهجمات إلى مجموعة تهديد تُعرف باسم "Static Tundra"، والتي يُعتقد أنها مرتبطة بالوحدة 16 التابعة لجهاز الأمن الفيدرالي الروسي (FSB). وتُعرف هذه المجموعة بعدة أسماء أخرى في أوساط الأمن السيبراني:

• Berserk Bear
• Dragonfly
• Blue Kraken
• Ghost Blizzard

هل تأثرت إمدادات الكهرباء والتدفئة؟

رغم خطورة الاختراق، أكد تقرير CERT Polska أن الهجمات لم تحقق هدفها التدميري الكامل. وعلى الرغم من أن الهجمات على مزارع الطاقة المتجددة أدت إلى تعطيل الاتصالات بين هذه المرافق ومشغل نظام التوزيع، إلا أنها لم تؤثر على الإنتاج المستمر للكهرباء.

وبالمثل، لم ينجح الهجوم على محطة التوليد المشترك (CHP) في تعطيل إمدادات الحرارة للمستخدمين النهائيين، رغم محاولات المهاجمين المستميتة.

ما هي برمجيات DynoWiper الخبيثة؟

أشار الخبراء إلى أن المهاجمين استخدموا برمجيات خبيثة مخصصة للمسح والتدمير أطلقت عليها شركة ESET اسم "DynoWiper". وقد قام القراصنة بالأنشطة التالية داخل الشبكات المخترقة:

• إتلاف البرامج الثابتة (Firmware) لأجهزة التحكم.
• حذف ملفات النظام الحيوية.
• محاولات نشر برمجيات الماسح الخبيث.

وفي حالة محطة CHP، انخرط المهاجمون في سرقة بيانات طويلة الأمد تعود إلى مارس 2025، مما مكنهم من رفع الامتيازات والتحرك الجانبي عبر الشبكة قبل محاولة تنفيذ الهجوم التدميري.

كيف تم اختراق الشبكات عبر أجهزة فورتينت؟

تشير التحقيقات التي تابعها تيكبامين إلى أن نقطة الدخول الرئيسية كانت استغلال ثغرات في أجهزة الحماية المحيطية. ويُعتقد أن استهداف شركة التصنيع كان انتهازياً عبر جهاز Fortinet ضعيف الحماية.

وقد تم اكتشاف أربع نسخ مختلفة على الأقل من برمجية DynoWiper حتى الآن، حيث تم نشرها على أجهزة الكمبيوتر الخاصة بواجهة الآلة البشرية (HMI) وشبكات محطات الطاقة بعد تأمين الوصول عبر خدمة بوابة SSL-VPN لجهاز FortiGate.

تضارب حول الجهة المسؤولة

بينما ينسب الجانب البولندي الهجوم لمجموعة Static Tundra، تشير تقارير أخرى من شركات أمنية عالمية مثل ESET وDragos بدرجة ثقة متوسطة إلى مجموعة قرصنة روسية أخرى مدعومة من الدولة تُعرف باسم "Sandworm"، مما يبرز تعقيد تحديد الهوية في الحروب السيبرانية الحديثة.