برزت برمجية خبيثة جديدة تعرف باسم DynoWiper، تستهدف شركات الطاقة في بولندا بهجمات تدميرية مصممة لمحو البيانات الهامة بشكل دائم. يشكل هذا النوع من البرمجيات الخبيثة تهديداً متزايداً للبنية التحتية الحيوية.
تم اكتشاف DynoWiper لأول مرة في ديسمبر 2025، عندما رصد باحثون أمنيون نشرها في إحدى شركات الطاقة البولندية. على عكس برامج الفدية التقليدية التي تقوم بتشفير الملفات مقابل الحصول على مكاسب مالية، تعمل DynoWiper ب هدف تخريبي وحيد وهو الكتابة فوق البيانات وتدميرها عبر الشبكات المخترقة، مما يجعل الأنظمة غير قابلة للإقلاع تماماً.
التهديد الجديد DynoWiper وتأثيره على شركات الطاقة
الهجوم يمثل تصعيداً مقلقاً في التهديدات السيبرانية ضد البنية التحتية الحيوية. تم نشر DynoWiper عبر عدة نسخ، تضمنت ملفات بأسماء مثل schtask.exe وschtask2.exe، بالإضافة إلى ملف تنفيذي للتحديث، جميعها صدرت في 29 ديسمبر 2025.
قام المهاجمون بعدة محاولات لتنفيذ البرمجية الخبيثة بعد فشلها الأولي، وقاموا بتعديل الشفرة في كل مرة لتجاوز الدفاعات الأمنية. ومع ذلك، نجح نظام الكشف والاستجابة للنقاط النهائية المثبت في منع التنفيذ، مما حد بشكل كبير من الأضرار.
حدد محللون في Welivesecurity أوجه تشابه ملحوظة بين DynoWiper وبرمجية خبيثة سابقة تعرف باسم ZOV، والتي استخدمت ضد أهداف أوكرانية في وقت سابق. وعزا فريق البحث DynoWiper إلى مجموعة Sandworm، وهي مجموعة تهديد مرتبطة بروسيا وتشتهر بتنفيذ هجمات سيبرانية مدمرة ضد شركات الطاقة.
ارتبطت Sandworm، التي غالباً ما ترتبط بالوحدة 74455 التابعة للمديرية الرئيسية للاستخبارات الروسية (GRU)، بتاريخ طويل في استهداف البنية التحتية الحيوية في جميع أنحاء أوروبا الشرقية. وتعمل البرمجية الخبيثة من خلال عملية تدمير محسوبة من ثلاث مراحل.
مراحل عملية التدمير
في المرحلة الأولى، تقوم DynoWiper بالبحث بشكل متكرر عن الملفات على جميع الأقراص الثابتة والقابلة للإزالة، مع استثناء بعض أدلة النظام للحفاظ على وظائف النظام المؤقتة. تستخدم البرمجية الخبيثة مخزناً مؤقتاً مكوناً من 16 بايت يحتوي على بيانات عشوائية للكتابة فوق محتويات الملفات. يتم الكتابة فوق الملفات الأصغر من 16 بايت بالكامل، بينما يتم تدمير أجزاء من محتويات الملفات الأكبر لتسريع عملية التدمير.
النشر عبر استغلال Active Directory
تظهر آلية إصابة DynoWiper قدرات اختراق شبكي متطورة. استغل المهاجمون سياسات مجموعة Active Directory لتوزيع البرمجية الخبيثة عبر الشبكة المعرضة للاختراق. يتطلب هذا الأسلوب في النشر الامتيازات الإدارية للنطاق (Domain Admin)، مما يسلط الضوء على قدرة مجموعة التهديد على الحصول على وصول عالي المستوى للمؤسسات المستهدفة.
تم وضع البرمجية الخبيثة في دليل شبكة مشترك، مما سمح بتنفيذها عبر أجهزة متعددة في وقت واحد. وقبل نشر البرمجية الخبيثة، استخدم المهاجمون أدوات سرقة بيانات الاعتماد مثل Rubeus، وحاولوا تفريغ ذاكرة عملية LSASS باستخدام مدير مهام Windows. كما نشروا أداة بروكسي SOCKS5 تسمى rsocx لإنشاء اتصالات عكسية مع خوادم خارجية.
يوضح هذا النهج متعدد المراحل التخطيط الدقيق والاستطلاع قبل إطلاق الحمولة التدميرية النهائية. يجب على المنظمات في قطاع الطاقة تنفيذ ضوابط وصول صارمة، وتقسيم الشبكات، والمراقبة المستمرة للكشف عن محاولات الاختراق المتطورة هذه قبل أن يتم نشر برمجيات التدمير.