بولندا تواجه هجمات سيبرانية منسقة على مزارع الطاقة المتجددة
تعرضت بولندا في 29 ديسمبر 2025 لهجوم سيبراني منسق استهدف أكثر من 30 مزرعة تعمل بالطاقة الريحية والشمسية، بالإضافة إلى محطة طاقة حرارية مشتركة كبيرة ومنشأة تصنيعية. جاءت هذه الهجمات خلال فترة طقس شتوي قاسٍ، حيث انخفضت درجات الحرارة وتهددت العواصف الثلجية استقرار الطاقة في البلاد.
تمتيزت العمليات الأخيرة بالنيات التدميرية البحتة، حيث صُممت لإلحاق الضرر بالبنية التحتية الحيوية بدلاً من سرقة المعلومات. تمثل هذه الضربات المتزامنة أول عملية تدميرية موثقة من قبل مجموعة هجوم متطورة، مما يشير إلى تصعيد كبير في التهديدات التي تستهدف البنية التحتية للطاقة الأوروبية.
تفاصيل الهجوم على بنية الطاقة
ركز الهجوم على محطات التحويل الفرعية التي تعمل كنقاط ربط بين مصادر الطاقة المتجددة وشبكة التوزيع. أصبحت أجهزة الأتمتة الصناعية في هذه المواقع أهدافًا رئيسية للمهاجمين. شملت هذه الأنظمة وحدات الطرفية عن بعد التي تدير عمليات التحكم عن بعد، وواجهات الإنسان والآلة التي تعرض حالة المنشأة، ومرحلات الحماية التي تحمي من الأضرار الكهربائية، ومعدات الاتصالات مثل أجهزة التوجيه ومحولات الشبكة.
بعد تأسيس الوصول إلى الشبكات الداخلية، أجرى المهاجمون استطلاعًا مفصلاً للأنظمة قبل تنفيذ خطتهم التدميرية عبر إتلاف البرامج الثابتة (firmware) واستخدام برمجيات خبيثة مصممة خصيصًا (wiper malware) في صباح يوم 29 ديسمبر. أدت هذه الإجراءات إلى تعطيل قنوات الاتصال بين المزارع ومشغل نظام التوزيع، على الرغم من استمرار توليد الكهرباء دون تأثر.
شبكات الارتباط بمجموعات إرهابية
نجح محللون في Cert.pl في تحديد البنية التحتية للهجوم المستخدمة في هذه العملية، وكشفوا عن تداخل كبير مع البنية التحتية المرتبطة بمجموعات التهديد المعروفة باسم “Static Tundra” (من Cisco)، و”Berserk Bear” (من CrowdStrike)، و”Ghost Blizzard” (من Microsoft)، و”Dragonfly” (من Symantec). لاحظوا أن المهاجمين أظهروا قدرات قوية ضد الأجهزة الصناعية وتركيزًا تاريخيًا على قطاعات الطاقة.
أشارت التحليلات العامة إلى أن هذا الهجوم يمثل أول حملة تدميرية تُنسب علنًا إلى هذه المجموعة من الأنشطة، مما يدل على تحول تكتيكي مهم في عملياتهم. تعد هذه التهديدات السيبرانية على الطاقة المتجددة دليلًا على التحديات المتزايدة في تأمين البنى التحتية الحيوية.
آلية نشر البرمجيات الخبيثة التدميرية
وظف المهاجمون برمجيات تدميرية متطابقة عبر أهداف متعددة، ونشروا برمجيات خبيثة مصممة خصيصًا بعد الحصول على وصول متميز من خلال تسلل طويل الأمد للبنية التحتية. تركزت عمليات البرمجيات الخبيثة على التدمير غير القابل للإصلاح للبيانات عبر الشبكات المستهدفة.
بعد تأسيس نقاط ارتكاز من خلال حسابات مخترقة ومعلومات تشغيلية مسروقة، أعد المهاجمون تسلسلات هجوم شبه آلية جاهزة للتفعيل المتزامن. عند نشر البرمجيات الخبيثة ضد محطة الطاقة الحرارية المشتركة، تم حظر تنفيذها بواسطة تقنية اكتشاف وإصلاح نقاط النهاية (EDR) التي كانت تعمل بالفعل على أنظمة المنظمة.
واجهت شركة التصنيع هجومًا منسقًا مماثلًا، على الرغم من أن الهدف المحدد اختلف عن أهداف الطاقة. أظهر نمط الهجوم هذا تخطيطًا متطورًا، حيث خدمت البرمجيات الخبيثة كحمولة نهائية بعد أسابيع من التحضير المكثف والاستطلاع الشبكي، وذلك بفضل التواجد السري داخل بيئات الهدف.