أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيراً لمشغلي البنية التحتية الحيوية في الولايات المتحدة، وذلك عقب محاولة هجوم سيبراني تخريبي استهدف شبكة الكهرباء في بولندا. يأتي هذا التحذير لتعزيز إجراءات الأمن السيبراني وسط تنامي التهديدات ضد الأنظمة التشغيلية.
يأتي هذا التنبيه بعد تقرير صادر في 30 يناير عن فريق الاستجابة لحوادث الكمبيوتر البولندي، والذي خلص إلى أن الهجوم الذي وقع في ديسمبر تداخل بشكل كبير مع بنية تحتية تستخدمها مجموعة قرصنة مرتبطة بالحكومة الروسية. وقد استهدف الهجوم 30 مزرعة رياح وطاقة شمسية، من بين أهداف أخرى.
تحذير أمريكي حول هجوم سيبراني على البنية التحتية
أشارت وكالة CISA إلى أن هدف تحذيرها هو “تضخيم” ما ورد في التقرير البولندي. وبشكل خاص، سلطت الوكالة الضوء على التهديدات الموجهة للأنظمة التشغيلية وأنظمة التحكم الصناعي، والتي تستخدم بشكل شائع في قطاعي الطاقة والتصنيع.
وتأتي هذه التطورات تماشياً مع تركيز الوكالة الأخير على تأمين الأجهزة الطرفية مثل أجهزة التوجيه وجدران الحماية. يأتي ذلك بعد توجيه تشغيلي ملزم الأسبوع الماضي للوكالات الفيدرالية بإزالة المنتجات غير المدعومة من أنظمتها.
أهمية تأمين الأجهزة الطرفية
أوضحت الوكالة في تحذيرها أن “النشاط السيبراني الضار يسلط الضوء على الحاجة الملحة لكيانات البنية التحتية الحيوية التي تمتلك أجهزة طرفية ضعيفة إلى اتخاذ إجراءات فورية لتعزيز وضعها الأمني السيبراني ضد الأنشطة التي تستهدف الأنظمة التشغيلية وأنظمة التحكم الصناعي.”
وأضاف التقرير أن “فاعل سيبراني ضار تمكن من الوصول الأولي في هذا الحادث عبر أجهزة طرفية معرضة للخطر ومتصلة بالإنترنت، وقام لاحقاً بنشر برمجيات مسح (wiper malware) وتسبب في تلف وحدات التحكم عن بعد (RTUs). وقد أدى هذا النشاط إلى فقدان الرؤية والتحكم بين المنشآت ومشغلي أنظمة التوزيع، وتدمير البيانات على واجهات الإنسان والآلة (HMIs)، وإتلاف البرامج الثابتة للأجهزة التشغيلية. وعلى الرغم من أن أنظمة الطاقة المتجددة المتضررة واصلت الإنتاج، إلا أن مشغل النظام لم يتمكن من التحكم فيها أو مراقبتها وفقاً لتصميمها الأصلي.”
حثت CISA المالكين والمشغلين على مراجعة التقرير البولندي، بالإضافة إلى إرشادات الأمان الصادرة عن وكالات أمريكية أخرى. إن هذا النوع من الاختراقات يؤكد على ضرورة اليقظة الدائمة والحماية الاستباقية.
تداعيات الهجوم على مستوى عالمي
لم يقتصر تأثير الهجوم الموجه ضد بولندا، والذي شبهه فريق الاستجابة لحوادث الكمبيوتر البولندي بـ “إشعال متعمد للنيران” وكان له “هدف تدميري بحت” في وقت كانت فيه البلاد تعاني من درجات حرارة منخفضة وعواصف ثلجية، على بولندا فحسب، بل امتدت تداعياته إلى أجزاء أخرى من العالم.
ونقل التقرير عن جوناتون إليسون، مدير المرونة الوطنية في المركز الوطني للأمن السيبراني في المملكة المتحدة، قوله في منشور على لينكد إن يوم الاثنين: “يجب على مشغلي البنية التحتية الوطنية الحيوية في المملكة المتحدة ليس فقط أخذ العلم، بل كما قلنا سابقاً، التصرف الآن.”
البنية التحتية المتوزعة هدف جديد
من جهتها، أشارت شركة “دراجوس” (Dragos)، وهي شركة متخصصة في الأمن السيبراني لأنظمة التحكم الصناعي، إلى أن الهجوم يمثل جبهة جديدة في عالم الأمن السيبراني. وذكرت الشركة في تقريرها الشهر الماضي: “هذا هو أول هجوم سيبراني واسع النطاق يستهدف موارد الطاقة الموزعة (DERs)، التي تشمل المنشآت الأصغر للطاقة الشمسية وطاقة الرياح والطاقة المشتركة (CHP) التي يتم إضافتها إلى الشبكات على مستوى العالم.
وفي المقابل، وعلى عكس الأنظمة المركزية التي تأثرت في هجمات شبكات الكهرباء في عامي 2015 و2016 في أوكرانيا، فإن هذه الأنظمة الموزعة أكثر عدداً، وتتطلب اتصالاً عن بعد واسع النطاق، وغالباً ما تتلقى استثمارات أقل في مجال الأمن السيبراني. وهذا الهجوم يوضح أنها أصبحت الآن هدفاً مشروعاً للمهاجمين المتطورين.”
وخلص تحليل بولندا إلى أن البنية التحتية المستخدمة في الهجوم تتقاطع مع تلك التي تستخدمها المجموعة المعروفة بأسماء متعددة، مثل Static Tundra وBerserk Bear وGhost Blizzard وDragonfly.