سجل قطاع الطاقة والمرافق في فنزويلا أخيراً تعرضه لهجوم تخريبي خطير باستخدام برمجية خبيثة جديدة تعرف باسم “لوتس وايبر” (Lotus Wiper). على عكس برامج الفدية التقليدية، لا تسعى هذه البرمجية للحصول على أموال مقابل فك تشفير الملفات، بل تهدف إلى تدمير البيانات بشكل كامل ومحو محركات الأقراص، مما يجعل استعادة الأنظمة أمراً مستحيلاً.
يأتي هذا الهجوم في سياق توترات جيوسياسية متزايدة في منطقة البحر الكاريبي خلال أواخر عام 2025 وبداية عام 2026. وقد تم اكتشاف آثار مرتبطة بالهجوم في منتصف ديسمبر 2025، من خلال ملفات تم تحميلها إلى مورد متاح للعامة من جهاز في فنزويلا. وتشير المعلومات إلى أن البرمجية الخبيثة تم تجميعها في أواخر سبتمبر 2025، مما يعني أن المهاجمين كانوا يجهزون لهذه العملية التدميرية لعدة أشهر قبل تنفيذها.
تفاصيل هجوم “لوتس وايبر” على قطاع الطاقة
تمكن محللو وخبراء أمنيون من تحديد القطع الضارة كجزء من عملهم الروتيني في البحث عن التهديدات وتصنيف البرمجيات الخبيثة. ووفقاً لتحليلاتهم، كانت هناك دلائل واضحة داخل العينة تشير إلى أن الهدف المقصود للهجوم هو منظمة تعمل في قطاع الطاقة والمرافق.
ولم يتم العثور على أي تعليمات دفع أو رسائل ابتزاز ضمن الأكواد البرمجية، مما يؤكد أن هذه العملية كانت ذات طابع تخريبي بحت، دون وجود دوافع مالية خلفها. يُعتقد أن الهجوم كان موجهاً بدقة شديدة وله دوافع جيوسياسية.
تعمل “لوتس وايبر” بشكل عدواني على إزالة آليات الاستعادة، وتستبدل محتويات محركات الأقراص المادية بأصفار، وتقوم بحذف الملفات بشكل منهجي عبر جميع وحدات التخزين المتأثرة. وبذلك، تنضم “لوتس وايبر” إلى قائمة البرمجيات التخريبية الخطيرة التي سبقتها، مثل “نوت بتيا” (NotPetya) في عام 2017 و”هيرميتيك وايبر” (HermeticWiper) في عام 2022، والتي تسببت في أضرار واسعة للبنى التحتية الحيوية.
آلية عمل البرمجية الخبيثة
تتنكر البرمجية الخبيثة في هيئة مكونات لتطبيق HCL Domino الشرعي، باستخدام أسماء ملفات مثل nstats.exe و nevent.exe و ndesign.exe، وذلك بهدف التمويه والاندماج مع أنشطة النظام الطبيعية. وتشير هذه الاستراتيجية إلى أن المهاجمين تمكنوا من الوصول المسبق إلى أنظمة الضحايا وقاموا بتجهيز الملفات التنفيذية الضارة مسبقاً، مما يدعم فرضية وجود نشاط اختراق أولي على الأنظمة المخترقة.
تبدأ سلسلة الهجوم بسكربت دفعي (batch script) يسمى OhSyncNow.bat، والذي يعمل كنقطة انطلاق لتنفيذ تسلسل عمليات التدمير. يقوم هذا السكربت أولاً بتحديد دليل العمل المستهدف، وهو عادةً C:lotus، ثم يحاول تعطيل خدمة الكشف عن الخدمات التفاعلية المعروفة باسم UI0Detect. هذه الخدمة كانت تنبه المستخدمين إلى الأنشطة المشبوهة التي تعمل في الخلفية.
ومع إزالة هذه الخدمة من قبل مايكروسوفت بدءاً من إصدار Windows 10 النسخة 1803، فإن وجودها يشير إلى أن المهاجمين استهدفوا بشكل خاص الأنظمة القديمة التي لا تزال تحتوي على هذه الخدمة. بعد ذلك، يتحقق السكربت من وجود ملف علامة XML عن بعد يسمى OHSync.xml على مشاركة NETLOGON الخاصة بالنطاق. وهي آلية تشغيل عبر الشبكة، حيث يعمل وجود هذا الملف عن بعد كإشارة لبدء التنفيذ عبر جميع الأجهزة في النطاق.
إذا تم العثور على الملف، يتم تشغيل سكربت دفعي ثانٍ يسمى notesreg.bat، والذي تم تصميمه للتشغيل مرة واحدة فقط. يقوم هذا السكربت بإحصاء حسابات المستخدمين المحلية، وتغيير كلمات مرورهم إلى سلاسل عشوائية، ووضع علامة عليها كحسابات غير نشطة، وتعطيل تسجيلات الدخول المخزنة مؤقتاً، وتسجيل الخروج من الجلسات النشطة، وإغلاق جميع واجهات الشبكة باستخدام أمر netsh. كما يقوم بتنفيذ الأمر diskpart clean all على كل محرك أقراص منطقي، مما يؤدي إلى الكتابة فوق محتوى القرص بالكامل بأصفار.
بعد أن تنتهي سكربتات الدفع من إعداد البيئة، تتولى “لوتس وايبر” المهمة النهائية. تستخدم البرمجية تقنية فك تشفير XOR لإعادة بناء ملفها التنفيذي قبل تشغيله. بمجرد تفعيلها، تقوم بتمكين الامتيازات الإدارية، وحذف جميع نقاط استعادة النظام في ويندوز عن طريق استغلال واجهة برمجة التطبيقات srclient.dll، ثم تقوم بملء قطاعات كل قرص بأصفار باستخدام أوامر القرص المنخفضة المستوى IOCTL. كما تستخدم أداة fsutil لإنشاء ملف يستهلك كل المساحة الحرة المتاحة، مما يزيد من استنزاف سعة التخزين. بعد ذلك، يتم تصفير الملفات باستخدام FSCTL_SET_ZERO_DATA، وإعادة تسميتها بسلاسل سداسية عشرية عشوائية، ثم حذفها.
في حال كان الملف قيد الاستخدام ولا يمكن حذفه فوراً، تستخدم البرمجية الدالة MoveFileExW لجدولة حذفه عند إعادة تشغيل النظام التالية. يجب على المؤسسات العاملة في قطاع الطاقة والبنى التحتية الحيوية اتخاذ خطوات استباقية لتقليل تعرضها لهذا النوع من التهديدات.
من بين الإجراءات الهامة، يُنصح بمراجعة أذونات الوصول ومراقبة نشاط الملفات على مشاركات النطاق، وخاصة مراقبة مجلد NETLOGON بحثاً عن أي تغييرات غير مصرح بها. كما يجب مراجعة سجلات الأمان بانتظام بحثاً عن علامات إساءة استخدام بيانات الاعتماد، أو التلاعب بالرموز، أو محاولات تصعيد الامتيازات. ويشمل ذلك مراقبة الاستخدام غير العادي لأدوات ويندوز المدمجة مثل fsutil و robocopy و diskpart، حيث غالباً ما يساء استخدام هذه الأدوات الأصلية من قبل المهاجمين لتجنب إطلاق التنبيهات الأمنية التقليدية. وأخيراً، يجب تأمين أنظمة النسخ الاحتياطي واختبار إجراءات استعادة البيانات بانتظام لضمان إمكانية الاستعادة حتى بعد وقوع حادث تخريبي.
تابعونا على Google News، LinkedIn، و X للحصول على آخر التحديثات الفورية، واضبطوا CSN كمصدر مفضل في Google.