شبكة الطاقة على الإعدادات الافتراضية: كيف فتحت الحماية المتساهلة منشآت بولندا الكهربائية أمام التخريب السيبراني الروسي

هجوم واسع على مواقع الطاقة البولندية يكشف كيف يمكن لرضا الصناعة عن نفسها أن يشعل أزمات أمن قومي.

في قبضة الشتاء المتجمدة، وبينما كانت مدن بولندا تطنّ بوعد طاقة مستقرة، كان خصم صامت يتربص بشرايين الطاقة في البلاد. وبحلول الوقت الذي أطلق فيه المسؤولون الإنذار، كانت أكثر من عشرين منشأة حيوية - بما في ذلك مراكز الطاقة المتجددة ومحطات التدفئة - قد تعرضت للاختراق، لا على يد قراصنة نخبة يستخدمون ثغرات سرية، بل على يد خصوم استغلوا أقدم حيلة في سجل الجرائم الإلكترونية: كلمات المرور الافتراضية.

حقائق سريعة

تمكن المهاجمون من الوصول إلى نحو 30 موقعًا للطاقة في بولندا باستخدام بيانات اعتماد افتراضية على أجهزة مكشوفة.
لم تحدث انقطاعات كهرباء، لكن بعض أنظمة التحكم الصناعية (ICS) تضررت بشكل دائم.
تم اختراق أجهزة ICS من عدة مورّدين (Hitachi Energy وMoxa وMikronika) أساسًا بسبب إعدادات أمنية متساهلة.
يُشتبه في أن مجموعات تهديد مرتبطة بروسيا، بما في ذلك Sandworm، تقف وراء الهجوم.
نشر المهاجمون برمجيات خبيثة تدميرية، بما في ذلك ماسحات (wipers)، لكنهم اعتمدوا في الغالب على سوء النظافة السيبرانية بدلًا من ثغرات جديدة.

بدأ الاختراق، الذي فصّلته CERT البولندية وأكدته شركتا الأمن Dragos وESET، بسهو بسيط: جدران الحماية Fortinet FortiGate وشبكات VPN المواجهة للإنترنت تُركت ببيانات دخول افتراضية ومن دون مصادقة متعددة العوامل. وعلى مدى أشهر، راقب قراصنة مرتبطون بروسيا بهدوء، وجمعوا بيانات الاعتماد، ورسموا خريطة نقاط الضعف، مستهدفين في النهاية ليس مولدات الطاقة نفسها، بل الأنظمة التي تراقب استقرار الشبكة وسلامتها.

في 29 ديسمبر 2024، تحولت العملية إلى تدميرية. رفع المهاجمون برمجيات ثابتة خبيثة ونشروا برمجيات ماسحة، فعطّلوا أو أتلفوا بشكل دائم الأجهزة التي تتحكم في الشبكة وتراقبها. وسقطت أجهزة RTU560 ومرحلات Relion من Hitachi، ووحدات الطرفية البعيدة وواجهات الإنسان-الآلة من Mikronika، وخوادم الأجهزة من Moxa ضحيةً - وغالبًا لأن بيانات الاعتماد الافتراضية لم تُغيَّر قط، أو لأن ميزات الأمان الموصى بها تُركت معطلة. وفي بعض الحالات، استغل المهاجمون ثغرات معروفة أو أعادوا الأجهزة ببساطة إلى إعدادات المصنع، ما أقصى المشغلين الشرعيين وأحدث فوضى.

وعلى الرغم من الحجم، صمدت الشبكة - لا انقطاعات، فقط لمحة مقلقة عمّا كان يمكن أن يحدث. ولم يجد المحققون دليلًا على استغلالات يوم-صفر متطورة. بدلًا من ذلك، كان الهجوم إدانة قاسية لإهمال مزمن: برمجيات ثابتة قديمة، وثغرات غير مُرقّعة، وثقافة واسعة من “اضبطه وانسَه” في الدفاع السيبراني الصناعي.

وتشير دلائل الإسناد مباشرة إلى موسكو. فبينما يحمّل المسؤولون البولنديون روسيا المسؤولية، يربط محللو الأمن الحادثة بمجموعات سيئة السمعة مثل Sandworm وElectrum - وكلاهما مرتبط بالاستخبارات العسكرية الروسية ومعروف بهجمات سابقة على شبكة أوكرانيا. ومع ذلك، فإن بساطة التقنيات المستخدمة في بولندا توحي بدرس مخيف: حتى أكثر البنى التحتية صلابة يمكن أن تُقوَّض بأبسط سهو.

ومع انقشاع الغبار، يواجه قطاع الطاقة في بولندا - والمشغلون حول العالم - لحظة حساب. ففي عصر الحرب الرقمية، ترك الأبواب السيبرانية غير مقفلة ليس مجرد إهمال. إنه دعوة إلى الكارثة.

WIKICROOK

نظام التحكم الصناعي (ICS): نظام التحكم الصناعي (ICS) هو مجموعة من الأدوات الحاسوبية التي تراقب وتتحكم في العمليات الصناعية مثل الطاقة والمياه والتصنيع.
بيانات الاعتماد الافتراضية: بيانات الاعتماد الافتراضية هي أسماء مستخدمين وكلمات مرور مُعدّة مسبقًا على الأجهزة أو البرمجيات، وغالبًا ما تُترك دون تغيير ويسهل على المهاجمين تخمينها، ما يشكل مخاطر أمنية.
البرمجيات الثابتة: البرمجيات الثابتة هي برمجيات متخصصة مخزنة داخل الأجهزة، تدير عملياتها الأساسية وأمنها، وتمكّنها من العمل بشكل صحيح.
برمجيات ماسحة: البرمجيات الماسحة هي برمجيات خبيثة تحذف الملفات نهائيًا أو تُفسدها، ما يجعل الاستعادة مستحيلة ويتسبب في فقدان شديد للبيانات أو تعطيل النظام.
Multi: يشير Multi إلى استخدام مزيج من تقنيات أو أنظمة مختلفة - مثل أقمار LEO وGEO - لتحسين الاعتمادية والتغطية والأمان.