كتب : باسل خالد
كشفت شركة أبحاث ESET ، العالمية المتخصصة فى مجال أمن المعلومات ، عن هجوم شنته مجموعة Sandworm الروسية على شركة طاقة في بولندا باستخدام برنامج DynoWiper الخبيث.
يُعد هذا الحادث حالة نادرة وغير مُبلغ عنها، حيث استخدمت جهة تهديد مدعومة من روسيا برنامجًا خبيثًا مُدمرًا لمسح البيانات ضد شركة طاقة في بولندا.
حدد باحثو ESET برنامجًا خبيثًا جديدًا لمسح البيانات، أطلقوا عليه اسم DynoWiper، استُخدم ضد شركة طاقة في بولندا. تتشابه التكتيكات والتقنيات والإجراءات التي لوحظت خلال حادثة DynoWiper بشكل كبير مع تلك التي استخدمت برنامج ZOV الخبيث في أوكرانيا: حيث تُعدّ الأحرف Z وO وV رموزًا عسكرية روسية. تُنسب أبحاث ESET برنامج DynoWiper إلى مجموعة Sandworm، وهي مجموعة تهديد متحالفة مع روسيا، بدرجة ثقة متوسطة.
تُمثل هذه الحادثة حالة نادرة وغير موثقة سابقًا، حيث قام مُهاجم متحالف مع روسيا بنشر برمجيات خبيثة مُدمرة لمسح البيانات ضد شركة طاقة في بولندا. في عام 2025، حققت ESET في أكثر من 10 حوادث تتعلق ببرمجيات خبيثة مُدمرة نُسبت إلى Sandworm، ووقعت جميعها تقريبًا في أوكرانيا.
قام منتج EDR/XDR المُثبّت، ESET PROTECT، بحظر تنفيذ برنامج المسح، مما حدّ بشكل كبير من تأثيره على النظام. وقد بذل مركز CERT Polska جهدًا ممتازًا في التحقيق في الحادثة، ونشر تحليلًا مُفصلًا في تقرير مُتاح على موقعه الإلكتروني.
في 29 ديسمبر 2025، تم نشر عينات من برنامج DynoWiper الخبيث في ما يُرجح أنه مجلد مشترك ضمن نطاق الضحية. من المحتمل أن يكون مُشغّلو Sandworm قد اختبروا العملية أولًا على أجهزة افتراضية قبل نشر البرمجية الخبيثة في المؤسسة المستهدفة. تم نشر ثلاث عينات مختلفة، وباءت جميع المحاولات بالفشل. يقوم البرنامج بمسح الملفات باستخدام مخزن مؤقت بحجم 16 بايت يحتوي على بيانات عشوائية يتم إنشاؤها في لحظة واحدة عند بدء تشغيل البرنامج. على جهاز غير محمي، يتم مسح الملفات التي يبلغ حجمها 16 بايت أو أقل بالكامل. ولتسريع عملية التدمير، يتم مسح أجزاء فقط من محتويات الملفات الأكبر من 16 بايت. يمسح DynoWiper الملفات من جميع محركات الأقراص القابلة للإزالة والثابتة، ثم يُجبر النظام على إعادة التشغيل، مُكملًا بذلك تدميره.
على عكس برامج Sandworm الخبيثة الأخرى، بما في ذلك Industroyer وIndustroyer2، تركز عينات DynoWiper المكتشفة حديثًا على بيئة تكنولوجيا المعلومات فقط، دون رصد أي وظائف تستهدف مكونات التكنولوجيا التشغيلية الصناعية. مع ذلك، لا يستبعد هذا احتمال وجود هذه القدرات في أماكن أخرى ضمن سلسلة الهجوم.
حددت أبحاث ESET عدة أوجه تشابه مع برمجيات خبيثة مدمرة معروفة سابقًا، وتحديدًا مع برنامج مسح البيانات ZOV، الذي تُنسبه ESET إلى Sandworm بثقة عالية. يعمل DynoWiper بطريقة مشابهة إلى حد كبير لبرنامج مسح البيانات ZOV. والجدير بالذكر أن استبعاد بعض المجلدات، وخاصة المنطق المنفصل الواضح في الكود لمسح الملفات الصغيرة والكبيرة، موجود أيضًا في برنامج مسح البيانات ZOV. ZOV هو برنامج خبيث مدمر رصدناه يُستخدم ضد مؤسسة مالية في أوكرانيا في نوفمبر 2025.
بمجرد تشغيله، يقوم برنامج مسح البيانات ZOV بالمرور على الملفات الموجودة على جميع محركات الأقراص الثابتة ومسحها عن طريق الكتابة فوق محتوياتها. وقعت حالة أخرى لهجوم ببرنامج ZOV الخبيث على شركة طاقة في أوكرانيا، حيث قام المهاجمون بنشره في 25 يناير/كانون الثاني 2024.
تُعدّ مجموعة Sandworm مجموعة تهديد مدعومة من روسيا، تُنفّذ هجمات تخريبية تستهدف طيفًا واسعًا من الجهات، بما في ذلك الوكالات الحكومية، وشركات الخدمات اللوجستية، وشركات النقل، ومزودي الطاقة، والمؤسسات الإعلامية، وشركات قطاع الحبوب، وشركات الاتصالات. وتتضمن هذه الهجمات عادةً نشر برامج خبيثة تُعرف باسم "برامج المسح" - وهي برامج ضارة مصممة لحذف الملفات، ومحو البيانات، وجعل الأنظمة غير قابلة للتشغيل.
إلى جانب أوكرانيا، تمتلك المجموعة تاريخًا يمتد لعقد من الزمن في استهداف الشركات في بولندا، بما في ذلك شركات قطاع الطاقة. في أكتوبر/تشرين الأول 2022، نفّذت هجومًا تخريبيًا على شركات لوجستية في كل من أوكرانيا وبولندا، مُخفيةً العملية تحت ستار هجوم برنامج Prestige للفدية. ونظرًا لأن غالبية هجمات Sandworm الإلكترونية تستهدف أوكرانيا حاليًا، فإننا نتعاون بشكل وثيق مع شركائنا الأوكرانيين، بما في ذلك فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا (CERT-UA)، لدعم جهود الوقاية والمعالجة.
