مع تدفق المزيد من المعلومات حول الحادثة السيبرانية الكبرى الأولى في آخر 25 يومًا، يبدو أن الكشف من وارسو بشأن اقتراب انقطاع التيار الكهربائي في نهاية ديسمبر 2025 يوفر بشكل واضح تحذيرًا صارخًا ودعوة للاستيقاظ. لم تكن هذه مجرد إشارة عشوائية على جدار ناري أو حتى مسح استكشافي غير متحمس. بل كانت محاولة متطورة وموقوتة جيدًا ومتعددة الوسائل لتجميد أمة خلال فترة درجات حرارة منخفضة قياسية مع توصيل إشارة جيواستراتيجية لا لبس فيها.

مع تزايد الهجمات على البنية التحتية الحيوية ، تتزايد المخاطر على العمليات بشكل كبير. وما بعد هذه الحادثة، ليس فقط خطر الانقطاع أو استخراج البيانات، بل التأثير المحتمل على رفاهية المواطنين والصلابة الاقتصادية للدول المستهدفة التي يجب أن تكون مصدر قلق رئيسي لمديري أمن المعلومات وفرق الأمن السيبراني. وعلى العكس، عندما تتم مواجهة مثل هذه الهجمات باستجابة أمنية مناسبة، تظهر عدة نتائج إيجابية.

عندما تفشل المزيد من هذه الهجمات، سيتعين على الفاعلين التهديديين وموجهيهم تخصيص المزيد من الموارد والاهتمام لكل هجوم. ستخفف بيئة التهديدات المتمثلة في الهجمات المبتذلة لصالح المدافعين السيبرانيين. من المهم بالتالي فهم كيفية تمكن بولندا من سحق هذا الهجوم السيبراني وتدوين الدروس التي يمكن أن تأخذها جميع مشغلي البنية التحتية الحيوية من هذه الواقعة.    

قبل أن نواصل، لا تنسوا متابعة منشورنا السابق على خارطة الطريق لـ SOC حتى عام 2026، هنا.

الحادثة: تحول في الاستهداف الاستراتيجي

هذا الهجوم السيبراني الذي جاء على موجات وبلغ ذروته في الأيام الأخيرة المتبقية من عام 2025، يمثل تطورًا كبيرًا وتصعيدًا في تكتيكات الحرب الهجينة الروسية. تاريخياً، كانت الهجمات على شبكات الطاقة (مثل تلك التي شوهدت في الهجمات على أوكرانيا في عامي 2015 و2016) تركز على خطوط النقل ذات الجهد العالي أو الإنتاج المركزي لإحداث فوضى قصوى وجذب المزيد من الانتباه والتغطية الإعلامية.

كانت هذه الحادثة مختلفة وأكثر تعقيدًا من حيث الدوافع والنتائج. وفقًا لوزير الطاقة البولندي ميلوش موتيكا، استهدف المهاجمون طبقة الاتصال بين مصادر الطاقة المتجددة اللامركزية على حدة. على وجه الخصوص، سعوا وراء الاتصالات بين مزارع الطاقة الشمسية وتوربينات الرياح والشبكة الوطنية. يشير التركيز على الطاقات المتجددة إلى دافع محدد وهو تقليل موثوقية هذه المصادر واستهداف قناة توليد طاقة رئيسية تساهم بنسبة تقارب 25٪ من كهرباء بولندا. تم تصميم الهجوم على الشبكة لزعزعة استقرار البنية التحتية بأكملها خلال موسم ذروة الطلب.

كان المتسللون الروس يراهنون أيضًا على أن أواخر ديسمبر سيكون فترة تواجد العاملين المحدود فضلاً عن تأخر في استجابة فرق الأمن السيبراني المتأثرة.

في حين أن الهجمات الصغيرة على مصادر الطاقة المتجددة في بولندا قد حدثت عدة مرات من قبل، إلا أن هذه هي المرة الأولى التي نشهد فيها هجومًا منسقًا ومستدامًا عبر جبهة ممتدة. كان الفاعل التهديدي الروسي يحاول الاندفاع إلى الشبكة مع تقويض قدرة توليد الطاقة القائمة على الطاقة المتجددة في بولندا.

أي مجموعة APT روسية كانت متورطة في هذا الهجوم

المجموعة المعروفة باسم Sandworm أو APT 44 المرتبطة بـ GRU (وهي كيان استخبارات عسكرية روسية) كانت تستهدف البنية التحتية للطاقة الأوكرانية بشكل مكثف على مدى العامين الماضيين. حصلت هذه المجموعة على مهمة من الاستخبارات العسكرية الروسية لاستكشاف واختراق البنية التحتية للطاقة في دول الاتحاد الأوروبي خاصة تلك المجاورة لأوكرانيا. يتم دعم هذه الجهود أيضًا من خلال الجهود الاستخباراتية البشرية لـ GRU في المنطقة والتي تستخدم لتحديد الأهداف وكذلك اختراقها.

كل إشارات الاختراق المتاحة، بما في ذلك تعقيد برنامج wiper الخبيث، والجهود متعدد المراحل للاختراق، وتنويع الأهداف والهجوم على الشبكة تُشير إلى تورط مجموعة Sandworm. هذه المجموعة معروفة بالحفاظ على مستوى عالٍ جدًا من الاستطلاع الموسع على البنية التحتية المستهدفة. يمكننا القول بثقة عالية جدًا أن هذا الهجوم تضمن Sandworm على الأقل ووكالة محتملة واحدة مقرها في بولندا.

برنامج wiper الخبيث المستخدم بواسطة Sandworm مصمم لإحداث حدث اضطرابي قصير الأجل يشمل فقدان تحكم متزايد في العمليات الرئيسية. مستوى الاضطراب المستهدف هو علامة أخرى على تورط Sandworm.

لن تكون GRU مسرورة جدًا بفشل هذا الهجوم.

ما هي النظرات الفنية الرئيسية المتاحة في الوقت الحالي؟

إليك ما يُسمى بـ "الثلاث تات".

• الهدف: أنظمة التحكم الصناعي (ICS) وبروتوكولات SCADA التي تدير دمج المتجددة.

• تكتيك محاولة تعطيل تدفقات البيانات في الوقت الفعلي المستخدمة لتحقيق توازن الشبكة. من خلال "تعمية" المشغلين عن مخرجات حوالي 25٪ من مزيج الطاقة الوطني (نسبة المتجددة كما ذكرت سابقًا)، كان المهاجمون يهدفون إلى إحداث انهيار في تردد الشبكة الأساسي.

• الوقت: تزامن مع موجة برد حيث انخفضت درجات الحرارة تحت -15°C، مما يزيد من احتمال حدوث فوضى اجتماعية وضائقة إنسانية.

كيف تم صد هذا الهجوم السيبراني؟

إن حقيقة أن بولندا تجنبت انقطاعًا تامًا هي دليل على نضج قوات الدفاع الإلكتروني الخاصة بها (DKWOC). وهو أيضًا انعكاس لمستوى الصلابة السيبرانية التي يمكن ربطها بالبنية التحتية للطاقة في بولندا.

الدبابات الرقمية، كما وصفها نائب رئيس الوزراء ووزير الشؤون الرقمية كشيشتوف غاوويسكي، والتي أطلقها Sandworm، واجهتها استراتيجية دفاع متعددة الطبقات أوقفت المهاجمين في مساراتهم:

• التشخيص المبكر: حددت فرق الأمن السيبراني أنماط حركة غير طبيعية في بروتوكولات الاتصال لمصادر التوليد الفردية وقامت بتفتيشها يدويًا قبل أن تصل إلى العقد المركزية للتوزيع. وواجه التحقيق الثاني الذي أُطلق خلال النافذة التي تزامنت مع وقت الغداء للموظفين نفس المصير.

• العزل المجزأ: سمحت الاستثمارات الأخيرة في تقسيم الشبكة للمشغلين بعزل تجمعات الطاقة المتجددة المخترقة بدون "إيقاف" الشبكة الإقليمية بأكملها.

• بروتوكولات التكرار: تم تفعيل التحويالت التلقائية الى النسخ الأنالوجية القديمة ذات الصلابة الرقمية الاحتياطية داخل النافذة الأولية. هذا ضمن أنه حتى مع كون روابط الاتصال تحت النيران، فقد ظل تسليم الطاقة الفعلي ثابتًا مما يُظهر الصلابة الحقيقية.

العثور والاستجابة يقدم دروسًا لجميع مشغلي البنية التحتية الحيوية في كل مكان.

سيناريو "الظل": ماذا إذا نجحت الهجمات؟

إذا تمكن المهاجمون من تعطيل التزامن بين المتجددة والشبكة، لكانت العواقب قد تكون كارثية وطويلة الأمد.

أكد الوزير غاوويسكي "لقد كنا قريبين جدًا من انقطاع التيار".

غالبًا ما كان يمكن أن يؤدي اختراق ناجح خلال موجة برد -15°C إلى:

• فشل متسلسل للشبكة أو حتى انقطاع واسع النطاق: كان الفقدان المفاجئ لمدخلات الطاقة المتجددة (التي قدمت 25٪ من القدرة حتى خلال العواصف الثلجية) سيفرض قطع الحمل الطارئ.

• أزمة إنسانية: في النظم التدفئة الحديثة المعتمدة على الكهرباء، فإن انقطاع التيار لمدة 48 ساعة في منتصف الشتاء يُترجم بشكل مباشر إلى فقدان الحياة.

• شلل اقتصادي: ما بعد الأثر السكني، كان تعطيل ممر "وارسو–لوبلين" ومحاور اللوجستيات سيتسبب في توقف تدفق المساعدات إلى أوكرانيا المجاورة، وهو إحدى الأهداف الثانوية المعروفة للتخريب الروسي.

أهداف الأمن السيبراني لعام 2026: "حزمة مكافحة انقطاع التيار"

الحكومة البولندية لا تقوم فقط بسد الثغرات؛ إنها تعيد صياغة الكتاب التكتيكي لعام 2026 بينما تضيف فصولاً جديدة. تهدف "حزمة مكافحة انقطاع التيار" المعلن عنها حديثًا إلى وضع المعايير التالية للصناعة:

يثبت هذا الهجوم السيبراني أن اللامركزية هي سلاح ذو حدين. في حين أن الشبكة الموزعة يصعب "قتلها" بضربة واحدة، إلا أنها تقدم أيضًا آلاف النقاط الجديدة للدخول أمام عدو سريع. استجابة بولندا التي تميزت بالانتقال من حماية المركز إلى حماية الحافة أثناء الكشف عن السلوكيات المشبوهة تقدم كلاً من الأمل والدروس لمشغلي البنية التحتية الحيوية. هذا شيء لا يجب أن ننساه بسرعة.

مهتم بتقرير مخصص عن تدابير الأمان المحددة لتقسيم شبكة OT الخاصة بك تحدث إلى خبيرنا.

قم بتجربة حية لحل NDR الخاص بنا لأمن OT، هنا.

مهتم بإحاطة متعمقة حول هذا الحادث، دعنا نعرف هنا.