كيف شلت وظيفة جانبية خط أنابيب النفط الوطني في رومانيا
برايوكت كيه في
الهجوم السيبراني الأخير على شركة كونبيت S.A.، مشغل خطوط أنابيب النفط الروماني المملوك للدولة، ليس مجرد إحصائية جديدة للبرامج الفدية بأي طول من الخيال. هو مثال آخر على هجوم معقد يعمل ضمن مظلة الحرب غير المتكافئة الحديثة، حيث تم جسر "الفجوة الهوائية" بين الحياة الشخصية لمسؤول IT والبنية التحتية للطاقة الحيوية للأمة بواسطة إصابة infostealer واحدة.
في العقد الماضي، رأينا جميعًا سقوط العديد من الأنظمة "غير القابلة للاختراق". ومع ذلك، فإن حادثة كونبيت واتصالها الواضح بالهجوم المنهجي على البنية التحتية الرومانية الحيوية تضيف فصلًا جديدًا في تطور الهجمات. تكشف عن تطور مرعب في الطريقة التي ينتقل بها الفاعلون المهيمنون مثل Qilin المعروف أيضًا بـ Agenda من الهجوم القوي إلى الدخول "المصادق عليه". كيلين هي مجموعة معروفة بإدخال البيانات المسروقة إلى السوق بسرعة كبيرة. مما يعني أن البيانات تجاوزت بالفعل الخارج إلى المشترين المحتملين بينما تستمر المفاوضات مع الضحية.
قبل أن نواصل، لا تنسَ الاطلاع على منشور مدونتنا السابق عن "تحليل عميق لأكثر الهجمات السيبرانية تدميراً في عام 2025 وفقًا لتوكيو مارين HCC إنترناشيونال،" هنا.
نبذة عن كونبيت
شركة كونبيت SA هي شركة رومانية مملوكة للدولة لخطوط الأنابيب. تتخصص في نقل النفط الخام، ومنتجات البترول، والإيثان عبر شبكة واسعة من خطوط الأنابيب تجتاز أكثر من 3,800 كيلومتر عبر رومانيا. تلعب الشركة دورًا حيويًا في أمن الطاقة في البلاد من خلال بنيتها التحتية. تعمل كونبيت لضمان النقل الفعال والآمن للموارد الاقتصادية الأساسية. لدى كونبيت أيضًا شراكات نشطة مع اللاعبين الرئيسيين في الصناعة مثل بترو OMV، وبتروتل لوك أويل، ورومبترول رافيناري. تأسست الشركة كـشركة نظام خط أنابيب النفط بلويشت (ITTC). وقد خضعت منذ ذلك الحين لعملية تحديث شاملة لتنتهي بتسميتها بعلامتها التجارية الحالية في عام 1991.
جدول زمني للخرق:
لم يبدأ الخرق في 3 فبراير 2026، عندما انطفأ الموقع الإلكتروني. بدأ ذلك قبل أسابيع في بيئة بعيدة تمامًا عن غرفة خوادم عالية الأمان.
11 يناير 2026: تم التعرف على "المريض صفر". يصاب جهاز كمبيوتر شخصي (اسم المضيف: DESKTOP-TCR5GQM) يعود لمسؤول تكنولوجيا المعلومات في كونبيت ببرنامج malware infostealer. يُزعم أن الجهاز كان يُستخدم في عمل جانبي لإصلاح الإلكترونيات (باستخدام المعرف "GadgetFix").
12 يناير 2026: تراقب المعلومات الاستخبارية للتهديدات بيانات المستخرجة المأرشفة للفهرسة. يتم جمع أكثر من 268 بيانات اعتماد، بما في ذلك مفاتيح الوصول إلى VPN الخاص بـ كونبيت، Cacti (مراقبة الشبكة). يشمل ذلك WSUS (خدمات تحديث الخوادم من ويندوز).
12 يناير – 2 فبراير 2026: وقت الإقامة. يستخدم مشغلو Qilin بيانات اعتماد VPN و WSUS المسروقة لتعيين الشبكة والاعتمادات. في بيئة OT، الوصول إلى أدوات مراقبة الشبكة مثل Cacti يعادل تقريبًا الحصول على مخطط للأعصاب.
3 فبراير 2026: الضربة تنفذ. تنشر Qilin برمجيات الفدية الخاصة بها Rust-based، وتشفير أنظمة تكنولوجيا المعلومات في الشركة واستخراج حوالي 1TB من البيانات الحساسة، بما في ذلك السجلات المالية، ومعلومات الشركة السرية بما فيها المخططات الخاصة بالأنابيب، وتفاصيل الموردين ومسح جوازات السفر للموظفين.
ملف تعريف الفاعل المهدد: صعود Qilin (اجندا)
Qilin هي مجموعة Ransomware-as-a-Service (RaaS) مرتبطة بروسيا وصعدت بسرعة إلى قائمة "الأكثر طلبًا" في عامي 2025 و2026.
لماذا هم تهديد من الدرجة الأولى لـ OT:
حافة Rust: قاموا بهجرة قاعدة الشفرة الخاصة بهم بالكامل من Go إلى Rust. وهذا يجعل من الصعب تحليل الثنائيات والفعاليات العالية الأداء لديهم، مما يسمح بتشفير سريع لمخازن البيانات عالية الحجم قبل أن تتدخل أدوات EDR.
التخصيص الموجه: خلافًا للمهاجمين "الرشاشة والدعاء"، يقوم Qilin بتخصيص الثنائيات لكل ضحية. يتضمنون مفتاحًا للقتل الذي يتحقق من المواقع النظامية (يتجنب CIS/روسيا) ويمكن أن يستهدف أو يتجاوز الدلائل بالتحديد لضمان ضرب الأنظمة الأكثر "ألمًا".
الشركاء المحفزون: بفضل هيكل الدفع الذي يتراوح بين 80–85%، يجذبون العاملين في الوصول الأولي (IABs) الخبراء المتخصصين في الحركة الجانبية. كما من المعروف أنهم يجرون حملات توظيف لجذب المواهب ذات الكفاءة العالية لتطوير البرمجيات الخبيثة
التركيز الذي لا يتزعزع على الضحايا ذات الشركات الكبيرة: اكتسب هذا الفاعل المهدد خبرة كبيرة في استهداف ضحايا الشركات وبيع بياناتهم. إنه بالفعل من بين أفضل التهديدات المستمرة المتسللة التي تنجح في الهجمات على الكيانات الكبيرة والمعروفة.
الدعم الحكومي: تدعم Qilin الدولة الروسية عبر مجموعات APT التابعة لها. تتلقى المجموعة شكلًا من أشكال الدعم من GRU الروسية ويحميها الدولة الروسية.
كما أنهم يعملون بأقصر دورة استهداف
كانت Qilin أيضًا وراء هجوم أساهي بريفاري. اقرأ التقرير هنا.
نظرة فنية عميقة: تسليح "طائرة الإدارة"
أكثر الجوانب التقنية إثارة للقلق في خرق كونبيت هو استغلال WSUS (خدمات تحديث الخوادم من ويندوز).
في بنية نموذج بوردو القياسي، نركز في الغالب على عزل المستوى الأول (أجهزة الحقل/المتحكمات) عن المستوى الرابع (تكنولوجيا المعلومات في الشركات). ومع ذلك، فإن طائرة الإدارة (التحديثات، المراقبة، النسخ الاحتياطية) غالبًا ما تقطع عبر هذه المستويات. من خلال اختراق خادم WSUS، اكتسبت Qilin منصة "موثوقة" لدفع الحمولة الضارة لكل جهاز HMI (واجهة الجهاز البشري) قائم على ويندوز وكل محطة عمل في البيئة المؤسسية دون إثارة الشكوك.
باختصار، لم يكونوا بحاجة للعثور على ثغرة في برمجيات SCADA للمخططات. لقد استغلوا فقط آلية النظام الخاصة (WSUS) لنشر السم.
الصورة الكبيرة: حصار رومانيا
هجوم كونبيت ليس بالتأكيد حادثًا معزولًا. إنه العقد الأخير في حملة منسقة ضد البنية التحتية الرومانية الحيوية التي تسارعت في أواخر عام 2025. رومانيا في عدسة الفاعلين المهددين الروس.
التاريخ | الهدف | فاعل/طريقة | الأثر |
20 ديسمبر 2025 | "خرق BitLocker" | تأثرت 1,000+ نظام؛ تم تسليح التشفير الأصلي. | |
26 ديسمبر 2025 | مجموعة "المحترمين" | تعطل ERP وتطبيقات الأعمال للطاقة الفحمية. | |
3 فبراير 2026 | كونبيت S.A. | كيلين | تم سرقة 1TB من البيانات؛ تعطلت تكنولوجيا المعلومات في الشركة؛ توقفت الموقع الإلكتروني. |
الرابط الاستراتيجي: هناك نمط واضح لاستهداف "الطبقات الإدارية" للمرافق الحيوية. بينما استمرت أنظمة OT (SCADA) في كونبيت والمياه الرومانية في العمل (بفضل التجاوزات اليدوية والتجزئة)، تم تعمية النهاية الإدارية التي تضم الفوترة، اللوجستيات، والاتصالات الداخلية.
في قطاع الطاقة، إذا لم تتمكن من الفوترة للنفط أو التواصل مع المرسلين عبر ERP، فإن التدفق الفعلي يتوقف في النهاية بسبب الشلل الإداري، محققين نفس النتيجة مثل إغلاق الصمام الفعلي بدون خطر بزيادة التحفيز المضاد.
"المغزى؟" لقيادة OT
يثبت خرق كونبيت أن الفاعلين المرهقين يتعقبونون ويستهدفون المشغلين للبنية التحتية الحيوية بإحكام. "الفجوة الجوية" هي خرافة عندما يسجل مسؤول تكنولوجيا المعلومات الدخول إلى البنية التحتية الحيوية من جهاز كمبيوتر يُستخدم لعمل جانبي.
الدروس المستفادة الرئيسية:
فرض المصادقة متعددة العوامل على كل شيء: عدم وجود مصادقة متعددة العوامل على بوابة VPN كان أول متتالٍ سقط.
تحصين طائرة الإدارة: يجب التعامل مع WSUS، وCacti، وVeeam كـ"أصول عالية التأثير في OT"، حتى لو كانت توجد داخل VLAN الشركة.
خطر الأطراف الثالثة/الشخصية: يجب على المنظمات مراقبة الويب العميق لتسرب بيانات اعتماد الموظفين قبل أن يتحول وقت الإقامة إلى نشر.
تقييم المخاطر: إجراء تقييمات المخاطر المستندة إلى IEC 62443 بانتظام لسد الثغرات المحددة
هل تحتاج إلى مساعدة في متطلبات إدارة المخاطر والامتثال الخاصة بك؟ تواصل مع خبيرنا.
المزيد عن خدمات توافق NIS2 الخاصة بنا.
تعلم المزيد عن خدمات الاستجابة للحوادث من Shieldworkz
تحدث إلى خبير أمني في العطلة (نعم لدينا محترف أمني مخصص يعرف كيفية ضبط إجراءات الأمان الخاصة بك خلال الأوقات الهادئة).
جرب منصتنا لأمان OT هنا.
الوثائق القابلة للتنزيل:
قائمة تحقق لأمن الفضاء الإلكتروني للصيانة الموقعية
قائمة تحقق لحماية التهديدات الداخلية
قائمة تحقق لإدارة المخاطر السيبرانية
قائمة تحقق IEC 62443 الإستراتيجية لحماية عمليات IACS
موقع كونبيت الإلكتروني لا يزال تحت التوقف وقت نشر هذه المدونة
احصل على تحديثات أسبوعية
الموارد والأخبار
قد تود أيضًا
From click to crisis: How Nova Scotia Power got breached
Team Shieldworkz
تفكيك دفتر مقاومة هندالة
برايوكت كيه في
تطبيق إطار عمل NIST CSF 2.0 ليتوافق مع IEC 62443: إطار عملي لأمن عمليات التكنولوجيا الصناعية
فريق شيلدوركز
نشر ضوابط الأمن IEC 62443 في أنظمة التحكم الصناعية المتكاملة: دليل التنفيذ العملي
برايوكت كيه في
معالجة تحديات تنفيذ NIS2
فريق شيلدوركز
المناطق الآمنة المعزولة جوياً ومعايير NERC CIP-015: لماذا تقصر تقنيات أمان SCADA التقليدية
فريق شيلدوركز
