الهجوم الذي فشل: دروس مستفادة من حادثة تقنية العمليات (OT) الوشيكة في السويد
برايوكت كيه في
إن استهداف محطة طاقة حرارية سويدية في ربيع عام 2025، والذي أكده مؤخرًا وزير الدفاع المدني كارل-أوسكار بوهلين، يمثل تصعيدًا كبيرًا في حرب الهجين التي تُشن ضد البنية التحتية للطاقة في أوروبا. وبينما يتحدث الجميع عن الهجمات السيبرانية التي نجحت، من المهم أيضًا الحديث باستفاضة عن الهجمات السيبرانية التي تم إحباطها. هناك دروس في الفشل والنجاح معًا، ولذلك من الضروري فهم كيفية تنفيذ هذا الهجوم السيبراني وكيف تم إيقافه في مهده.
وكما رأينا خلال العامين الماضيين، فهذه ليست حادثة معزولة. لقد واصلت جهات التهديد الروسية اختبار جاهزية البنية التحتية الأوروبية الحيوية عبر مختلف البلدان. وفي الواقع، كان هذا الهجوم تمهيدًا لحملة أكثر تدميرًا وعلى نطاق واسع أُطلقت ضد بولندا في ديسمبر 2025.
ومن المشجع الإشارة إلى أن أيًا من هذين الهجومين لم ينجح.
في تدوينة اليوم، نتعمق في الهجوم على محطة الطاقة الحرارية السويدية، ونستعرض الأبعاد والارتباطات المختلفة المرتبطة بهذا الهجوم، ونوضح الخطوات اللازمة لمنع مثل هذه الهجمات.
وكما هو الحال دائمًا، قبل المتابعة، لا تنسَ الاطلاع على تدوينة المدونة السابقة حول الامتثال لمعيار NERC CIP هنا.
الخلفية
يركز قطاع الطاقة الحرارية في السويد بشكل أساسي على التوليد المشترك المستدام للحرارة والطاقة (CHP). وتستخدم المحطات الكبرى الكتلة الحيوية لتوفير التدفئة المركزية والكهرباء في مختلف أنحاء البلاد. ومن أبرز المنشآت مصنع الوقود الحيوي Värtaverket في ستوكهولم ومحطة CHP في Rya بمدينة غوتنبرغ، بينما تُعد Karlshamnsverket محطة احتياطية حيوية تعمل بالنفط. وتحوّل السويد المحطات القديمة التي تعمل بالفحم أو النفط إلى وقود مشتق من الكتلة الحيوية والنفايات بهدف تحقيق أهداف الحياد الكربوني.
مع بداية عام 2025، لاحظت Shieldworkz ارتفاعًا في هجمات الاستطلاع التي استهدفت دولًا أوروبية. وجاء ذلك بعد فترة هدوء استمرت قرابة ثمانية أشهر، حيث بدت الفضاءات السيبرانية الأوروبية ساكنة على نحو لافت. وقد أدى تصاعد هجمات الاستطلاع إلى كسر هذا النمط، وبدأت الهجمات التي استهدفت توليد الطاقة المتجددة والبنية التحتية المرتبطة بها في الارتفاع. ولم يكن أحد (ونحن جميعًا نعرف من هو) يرغب في أن تتحرك أوروبا بسرعة أكبر نحو توليد الطاقة المتجددة.
الحادثة: تحول من الإزعاج إلى التخريب
على مستوى العالم، تعامل قطاع الطاقة لسنوات في الأساس مع هجمات حجب الخدمة الموزعة (DDoS) التي كانت مزعجة لكنها في الغالب سطحية. وغالبًا ما تأتي هذه الهجمات بعد فترة من الاستطلاع الممتد.
تمثل هذه الحادثة تحولًا هيكليًا في نية الخصم وقدرته. فقد تجاوزت مجموعة قرصنة مؤيدة لروسيا، تعمل كوكيل للاستخبارات الروسية، المحيط التقني للمعلومات (IT) وتفاعلت مباشرة مع البنية التحتية للتقنية التشغيلية (OT). وقد مكّن نشاط الاستطلاع المستمر جهة التهديد من رسم خريطة لبيئة OT وتصميم استراتيجية تسلل موجهة.
الهدف: محطة طاقة حرارية كبرى في غرب السويد.
الإطار الزمني: ربيع 2025.
النتيجة: أُحبط الهجوم بواسطة «نظام أمان مدمج» قبل حدوث أي ضرر حركي أو أي شكل آخر من الأذى.
ما الذي سار على نحو خاطئ: نقطة الضعف المكشوفة
ورغم أن دفاعات المحطة السويدية صمدت، فإن «تشريح» المحاولة كشف عن اتجاه أكثر خطورة. فالمهاجمون لم يعودوا يهدفون فقط إلى استخراج البيانات أو البقاء لفترة من الوقت أو حتى بيع الوصول الذي حصلوا عليه. بل كانوا يسعون إلى التلاعب بالشبكة. وقد تكون هذه الهجمة من أوائل الهجمات التي مكّنت جهات التهديد الروسية من بناء أسلوب تشغيل لهجمات على البنية التحتية الأوروبية الحيوية.
الوسيلة: استهدف المهاجمون الأجهزة الطرفية غير المرقعة ونقاط الوصول البعيدة المكشوفة، وهي استراتيجية أتقنوها بعد أشهر في بولندا.
النية: كان الهدف إحداث «فقدان للسيطرة» بما يسمح لجهة معادية بإيقاف التوربينات أو إفساد البيانات المتدفقة إلى المشغلين، ما يخلق «نقطة عمياء» خطيرة.
الجهة المهددة: الوكيل الاستخباراتي
يشير إسناد وزير بوهلين إلى مجموعة قرصنة مؤيدة لروسيا ترتبط بوضوح بأجهزة الاستخبارات الروسية (ويُرجح أنها GRU، مديرية الاستخبارات الرئيسية الروسية، وتحديدًا الوحدة 74455).
وبحسب أبحاث Shieldworkz، فإن هذا يتماشى مع سلوك مجموعات مثل Static Tundra (Berserk Bear) أو Sandworm، التي تستخدم غالبًا واجهات «نشطاء قرصنة» لإخفاء العمليات المدعومة من الدولة والحفاظ على الإنكار المعقول.
نعتقد أن هذا الهجوم استُخدم لتدريب أعضاء جدد في Sandworm على تنفيذ هجمات على البنية التحتية للتقنية التشغيلية (OT).
الأضرار: نجاة بأعجوبة
وعلى خلاف الهجوم على الشبكة الكهربائية في بولندا في ديسمبر 2025، والذي أصاب أكثر من 30 موقعًا ببرمجية wiper خبيثة، لم تسفر الحادثة السويدية عن أي عواقب خطيرة. فقد تم اكتشاف الهجوم والتعامل معه في الوقت المناسب. ومنعت «الحماية المدمجة» في المحطة (وربما تكون آليات أمان مادية أو منطق أمان مبرمجًا سلفًا) التسلل الرقمي من التصاعد إلى فشل حركي.
أنماط العدوان: مشهد التهديدات على OT في الاتحاد الأوروبي
تُعد هذه الحادثة نقطة بيانات واحدة ضمن حملة أوسع وأكثر عدوانية تستهدف استقرار الطاقة في الاتحاد الأوروبي.
الدولة | ملف الحادثة | الاختلاف الرئيسي |
السويد | محاولة في ربيع 2025 على محطة حرارية. | أُحبطت بفضل آليات أمان OT مبرمجة مسبقًا. |
النرويج/الدنمارك | عدة «حوادث مماثلة» أكدها بوهلين. | غالبًا ما اتسمت باستطلاع طويل الأمد وفحص الأجهزة الطرفية. |
بولندا | الضربة الضخمة في ديسمبر 2025 على أكثر من 30 موقعًا. | استُخدمت برمجية DynoWiper الخبيثة لتدمير برمجيات RTU الثابتة وبيانات HMI. |
منع مثل هذه الهجمات على OT مستقبلًا
لم يعد تأمين الشبكة يتعلق فقط بحماية «القلعة» (محطات الطاقة المركزية) أو حتى الخندق المائي. بل أصبح الأمر يتعلق بتأمين «الحي» بأكمله (مواقع الرياح والطاقة الشمسية الموزعة).
استنادًا إلى الدروس المستفادة من الهجومين السويدي والبولندي، فيما يلي 10 خطوات رئيسية يمكن لمشغلي البنية التحتية الحيوية اتخاذها لتقوية بيئة OT لديهم ضد التخريب المدعوم من الدول.
1. تنفيذ اكتشاف كامل للأصول (اعرف المجهول)
لا يمكنك حماية ما لا يمكنك حصره. وغالبًا ما تحتوي المواقع الموزعة على أصول «غير محتسبة»؛ وهي في الأساس وحدات RTU قديمة أو وحدات اتصالات تم نسيانها بعد اكتمال المشروع.
الإجراء: استخدم أدوات NDR للاكتشاف السلبي مثل Shieldworkz لتوثيق كل PLC وHMI ومرحل. وارسم خريطة لإصدارات البرامج الثابتة وبروتوكولات الاتصال الخاصة بها.
2. فرض تقسيم صارم للشبكة
أوقف الحركة الجانبية. إذا تمكن مهاجم من اختراق شبكة VPN في مزرعة رياح، فلا ينبغي أن يتمكن من الوصول إلى موقع الطاقة الشمسية المجاور أو مركز التحكم الرئيسي.
الإجراء: طبّق مبادئ Zones and Conduits (وفقًا لـ ISA/IEC 62443) وعيّن مالكي المناطق. اعزل شبكات عمليات OT عن شبكة أعمال تقنية المعلومات باستخدام DMZ صناعي مُحصّن.
3. تطبيق المصادقة متعددة العوامل (MFA) في كل مكان
أثبت الهجوم البولندي أن بيانات الاعتماد الافتراضية وكلمات المرور المسروقة هي المفاتيح الأساسية للدخول.
الإجراء: فرض MFA على جميع عمليات الوصول عن بُعد. وإذا كان جهاز قديم لا يدعم MFA، فضعه خلف بوابة آمنة أو Jump Host يدعم ذلك.
4. جذر الثقة العتادي والإقلاع الآمن
تنجح برمجيات خبيثة مثل DynoWiper عبر استبدال البرمجيات الثابتة. وإذا لم يتمكن العتاد من التحقق من الشيفرة التي يشغّلها، فهو جهاز ينتظر التحول إلى قطعة معطلة.
الإجراء: الانتقال إلى عتاد يدعم الإقلاع الآمن. واستخدام وحدات منصة موثوقة (TPM) لضمان أن البرمجيات الثابتة الموقعة رقميًا والمصرح بها فقط هي التي يمكنها التنفيذ.
5. تعطيل المنافذ غير المستخدمة والحسابات الافتراضية (مراجعة الامتيازات)
تُعد نقاط الوصول «الخفية» هدية لجهات التهديد مثل Static Tundra.
الإجراء: أغلق جميع المنافذ الفيزيائية والمنطقية غير المستخدمة (FTP وTelnet وHTTP). وغيّر كل كلمة مرور مضبوطة من المصنع في اليوم الأول للنشر.
6. اكتشاف الشذوذ الخاص بـ OT
يبحث أمن تقنية المعلومات عن البيانات المسروقة؛ أما أمن OT فيجب أن يبحث عن الأوامر المادية «المستحيلة» أو أي انحرافات عن أنماط حركة المرور الأساسية.
الإجراء: نشر أدوات Network Detection and Response (NDR) التي تفهم البروتوكولات الصناعية (Modbus وDNP3 وIEC 60870-5-104). والتنبيه عند ظهور أوامر غير معتادة، مثل إرسال إشارة «إعادة تشغيل» جماعية إلى 50 وحدة RTU في الوقت نفسه.
7. سلامة البرمجيات الثابتة وحمايات «منع الرجوع»
غالبًا ما يحاول المهاجمون «خفض» إصدار الجهاز إلى نسخة أقدم وأكثر عرضة للثغرات من البرمجيات الثابتة.
الإجراء: فعّل آليات منع الرجوع في مسار التحديث لديك. فهذا يضمن عدم إجبار الجهاز على العودة إلى إصدار يحتوي على ثغرات أمنية معروفة.
8. إنشاء خط أساس للاستعادة «غير المتصلة»
إذا أصابتك برمجية wiper، فستختفي «الواجهة». تحتاج إلى القدرة على إعادة البناء من الصفر دون اتصال بالإنترنت.
الإجراء: احتفظ بنسخ احتياطية مؤكدة وغير متصلة لجميع منطق PLC وتكوينات HMI وإعدادات المرحلات. ودرّب على تمارين الاستعادة «من حالة الإيقاف البارد» سنويًا.
9. صرامة سلسلة التوريد (حلقة «المورّد الموثوق»)
تُظهر الحادثة السويدية أن الوكلاء غالبًا ما يستهدفون الأدوات أو الموردين الذين تثق بهم أكثر من غيرهم.
الإجراء: راجع ممارسات الأمان لدى مورديك. وتأكد من أن أجهزة الصيانة المحمولة التي يجلبها أطراف ثالثة إلى الموقع يتم فحصها في «غرفة نظيفة» قبل توصيلها بشبكتك.
10. المواءمة مع أدلة NIS2 وNERC CIP
الامتثال التنظيمي ليس مجرد أوراق؛ بل هو خط أساس دفاعي.
الإجراء: استخدم أدلة Shieldworkz التنظيمية وأدلة المعالجة لأتمتة تقارير الامتثال وضمان تلبية أحدث متطلبات الاتحاد الأوروبي للإبلاغ عن الحوادث وإدارة المخاطر.
الخلاصة
كان الهجوم السويدي في الأساس «استطلاعًا». فتمامًا كما تختبر طائرات القوات الجوية الروسية باستمرار جاهزية الدفاعات الجوية الأوروبية، كانت الوحدات الروسية تراجع مسارات الوصول وآليات الدفاع المتاحة لمعرفة طرق تجاوزها.
ومن خلال اختبار دفاعات محطة واحدة في الربيع، جمعت جهة التهديد معلومات استخباراتية حول أوضاع أمن OT للبنية التحتية الحيوية الأوروبية. وقد استُخدمت هذه المعلومات لتحسين الأدوات التدميرية المؤتمتة التي ظهرت في الحملة البولندية الضخمة في ديسمبر 2025. إن أدوات وتكتيكات جهات التهديد الروسية تتطور، وينبغي أن تتطور كذلك الدفاعات المطبقة لمنع مثل هذه الجهات من النجاح.
والدرس لمشغلي الشبكات واضح: التقنية التشغيلية هي خط المواجهة الجديد. يجب أن نتجاوز حلول الأمان على طريقة تقنية المعلومات، مثل الاستجابات المجزأة والترقيعية، وأن نطبق استجابة شاملة ومتكاملة تمتد عبر الاكتشاف والاستجابة. وإذا لم تكن قد راجعت سلامة البرمجيات الثابتة وأكملت حصر الأصول مؤخرًا، فأنت تعمل على وقت مستعار.
للاطلاع على استراتيجيات مفصلة للدفاع عن هذه الأصول الحيوية، راجع أحدث معايير أمن OT لدى Shieldworkz.
موارد إضافية
دليل شامل حول Network Detection and Response NDR في عام 2026 هنا
تقرير قابل للتنزيل حول الحادثة السيبرانية Stryker هنا
أدلة المعالجة هنا
أفضل ممارسات أمن OT وإرشادات تقييم المخاطر هنا
قائمة التحقق لتقييم مخاطر OT/ICS المستندة إلى IEC 62443 لقطاع تصنيع الأغذية والمشروبات هنا
احصل على تحديثات أسبوعية
الموارد والأخبار
قد تود أيضًا
How Ransomware Attacks Disrupt Industrial Systems
Team Shieldworkz
NERC CIP Requirements Explained for Power Utilities
Team Shieldworkz
What Is a Programmable Logic Controller and Why Industries Use It
Team Shieldworkz
SCADA System Security Guide: Strengthening Industrial Defenses with NIST and IEC 62443
Team Shieldworkz
The Gentlemen RaaS breach: What the leak reveals about modern cybercriminal operations
Shieldworkz Threat Research Team
OT Network Segmentation That Actually Works in Industrial Environments
Team Shieldworkz
