لقد أثبتت الأيام الأخيرة من عام 2025 أنها ليست سلمية بأي حال من الأحوال بالنسبة للبنية التحتية الحيوية في رومانيا. بينما كان معظم الناس في حالة مزاجية للاحتفال بالأعياد، يبحثون عن قضاء الوقت مع العائلات، كانت فرق الأمن تعكف على احتواء اختراق أمني كبير في مجمع الطاقة أولتينيا، الذي يُعد أكبر منتج للطاقة القائم على الفحم في البلاد.

بالطبع، لم يكن هذا حادثة منعزلة بأي خيال. كان ضربة كبيرة ثانية لشبكات المرافق الرومانية في غضون أسابيع قليلة. عندما يُنظر إليهما معًا، يُشير هذا إلى حملة متطورة ومستمرة وموجهة ضد الخدمات الأساسية لرومانيا في وقت حرج.

الخلفية

مجمع الطاقة أولتينيا هو شبكة من مناجم الفحم ومحطات الطاقة، تُدار من قبل الطاقة المعقدة أولتينيا S.A. (CEO)، عبر مناطق غورج وفالشي ومهدينتسي في رومانيا. هذه المناطق جزء من المنطقة التاريخية أولتينيا التي تجسد التراث والجمال الخلاب لعرض تجربة فريدة للزوار. 

تم إنشاء مجمع الطاقة أولتينيا في عام 2012 من خلال دمج الشركة الوطنية للفحم أولتينيا مع مجمعات الطاقة تارشيني وروفيناري وكرايوفا. وفقًا لتقرير يوراكوال المنشور في أوائل 2024، تتركز احتياطيات الليغنيت في منطقة صغيرة نسبيًا تبلغ 250 كيلومترًا مربعًا. هذا هو المكان الذي يُستخرج فيه الليغنيت في عشرة مناجم سطحية ويُعد جزءًا حيويًا من المجمع.

الهجوم على المدير التنفيذي: "الجنتلمان" يتحرك

في 26 ديسمبر 2025، حوالي الساعة 01:40 صباحًا (بتوقيت المنطقة)، أطلقت مجموعة من برامج الفدية تُسمى "الجنتلمان" هجومًا منسقًا ضد البنية التحتية للأعمال في المدير التنفيذي. لم يكن التوقيت مصادفة. بل كان هجومًا تكتيكيًا منسقًا جاء خلال فترة عطلة عيد الميلاد عندما يكون عدد الموظفين قليلًا وأوقات الاستجابة غالبًا ليست على ما يرام.

كان التأثير شبه فوري:

• توقفت الأنظمة عن العمل: تم تشفير أنظمة تخطيط موارد المؤسسات (ERP)، وإدارة الوثائق، وخدمات البريد الإلكتروني، والموقع الرسمي وتم أخذها دون اتصال.

• تأثرت العمليات: في حين ظل النظام الوطني للطاقة (SEN) مستقرًا، تعرض الهيكل الإداري واللوجستي لشركة توفر 30 في المائة من كهرباء رومانيا للشلل بشكل أساسي.

• فاعل التهديد: المجموعة "الجنتلمان"، التي ظهرت لأول مرة في أغسطس 2025، معروفة باستغلال الخدمات المعرضة للإنترنت وبيانات الاعتماد المخترقة. على عكس الفاعلين "اضرب واهرب"، غالبًا ما يجريون استطلاعًا متعدد المراحل لضمان ضربهم للطبقة ERP والتي هي بمثابة "العقل" للعمليات الشركات.

• تُجرى مثل هذه الفحوصات بشكل انتهازي من قبل فاعل التهديد للاستفادة من النوافذ التي يوفرها عمليات الصيانة اللاحقة، أو التنشيط لخدمات جديدة أو تدريبات العمل.

ربط النقاط: "الروابط الرومانية" كالمقدمة

لفهم خطورة (وسياق) هجوم المدير التنفيذي، يجب أن ننظر إلى يوم 20 ديسمبر 2025 الماضي. عانى الإدارة الوطنية للمياه "أبيل رومان" من حدث فدية ضخم أدى إلى اختراق ما يقرب من 1000 نظام تكنولوجيا معلومات في 10 من مكاتبه الإقليمية الـ 11. لقد قدمنا تغطية مفصلة لذلك الهجوم هنا.

التحقيق

بينما استخدم هجوم المدير التنفيذي سلالة مخصصة وربما جديدة من برامج الفدية "الجنتلمان"، كان هجوم إدارة المياه أكثر "اعتمادًا على الأدوات المحلية"، وتم تسليح Windows BitLocker لقفل الموظفين. الهجومين مختلفين بقدر اختلاف الطباشير عن الجبن، لكن على الرغم من الأدوات والطرق المختلفة، فإن الرابط الاستراتيجي لا يقبل الجدل:

• الاستهداف المنهجي: كلا الهجومين هدّف إلى الطبقات الإدارية لتكنولوجيا المعلومات لكيانات تدعم أنظمة الطاقة والمياه الوطنية.

• "فجوة الأعياد": كلاهما حدث في أواخر ديسمبر، مستغلًا انخفاض مستوى اليقظة الذي يأتي مع أي موسم عطلات.

• الاعتماد المتبادل على الطاقة المائية: تدير "أبيل رومان" السدود وتدفقات المياه التي يعتمد عليها المدير التنفيذي والمزودون الآخرون للطاقة من أجل التبريد والطاقة المائية. من خلال ضرب إدارة المياه أولًا، قام فاعل التهديد بفعالية بخرائط التبعيات لشبكة الكهرباء الرومانية قبل الانتقال إلى عملاق الطاقة نفسه. يجب أن تولي جميع مشغلي البنى التحتية الحساسة اهتمامها لهذا الأمر.

• كلا الهجومين كانا يستهدفان رومانيا

فاعل التهديد

المجموعة وراء الهجوم "الجنتلمان" هي وافد جديد نسبيًا نضج بشكل كبير خلال السنوات القليلة الماضية. على عكس فاعلي التهديد التقليديين الذين غالباً ما ينغمسون في تكتيكات الضرب والهروب، تُعَرف هذه المجموعة بإجراء عمليات استطلاع تنتشر عبر أشهر. تشمل التكتيكات الثلاثة الشائعة المستخدمة من قبل "الجنتلمان" خلال المراحل المبكرة ما يلي:

·       توثيق جميع الأجزاء القابلة للوصول من البنية التحتية من الويب (مثل المنافذ المفتوحة)

·       جمع بيانات السجلات المُخترَقة لإنشاء ملف تعريف للثغرات (بما في ذلك الخدمات المحتملة التي يمكن اختراقها) للضحية المحتملة

·       تحديد نافذة لشن الهجوم و/أو نشر الفدية

·       استخراج البيانات وتسليم مذكرة الفدية

فيما يلي الجدول الزمني للهجوم كما حدده باحثونا.

في شهر نوفمبر 2025، قد تكون المجموعة بدأت في اختبار الخدمات المكشوفة (باستخدام ماسح آي بي متقدم) المتصلة بعمليات المدير التنفيذي. بمجرد اكتشاف الخدمات، استخدمت المجموعة بيانات الاعتماد المسربة سابقًا من عمليات اختراق أخرى لاستهدافها. على سبيل المثال، تمكن فريقنا من العثور على مجموعتين من بيانات الاعتماد خلال المرحلة الأولى من تحقيقنا. كانت المجموعة الأولى تتعلق بأحد أعضاء فريق العمليات (تسربت بيانات الاعتماد في عام 2021 خلال حادثة اختراق Nitro PDF). تم العثور على مجموعة بيانات اعتماد أخرى مرتبطة بمعرف بريد إلكتروني عام للشركة في تسرب مرتبط بحادثة اختراق منتج "Orbis" التابعة لـ Bureau van Dijk's (BvD).

بمجرد أن تمكن الفاعل السيء من الوصول والسيطرة على الخدمات، قاموا بتخطيط مختلف قطاعات البنية التحتية والشبكات المتصلة مع أنماط استخدام النظام. بالتوازي، قام الفاعل أيضًا بتعطيل العديد من برامج مكافحة الفيروسات عن طريق استغلال عدة برامج تشغيل Windows لإنهاء العمليات المحمية. نعتقد أن هذه العملية بدأت حول عطلة يوم القديس أندرو ويجب أن تكون اكتملت نحو نهاية الأسبوع الثاني من ديسمبر 2025. ومنذ ذلك الحين كان الأمر مجرد انتظار لأن "الجنتلمان" انتظرت حتى وصول الموسم الناقص لتفعيل الفدية في النهاية.     

دروس الأمن السيبراني لعام 2026: واقع البنية التحتية الحيوية

بينما نتجه نحو عام 2026، أصبح عقلية "الحراس القدامى" في الأمن التي تعتمد على فصل تكنولوجيا التشغيل على الهواء غير ذات فائدة. هذه الهجمات تثبت أنه لا تحتاج إلى لمس توربين لإيقاف محطة توليد الطاقة؛ تحتاج فقط إلى تشفير نظام ERP الذي يدير سلسلة توريده وموظفيه.

دروس حرجة للمشغلين:

• ERP هو في الأساس المحيط الجديد: تعتمد التكنولوجيا الحديثة على تكنولوجيا المعلومات للوجستيات. إذا تعطلت تكنولوجيا المعلومات لديك، في النهاية ستعاني تكنولوجيات التشغيل لديك.

• النسخ الاحتياطية التي لا يمكن تغييرها غير قابلة للتفاوض: تمكن المدير التنفيذي من البدء في إعادة البناء على بنية تحتية جديدة لأن لديهم نسخًا احتياطية صالحة. بدونها، سيكونون تحت رحمة مفاوضي "الجنتلمان". الفشل في الحفاظ على الخدمات الحرجة خلال موسم العطلات كان يمكن أن يشكل خطر رد فعل عام كبير لأي مشغل للبنية التحتية الحيوية.

• نظافة بيانات الاعتماد: من المرجح أن كلا الهجومين بدأ بمجموعة واحدة فقط من بيانات الاعتماد المسروقة. يجب فرض المصادقة متعددة العوامل (MFA) ليس فقط على البريد الإلكتروني، ولكن على كل خدمة داخلية.

• توعية الموظفين: يجب أن يعرفوا عن مستويات تطور فاعلي التهديد مثل "الجنتلمان"

الالتزام بنظام NIS2 وتوجهات التهديدات لتكنولوجيا التشغيل

لم تعد تنفيذ توجيه NIS2 "متطلبًا مستقبليًا" — بل هو الأساس للبقاء في عام 2026. تؤكد هذه الحوادث على عمودين رئيسيين من التوجيه:

التقييمات الأمنية الإجبارية والمخاطر لتكنولوجيا التشغيل

تاريخيًا، تم تجاهل أنظمة تكنولوجيا التشغيل (أجهزة تحرك المياه وتولد الطاقة بشكل فعلي) في تقييمات المخاطر لأنها كانت "غير متصلة". كما هو موضح في هجوم إدارة المياه، حتى عندما تبقى تكنولوجيا التشغيل وظيفية، فإن فقدان التواصل المعتمد على تكنولوجيا المعلومات (الاعتماد على الإذاعة والهاتف) يخلق ضباب عملي خطير. يتطلب عام 2026 المراقبة المستمرة لتكنولوجيا التشغيل للكشف عن التحرك الجانبي من شبكات تكنولوجيا المعلومات قبل أن يصل "سلسلة القتل" إلى الأصول المادية.

المرونة في سلسلة التوريد والقطاع

يفرض NIS2 أن تنظر الكيانات إلى ما بعد حدودها. يبرز الرابط بين "أبيل رومان" والمدير التنفيذي أن الثغرة في إدارة المياه هي ثغرة في إنتاج الطاقة. يجب على المشغلين إجراء تقييمات تهديد مشتركة مع شركائهم في التيار العلوي والسفلي.

قائمة التحقق من استجابة الحوادث في تكنولوجيا التشغيل لعام 2026

بالنسبة لمشغلي البنية التحتية الحيوية، لم يعد هناك مجال للخطأ. يمكنك استخدام قائمة الاستجابة للحوادث الأساسية هذه لتدقيق جاهزيتك لمشهد تهديدات عام 2026:

التحضير والرؤية

• [ ] اكتشاف الأصول السلبية: هل لديك جرد تلقائي في الوقت الفعلي ومختبر لكل جهاز تحكم منطقي قابل للبرمجة (PLC)، واجهة انسانية-آلة (HMI)، وبوابة في شبكتك لتكنولوجيا التشغيل؟ (يمكن أن يؤدي المسح الفعال إلى تعطل تكنولوجيا التشغيل القديمة؛ استخدم المراقبة السلبية باستخدام Shieldworkz).

• [ ] النسخة الاحتياطية لـ "المنطق": هل لديك نسخ احتياطية غير قابلة للتغيير وغير متصلة ليس فقط لبياناتك، بل لمنطق وتهيئات PLC الخاص بك؟

• [ ] إن الشبكات المقسمة: هل فصلت شبكات تكنولوجيا المعلومات وتكنولوجيا التشغيل بواسطة "DMZ" مع تصفية صارمة على مستوى البروتوكول (على سبيل المثال، السماح فقط بحركة مرور Modbus أو OPC-UA)؟

• [ ]هل قام شخص ما بفحص الويب المظلم ومواقع أخرى ومنتديات لمعرفة ما إذا تم تسريب أي بيانات مؤسسة أو موظفين؟ إذا كان الأمر كذلك، هل اتخذنا أي تدابير لتأمين البيانات أو النظام المتضرر بشكل إضافي؟

الكشف والإبلاغ (التوافق مع NIS2)

• [ ] محفز الـ 24 ساعة: هل هناك سير عمل واضح لإخطار CSIRT الوطني في غضون 24 ساعة من حدث "تحذير مبكر"؟

• [ ] الخط الأساسي السلوكي: هل يمكن لأنظمتك اكتشاف تحرك فاعل مثل "الجنتلمان" بشكل جانبي، أم أنك تلاحظ فقط عند بدء التشفير؟

• [ ] تدقيق سلسلة التوريد: هل قمت بتدقيق الأدوات الوصول البعيد التي يستخدمها بائعو الصيانة التابعون لطرف ثالث؟

الاستجابة والمرونة اليدوية

• [ ] تمارين محاكاة "انطلاق أسود": هل قمت بإجراء محاكاة حيث تكون شبكة تكنولوجيا المعلومات مظلمة بنسبة 100٪؟ هل يمكن للمهندسين الخاصين بك ما زالوا تشغيل المحطة الفعلية يدويًا؟

• [ ] التواصل خارج النطاق: هل لديك خطة اتصال عبر الأقمار الصناعية أو مشفر لا تعتمد على خادم البريد الإلكتروني/ VOIP للشركة؟

• [ ] الحفاظ على الأدلة: هل تتضمن خطة الاستجابة للحوادث الخاصة بك خطوة "الأدلة أولاً" لالتقاط الذاكرة المتطايرة قبل إعادة تشغيل أجهزة العمل في تكنولوجيا التشغيل المخترقة؟

قالب استجابة الحوادث الأكثر تفصيلًا متاح هنا.

قد يدّعي "الجنتلمان" أنهم متطورون، لكنهم أيضًا انتهازيون، مدركون للتكتيكات وصبورون. يستغلون الفجوات الأمنية المتعددة التي توجد لدى مشغلي البنية التحتية الحيوية في كل مكان. أزمة الشتاء في رومانيا 2025 هي نداء استيقاظ عالي لأوروبا: الامتثال مع NIS2 هو الأرضية (أو الأساس)، وليس السقف.

وأخيرًا، قاعدة جديدة. فاعلو التهديد ليسوا في إجازة هذا العام بالتأكيد. لذلك حان الوقت لرفع مستوى حمايتك أيضًا.

تعرف أكثر على خدمات استجابة الحوادث من Shieldworkz

تحدث إلى خبير أمان العطلات (نعم، لدينا محترف أمني مخصص يعرف المزيد عن ضبط تدابير أمانك خلال الأوقات الناقصة).

جرب منصة الأمان لتكنولوجيا التشغيل لدينا هنا.