في 20 ديسمبر 2025، بينما كانت رومانيا تستعد لعطلات الشتاء، تم إطلاق حصار رقمي صامت ضد واحدة من أكثر ركائز الأمة أهمية: الإدارة الوطنية "Apele Române" أو المياه الرومانية.

بينما لم يرى المواطنون في البداية سوى موقع ويب غير متصل ورسائل إلكترونية مفقودة، كانت الحقيقة هي حادثة برامج فدية عالية المخاطر شلت أكثر من 1,000 نظام تكنولوجيا معلومات في جميع أنحاء البلاد. هنا تحليل استقصائي لحادثة "اختراق BitLocker". هذا هو الهجوم الذي يبرز تطوراً مرعبًا في كيفية استخدام القراصنة لأدوات الأمان المدمجة ضد الدولة.

يجب أن ينظر إلى هذا الهجوم أيضاً في ضوء هجمات مماثلة على البنية التحتية الحيوية في فرنسا. النمط هو نفسه: استهداف كيان بنية تحتية حيوي عام وجعله غير متصل لفترة ممتدة لإعاقة التعافي وللتأكد من أن وسائل الإعلام تلتقط الحادث. موقع المياه الرومانية لا يزال غير متاح في وقت كتابة هذه التدوينة.

قبل أن نواصل، لا تنسى الاطلاع على مدونتنا السابقة حول "لماذا استهدفت القراصنة الموالين لروسيا خدمة البريد الفرنسية لا بوست" هنا.   

الاختراق: إغلاق في عطلة نهاية الأسبوع

المياه الرومانية (الإدارة الوطنية Apele Române)، هي السلطة العليا لإدارة المياه في البلاد. وفقاً لموقع المياه الرومانية، تدير الإدارة الوطنية "المياه الرومانية" المياه في المجال العام للدولة والبنية التحتية لنظام إدارة المياه الوطني الذي يتكون من الخزانات، والسدود الدفاعية ضد الفيضانات، والقنوات، والتفرعات بين الأحواض، ومآخذ المياه وأعمال أخرى محددة، وكذلك البنية التحتية المرتبطة بالإدارة.

بدأ الحادث يوم السبت، 20 ديسمبر. بحلول الوقت الذي تم فيه إشعار المديرية الوطنية لأمن الإنترنت (DNSC)، كانت الأضرار منتشرة على نطاق واسع. لم يضرب الهجوم المقر المركزي في بوخارست فحسب؛ بل انتشر عبر 10 من 11 منطقة إدارة حوض مياه في رومانيا، بما في ذلك مراكز رئيسية في أوراديا، كلوج، ياشي، سريت، وبوزاو.

الأثر في لمحة:

• الأنظمة التي تعرضت للخطر: تقريبا 1,000 نظام تكنولوجيا معلومات.

• البنية التحتية المتأثرة: خوادم نظام المعلومات الجغرافية (GIS)، قواعد البيانات، خوادم الويب والبريد الإلكتروني، وخوادم أسماء النطاقات (DNS).

• الإنذار النهائي: مذكرة فدية تطالب بالاتصال خلال أسبوع

السلاح المفضل: "استغلال البنية التحتية الموجودة"

أبرز اكتشاف من قبل المحققين من DNSC ومركز الأمن السيبراني الوطني (CNC) هو غياب برامج الفدية التقليدية. بدلاً من ذلك، استخدم المهاجمون Microsoft BitLocker لتأمين الملفات في الأنظمة التي تمت قرصنتها.

كما يعلم الكثيرون منكم، فإن BitLocker ميزة مشروعة في نظام Windows صممت لحماية البيانات عبر التشفير. من خلال الحصول على امتيازات إدارية، قام المهاجمون بإغلاق "الباب الأمامي وتركوا المفتاح" باستخدام برنامج الحماية الخاص بالأداة لحجز بياناتهم كرهينة. يذكر هذا الأسلوب الشخص بالعبارة التي قالها جيف جولدنوم في فيلم الخيال العلمي حول غزو فضائي Independence Day. "إنهم يستخدمون أنظمتنا ضدنا." هذا ما يقوله ديفيد لفنسون، وهو مهندس ساتلايت مُتعلم في معهد ماساتشوستس للتقنية وخبير تكنولوجي عندما اكتشف أن الأجانب قاموا بتشفير نمط إشارة في الأقمار الصناعية الخاصة بنا لمساعدتهم في تنظيم سفنهم وتوقيت هجماتهم.

في الحقيقة، يفتح لفنسون الشفرة بسرعة ويستخدم حسابًا بسيطًا لمعرفة الوقت المتبقي للمهاجمين لإطلاق هجوم منسق على البنية التحتية الحرجة على الأرض. ربما كان هذا الفتح هو ما ساعد المهندس الفضائي لاحقًا في الفيلم على تطوير برامج ضارة مخصصة تسلل بها وأوقف سفينة الأم وكذا المركبات الأخرى التي شاركت في الهجوم على الأرض. لقد كان ذلك نجاة صعبة للبشرية بحسب رواية رولاند إميريش وصناع فيلم Independence Day الأول.    

نعتذر عن الاستطراد. دعونا الآن نعود مباشرة إلى الواقعة.  

هذه التكتيك "العيش من الأراضي" (LotL) يصعب للغاية على برامج مكافحة الفيروسات التقليدية اكتشافه لأن الأداة المستخدمة يُعتمد عليها بشكل طبيعي من قبل نظام التشغيل، ويمكن أن تتكيف الخدمات الإضافية ضمن الخدمات المشروعة لإبقاء الأنشطة غير النظامية مخفية.

الصمود: لماذا استمرت الصنابير تعمل

في معظم الهجمات على البنية التحتية الهامة، يكون السيناريو الكابوسي هو فقدان التكنولوجيا التشغيلية (OT). وهذا يشمل الأنظمة التي تسيطر فعليًا على السدود، وأبواب التحويل، وضغط المياه.

الأخبار الجيدة: نجحت المياه الرومانية في تقسيم شبكاتهم بين تكنولوجيا المعلومات (الإدارية) والتكنولوجيا التشغيلية (التشغيلية) مما جعل الأخيرة آمنة. بينما كانت "الأدمغة الرقمية" مضطربة، استمرت "الأيدي الفيزيائية" تعمل وظلت ثابتة.

• التحويل اليدوي: انتقل المرسلون فورًا إلى الاتصالات عبر الهاتف والراديو.

• التحكم المحلي: الموظفون في المواقع الهيدروليكية أداروا الهيكل يدويًا، لضمان أن الدفاعات ضد الفيضانات وإمدادات المياه عملت طوال الأزمة.

درع محتمل مفقود

ربما كانت الاكتشاف الأكثر أهمية من التحقيق هو أن المياه الرومانية لم تكن مسبقًا مدمجة بأي طريقة في نظام الحماية الإلكترونية الوطني للبنية التحتية الحرجة.

يدير مركز الأمن السيبراني الوطني (التابع لـ SRI) مظلة دفاع متطورة لكل من الكيانات العامة والخاصة ذات الأهمية الوطنية. هذا الحادث كشف عن فجوة من نوع ما: كان أحد مديري الخدمات الحيوية في البلاد جالسًا خارج الحصن بشكل أساسي.

في ضوء الحادث، قامت DNSC باتخاذ الخطوات اللازمة لدمج هذه البنية التحتية ضمن الأنظمة التي تم تطويرها بواسطة CNC لضمان الحماية السيبرانية لكل من البنى التحتية IT&C العامة والخاصة ذات الأهمية الحيوية للأمن الوطني، من خلال استخدام التقنيات الذكية. وذلك بحسب مذكرة محدثة أصدرتها DNSC.

الحالة الحالية:

• لا تفاوض: وفقًا لسياسة DNSC، رفضت السلطات الاتصال بالقراصنة بأي شكل من الأشكال.

• الإدماج: يتم الآن تسريع الإجراءات لسحب بنية المياه تحت مظلة الدفاع السيبراني الوطني.

• المساءلة: في حين لم يعلن أي مجموعة المسؤولية، فإن التوقيت والمنهجي يشبهان الأنشطة الأخيرة لمجموعات هاكر موالية لروسيا (مثل Z-Pentest أو NoName057) التي استهدفت المرافق الأوروبية على مدار عامي 2024 و2025.

وفقًا لـ DNSC، الوضع حاليًا تحت السيطرة، وتستمر الأنشطة الأساسية لـ ANAR دون التأثير على مراقبة الموارد المائية أو تشغيل البنية التحتية الهيدروليكية.

التدابير الرئيسية التي يتم تنفيذها هي كالتالي:

·  تم استعادة حسابات المستخدمين بالكامل. يسمح هذا باستئناف الوصول الآمن للموظفين إلى أنظمة تكنولوجيا المعلومات اللازمة للنشاط الحالي.

·  خدمة البريد الإلكتروني في عملية إعادة التشغيل وتستقر. تعمل الفرق التقنية على استعادة العمليات بشكل كامل لجميع المستخدمين في أقصر وقت ممكن.

·  لضمان استمرارية أنشطة المراقبة والتنسيق الحرجة، تم نقل تطبيق الإرسال الضروري للمراقبة الهيدرولوجية ووضعه في بيئة تكنولوجيا معلومات آمنة.

·  يجري العمل بالتوازي على استعادة التطبيق المالي. سيتم الإعلان عن توفره للمواطنين في الأيام القادمة.

·  كما يجري العمل لاستعادة وتأمين الموقع الإلكتروني www.rowater.ro، بحيث يمكن استعادته بالكامل إلى وظيفته. الموقع لا يزال معطل.

الحكم: جرس إيقاظ لعام 2026

يمكن اعتبار حادث المياه الرومانية بالفعل كفصل رئيسي في حرب غير متناظرة حديثة. لم يحتاج المهاجمون إلى شفرة مخصصة؛ كانوا يحتاجون فقط إلى نقطة دخول واحدة لتسليح تشفير النظام نفسه.

بالنسبة لمجتمع الأمن السيبراني، هذا تذكير بأن "الثقة الصفرية" ليست مجرد كلمة طنانة - إنها ضرورة. عندما يمكن تحويل أدوات الحماية الخاصة بك إلى قفص، لم يعد المحيط كافيًا.

هل أنت مهتم باحاطة مخصصة حول التدابير الأمنية المحددة لتقسيم شبكة OT الخاصة بك؟ تحدث إلى خبيرنا.

جرب حلنا للحماية من الهجمات الشبكية لنظام OT، هنا.

لكل شيء آخر، أعلمني هنا.