كشف باحثون في الأمن السيبراني عن برمجية جديدة غير موثقة سابقاً تحمل اسم Lotus Wiper، استُخدمت في هجمات مدمرة ضد قطاع الطاقة والمرافق في فنزويلا أواخر عام 2025 وبداية 2026، وفقاً لتقرير صادر عن شركة Kaspersky.
البرمجية صُممت خصيصاً لمسح البيانات وتعطيل الأنظمة، حيث تبدأ العملية عبر سكريبتات Batch مسؤولة عن تهيئة البيئة وإضعاف الدفاعات قبل تنفيذ الحمولة النهائية.
آلية التنفيذ والتدمير
بمجرد نشر البرمجية، تقوم بمسح آليات الاستعادة، والكتابة فوق محتويات الأقراص الفيزيائية، وحذف الملفات بشكل منهجي عبر جميع وحدات التخزين المتأثرة، مما يجعل النظام غير قابل للتشغيل.
البرمجية لا تحتوي على أي تعليمات ابتزاز أو طلب فدية، ما يؤكد أن الهدف ليس مالياً بل تخريبياً بحتاً.
التحقيقات أظهرت أن العينة جرى رفعها إلى منصة عامة في ديسمبر 2025 من جهاز في فنزويلا، أي قبل أسابيع من الأحداث العسكرية الأميركية في البلاد مطلع يناير 2026، ما يثير تساؤلات حول الترابط بين هذه الوقائع.
سلسلة الهجوم وتقنيات الاستغلال
الهجوم يبدأ بسكربت أولي يحاول إيقاف خدمة UI0Detect الخاصة بنظام ويندوز، وهي ميزة أُزيلت من الإصدارات الحديثة بعد Windows 10 (الإصدار 1803)، ما يشير إلى أن البرمجية تستهدف أنظمة أقدم.
بعد ذلك، يتحقق السكربت من مشاركة NETLOGON ويصل إلى ملف XML بعيد، ثم ينفذ سكربتاً ثانياً يقوم بـ:
- تعداد حسابات المستخدمين المحليين.
- تعطيل تسجيلات الدخول المخزنة مؤقتاً.
- تسجيل خروج الجلسات النشطة.
- تعطيل واجهات الشبكة.
- تنفيذ أمر diskpart clean all لمسح جميع الأقراص المنطقية.
كما يستخدم السكربت أداة robocopy لمسح أو استبدال محتويات المجلدات، ويستعين بـ fsutil لإنشاء ملفات ضخمة تملأ مساحة التخزين بالكامل، ما يعطل أي محاولة للاستعادة.
الأثر على البنية التحتية والتحذيرات الأمنية
بعد تهيئة البيئة، يبدأ Lotus Wiper في حذف نقاط الاستعادة، والكتابة فوق القطاعات الفيزيائية بالأصفار، ومسح سجلات النظام، وإزالة جميع الملفات من وحدات التخزين المثبتة.
هذا النوع من الهجمات يترك الأنظمة في حالة شلل تام، ويهدد بشكل مباشر استقرار البنية التحتية الحيوية.
أوصت Kaspersky المؤسسات بمراقبة تغييرات NETLOGON، ورصد أي محاولات لتفريغ بيانات الاعتماد أو تصعيد الصلاحيات، والانتباه لاستخدام أدوات ويندوز الأصلية مثل fsutil وrobocopy وdiskpart، إذ غالباً ما تُستغل في تنفيذ الأنشطة التخريبية.
دلالات الاستهداف ومعرفة البيئة
أشارت التحليلات إلى أن البرمجية صُممت بخصائص تستهدف إصدارات قديمة من ويندوز، ما يدل على أن المهاجمين كانوا على دراية دقيقة بالبيئة المستهدفة، وربما اخترقوا النطاقات قبل فترة طويلة من تنفيذ الهجوم.
هذا يعكس طبيعة الهجوم الموجه بعناية، والذي يهدف إلى تعطيل قطاع الطاقة في فنزويلا في توقيت حساس سياسياً واقتصادياً.
