أفادت شركة الأمن السيبراني Dragos أن الهجوم المنسّق الذي استهدف عدة مواقع ضمن شبكة الكهرباء البولندية في أواخر ديسمبر 2025 يُنسب – بدرجة ثقة متوسطة – إلى مجموعة قرصنة روسية مدعومة من الدولة تُعرف باسم ELECTRUM. ويُعد هذا الهجوم أول عملية كبرى تستهدف موارد الطاقة الموزعة (DERs)، مثل محطات التوليد المشتركة للطاقة الحرارية والكهرباء، وأنظمة إدارة الطاقة المتجددة من الرياح والشمس.
طبيعة الهجوم وتأثيره
الهجوم لم يتسبب في انقطاع الكهرباء، لكنه أتاح للمهاجمين الوصول إلى أنظمة تشغيلية حساسة (OT) والتحكم في معدات أساسية، بعضها تعطّل بشكل دائم. استهدف القراصنة أنظمة الاتصالات والتحكم بين مشغلي الشبكة ومصادر الطاقة الموزعة، مما أدى إلى تعطيل العمليات في نحو 30 موقعاً لتوليد الطاقة. كما تم اختراق وحدات التحكم الطرفية (RTUs) والبنية التحتية للاتصالات باستخدام أجهزة مكشوفة على الشبكة واستغلال ثغرات أمنية.
دور مجموعتي ELECTRUM وKAMACITE
التحقيقات تشير إلى أن ELECTRUM وKAMACITE ترتبطان بمجموعة أكبر تُعرف باسم Sandworm (المعروفة أيضاً بـ APT44 وSeashell Blizzard).
- KAMACITE تركز على الوصول الأولي عبر هجمات التصيّد الاحتيالي، سرقة بيانات الدخول، واستغلال الخدمات المكشوفة.
- بعد ذلك، تقوم ELECTRUM بتنفيذ العمليات داخل بيئات التشغيل الصناعي، عبر أدوات خاصة تستهدف أنظمة التحكم الصناعية (ICS)، سواء بالتلاعب اليدوي بواجهات التشغيل أو عبر نشر برمجيات خبيثة مصممة خصيصاً.
هذا الفصل في الأدوار يمنح مرونة كبيرة في التنفيذ، حيث تعمل KAMACITE على التمهيد للوصول، بينما تتولى ELECTRUM مرحلة التنفيذ والتأثير المباشر على الأنظمة التشغيلية.
أسلوب التنفيذ وخصائص الهجوم
بحسب Dragos، الهجوم البولندي اتسم بالعشوائية والسرعة أكثر من كونه عملية مخططة بدقة، إذ استغل المهاجمون الوصول غير المصرح به لإحداث أكبر قدر ممكن من الضرر عبر:
- مسح أجهزة Windows لتعطيل القدرة على الاسترداد.
- إعادة ضبط الإعدادات.
- محاولة تعطيل بعض المعدات بشكل دائم (bricking).
ورغم أن نطاق الأوامر التشغيلية التي حاول المهاجمون تنفيذها غير واضح، إلا أن تعطيل بعض الأجهزة الحيوية الخاصة بمراقبة السلامة والاستقرار الشبكي حوّل العملية من مجرد تموضع استباقي إلى هجوم فعلي.
دلالات استراتيجية
هذا الحادث يبرز أن الخصوم المزودين بقدرات متقدمة في مجال OT يستهدفون بشكل نشط أنظمة مراقبة وإدارة التوليد الموزع للطاقة. كما يؤكد أن نموذج العمليات المستخدم من قبل هذه المجموعات ليس مقيداً جغرافياً، بل يمكن أن يمتد إلى بيئات صناعية في دول أخرى، كما حدث في أنشطة مسح الأجهزة الصناعية داخل الولايات المتحدة في يوليو 2025.
