برمجية Lotus Wiper تستهدف أنظمة الطاقة في فنزويلا بهجوم تخريبي مدمر

اكتشف باحثو الأمن السيبراني برمجية مسح بيانات (Wiper) غير موثقة سابقًا، تم استخدامها في هجمات استهدفت فنزويلا في نهاية العام الماضي وبداية عام 2026.

أُطلق على هذه البرمجية اسم Lotus Wiper، وقد استُخدمت في حملة تخريبية استهدفت قطاع الطاقة والمرافق في فنزويلا، وفقًا لنتائج شركة كاسبرسكي.

وقالت الشركة: “يوجد ملفا سكربت من نوع Batch مسؤولان عن بدء المرحلة التدميرية من الهجوم وتجهيز البيئة لتنفيذ الحمولة النهائية للماسح.” وأضافت أن هذه السكربتات تنسّق بدء العملية عبر الشبكة، وتضعف دفاعات النظام، وتعطل العمليات الطبيعية، قبل جلب الحمولة الخبيثة غير المعروفة وفك تشفيرها وتشغيلها.

بمجرد تنفيذها، تقوم البرمجية بمسح آليات الاستعادة، والكتابة فوق محتوى الأقراص الفعلية، وحذف الملفات بشكل منهجي عبر وحدات التخزين المتأثرة، ما يؤدي إلى جعل النظام غير قابل للتشغيل بالكامل.

لا تحتوي البرمجية على أي مطالب فدية أو تعليمات دفع، ما يشير إلى أن الهدف ليس ماليًا. ويُذكر أن العينة تم رفعها إلى منصة عامة في منتصف ديسمبر 2025 من جهاز داخل فنزويلا، قبل أسابيع من التحرك العسكري الأمريكي في البلاد مطلع يناير 2026، بينما تم تجميعها في أواخر سبتمبر 2025.

ولا يزال من غير المعروف ما إذا كان هناك ارتباط بين الحدثين، لكن كاسبرسكي أشارت إلى أن رفع العينة جاء “خلال فترة شهدت تقارير متزايدة عن نشاط برمجيات خبيثة تستهدف نفس القطاع والمنطقة”، ما يدل على أن الهجوم عالي الاستهداف.

تبدأ سلسلة الهجوم بسكربت Batch يقوم بتشغيل سلسلة متعددة المراحل لإسقاط الحمولة الخبيثة. ويحاول تحديدًا إيقاف خدمة Windows Interactive Services Detection (UI0Detect)، والتي تُستخدم لتنبيه المستخدمين عندما يحاول برنامج يعمل في الخلفية عرض واجهة رسومية.

يُذكر أن هذه الخدمة تمت إزالتها من الإصدارات الحديثة من نظام ويندوز، ما يشير إلى أن السكربت مُصمم للعمل على أنظمة أقدم من Windows 10 إصدار 1803.

بعد ذلك، يتحقق السكربت من وجود مشاركة NETLOGON ويصل إلى ملف XML بعيد، ثم يبحث عن ملف محلي بنفس الاسم ضمن مسار محدد مسبقًا. وبغض النظر عن النتيجة، ينتقل إلى تنفيذ سكربت ثانٍ.

وأوضحت كاسبرسكي أن هذا الفحص المحلي يهدف على الأرجح إلى تحديد ما إذا كان الجهاز جزءًا من نطاق Active Directory. وفي حال عدم العثور على الملف البعيد، يتوقف السكربت، أما إذا تعذر الوصول إلى NETLOGON، فيتم تأخير التنفيذ عشوائيًا حتى 20 دقيقة قبل إعادة المحاولة.

السكربت الثاني يقوم بعدة عمليات تخريبية، تشمل:

• حصر حسابات المستخدمين المحليين
• تعطيل تسجيلات الدخول المخزنة
• تسجيل خروج المستخدمين النشطين
• تعطيل واجهات الشبكة
• تنفيذ أمر diskpart clean all لمسح جميع الأقراص

كما يستخدم أدوات ويندوز مثل robocopy للكتابة فوق الملفات أو حذفها، وfsutil لإنشاء ملفات تملأ كامل مساحة القرص، مما يعطل إمكانية الاستعادة.

بعد تهيئة البيئة، يتم تشغيل Lotus Wiper لمسح نقاط الاستعادة، والكتابة فوق القطاعات الفيزيائية بالأصفار، ومسح سجلات النظام (USN)، وحذف جميع الملفات من وحدات التخزين.

تنصح كاسبرسكي المؤسسات، خاصة الحكومية، بمراقبة:

• تغييرات مشاركة NETLOGON
• محاولات سرقة بيانات الاعتماد أو تصعيد الصلاحيات
• استخدام أدوات ويندوز الأصلية مثل fsutil وrobocopy وdiskpart

واختتمت الشركة بأن استهداف إصدارات قديمة من ويندوز يشير إلى أن المهاجمين كانوا على دراية بالبنية التحتية، وربما اخترقوا الشبكة قبل فترة طويلة من تنفيذ الهجوم.