برمجية محو (Wiper) جديدة تستهدف قطاع الطاقة الفنزويلي قبل التدخل الأمريكي

برمجية خبيثة تُعرف باسم Lotus Wiper تستهدف آليات الاستعادة، وتقوم بالكتابة فوق الأقراص، وحذف الملفات بشكل منهجي.

حذّرت شركة الأمن السيبراني كاسبرسكي من أن جهة تهديد استخدمت برمجية محو جديدة في هجمات حديثة استهدفت قطاع الطاقة والمرافق العامة.

وقد استهدف الهجوم مؤسسة في فنزويلا، واعتمد على نصّين (سكريبتين) من نوع Batch لإضعاف الدفاعات وتعطيل العمليات قبل تحميل الحمولة النهائية وهي برمجية Lotus Wiper.

ويُرجّح أن البرمجية تم تجميعها في سبتمبر 2025، بينما تم رفعها مع مكونات مرتبطة بها في منتصف ديسمبر على منصة عامة.

وتوضح كاسبرسكي أن “برمجية المحو تقوم بإزالة آليات الاستعادة، والكتابة فوق محتوى الأقراص الفعلية، وحذف الملفات بشكل منهجي عبر وحدات التخزين المتأثرة، مما يترك النظام في حالة غير قابلة للاستعادة”.

وأضافت الشركة أن غياب أي تعليمات دفع أو أسلوب ابتزاز، إلى جانب توقيت رفع البرمجية خلال فترة نشاط متزايد للبرمجيات الخبيثة التي تستهدف قطاع الطاقة والمرافق في فنزويلا، يشير إلى أن Lotus Wiper موجهة بشكل شديد التحديد.

ولم تقدّم الشركة أي معلومات حول الجهة المنفذة، لكنها أشارت إلى “التوترات الجيوسياسية التي حدثت في منطقة الكاريبي أواخر 2025 وبداية 2026”.

وتجدر الإشارة إلى أن بعض التقارير ذكرت أن عملية نقل الرئيس الفنزويلي نيكولاس مادورو إلى الخارج مطلع يناير 2026 من قبل الولايات المتحدة شملت هجمات سيبرانية أدت إلى انقطاعات كهربائية وتعطيل رادارات الدفاع الجوي.

وتبدأ سلسلة تنفيذ Lotus Wiper بملف Batch يحاول إيقاف خدمة Windows القديمة Interactive Services Detection (UI0Detect) لمنع ظهور تنبيهات مرئية عند حدوث نشاط خبيث في الخلفية.

ويبدو أن هذا السكربت موجه للعمل على إصدارات ويندوز القديمة التي لا تزال تحتوي على هذه الخدمة، حيث تم إزالتها رسمياً بدءاً من إصدار Windows 10 الإصدار 1803.

بالإضافة إلى ذلك، يقوم السكربت بالتحقق من وجود ملف على مشاركة NETLOGON، مع استخدام اسم المؤسسة المستهدفة لتكوين مسار الملف. وإذا كان الملف موجوداً مع ملف محلي مطابق، يتم تشغيل السكربت الثاني. ويتوقف التنفيذ إذا لم يكن الملف البعيد موجوداً، لكنه يواصل المرحلة التالية حتى لو كان الملف المحلي مفقوداً.

وتوضح كاسبرسكي أن “هذا المنطق يعمل كمحفّز يعتمد على الشبكة، حيث يُستخدم وجود ملف XML على خادم بعيد كإشارة للتحكم في تنفيذ البرمجية عبر الأنظمة داخل النطاق، وهو أسلوب مشابه لآليات الأبواب الخلفية التقليدية التي تعتمد على موارد خارجية للتحكم بسلوك البرمجية”.

أما السكربت الثاني فيتحقق من ملف آخر لمعرفة ما إذا كان قد تم تشغيله مسبقاً. وإذا لم يكن موجوداً، فإنه يقوم بعدّ حسابات المستخدمين المحليين، وتغيير كلمات المرور، وتعطيل التخزين المؤقت لتسجيل الدخول، وإخراج المستخدمين النشطين، وتعطيل واجهات الشبكة لمنع الوصول إلى الجهاز.

كما يقوم بسرد الأقراص المنطقية، ومسح محتوياتها، ونسخ ملفات نظام ويندوز إلى مجلد عمل، ونسخ المجلدات فوق بعضها البعض لحذف أو استبدال المحتوى، ثم حساب المساحة الحرة وملؤها بملف ضخم لاستنفاد سعة التخزين.

بعد ذلك يتم تشغيل ملف تنفيذي يؤدي إلى تحميل وتشغيل Lotus Wiper. وتشير كاسبرسكي إلى أن المهاجمين كانوا على الأرجح يمتلكون وصولاً مسبقاً إلى النظام، حيث تم تجهيز الملف التنفيذي قبل تنفيذ الهجوم.

وتضيف الشركة أن البرمجية “تقوم بتفعيل جميع الصلاحيات في الرمز الحالي للوصول إلى وظائف الإدارة (بالاعتماد على صلاحيات مرتفعة مسبقاً)، وتحذف نقاط الاستعادة، وتمسح جميع الأقراص الفعلية عبر كتابة أصفار على قطاعاتها، ثم تقوم بمسح سجلات USN الخاصة بالأقراص، وفي النهاية تبحث في جميع وحدات التخزين عن الملفات لحذفها”.