Lotus Wiper
حدد محللو الأمن السيبراني برنامجًا خبيثًا لمسح البيانات لم يتم توثيقه سابقًا، يُعرف الآن باسم Lotus Wiper، تم نشره في هجمات مستهدفة ضد قطاع الطاقة والمرافق في فنزويلا بين أواخر عام 2025 وأوائل عام 2026. تم تصميم هذا البرنامج الخبيث لتحقيق أقصى قدر من التدمير، مما يجعل الأنظمة المصابة غير قابلة للتشغيل تمامًا.
جدول المحتويات
تنفيذ هجوم منسق: نشر متعدد المراحل
يعتمد الهجوم على نصين برمجيين يُنفذان عملية مُخططة بعناية. يُزامن هذان النصان الأنشطة عبر الشبكة، ويُضعفان دفاعات النظام، ويُعطلان العمليات الاعتيادية قبل بدء تنفيذ الحمولة النهائية. ويشمل دورهما استرجاع مُكوّن المسح، وفك تشفيره، وتنفيذه، مما يضمن انتقالًا سلسًا إلى المرحلة التخريبية.
التدمير المنهجي: كيف تعمل ماسحة الزجاج الأمامي من لوتس
بمجرد تفعيلها، تقوم أداة Lotus Wiper بتنفيذ عملية مسح شاملة للبيانات، مما يؤدي إلى تعطيل وظائف النظام وخيارات استعادته. وتشمل قدراتها التدميرية ما يلي:
- إزالة آليات الاسترداد، بما في ذلك نقاط الاستعادة
- استبدال قطاعات محرك الأقراص الفعلي ببيانات فارغة
- حذف الملفات من جميع وحدات التخزين المثبتة
- مسح أرقام تسلسل التحديث (USN) في المجلات المجلدة
تضمن هذه الإجراءات مجتمعة عدم إمكانية استعادة الأنظمة المتضررة أو إعادة بنائها من خلال الوسائل التقليدية.
مؤشرات النية: ليس دافعاً مالياً
على عكس برامج الفدية، لا يحتوي برنامج Lotus Wiper الخبيث على رسائل ابتزاز أو تعليمات دفع. يشير هذا الغياب بقوة إلى أن الحملة لا تحركها أهداف مالية، بل دوافع تخريبية أو جيوسياسية. والجدير بالذكر أن عينة البرنامج الخبيث رُفعت علنًا في منتصف ديسمبر 2025 من نظام فنزويلي، قبل فترة وجيزة من نشاط عسكري أمريكي في يناير 2026. ورغم عدم تأكيد وجود صلة مباشرة، إلا أن التوقيت يتزامن مع تزايد التقارير عن نشاط إلكتروني يستهدف القطاع نفسه، مما يدل على عملية شديدة التركيز.
استهداف الأنظمة القديمة: استغلال البيئات القديمة
تبدأ سلسلة الهجوم ببرنامج نصي يُشغّل عملية متعددة المراحل. ومن بين خطواته الأولى محاولة تعطيل خدمة الكشف عن خدمات ويندوز التفاعلية (UI0Detect). هذه الخدمة، التي أُزيلت في إصدارات ويندوز الحديثة بعد ويندوز 10 الإصدار 1803، تُشير إلى أن البرمجية الخبيثة مُصممة خصيصًا لاستهداف أنظمة التشغيل القديمة.
يتحقق البرنامج النصي أيضًا من وجود مشاركة NETLOGON ويسترجع ملف XML عن بُعد. ثم يقارن هذا الملف بنسخة مخزنة محليًا في مجلدات مثل C:\lotus أو %SystemDrive%\lotus. من المرجح أن يحدد هذا السلوك ما إذا كان النظام جزءًا من مجال Active Directory. إذا كان الملف البعيد غير متوفر، يتوقف البرنامج النصي؛ وإلا، فإنه يتابع بعد تأخير عشوائي محتمل يصل إلى 20 دقيقة لإعادة محاولة الاتصال.
تهيئة البيئة: تعطيل الأنظمة وتعطيلها
يقوم البرنامج النصي الثاني بتجهيز النظام المخترق للتدمير من خلال إضعاف حالته التشغيلية بشكل منهجي. وتشمل إجراءاته ما يلي:
- حصر حسابات المستخدمين المحليين وتعطيل بيانات الاعتماد المخزنة مؤقتًا
- تسجيل الخروج من جلسات المستخدم النشطة
- تعطيل واجهات الشبكة
- تنفيذ أمر diskpart clean all لمسح محركات الأقراص المنطقية
بالإضافة إلى ذلك، فإنه يستفيد من أدوات ويندوز الأصلية مثل robocopy للكتابة فوق الملفات أو حذفها و fsutil لإنشاء ملفات كبيرة تستهلك كل مساحة القرص المتاحة، مما يمنع جهود الاسترداد بشكل فعال.
تنفيذ الحمولة النهائية: ضرر لا يمكن إصلاحه
بعد التحضير، يتم نشر حمولة برنامج Lotus Wiper. تُكمل هذه الحمولة عملية التدمير بحذف نقاط الاستعادة، والكتابة فوق القطاعات الفيزيائية، ومسح سجلات النظام، وإزالة جميع ملفات النظام من وحدات التخزين المُثبّتة. في هذه المرحلة، يصبح الاسترداد شبه مستحيل بدون نسخ احتياطية خارجية.
التوصيات الدفاعية: الرصد والتخفيف
ينبغي على المنظمات، ولا سيما تلك العاملة في قطاعات البنية التحتية الحيوية، تبني استراتيجيات استباقية للرصد والكشف. وتشمل مجالات التركيز الرئيسية ما يلي:
مراقبة التغييرات في مشاركات NETLOGON
الكشف عن محاولات تسريب بيانات الاعتماد أو تصعيد الامتيازات
تتبع الاستخدام غير المعتاد للأدوات الأصلية مثل fsutil و robocopy و diskpart
رؤية استراتيجية: أدلة على تسوية سابقة
يشير وجود وظائف مصممة خصيصًا لبيئات ويندوز القديمة إلى استطلاع مسبق ووصول طويل الأمد. من المرجح أن المهاجمين كانوا على دراية تفصيلية بالبنية التحتية المستهدفة، وربما يكونون قد اخترقوا بيئات النطاق قبل وقت طويل من بدء المرحلة التخريبية.
