في ظل تصاعد التهديدات السيبرانية التي تواجه البنى التحتية الحرجة في الخليج العربي، برزت مجموعة Sapphire Werewolf كلاعب رئيسي يستهدف شبكات الطاقة عبر توظيف سلسلة متعددة المراحل من التصيد إلى نشر برمجيات خبيثة متطورة. يوضح هذا المقال من خليجي تك المراحل الرئيسية لتكتيكات الهجوم، النتائج الإحصائية على قطاع الطاقة، والدروس العملية لتعزيز الدفاعات السيبرانية.
نبذة عن مجموعة Sapphire Werewolf
ظهرت أنشطة مجموعة Sapphire Werewolf لأول مرة في مارس 2024، واستهدفت منذ ذلك الحين قطاعات متنوعة تشمل التعليم والتصنيع والطاقة. تتمحور أهدافها حول التجسس الصناعي وسرقة بيانات الاعتماد للوصول إلى أنظمة التحكم بالشبكات الحساسة.
بيئة شبكات الطاقة والتهديدات السيبرانية
لماذا تعد شبكات الطاقة هدفاً رئيسياً؟
شبكات الطاقة تشكل العمود الفقري للاقتصاد الوطني؛ أي تعطيل لها يسبب خسائر مالية ومخاطر بيئية وجيوسياسية. وفق تقرير Threat Zone 2025 من BI.ZONE، دخل قطاع الطاقة قائمة أكثر 10 قطاعات تعرضاً للهجمات السيبرانية عام 2024، مع ارتفاع مطرد في حملات التجسس ضد شركات الوقود والطاقة.
إقرأ أيضًا: الهجمات السيبرانية على القطاع المصرفي في الخليج: دراسة آخر خمسة أعوام
تكتيكات هجوم Sapphire Werewolf
1. الهندسة الاجتماعية والتصيد
- تبدأ الهجمات برسائل تصيد تبدو صادرة من موظفي التوظيف لإيهام الضحايا بفرص وظيفية وهمية.
- نسبة استخدام أسلوب "التوظيف الوهمي" تقل عن 1% من حملات التجسس التقليدية، ما يجعله تكتيكاً محكم التصميم لزيادة النجاح.
2. التحميل الأولي والتحميل الثانوي
تكون النقطة الأولى عبر أرشيف .rar يحتوي على ملف تنفيذي .exe مُموه بأيقونة PDF. يعمل هذا الملف كلودر .NET يفك شفرة حمولة ثانوية مشفرة بـBase64، وهي برمجية Amethyst Stealer التي تجمع بيانات الاعتماد.
3. تحسين الأدوات والتشفير
توظف النسخة الأحدث من Amethyst Stealer فحوصات متقدمة للتعرف على بيئات التمثيل الافتراضي (anti‑VM) وتستخدم خوارزمية Triple DES لتشفير السلاسل النصية داخل الأكواد، مما يصعّب تحليلها من قبل الباحثين.
4. التسلل الجانبي والانتشار داخل الشبكة
بعد سرقة بيانات الدخول، يتم استغلال حسابات المديرين وأجهزة التحكم الصناعية (ICS) للانتشار الجانبي داخل شبكة الطاقة، متيحاً للمهاجم إمكانية الوصول إلى أنظمة التحكم والإبلاغ عن البيانات المغلوطة.
جدول ملخص للتكتيكات والأساليب
| التكتيك | الوصف | المثال |
|---|---|---|
| التصيد (Phishing) | رسائل توظيف وهمية تحمل مرفقات خبيثة | Служебная записка.rar |
| التحميل الثانوي | لودر .NET يفك شفرة حمولة Amethyst Stealer | Base64‑encoded payload |
| التشفير المضاد للتحليل | Triple DES لتشفير السلاسل وفحوصات anti‑VM | Advanced virtualization checks |
| التسلل الجانبي | استخدام بيانات الاعتماد المسروقة للانتشار | Credential misuse |
أثر الهجمات وإحصائيات
تُظهر متابعات BI.ZONE Threat Intelligence أن المجموعة نفذت أكثر من 300 هجمة منذ مارس 2024 عبر مختلف القطاعات، مع تصاعد حصة هجماتها ضد شركات الطاقة خلال الربع الأول من 2025.
- أكثر من 300 هجمة نفذت برمجيات Amethyst Stealer على مدى عام واحد.
- قطاع الطاقة ضمن قائمة أكثر 10 قطاعات استهدافاً عام 2024.
- نسبة حملات التجنيد الوهمي أقل من 1% لكنها تحقق نتائج عالية.
دروس مستفادة واستراتيجيات الدفاع
- توعية الموظفين: برامج تدريبية دورية لمحاكاة هجمات التصيد.
- التحديث المستمر: تطبيق أحدث التصحيحات على أنظمة التحكم الصناعية (ICS/SCADA).
- حظر المرفقات المشبوهة: استخدام سياسات فلترة بريدية تمنع تشغيل الملفات التنفيذية داخل الأرشيف.
- مراقبة الحركة الجانبية: تقسيم الشبكة إلى جزئيات وتعقب الوصول الداخلي anomalous lateral movements.
- الاستفادة من التوجيهات الرسمية: الاطلاع على إرشادات CISA حول حماية شبكات الطاقة: www.cisa.gov/resources-tools.
تسلط هجمات مجموعة Sapphire Werewolf الضوء على تضافر تقنيات الهندسة الاجتماعية والتشفير المتقدم لاستهداف شبكات الطاقة الحساسة. من خلال تطبيق الدروس المستفادة ورفع مستوى الجاهزية، يمكن لجهات التشغيل والجهات الرقابية بناء دفاعات أكثر صلابة لضمان استمرار تشغيل البنى التحتية الحيوية.