- מדוע תוכנות Wiper הן הנשק המועדף בהתקפות OT?
- מדריך הפעולה בן ארבעת השלבים שבו משתמשת תוכנת הזדון Wiper
- כיצד נראות התקפות Wiper בפועל בסביבות OT?
- מדוע כל מתקפת Wiper מתחילה בחציית גבול אמון על ידי קובץ?
- המתקפה האחרונה של "וויפר" על מגזר האנרגיה בוונצואלה
- דגימות ומחוונים של מגבים המוזכרים בניתוח זה
- עצרו את מתקפות ה-Wiper לפני שהן מתבצעות
בבלוג הקודם שלנו ניתחנו את מתקפות הסייבר העיקריות על מערכות ICS ו-OT בין השנים 2024 ועד תחילת 2026. דפוס אחד בלט במיוחד: תוכנות מחיקה הפכו לכלי הנשק המועדף על גורמים הנתמכים על ידי מדינות, המכוונים לסביבות טכנולוגיה תפעולית. שש מתקפות נפרדות של תוכנות מחיקה פגעו במגזרים תעשייתיים בשנים 2024–2025, כולל רשתות חשמל, מערכות מים, שירותי בריאות ותעשייה ברחבי העולם.
מאמר זה בוחן מגמה זו בפירוט. הוא מסביר מדוע תוכנות מחיקה יעילות בסביבות OT, סוקר שלושה אירועים שהתרחשו בפועל ומזהה את דפוס התקיפה העקבי העומד מאחוריהם. בעת כתיבת פוסט זה, צץ דוגמה נוספת. איום חדש שדווח לאחרונה, Lotus Wiper, כוון למגזר האנרגיה בוונצואלה. מקרה זה נכלל בסעיף האחרון.
מדוע תוכנות Wiper הן הנשק המועדף בהתקפות OT?
תוכנות מחיקה נועדו להשמיד נתונים, מה שהופך אותן לשונות באופן מהותי מתוכנות כופר. מכיוון שהן אינן מאפשרות סחיטה, הן אינן מהוות כלי שימושי עבור גורמים עוינים המונעים אך ורק משיקולים כלכליים. במקום זאת, הן יעילות ביותר עבור גורמים שמטרתם היא לגרום לשיבושים או לנזק, במיוחד כאשר הם שואפים לתרגם פעולות סייבר להשפעה בעולם האמיתי תוך שמירה על רמת אנונימיות גבוהה. מסיבה זו, תוכנות מחיקה נקשרות לרוב לפעילות בחסות המדינה.
בסביבות IT מסורתיות, תוכנות מחיקה משמשות בעיקר למחיקת קבצים. אף שהדבר עלול לגרום לשיבושים קשים, לרוב ניתן לשחזר את הנזק אם קיימות גיבויים אמינים. עם זאת, המצב שונה בסביבות OT ו-ICS. מערכות כגון שרתים SCADA, תחנות עבודה הנדסיות ותצוגות HMI אינן רק מאחסנות נתונים. הן שולטות ומפקחות באופן פעיל על תהליכים פיזיים. כאשר הנתונים במערכות אלה נהרסים, המפעילים מאבדים את הנראות והשליטה על התפעול, ובפועל הופכים עיוורים למתרחש בשטח.
זהו המקום שבו תוכנות מחיקה הופכות למסוכנות במיוחד. הן יכולות לגשר על הפער בין מתקפות סייבר לתוצאות פיזיות. בשל יכולת זו, גורמים הנתמכים על ידי מדינות מרבים להשתמש בתוכנות מחיקה. השימוש בהן נצפה לעתים קרובות באזורים הנתונים בסכסוכים מזוינים או במתיחות גיאופוליטית מוגברת, שבהם שיבוש הפעילות הוא המטרה העיקרית.
מדריך הפעולה בן ארבעת השלבים שבו משתמשת תוכנת הזדון Wiper
כל תוכנת מחיקה שנבדקה, ללא תלות בשפה, בפלטפורמה או ברמת התחכום שלה, פועלת על פי אותו דפוס בסיסי. הבנת שלבים אלה מהווה נקודת התחלה מעשית להגנה מפני מתקפות מחיקה.
שלב 1: אתחול
התוכנה המוחקת מכינה את מטען השחתה שלה, ובדרך כלל מייצרת נתונים פסאודו-אקראיים באמצעות מחולל מספרים אקראיים נפוץ. נתונים אקראיים מקשים על השחזור הפורנזי יותר מאשר מחיקה באמצעות אפסות.
שלב 2: גילוי
התוכנה מפרטת את כל מה שהיא יכולה למחוק, על ידי סקירת הכוננים, המחיצות, הספריות והקבצים.
שלב 3: השמדה
התוכנה מוחקת כל קובץ, מסירה את תכונות ההגנה שלו ומחליפה את תוכנו בנתונים אקראיים. חלק מהתוכנות גם מוחקות את הקבצים לאחר מכן. אחרות פועלות על רשומת האתחול הראשית (MBR) או על טבלת הקבצים הראשית (MFT), מה שהופך את הדיסק כולו לבלתי קריא.
שלב 4: מניעת שחזור
אתחול מחדש כפוי מקבע את הנזק. תוכנת המחיקה מעלה את רמת ההרשאות שלה, רוכשת זכויות כיבוי ומפעילה מחדש את המערכת. כאשר, ואם, המערכת תתחיל לפעול שוב, לא יישאר דבר לשחזר.
הפרק הבא מיישם את המדריך הזה על אירועים אמיתיים.
כיצד נראות התקפות Wiper בפועל בסביבות OT?
DynoWiper — רשת החשמל של פולין
שחקן: Sandworm/ELECTRUM (GRU)
יעד: פולין, תחום האנרגיה (משאבי אנרגיה מבוזרים)
אופן ההפצה: קובץ הפעלה של Windows (קובץ בינארי PE) שהופץ דרך רשת שנפרצה
בדצמבר 2025, "סנדוורם" (Sandworm) – היחידה המוכשרת ביותר של ה-GRU המתמחה במערכות בקרה ותפעול (ICS) – תקפה את התשתית החשמלית של פולין באמצעות תוכנת ה-DynoWiper. לדברי דראגוס, זו הייתה מתקפת הסייבר המתואמת הראשונה בהיקף נרחב שכוונה נגד משאבי אנרגיה מבוזרים (DER).
כ-30 אתרים נפגעו, בהם תחנות כוח משולבות לייצור חשמל וחום, חוות רוח ומערכות הפצת אנרגיה סולארית. בניגוד למתקפות קודמות שהתמקדו בתחנות כוח מרכזיות, מבצע זה כוון למתקנים קטנים ומפוזרים יותר, המתרחבים במהירות בשוקי האנרגיה המודרניים. סביבות אלה גם מאובטחות בדרך כלל פחות.
התקיפה עלולה הייתה לפגוע בכ-500,000 תושבים. ראש ממשלת פולין הצהיר כי רשת החשמל לא הייתה בסכנה, אך התוקפים הצליחו לחדור למערכות ה-OT והשביתו באופן קבוע חלק מהציוד. תוכנת ה-DynoWiper פעלה בדיוק לפי התוכנית בת ארבעת השלבים: יצירת מטען פסאודו-אקראי, סריקת כוננים, מחיקת קבצים והפעלה מחדש בכפייה. היא הופעלה כקובץ בינארי קומפילציה שנועד להשמדה שיטתית.
PathWiper — התשתית הקריטית של אוקראינה
גורם: Russia-nexus (יחידה לא מוגדרת)
יעד: אוקראינה, תשתיות קריטיות (מגזרים שונים)
אופן ההעברה: תוכנת VBScript מסוג "dropper" בשילוב עם קובץ הפעלה
PathWiper הופעל נגד תשתיות קריטיות באוקראינה על ידי גורם הקשור לרוסיה, כחלק ממבצע סייבר מתמשך בזמן מלחמה. בעוד ש-DynoWiper כוון למגזר ספציפי, PathWiper כוון לתשתיות קריטיות באופן נרחב יותר, ופגע בשירותים חיוניים רבים במהלך הסכסוך.
מה שמבדיל אותו הוא מידת ההרס המוחלטת. PathWiper לא רק מחק קבצים. הוא משמיד את האחסון המקומי ברמת הכונן. במצב של מלחמה פעילה, מחיקת המערכות המנהלות שירותים חיוניים כרוכה בהשלכות החורגות מעבר לאובדן נתונים.
ארבעת השלבים הללו חלים גם כאן, אך PathWiper מרחיק לכת בשלב ההשמדה יותר מרוב התוכנות. בכך שהוא מתמקד באחסון ברמת הכונן ולא בקבצים בודדים, הוא מבטיח שגם שחזור פורנזי חלקי יהיה למעשה בלתי אפשרי. המטרה היא מחיקה מוחלטת, לא רק של הנתונים, אלא גם של יכולת התפקוד של המערכת.
LazyWiper — ענף הייצור בפולין
תוקף: Sandworm/ELECTRUM (GRU)
יעד: פולין, תעשיית הייצור
אופן ההפצה: סקריפט PowerShell שהופץ באמצעות אובייקטי מדיניות קבוצתית (GPO)
LazyWiper לא הייתה מתקפה נפרדת. היא התרחשה באותו יום שבו התרחשה מתקפת DynoWiper, ב-29 בדצמבר 2025, כחלק מאותו מבצע מתואם. עם זאת, היא כוונה נגד חברת ייצור, ו-CERT Polska הגדירה אותה כמתקפה אופורטוניסטית. התוקפים זיהו נקודת כניסה חשופה וניצלו אותה.
נקודת הכניסה הייתה מכשיר של Fortinet, שתצורתו נגנבה ופורסמה בפורום פלילי. התוקפים השתמשו בפרטי ההזדהות שהודלפו כדי להשיג גישה מתמשכת, עברו לרוחב כדי להשיג הרשאות מנהל תחום, והעבירו את LazyWiper לכל מחשב באמצעות GPO. בניגוד לקובץ הבינארי המהודר של DynoWiper, LazyWiper הוא סקריפט PowerShell. הוא משבית את Defender, משתמש בכלי הניהול המובנים של Windows כדי למפות את כל הכוננים, משנה את שמות הקבצים לשמות אקראיים בני ארבע תווים, ומחליף אותם בנתונים פסאודו-אקראיים.
פרט אחד הופך את המקרה הזה לבולט במיוחד. ב-CERT Polska העריכו כי חלקים מקוד מחיקת הקבצים נוצרו ככל הנראה על ידי מודל שפה גדול, דבר המעיד על פיתוח תוכנות זדוניות בסיוע בינה מלאכותית בסביבה האמיתית. אם אנשי אבטחה מניחים שתוכנות מחיקה תמיד יופיעו כתוכנות זדוניות קומפילציות מסורתיות, LazyWiper מדגיש את הצורך לקחת בחשבון איומים מבוססי סקריפט ונוצרים באופן דינמי.
מדוע כל מתקפת Wiper מתחילה בחציית גבול אמון על ידי קובץ?
לכל אירוע המתואר בבלוג זה, ולכל אירוע שהוזכר בדו"ח הקודם על תמונת האיומים, יש מכנה משותף אחד: קובץ חצה גבול אמון. הפורמטים ושיטות ההפצה שונים, אך הדפוס זהה.
- DynoWiper: קובץ הפעלה של Windows שהופץ דרך רשת שנפרצה
- PathWiper: תוכנת הפצה ב-VBScript המשולבת בקובץ הפעלה
- LazyWiper: סקריפט PowerShell המופץ באמצעות GPO
Sandbox Adaptive OPSWATSandbox כל קובץ בכל גבול אמינות לפני שהוא מגיע לתחנת העבודה של מהנדסי התוכנה, לפני שהוא מתקשר עם מערכת SCADA ולפני שהוא עובר מתחום ה-IT לתחום ה-OT. היא אינה מסתמכת על זיהוי התנהגות הרסנית, אלא מזהה יכולות זדוניות בסביבה מבוקרת לפני שהקובץ זוכה לאמון.
אם אתם פועלים בתחומי האנרגיה, המים, התעשייה, הבריאות או המגזר הציבורי, הרי שמנגנוני מחיקה הם חלק ממודל האיומים שלכם, בין אם נלקחו בחשבון במפורש ובין אם לאו.
תוכנות המחיקה ימשיכו להתפתח עם שפות, שיטות הפצה ויעדים חדשים, אך הדפוס נותר קבוע. על הקובץ להגיע, לחדור למערכת ולהופעל. כך היה מאז Stuxnet ב-2010 ועד DynoWiper ב-2025. בדיקת הקובץ לפני שהוא חוצה את הגבול היא אמצעי בקרה הרלוונטי לכל סוגי תוכנות המחיקה, הגורמים העומדים מאחוריהן והמגזרים השונים.
המתקפה האחרונה של "וויפר" על מגזר האנרגיה בוונצואלה
בזמן שסיימו לכתוב מאמר זה, ב-21 באפריל, דיווחה קבוצת Kaspersky GReAT על תוכנת מחיקה שלא הייתה ידועה עד כה, בשם Lotus Wiper, המכוונת למגזר האנרגיה והתשתיות בוונצואלה.
התקיפה מתבצעת באופן שיטתי. שני סקריפטים של Batch מבודדים תחילה את המחשב באמצעות השבתת שירותים, ניתוק ממשקי רשת וניתוק המשתמשים. לאחר מכן הם מוחקים את כונני הדיסק, מחליפים את תוכן התיקיות וממלאים את שטח האחסון שנותר. רק לאחר ביצוע צעדים אלה מופעל המטען הסופי.
תוכנת המחיקה מתחזה לרכיב תוכנה ארגוני לגיטימי, מועברת בצורה מוצפנת ומופענחת בזמן הריצה. ברגע שהיא הופכת לפעילה, לא ניתן לאתחל את המערכת, ואין אפשרות לשחזר את הנתונים. אין דרישת כופר ואין סימנים להוצאת נתונים לצורך רווח כספי. בדומה לתוכנות המחיקה האחרות שנדונו במאמר זה, Lotus Wiper נועדה להשמדה.
אותו דפוס חוזר על עצמו בזמן אמת. קובץ חוצה גבול אבטחה, מופעל ומשמיד כל מה שהוא מצליח להגיע אליו. בדיקה ברמת הקובץ לפני פענוח התוכן מהווה את ההזדמנות המוקדמת ביותר ליירוט.
דגימות ומחוונים של מגבים המוזכרים בניתוח זה
מגבים | סוּג | יעד | שחקן | חשיש / אינדיקטור |
DynoWiper | Windows PE | פולין, אנרגיה | תולעת החול/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | אוקראינה, תשתיות חיוניות | הקשר לרוסיה | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | פולין, תעשייה | תולעת החול/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
מגבי לוטוס | Windows PE | ונצואלה, אנרגיה ותשתיות | לא ידוע (ממניעים גיאופוליטיים) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
עצרו את מתקפות ה-Wiper לפני שהן מתבצעות
התקפות Wiper פועלות לפי דפוס קבוע בכל סביבות העבודה, המגזרים וגורמי האיום. ללא קשר לאופן ההפצה שלהן או לשפה שבה הן משתמשות, הן פועלות לפי אותו רצף: קובץ חוצה גבול אמון, מופעל ומשמיד נתוני מערכת.
עקביות זו יוצרת הזדמנות הגנתית ברורה. זיהוי וניתוח קבצים לפני שהם זוכים לאמון נותרים אחת הדרכים היעילות ביותר לעצור תוכנות מחיקה לפני שהן מספיקות לגרום נזק.
MetaDefender נוקט בגישה רב-שכבתית לטיפול בבעיה זו. הוא משלב ניתוח מוניטין בזמן אמת, סביבת בדיקה מתקדמת (sandboxing) וקורלציה התנהגותית כדי לאתר איומים לא מוכרים ומתחמקים עוד לפני ביצועם. הניתוח המבוסס על הדמיה שלו חושף מטענים נסתרים, מפרק תוכנות זדוניות רב-שלביות ומזהה סימני פריצה מבלי להסתמך על חתימות.
עבור ארגונים המפעילים תשתיות קריטיות, גישה זו מאפשרת זיהוי מוקדם יותר בנקודת ההתחלה של ההתקפות, עוד בטרם ההפרעה מגיעה למערכות ה-OT. כדי להבין כיצד הדבר מתאים לסביבה שלכם, צרו קשר עם OPSWAT כדי לדון MetaDefender .
