كشف تقرير حديث عن برمجية خبيثة جديدة تُدعى “ZionSiphon”، والتي تثير مخاوف جدية بشأن أمن البنية التحتية المائية الحيوية في إسرائيل. تم تصميم هذه البرمجية الخبيثة بهدف واضح هو التسلل إلى أنظمة معالجة المياه وتحلية المياه الإسرائيلية، وربما تخريبها، وهي المرافق المسؤولة عن توفير مياه الشرب النظيفة لملايين الأشخاص.
تتضمن البرمجية الخبيثة “ZionSiphon” عناوين IP إسرائيلية مدمجة، مما يعني أنها مصممة للعمل فقط على الأنظمة الموجودة داخل إسرائيل. تحتوي البرمجية على رسائل ذات دوافع سياسية واضحة، مما يشير إلى أن الجهة التي تقف وراءها لديها أجندة أيديولوجية تسعى لإلحاق ضرر مادي حقيقي.
برمجية ZionSiphon تستهدف محطات تحلية المياه في إسرائيل
يشير خبراء الأمن السيبراني إلى أن “ZionSiphon” ليست مجرد هجوم عشوائي، بل تم بناؤها بدقة متناهية. فقد تم الكشف عن رموز داخل الكود تشير إلى رغبة واضحة في “تسميم سكان تل أبيب وحيفا”، مما يؤكد الطبيعة العدائية والخبيثة لهذا التهديد السيبراني.
قامت شركة “Darktrace” المتخصصة في الأمن السيبراني بتحليل عينة من هذه البرمجية الخبيثة، وأشارت إلى أن “ZionSiphon” تجمع بين قدرات مختلفة لضمان اختراق الأنظمة والحفاظ على وجودها.
آلية عمل برمجية ZionSiphon
بمجرد دخول برمجية “ZionSiphon” إلى النظام، تبدأ في عملية منظمة لترسيخ وجودها بهدوء والبحث عن أجهزة التحكم الصناعي. تتضمن إجراءاتها نسخ نفسها إلى موقع مخفي تحت اسم “svchost.exe”، وهو اسم عملية نظام ويندوز شرعية، وإنشاء إدخال في سجل النظام لتجنب الكشف.
بعد تأمين وجودها، تقوم البرمجية بفحص شامل للشبكات المحلية بحثًا عن أجهزة تستخدم بروتوكولات الاتصال الصناعي الشائعة مثل Modbus و DNP3 و S7comm. هذه البروتوكولات تستخدم بشكل شائع في محطات المياه والبنية التحتية الحيوية الأخرى.
يعتبر الجزء الأكثر إثارة للقلق في “ZionSiphon” هو منطق التخريب الذي تحمله. عند التأكد من تشغيلها في بيئة معالجة مياه صالحة، تحاول البرمجية العبث بملفات التكوين المحلية عن طريق حقن قيم قد تؤدي إلى جعل المياه غير صالحة للاستهلاك البشري.
من جهة أخرى، يبدو أن أجزاء من البرمجية المتعلقة ببروتوكولي DNP3 و S7comm لم تكتمل بعد، مما يشير إلى أن العينة التي تم تحليلها قد تكون نسخة تطوير أو نسخة تم نشرها قبل اكتمالها. ومع ذلك، فإن قدراتها على اختراق أنظمة Modbus تعتبر قوية وموثقة.
قدرات الانتشار المادي
تتضمن “ZionSiphon” أيضًا ميزة الانتشار عبر وحدات التخزين الخارجية (USB). تقوم بفحص الأقراص القابلة للإزالة، ونسخ نفسها إليها، وإنشاء ملفات اختصار تبدو كملفات مستندات عادية. إذا نقر المستخدم على أحد هذه الاختصارات، فإنه يقوم بتشغيل البرمجية الخبيثة دون علمه.
بالنسبة للمنظمات التي تدير البنى التحتية الحيوية، وخاصة في قطاع المياه والمرافق، تؤكد أبحاث “Darktrace” على أهمية المراقبة المستمرة للسلوكيات الشاذة عبر بيئات تكنولوجيا المعلومات (IT) والتكنولوجيا التشغيلية (OT) على حد سواء. يجب على فرق الأمن الحفاظ على رؤية واضحة لشبكات أنظمة التحكم الصناعي، ومراقبة التغييرات غير المتوقعة في ملفات التكوين، ورصد محاولات الانتشار عبر USB، والتأكد من تسجيل وتحليل حركة مرور بروتوكولات Modbus و DNP3 و S7comm.
تبقى الرؤية المشتركة بين بيئات تكنولوجيا المعلومات والتكنولوجيا التشغيلية ضرورية للكشف عن التهديدات المبكرة مثل “ZionSiphon” قبل أن تتسبب في أضرار حقيقية.