رصد خبراء الأمن برمجية ZionSiphon الخبيثة التي تستهدف أنظمة معالجة وتحلية المياه، مما يهدد استقرار البنية التحتية الحيوية للأمن الرقمي.
ما هي برمجية زيون سيفون (ZionSiphon) وما خطورتها؟
كشف باحثو الأمن السيبراني عن تهديد رقمي جديد يستهدف بشكل مباشر أنظمة التشغيل (OT) المسؤولة عن إدارة المياه وتحلية البحار. البرمجية التي أُطلق عليها اسم زيون سيفون تم تصميمها للقيام بعمليات تخريبية دقيقة، تشمل التلاعب بملفات الإعدادات المحلية والبحث عن الخدمات المتعلقة بالتقنيات الصناعية داخل الشبكات المحلية.
ووفقاً لتقرير تيكبامين، فقد تم رصد العينة الأولى من هذه البرمجية في أواخر شهر يونيو لعام 2025، وتحديداً بعد انتهاء فترة من التوترات السياسية والعسكرية في المنطقة. تشير التحليلات إلى أن البرمجية تجمع بين عدة قدرات هجومية متطورة تجعلها تهديداً غير تقليدي للمنشآت الحيوية.
أبرز قدرات هجوم زيون سيفون:
- تصعيد الامتيازات للسيطرة الكاملة على الأنظمة المصابة.
- القدرة على البقاء (Persistence) داخل الشبكة لفترات طويلة.
- الانتشار عبر الوسائط القابلة للإزالة مثل وحدات USB.
- مسح شبكات الأنظمة الصناعية (ICS) للبحث عن أهداف محددة.
- التلاعب بضوابط ضغط المياه ونسب الكلور في محطات المعالجة.
كيف يتم استهداف البنية التحتية للمياه والتحلية؟
تتميز برمجية زيون سيفون بتركيزها الجغرافي والتقني الدقيق؛ حيث تستهدف نطاقاً محدداً من عناوين البروتوكول (IPv4) المرتبطة بالبنية التحتية للمياه. كما تحتوي البرمجية على رسائل سياسية مشفرة تعبر عن دوافع المهاجمين، مما يؤكد صبغتها السياسية وتوجهها نحو التخريب المتعمد للموارد الأساسية.
تعمل البرمجية بناءً على منطق محدد: لا يتم تفعيل الحمولة الضارة إلا عند تحقق شرطين أساسيين؛ الأول هو الموقع الجغرافي الصحيح، والثاني هو بيئة عمل خاصة بأنظمة تحلية أو معالجة المياه. هذا النوع من الاستهداف الذكي يهدف إلى تجنب الكشف المبكر وضمان إصابة الأهداف المقصودة فقط، وهو ما يتابعه خبراء تيكبامين باهتمام نظراً لتطوره.
ما هي الخصائص التقنية والبروتوكولات التي تستخدمها البرمجية؟
بمجرد تشغيلها، تقوم البرمجية بفحص الأجهزة المتصلة بالشبكة المحلية ومحاولة التواصل معها باستخدام بروتوكولات صناعية متخصصة. تهدف هذه المحاولات إلى تغيير معايير التشغيل الحساسة التي قد تؤدي إلى كوارث بيئية أو صحية في حال نجاحها.
البروتوكولات المستهدفة من قبل ZionSiphon:
- Modbus: وهو المسار الأكثر تطوراً في البرمجية حالياً للهجوم.
- DNP3: بروتوكول يستخدم في قطاعات الكهرباء والمياه.
- S7comm: بروتوكول خاص بأنظمة شركة سيمنز الصناعية.
ومن المثير للاهتمام أن البرمجية تمتلك آلية للتدمير الذاتي؛ ففي حال وجدت نفسها على جهاز لا يتطابق مع المعايير المطلوبة أو يقع خارج النطاق الجغرافي المستهدف، تقوم بمسح نفسها تلقائياً لإخفاء أي أثر لوجودها.
هل تمثل ZionSiphon تهديداً وشيكاً حالياً؟
تشير التحليلات الفنية إلى أن البرمجية لا تزال في مراحل التطوير أو التجريب. فبالرغم من قدراتها التخريبية، إلا أن النسخة الحالية تعاني من بعض الأخطاء البرمجية التي تمنعها من تفعيل هجماتها بشكل كامل، حتى عند وجودها داخل النطاق المستهدف.
ومع ذلك، يرى الخبراء أن هيكلية الكود البرمجي تعكس نية واضحة لتطوير هجمات معقدة ومتعددة المراحل ضد البنى التحتية الحيوية عالمياً. إن هذا النوع من البرمجيات يسلط الضوء على تزايد الاعتماد على الأمن الرقمي لحماية الموارد المادية مثل المياه والكهرباء، مما يتطلب استراتيجيات دفاعية استباقية لمواجهة التهديدات المتطورة.
