في تقرير حديث، كشف باحثون في الأمن السيبراني عن برمجية خبيثة جديدة تحمل اسم ZionSiphon، صُممت خصيصًا لاستهداف أنظمة تشغيل المياه والتحلية في إسرائيل. هذا الكشف يسلط الضوء على تصاعد خطير في الهجمات الموجهة ضد البنى التحتية الحيوية، حيث لم تعد الهجمات تقتصر على سرقة البيانات أو تعطيل الخدمات، بل باتت تستهدف مباشرة أنظمة التشغيل الصناعية (OT) ذات الحساسية العالية.
خلفيات سياسية وتقنية للهجوم
تم رصد العينة الأولى من البرمجية في يونيو 2025، مباشرة بعد “حرب الأيام الاثني عشر” بين إيران وإسرائيل. البرمجية تحمل رسائل سياسية مشفرة تدعم إيران وفلسطين واليمن، وتستهدف نطاقات IPv4 محددة داخل إسرائيل، ما يعكس بوضوح الطابع الجيوسياسي للهجوم.
التحليل أظهر أن البرمجية غير مكتملة، لكنها تحتوي على وظائف متقدمة مثل التصعيد في الصلاحيات، الانتشار عبر وسائط USB، وفحص بروتوكولات صناعية مثل Modbus وDNP3 وS7comm، مع تركيز خاص على العبث بمعايير الكلور والضغط في أنظمة المياه.
آليات عمل ZionSiphon
تعمل البرمجية وفق منطق مزدوج: فهي لا تنشط إلا إذا تحقق شرط جغرافي (وجود النظام داخل إسرائيل) وشرط بيئي مرتبط بأنظمة المياه أو التحلية. عند تفعيلها، تبدأ بفحص الأجهزة على الشبكة المحلية، محاولةً التواصل عبر بروتوكولات صناعية، ثم تعديل ملفات الإعدادات المحلية بما يغير جرعات الكلور وضغط المياه.
في حال لم تتطابق البيئة مع الشروط المحددة، تقوم البرمجية بتفعيل آلية “التدمير الذاتي” لمسح نفسها من الجهاز، ما يعكس مستوى عالٍ من التخفي والانتقائية في الاستهداف.
برمجيات مرافقة تكشف عن اتجاه جديد
الكشف عن ZionSiphon تزامن مع رصد برمجيات أخرى مثل RoadK1ll، وهو غرسة خبيثة مبنية على Node.js تعمل كقناة عكسية للتسلل عبر بروتوكول WebSocket، ما يسمح للمهاجمين بالتحكم في حركة المرور الداخلية دون الحاجة إلى مستمع خارجي.
كما أعلنت شركة Gen Digital عن رصد برمجية أخرى تدعى AngrySpark، تعمل عبر ثلاث مراحل معتمدة على تقنيات إخفاء متقدمة، منها تشغيل حمولة عبر آلة افتراضية مموهة، وإخفاء الاتصالات عبر طلبات HTTPS متنكرة في شكل صور PNG. هذه البرمجية عملت بشكل متخفي لمدة عام كامل قبل أن تختفي مع انتهاء بنيتها التحتية.
دلالات استراتيجية على الأمن الصناعي
تكشف هذه التطورات عن تحول نوعي في طبيعة الهجمات السيبرانية، حيث لم تعد تقتصر على شبكات تقنية المعلومات (IT)، بل امتدت إلى شبكات التشغيل الصناعي (OT) التي تتحكم في موارد أساسية مثل المياه والطاقة.
الخبراء يرون أن ZionSiphon يمثل تجربة أولية لمهاجمين يسعون إلى تطوير قدرات تخريبية متعددة البروتوكولات، مع التركيز على البنى التحتية الحيوية ذات الطابع السياسي. هذه الهجمات تذكر بحملات سابقة مثل Stuxnet، لكنها تكشف عن جيل جديد من البرمجيات الخبيثة التي تجمع بين الانتشار الذكي، التخفي، والتخريب المباشر.
