Netcrook Logo
👤 SHADOWFIREWALL
🗓️ 18 Apr 2026   🌍 Middle-East

تخفٍّ عند الطلب: برمجية ZionSiphon الخبيثة تكشف شريان المياه في إسرائيل أمام التخريب

سلالة برمجيات خبيثة مكتشفة حديثًا تستهدف أنظمة المياه الإسرائيلية، وتسعى إلى تسميم خطوط الإمداد عبر اختطاف أدوات التحكم الصناعية.

أحد أكثر موارد إسرائيل حيوية - إمداداتها المائية - وجد نفسه في مرمى تهديد سيبراني جديد وماكر. ففي كشف يبعث على القشعريرة، أعلن خبراء الأمن السيبراني في Darktrace أنهم اكتشفوا “ZionSiphon”، وهي برمجية خبيثة صُممت للتسلل إلى الأنظمة ذاتها التي تُبقي المياه تتدفق بأمان إلى ملايين الأشخاص والتلاعب بها. نية المهاجمين: ليست السرقة، بل إحداث اضطراب على أرض الواقع - وربما دمار.

كشف ZionSiphon: تشريح مُخرّب لأنظمة المياه

على خلاف الهجوم السيبراني المعتاد الذي يستهدف سرقة البيانات أو تحصيل فدية عبر برامج الفدية، صُممت ZionSiphon للتخريب. ويكشف تحقيق Darktrace عن عيّنة برمجية خبيثة تتعقب تحديدًا أنظمة التحكم الصناعية التي تُشغّل محطات المياه والتحلية في إسرائيل. هذه المنشآت - الحيوية في منطقة تُعد فيها ندرة المياه مسألة جيوسياسية - باتت فجأة مكشوفة أمام خطر التلاعب بمستويات الكلور، وتغيير ضغط المياه، وغير ذلك.

بمجرد أن تُصيب ZionSiphon نظامًا ما، تتحقق فورًا من امتيازات المسؤول باستخدام دالة تحمل اسم RunAsAdmin(). وللبقاء متخفية، تتنكر في هيئة عملية ويندوز الشرعية svchost.exe وتُمعن في الاختباء عبر إنشاء مفتاح في السجل باسم SystemHealthCheck، بما يضمن بقاءها بعد إعادة التشغيل وتفادي الفحوصات السطحية.

لكن براعة البرمجية لا تتوقف عند هذا الحد. فمن خلال آلية انتشار عبر وسائط قابلة للإزالة، تنسخ نفسها إلى أي وحدة USB تُوصَل بمضيف مُصاب. وباستخدام أداة CreateUSBShortcut() تستبدل الملفات الحقيقية باختصارات خادعة، مستدرِجةً المشغلين غير المنتبهين إلى تفعيل البرمجية الخبيثة دون قصد على أنظمة جديدة - وهو مسار عدوى “سنيكرنت” كلاسيكي.

ما يميز ZionSiphon هو وعيها بأنظمة ICS. إذ تفحص بحثًا عن بروتوكولات مثل Modbus وDNP3 وS7comm، إلى جانب ملفات إعدادات بالغة الأهمية لمعالجة المياه - مثل DesalConfig.ini وChlorineControl.dat. ومضمّن داخل شيفرتها “قائمة أهداف” لمحطات إسرائيلية معروفة: سوريك، الخضيرة، أشدود، شافدان، وبالماخيم، وغيرها.

ومقلقٌ أن شيفرة ZionSiphon مُثقلة برسائل سياسية وتهديدات، بما في ذلك إشارات إلى تسميم مدن كبرى. وتعرّف المجموعة التي تقف وراء البرمجية عن نفسها باسم 0xICS، وتُعلن تضامنها مع إيران واليمن وفلسطين، وتلمّح إلى ديمونا - موقع الأبحاث النووية الإسرائيلي.

ومع ذلك، وعلى الرغم من طموحها، تعج ZionSiphon بالأخطاء. فدالتها SelfDestruct()، المصممة لمحو البرمجية إذا وجدت نفسها خارج إسرائيل، يمكن تفعيلها بسبب خطأ برمجي بسيط، ما يؤدي إلى حذفها لنفسها قبل الأوان. كما تتضمن نصًا برمجيًا للتنظيف (delete.bat)، وإن كانت فعاليته محل شك.

تؤكد هذه الحادثة حقيقة صارخة: حتى الأسلحة السيبرانية الهواة أو غير المكتملة يمكن أن تهدد البنية التحتية الحيوية إذا تُركت دون اكتشاف. وبينما تسارع إسرائيل ودول العالم لتعزيز الدفاعات الرقمية لمرافقها التي تُعد شرايين حياة، تقف ZionSiphon كتحذير مقلق.

حجم المخاطر: لماذا لا يمكن تجاهل أمن ICS

الماء حياة - وفي العصر الرقمي، فإن الأنظمة التي توصلها ليست أكثر أمانًا من أضعف حلقة فيها. إن اكتشاف ZionSiphon جرس إنذار: قد لا تبدأ الحرب القادمة على الماء بالقنابل، بل بالشيفرة.

WIKICROOK

  • تكنولوجيا التشغيل (OT): تشمل تكنولوجيا التشغيل (OT) أنظمة حاسوبية تتحكم بالمعدات والعمليات الصناعية، وغالبًا ما يجعلها ذلك أكثر عرضة للخطر من أنظمة تقنية المعلومات التقليدية.
  • نظام التحكم الصناعي (ICS): نظام التحكم الصناعي (ICS) هو مجموعة من الأدوات الحاسوبية التي تراقب وتتحكم بالعمليات الصناعية مثل الطاقة والمياه والتصنيع.
  • Modbus: Modbus بروتوكول صناعي قديم لاتصالات الأجهزة، واسع الاستخدام لكنه غير آمن بطبيعته بسبب غياب المصادقة والتشفير.
  • الاستمرارية: تتضمن الاستمرارية تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاستمرار في التخفي على الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.
  • قابل للإزالة: الوسائط القابلة للإزالة هي أجهزة تخزين محمولة مثل وحدات USB. ويمكنها نشر البرمجيات الخبيثة إذا لم تُؤمَّن بشكل صحيح، ما يشكل مخاطر أمن سيبراني على الأنظمة والشبكات.
ZionSiphon Cybersecurity Water Supply
SHADOWFIREWALL SHADOWFIREWALL
Adaptive Defense Architect
← Back to news