بدافزار ZionSiphon
تحلیلگران امنیت سایبری، یک بدافزار نوظهور به نام ZionSiphon را شناسایی کردهاند که با تمرکز ویژه بر تأسیسات تصفیه آب و نمکزدایی اسرائیل طراحی شده است. این تحول، نشاندهنده تشدید نگرانکننده عملیات سایبری با هدف زیرساختهای حیاتی، بهویژه در محیطهای فناوری عملیاتی صنعتی (OT) است.
فهرست مطالب
ریشهها و زمینهها: ظهور پس از جنگ
بدافزار ZionSiphon اولین بار در ۲۹ ژوئن ۲۰۲۵، اندکی پس از جنگ دوازده روزه بین ایران و اسرائیل (۱۳ تا ۲۴ ژوئن ۲۰۲۵) مشاهده شد. زمانبندی آن، انگیزههای ژئوپلیتیکی بالقوهای را نشان میدهد که با الگوی گستردهتری از فعالیت سایبری پس از درگیریهای منطقهای همسو است.
با وجود اینکه به نظر میرسد این بدافزار در مرحلهی ناقص یا توسعه قرار دارد، ترکیبی از قابلیتهای پیشرفته را نشان میدهد. این قابلیتها شامل افزایش امتیاز، مکانیسمهای پایداری، انتشار مبتنی بر USB و اسکن هدفمند سیستمهای کنترل صنعتی (ICS) میشود. نکتهی قابل توجه این است که این بدافزار همچنین دارای قابلیتهای خرابکارانه با هدف دستکاری سطح کلر و کنترل فشار، پارامترهای کلیدی در فرآیندهای تصفیه آب، است.
هدفگیری دقیق: فیلترهای جغرافیایی و محیطی
ZionSiphon از یک مکانیسم فعالسازی دوگانه استفاده میکند و اجرا را تنها تحت شرایط بسیار خاص تضمین میکند. این بدافزار تنها زمانی که هر دو شرط زیر برقرار باشند، بار داده خود را فعال میکند:
سیستم آلوده در محدوده آدرسهای IPv4 از پیش تعریفشدهی اسرائیلی قرار دارد.
محیط با ویژگیهای مرتبط با سیستمهای تصفیه آب یا نمکزدایی مطابقت دارد.
محدودههای IP مورد هدف عبارتند از:
۲.۵۲.۰.۰ – ۲.۵۵.۲۵۵.۲۵۵
۷۹.۱۷۶.۰.۰ – ۷۹.۱۹۱.۲۵۵.۲۵۵
۲۱۲.۱۵۰.۰.۰ – ۲۱۲.۱۵۰.۲۵۵.۲۵۵
علاوه بر این، رشتههای جاسازیشده در بدافزار به زیرساختهای اسرائیل اشاره دارند و دامنه هدفگیری محدود آن را تقویت میکنند. پیامهای سیاسی درون کد، حمایت از ایران، فلسطین و یمن را بیان میکنند و بیشتر بر زمینههای ایدئولوژیک این کمپین تأکید دارند.
قابلیتهای عملیاتی: دستکاری سیستمهای کنترل صنعتی و شناسایی شبکه
پس از اجرا در شرایط معتبر، ZionSiphon شناسایی و تعامل با دستگاههای موجود در زیرشبکه محلی را آغاز میکند. این بدافزار با استفاده از چندین پروتکل صنعتی که معمولاً در محیطهای OT یافت میشوند، تلاش میکند تا ارتباط برقرار کند:
- مودباس
- دیانپی۳
- اس۷کام
در میان این موارد، به نظر میرسد قابلیتهای مرتبط با Modbus از همه کاملتر باشند، در حالی که پشتیبانی از DNP3 و S7comm همچنان تا حدی پیادهسازی شده است. این نشان میدهد که توسعه و آزمایش در حال انجام است.
این بدافزار همچنین فایلهای پیکربندی محلی را تغییر میدهد، به طور خاص پارامترهایی را که دوز کلر و فشار سیستم را تنظیم میکنند، هدف قرار میدهد. چنین دستکاری میتواند فرآیندهای تصفیه آب را مختل کند و خطرات بالقوهای را برای یکپارچگی زیرساختها و امنیت عمومی ایجاد کند.
مکانیسمهای انتشار و خود تخریبی
یکی از ویژگیهای قابل توجه ZionSiphon توانایی آن در انتشار از طریق رسانههای قابل حمل است که امکان حرکت جانبی در محیطهایی را فراهم میکند که ممکن است از شبکههای خارجی جدا شده باشند. این تکنیک، تاکتیکهای مورد استفاده در حملات متمرکز بر ICS قبلی را منعکس میکند.
با این حال، اگر بدافزار تشخیص دهد که سیستم میزبان معیارهای هدفگیری آن را برآورده نمیکند، یک روال خودحذفی را آغاز میکند. این رفتار، خطر شناسایی را به حداقل میرساند و قرار گرفتن در معرض اهداف خارج از هدف را محدود میکند.
شکافهای توسعهای و پیامدهای استراتژیک
با وجود طراحی پیشرفته، نمونه فعلی محدودیتهای مهمی را نشان میدهد. به طور خاص، حتی هنگام کار در محدوده IP تعریف شده، نمیتواند شرایط هدفگیری جغرافیایی خود را به درستی اعتبارسنجی کند. این تناقض نشاندهنده یکی از چندین احتمال است: غیرفعالسازی عمدی، خطاهای پیکربندی یا مرحله توسعه ناتمام.
با این وجود، طراحی معماری ZionSiphon نشاندهنده یک روند گستردهتر است. عوامل تهدید به طور فزایندهای در حال آزمایش دستکاری چند پروتکلی سیستمهای کنترل صنعتی، دسترسی مداوم در محیطهای OT و روشهای انتشار متناسب با سیستمهای ایزوله هستند. این ویژگیها شباهت زیادی به تاکتیکهای مشاهده شده در کمپینهای سایبری قبلیِ همسو با دولت دارند که زیرساختهای صنعتی را هدف قرار میدادند.
نتیجهگیری: یک سیگنال هشدار دهنده برای امنیت زیرساختهای حیاتی
ZionSiphon چیزی بیش از یک نمونه بدافزار است، بلکه چشمانداز تهدیدهای در حال تحولی را که زیرساختهای حیاتی در سراسر جهان با آن مواجه هستند، برجسته میکند. حتی در شکل ناقص خود، تلاشی عمدی برای ترکیب اهداف ژئوپلیتیکی با پیچیدگیهای فنی را نشان میدهد و نیاز فوری به کنترلهای امنیتی پیشرفته در محیطهای صنعتی را تقویت میکند.
