תוכנה זדונית של ZionSiphon
אנליסטים בתחום אבטחת הסייבר זיהו זן חדש של תוכנה זדונית, ZionSiphon, שפותח תוך התמקדות ברורה במתקני טיהור והתפלת מים בישראל. התפתחות זו מאותתת על הסלמה מדאיגה בפעולות סייבר המכוונות לתשתיות קריטיות, במיוחד בסביבות טכנולוגיה תפעולית תעשייתית (OT).
תוכן העניינים
מקורות והקשר: התהוות לאחר הסכסוך
הנוזקה ZionSiphon נצפתה לראשונה בטבע ב-29 ביוני 2025, זמן קצר לאחר מלחמת שנים עשר הימים בין איראן לישראל (13-24 ביוני 2025). עיתוי האירוע מצביע על מניעים גיאופוליטיים פוטנציאליים, התואמים לדפוס רחב יותר של פעילות סייבר בעקבות סכסוכים אזוריים.
למרות שהיא נמצאת במה שנראה כשלב לא שלם או בשלב פיתוחי, הנוזקה כבר מדגימה שילוב של יכולות מתקדמות. אלה כוללות הסלמת הרשאות, מנגנוני שמירה על תקינות, הפצה מבוססת USB וסריקה ממוקדת של מערכות בקרה תעשייתיות (ICS). ראוי לציין, שהיא מכילה גם פונקציונליות מוכוונת חבלה שמטרתה לתמרן את רמות הכלור ובקרות הלחץ, פרמטרים מרכזיים בתהליכי טיפול במים.
מיקוד מדויק: מסננים גיאוגרפיים וסביבתיים
ZionSiphon משתמש במנגנון הפעלה בעל שני תנאים, המבטיח ביצוע רק בנסיבות ספציפיות ביותר. התוכנה הזדונית מפעילה את המטען שלה רק כאשר שני התנאים הבאים מתקיימים:
המערכת הנגועה נמצאת בטווחי כתובות IPv4 ישראליים מוגדרים מראש
הסביבה תואמת מאפיינים הקשורים למערכות טיפול במים או התפלת מי ים
טווחי ה-IP היעד כוללים:
2.52.0.0 – 2.55.255.255
79.176.0.0 – 79.191.255.255
212.150.0.0 – 212.150.255.255
בנוסף, מחרוזות מוטמעות בתוך הנוזקה מתייחסות לתשתית ישראלית, מה שמחזק את טווח הפגיעה הצר שלה. מסרים פוליטיים בתוך הקוד מבטאים תמיכה באיראן, פלסטין ותימן, ומדגישים עוד יותר את הגוונים האידיאולוגיים של הקמפיין.
יכולות תפעוליות: מניפולציה של ICS וסיור רשת
לאחר ביצועו בתנאים תקינים, ZionSiphon יוזם סיור ואינטראקציה עם התקנים ברשת המשנה המקומית. הוא מנסה לתקשר באמצעות מספר פרוטוקולים תעשייתיים הנפוצים בסביבות OT:
- מודבוס
- DNP3
- S7comm
מבין אלה, נראה כי הפונקציונליות הקשורה ל-Modbus היא הבוגרת ביותר, בעוד שהתמיכה ב-DNP3 ו-S7comm נותרה מיושמת באופן חלקי. עובדה זו מצביעה על פיתוח ובדיקות מתמשכות.
התוכנה הזדונית משנה גם קבצי תצורה מקומיים, ומכוונת ספציפית לפרמטרים המווסתים את מינון הכלור ואת לחץ המערכת. מניפולציה כזו עלולה לשבש תהליכי טיהור מים, ולהוות סיכונים פוטנציאליים הן לשלמות התשתית והן לבטיחות הציבור.
מנגנוני התפשטות והשמדה עצמית
מאפיין בולט של ZionSiphon הוא יכולתו להתפשט באמצעות מדיה נשלפת, מה שמאפשר תנועה רוחבית בסביבות שעשויות להיות מבודדות מרשתות חיצוניות. טכניקה זו משקפת טקטיקות ששימשו בהתקפות קודמות המתמקדות ב-ICS.
עם זאת, אם התוכנה הזדונית קובעת שמערכת המארח אינה עומדת בקריטריונים שלה, היא מתחילה שגרת מחיקה עצמית. התנהגות זו ממזערת את הסיכון לגילוי ומגבילה את החשיפה מחוץ למטרות המיועדות.
פערים התפתחותיים והשלכות אסטרטגיות
למרות העיצוב המתקדם שלו, הדגימה הנוכחית מציגה מגבלות קריטיות. באופן ספציפי, היא אינה מצליחה לאמת כראוי את תנאי המיקוד הגיאוגרפיים שלה, אפילו כאשר היא פועלת בתוך טווחי ה-IP המוגדרים. חוסר עקביות זה מצביע על אחת מכמה אפשרויות: ביטול מכוון, שגיאות תצורה או שלב פיתוח לא גמור.
אף על פי כן, העיצוב האדריכלי של ZionSiphon משקף מגמה רחבה יותר. גורמי איום מתנסים יותר ויותר במניפולציה של ICS מרובת פרוטוקולים, גישה מתמשכת בתוך סביבות OT ושיטות הפצה המותאמות למערכות בעלות פער אוויר. מאפיינים אלה דומים מאוד לטקטיקות שנצפו בקמפיינים סייבר קודמים של מדינות המכוונות לתשתיות תעשייתיות.
סיכום: אות אזהרה לאבטחת תשתיות קריטיות
ZionSiphon מייצג יותר מאשר רק מקרה של תוכנה זדונית אחת, הוא מדגיש את נוף האיומים המתפתח העומד בפני תשתיות קריטיות ברחבי העולם. אפילו בצורתו השלמה, הוא מדגים מאמץ מכוון לשלב כוונות גיאופוליטיות עם תחכום טכני, ומחזק את הצורך הדחוף בבקרות אבטחה משופרות בסביבות תעשייתיות.
