Perisian Hasad ZionSiphon
Penganalisis keselamatan siber telah mengenal pasti strain perisian hasad yang baru muncul, ZionSiphon, yang direka bentuk dengan tumpuan yang jelas pada kemudahan rawatan air dan penyahgaraman Israel. Perkembangan ini menandakan peningkatan yang membimbangkan dalam operasi siber yang disasarkan kepada infrastruktur kritikal, terutamanya dalam persekitaran teknologi operasi perindustrian (OT).
Isi kandungan
Asal Usul dan Konteks: Kemunculan Pasca Konflik
Perisian hasad ZionSiphon pertama kali diperhatikan di alam liar pada 29 Jun 2025, sejurus selepas Perang Dua Belas Hari antara Iran dan Israel (13–24 Jun 2025). Pemasaannya mencadangkan potensi motivasi geopolitik, sejajar dengan corak aktiviti siber yang lebih luas berikutan konflik serantau.
Walaupun berada dalam fasa yang kelihatan tidak lengkap atau belum berkembang, perisian hasad ini telah menunjukkan gabungan keupayaan canggih. Ini termasuk peningkatan keistimewaan, mekanisme persistensi, penyebaran berasaskan USB dan pengimbasan sistem kawalan perindustrian (ICS) yang disasarkan. Terutamanya, ia juga mengandungi fungsi berorientasikan sabotaj yang bertujuan untuk memanipulasi tahap klorin dan kawalan tekanan, parameter utama dalam proses rawatan air.
Penargetan Ketepatan: Penapis Geografi dan Persekitaran
ZionSiphon menggunakan mekanisme pengaktifan dwi-syarat, memastikan pelaksanaan hanya dalam keadaan yang sangat spesifik. Perisian hasad mengaktifkan muatannya hanya apabila kedua-dua syarat berikut dipenuhi:
Sistem yang dijangkiti berada dalam julat alamat IPv4 Israel yang telah ditetapkan
Persekitaran sepadan dengan ciri-ciri yang berkaitan dengan sistem rawatan air atau penyahgaraman
Julat IP yang disasarkan termasuk:
2.52.0.0 – 2.55.255.255
79.176.0.0 – 79.191.255.255
212.150.0.0 – 212.150.255.255
Selain itu, rentetan terbenam dalam perisian hasad merujuk kepada infrastruktur Israel, mengukuhkan skop penyasarannya yang sempit. Pemesejan politik dalam kod tersebut menyatakan sokongan untuk Iran, Palestin dan Yaman, sekali gus menggariskan lagi nada ideologi kempen tersebut.
Keupayaan Operasi: Manipulasi ICS dan Peninjauan Rangkaian
Sebaik sahaja dilaksanakan di bawah syarat yang sah, ZionSiphon memulakan peninjauan dan interaksi dengan peranti pada subnet tempatan. Ia cuba berkomunikasi menggunakan pelbagai protokol perindustrian yang biasa ditemui dalam persekitaran OT:
- Modbus
- DNP3
- S7comm
Antaranya, fungsi berkaitan Modbus nampaknya paling matang, manakala sokongan untuk DNP3 dan S7comm masih sebahagiannya dilaksanakan. Ini menunjukkan pembangunan dan pengujian yang berterusan.
Perisian hasad ini juga mengubah fail konfigurasi tempatan, khususnya menyasarkan parameter yang mengawal dos klorin dan tekanan sistem. Manipulasi sedemikian boleh mengganggu proses rawatan air, sekali gus menimbulkan potensi risiko kepada integriti infrastruktur dan keselamatan awam.
Mekanisme Penyebaran dan Pemusnahan Sendiri
Satu ciri penting ZionSiphon ialah keupayaannya untuk merebak melalui media boleh tanggal, membolehkan pergerakan lateral dalam persekitaran yang mungkin diasingkan daripada rangkaian luaran. Teknik ini mencerminkan taktik yang digunakan dalam serangan berfokus ICS terdahulu.
Walau bagaimanapun, jika perisian hasad menentukan bahawa sistem hos tidak memenuhi kriteria penyasarannya, ia akan memulakan rutin pemadaman kendiri. Tingkah laku ini meminimumkan risiko pengesanan dan menghadkan pendedahan di luar sasaran yang dimaksudkan.
Jurang Pembangunan dan Implikasi Strategik
Walaupun reka bentuknya yang canggih, sampel semasa menunjukkan batasan kritikal. Secara khususnya, ia gagal mengesahkan keadaan penyasaran geografinya sendiri dengan betul, walaupun beroperasi dalam julat IP yang ditetapkan. Ketidakkonsistenan ini menunjukkan salah satu daripada beberapa kemungkinan: penyahaktifan yang disengajakan, ralat konfigurasi atau peringkat pembangunan yang belum selesai.
Walau bagaimanapun, reka bentuk seni bina ZionSiphon mencerminkan trend yang lebih luas. Pelakon ancaman semakin bereksperimen dengan manipulasi ICS berbilang protokol, akses berterusan dalam persekitaran OT dan kaedah penyebaran yang disesuaikan untuk sistem celah udara. Ciri-ciri ini hampir menyerupai taktik yang diperhatikan dalam kempen siber sejajar negeri sebelum ini yang menyasarkan infrastruktur perindustrian.
Kesimpulan: Isyarat Amaran untuk Keselamatan Infrastruktur Kritikal
ZionSiphon mewakili lebih daripada sekadar satu contoh perisian hasad, ia menonjolkan landskap ancaman yang berkembang yang dihadapi infrastruktur kritikal di seluruh dunia. Walaupun dalam bentuknya yang tidak lengkap, ia menunjukkan usaha yang disengajakan untuk menggabungkan niat geopolitik dengan kecanggihan teknikal, memperkukuh keperluan mendesak untuk kawalan keselamatan yang dipertingkatkan merentasi persekitaran perindustrian.
