นักวิจัยด้านความปลอดภัยไซเบอร์ตรวจพบมัลแวร์ตัวใหม่ชื่อ ZionSiphon ซึ่งถูกออกแบบมาเพื่อมุ่งเป้าโจมตี ระบบ OT ของโรงบำบัดน้ำและโรงกลั่นน้ำทะเลในอิสราเอล โดยเฉพาะ กรณีนี้สะท้อนให้เห็นว่า ภัยคุกคามไซเบอร์ในปัจจุบันไม่ได้จำกัดอยู่แค่ระบบ IT ทั่วไปอีกต่อไป แต่ได้ขยายเข้าสู่โครงสร้างพื้นฐานสำคัญที่เกี่ยวข้องกับการดำรงชีวิตของประชาชนโดยตรง
มัลแวร์ดังกล่าวถูกตั้งชื่อโดย Darktrace ซึ่งระบุว่า ZionSiphon มีความสามารถหลายด้าน ทั้งการสร้างการคงอยู่ในระบบ (Persistence) การแก้ไขไฟล์ตั้งค่าภายในเครื่อง และการสแกนหา service ที่เกี่ยวข้องกับ Operational Technology (OT) ภายในเครือข่ายย่อย หรือ local subnet นอกจากนี้ยังมีคุณสมบัติที่ชี้ให้เห็นถึงความพยายามในการโจมตีระบบอุตสาหกรรมหรือ ICS (Industrial Control Systems) อย่างมีเป้าหมาย
จากข้อมูลบน VirusTotal ตัวอย่างของมัลแวร์นี้ถูกตรวจพบในโลกจริงครั้งแรกเมื่อวันที่ 29 มิถุนายน 2025 หลังจากเหตุการณ์สงคราม 12 วันระหว่างอิหร่านและอิสราเอลในช่วงวันที่ 13–24 มิถุนายน 2025 ไม่นาน ซึ่งทำให้กรณีนี้ถูกจับตามองในมิติของภัยคุกคามที่อาจมีแรงจูงใจทางการเมืองร่วมด้วย
ZionSiphon มุ่งเป้าโจมตีระบบในอิสราเอลอย่างไร
หนึ่งในจุดสำคัญของ ZionSiphon คือการมุ่งเป้าหมายอย่างชัดเจนไปยังระบบที่อยู่ในอิสราเอล โดยมัลแวร์มีการกำหนดช่วง IPv4 address ที่เกี่ยวข้องกับอิสราเอลไว้ล่วงหน้า ได้แก่ 2.52.0.0 – 2.55.255.255, 79.176.0.0 – 79.191.255.255 และ 212.150.0.0 – 212.150.255.255
เงื่อนไขการทำงานของ Payload
Darktrace ระบุว่า ZionSiphon ไม่ได้ทำงานแบบสุ่ม แต่มีตรรกะการทำงานที่ชัดเจน โดย payload จะเริ่มทำงานก็ต่อเมื่อพบทั้ง 2 เงื่อนไขพร้อมกัน ได้แก่
-
เงื่อนไขด้านภูมิศาสตร์
-
เงื่อนไขด้านสภาพแวดล้อมที่เกี่ยวข้องกับระบบกลั่นน้ำทะเลหรือระบบบำบัดน้ำ
ภายในโค้ดยังพบข้อความทางการเมืองที่แสดงการสนับสนุน อิหร่าน ปาเลสไตน์ และเยเมน รวมถึงพบ string ที่เชื่อมโยงกับโครงสร้างพื้นฐานด้านน้ำของอิสราเอล ซึ่งยิ่งตอกย้ำว่ามัลแวร์นี้ถูกออกแบบให้มีเป้าหมายเฉพาะเจาะจง
พฤติกรรมของ ZionSiphon ในการโจมตีระบบ ICS
เมื่อเริ่มทำงาน ZionSiphon จะตรวจหาอุปกรณ์ภายใน local subnet และพยายามสื่อสารผ่านโปรโตคอลที่ใช้ในระบบอุตสาหกรรม ได้แก่ Modbus, DNP3 และ S7comm จากนั้นจึงพยายามแก้ไขไฟล์ configuration ในเครื่อง โดยมุ่งไปที่พารามิเตอร์ที่เกี่ยวข้องกับ ปริมาณคลอรีนในระบบน้ำ และ ค่าแรงดัน (Pressure)
โปรโตคอลที่พบในการสแกน
-
Modbus
-
DNP3
-
S7comm
จากการวิเคราะห์พบว่าเส้นทางการโจมตีผ่าน Modbus มีความสมบูรณ์มากที่สุด ขณะที่ DNP3 และ S7comm ยังอยู่ในลักษณะโค้ดบางส่วนเท่านั้น จึงมีความเป็นไปได้ว่ามัลแวร์ตัวนี้ยังอยู่ระหว่างการพัฒนา
ความสามารถในการแพร่กระจายและการทำลายตัวเอง
อีกจุดที่น่ากังวลคือ ZionSiphon สามารถแพร่กระจายผ่าน USB หรือสื่อแบบถอดได้ ซึ่งเป็นเทคนิคที่มีความสำคัญมากในบริบทของเครือข่ายอุตสาหกรรมที่บางส่วนอาจแยกออกจากอินเทอร์เน็ตโดยตรง อย่างไรก็ตาม หากมัลแวร์ตรวจพบว่าเครื่องปลายทางไม่ตรงตามเงื่อนไขที่กำหนด มันจะเข้าสู่กระบวนการ self-destruct เพื่อลบตัวเองออกจากระบบ
Darktrace ยังระบุเพิ่มเติมว่า แม้มัลแวร์จะมีฟังก์ชันด้าน sabotage, scanning และ propagation แต่ตัวอย่างที่ตรวจพบในปัจจุบันยังไม่สามารถผ่านเงื่อนไขการตรวจสอบประเทศเป้าหมายได้อย่างสมบูรณ์ แม้ IP จะอยู่ในช่วงที่กำหนดไว้ก็ตาม พฤติกรรมนี้อาจสะท้อนว่า ตัวมัลแวร์อาจถูกปิดฟังก์ชันไว้โดยเจตนา ตั้งค่าผิดพลาด หรือยังพัฒนาไม่เสร็จ
การค้นพบ RoadK1ll และ AngrySpark สะท้อนอะไร
นอกจาก ZionSiphon แล้ว ยังมีการเปิดเผยมัลแวร์อีก 2 ตระกูลที่น่าสนใจ คือ RoadK1ll และ AngrySpark โดย RoadK1ll เป็นมัลแวร์ที่พัฒนาด้วย Node.js ใช้สำหรับสร้าง reverse tunneling ผ่าน WebSocket เพื่อเปลี่ยนเครื่องที่ถูกเจาะให้กลายเป็น relay point สำหรับ pivot ไปยังระบบภายในเครือข่าย
ขณะที่ AngrySpark เป็น backdoor ที่ถูก obfuscate ด้วย virtual machine (VM) และทำงานแบบ 3 ขั้นตอน ตั้งแต่การโหลด DLL ผ่าน Task Scheduler การถอดรหัส configuration จาก registry ไปจนถึงการ inject shellcode เข้าไปใน svchost.exe ก่อนสร้างช่องทางสื่อสารแบบ HTTPS ที่ปลอมเป็นการร้องขอไฟล์ PNG เพื่อหลบเลี่ยงการตรวจจับ
ZionSiphon เตือนให้องค์กรเห็นความเสี่ยงของ OT Security
กรณีของ ZionSiphon มัลแวร์โจมตีระบบ OT เป็นสัญญาณสำคัญที่สะท้อนว่า ภัยคุกคามต่อระบบโครงสร้างพื้นฐานสำคัญกำลังมีความซับซ้อนและเฉพาะทางมากขึ้น โดยเฉพาะในระบบที่เกี่ยวข้องกับ น้ำ พลังงาน และกระบวนการอุตสาหกรรม แม้ว่ามัลแวร์ที่ตรวจพบจะยังอยู่ในสถานะไม่สมบูรณ์ แต่โครงสร้างของโค้ดแสดงให้เห็นถึงความพยายามในการทดลองโจมตีระบบ ICS ผ่านหลายโปรโตคอล ควบคู่ไปกับการสร้าง persistence และการแพร่กระจายผ่าน removable media
สำหรับองค์กรที่ดูแลระบบ OT และ ICS ข่าวนี้ถือเป็นเครื่องเตือนสำคัญว่า การป้องกันโครงสร้างพื้นฐานสำคัญจำเป็นต้องพิจารณาทั้งการมองเห็นอุปกรณ์ในเครือข่าย การตรวจจับพฤติกรรมผิดปกติ และการเฝ้าระวังภัยคุกคามที่อาจไม่ได้โจมตีเพียงระบบ IT แต่เจาะตรงสู่กระบวนการปฏิบัติการหลักขององค์กรโดยตรง
แหล่งที่มา: The Hacker News
News 24/4/2026