⚡ أبرز النقاط

الإشعار المشترك AA26-097A من CISA (7 أبريل 2026) وثّق حملة APT مدعومة من دولة ضد أجهزة Allen-Bradley PLC من Rockwell المعرّضة للإنترنت في قطاعات المياه والطاقة ومرافق الحكومة الأمريكية. استخدم المهاجمون برنامج الهندسة الشرعي Studio 5000 عبر بنية تحتية سحابية مستأجَرة، مستغلّين CVE-2021-22681 — المضافة إلى كتالوج CISA KEV في مارس 2026. قائمة تحقق الدفاع ذات النقاط العشر (جرد الأصول، تقسيم Purdue، تحصين PLC، إغلاق محطات العمل الهندسية) تتطابق مباشرة مع بيئات Sonatrach وSonelgaz وADE في الجزائر.

خلاصة: على مشغّلي CII الجزائريين طلب جرد أصول OT مستقل هذا الربع، والتحقق من عدم تعرّض أي PLC أو HMI للإنترنت، وبناء خارطة طريق 12 شهراً حول تقسيم Purdue وتحصين محطات العمل الهندسية بما يتوافق مع أساس المرسوم 25-321 الخاص بـANSSI.

اقرأ التحليل الكامل ↓

إعلان

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
Sonatrach وSonelgaz وADE والمشغّلون الصناعيون الكبار يستخدمون نفس حزم PLC من Rockwell/Schneider/Siemens المشار إليها في AA26-097A. نقاط الضعف المعمارية واحدة.
الجدول الزمني للعمل
6-12 شهراً
معظم التوصيات هيكلية — جرد الأصول، تقسيم Purdue، تحصين محطات العمل الهندسية — وتستغرق أرباعاً وليس أياماً. يجب أن تحدث دورة بيانات الاعتماد وتصحيح KEV خلال 30 يوماً.
أصحاب المصلحة الرئيسيون
قادة أمن OT، مدراء المصانع،
نوع القرار
استراتيجي
قرار متعدد السنوات لموقف أمن OT، لا دورة تصحيح لمرة واحدة. يتطلب ميزانية وهيكلاً تنظيمياً (اندماج IT/OT) ورعاية تنفيذية مستدامة.
مستوى الأولوية
حرج
اختراق OT في قطاعي الطاقة أو المياه له تبعات تتعلق بالسلامة والبيئة والأمن الوطني تتجاوز اقتصاديات تسريب البيانات.

خلاصة سريعة: على مشغّلي CII الجزائريين اعتبار AA26-097A تقرير red team مجاني ضد مصانعهم. اطلب جرد أصول OT مستقل هذا الربع، وأشرك ANSSI / ASSI للتوافق مع الأسس القطاعية لـCII، وابنِ خارطة طريق 12 شهراً حول إغلاق محطات العمل الهندسية وتقسيم Purdue ونشر CIP Security على وحدات تحكم Rockwell.

ما يُبلّغ عنه AA26-097A فعلياً

الإشعار AA26-097A، الصادر بتأليف مشترك من CISA وFBI وNSA وEPA وDOE وUS Cyber Command في 7 أبريل 2026، يصف حملة جارية ضد أجهزة التكنولوجيا التشغيلية (OT) المتصلة بالإنترنت عبر عدة قطاعات بنية تحتية حيوية أمريكية — الخدمات والمرافق الحكومية، أنظمة الماء والصرف الصحي، والطاقة — منسوبة إلى مجموعة APT مدعومة من دولة.

أبرز النتائج التقنية، المستخلصة من الإشعار العام وتحليلات المتابعة من Picus Security وRedSeal وIndustrial Cyber و1898 & Co. (Burns & McDonnell):

  • الأهداف الرئيسية: أجهزة التحكم المنطقي القابلة للبرمجة (PLC) من Allen-Bradley التابعة لـRockwell Automation، خاصة عائلة ControlLogix.
  • التقنية الأساسية: استأجر المشغّلون استضافة سحابية تابعة لجهات خارجية وشغّلوا برنامج الهندسة Studio 5000 Logix Designer الخاص بـRockwell نفسه لإنشاء اتصالات تبدو شرعية نحو PLC الضحية. لأن الجلسات تستخدم أداة الهندسة الأصلية للمورّد، تصنّف معظم قواعد الكشف الشبكي هذه الجلسات على أنها حركة هندسية عادية.
  • ثغرة CVE الأساسية المُستخدمة: CVE-2021-22681 — مفتاح تشفير غير محمي بشكل كافٍ في Studio 5000 وPLCs من Logix — أُضيفت إلى كتالوج CISA للثغرات المُستغلة المعروفة (KEV) في مارس 2026.
  • النتيجة: تعرّض بعض الضحايا لاضطراب تشغيلي وخسارة مالية، بما في ذلك اضطراب حالات التحكم في العمليات على PLCs.

الدرس للمدافعين ليس إسناد البلد؛ بل أن APT مُقتدر مدعوم من دولة يستخدم أدوات هندسية شرعية يمكن أن يصل إلى PLCs المعرّضة للإنترنت دون حرق أي ثغرة zero-day. الضعف معماري.

سطح الهجوم OT في الجزائر

سجّلت الجزائر أكثر من 70 مليون هجوم إلكتروني في 2024 وتحتل المرتبة 17 عالمياً بين أكثر الدول استهدافاً، وفق الاستراتيجية الوطنية الصادرة بموجب المرسوم الرئاسي 25-321 (ديسمبر 2025). تصنّف الاستراتيجية صراحةً الطاقة والماء والاتصالات والنقل والخدمات المالية والخدمات الحكومية باعتبارها بنية تحتية للمعلومات الحيوية (CII)، مع تنسيق ANSSI / ASSI لأسس الأمن القطاعية.

بيئات OT التي تتطابق مباشرة مع نتائج AA26-097A:

  • محروقات Sonatrach. خطوط الأنابيب الأولية، المصافي، محطات GNL في سكيكدة وأرزيو، وآلاف PLCs لرؤوس الآبار والضواغط. Studio 5000 / ControlLogix منتشر على نطاق واسع عبر سلسلة قيمة الغاز.
  • توليد وتوزيع الكهرباء في Sonelgaz. محطات حرارية، محطات توزيع فرعية، ومركز الإرسال الوطني يعتمد على حزم SCADA/PLC من Schneider وSiemens وRockwell.
  • الجزائرية للمياه (ADE) وONA للصرف الصحي. مدفوعة أغلبها بـPLC، مع نمو القياس عن بُعد لمحطات الضخ وشبكات التوزيع.
  • مترو الجزائر وOT السكك الحديدية. إشارات وأتمتة المحطات المعتمدة على PLC.
  • الإسمنت، الأسمدة، الصلب، البتروكيماويات. مصانع خاصة وتابعة للدولة كبيرة ذات بيئات ICS قديمة تشغّل غالباً برامج HMI/SCADA غير مدعومة.

إعلان

قائمة 10 نقاط للمدافعين عن OT لمشغّلي CII الجزائريين

تجمع هذه القائمة توصيات AA26-097A، إرشادات تصميم أمن النظام الخاصة بـRockwell (منشور SECURE-RM001J، نوفمبر 2025)، IEC 62443، وNIST SP 800-82. تتوافق مع توقعات ANSSI القطاعية بموجب المرسوم 25-321:

  1. جرد أصول كامل. كل PLC وRTU وHMI ومحطة عمل هندسية وWindows historian في كل مصنع. الأدوات: Claroty وDragos وNozomi أو Tenable OT Security. بدون جرد لا يوجد دفاع.
  2. فحص التعرّض للإنترنت. استخدم Shodan وCensys والمسح السلبي داخل البلد للتأكد من عدم تعرّض أي PLC أو HMI للإنترنت العام. النتيجة الأساسية لـAA26-097A أن PLCs من Allen-Bradley المعرّضة كانت نقطة الدخول.
  3. تقسيم نموذج Purdue. افرض فصل المستويات 0-1 (المستشعرات/PLCs) والمستوى 2 (HMI/SCADA) عن المستوى 3 (DMZ للعمليات) والمستويين 4-5 (IT المؤسسي) بجدران حماية مادية وصمامات بيانات أحادية الاتجاه حيث يكون ذلك عملياً.
  4. تحصين بيانات اعتماد PLC والمفاتيح. دوّر بيانات الاعتماد الافتراضية. عطّل خدمات CIP غير المستخدمة. بالنسبة لـRockwell، مكّن CIP Security (الاتصالات المصادَقة والمحمية بالنزاهة) على وحدات التحكم التي تدعمها.
  5. إغلاق محطة العمل الهندسية / Studio 5000. يُظهر AA26-097A مهاجمين يسيئون استخدام برامج الهندسة الشرعية. يجب أن تكون محطات العمل الهندسية من المستوى Tier 0: غير متصلة بالإنترنت، مع قوائم السماح للتطبيقات في Windows، وتتطلب MFA ببطاقة ذكية/FIDO2، ولا تُستخدم أبداً للبريد الإلكتروني أو تصفح الويب.
  6. الاحتفاظ بالسجلات والرؤية. احتفاظ 12 شهراً كحد أدنى بسجلات شبكة OT وسجلات تغييرات PLC وسجلات جلسات الهندسة. أعد توجيهها إلى SIEM أو منصة خاصة بـOT (Splunk أو Claroty xDome أو Dragos Platform).
  7. صحّح ثغرات ICS المدرجة في KEV. CVE-2021-22681 (Studio 5000) هي الثغرة المحددة في AA26-097A، لكن تحقق من كامل كتالوج CISA KEV شهرياً مقابل جرد firmware PLC الخاص بك.
  8. خطة استجابة للحوادث. خطة خاصة بـOT مختلفة عن خطة IR الخاصة بـIT. حدد إجراءات الحالة الآمنة لكل عملية حرجة. تدرّب مع المشغّلين، ليس فقط مع موظفي الأمن السيبراني.
  9. وصول الأطراف الثالثة والمورّدين. أظهر AA26-097A المهاجمين يستخدمون بنية تحتية سحابية مستأجَرة. دقّق جميع حالات الوصول عن بُعد الخارجي: شبكات VPN للمورّدين، حسابات المتكاملين، الرصد عن بُعد القائم على السحابة. استبدل بيانات الاعتماد المشتركة بحسابات فردية مع MFA.
  10. التنسيق مع ANSSI / DZ-CERT. بموجب المرسوم 25-321، يُتوقع من مشغّلي CII الإبلاغ عن حوادث OT الهامة وسلوك PLC غير الطبيعي إلى ANSSI / ASSI. أنشئ قناة الاتصال قبل أن تحتاج إليها.

أين يقصّر المشغّلون الجزائريون عادةً

مراجعة صادقة للحوادث العامة في المنطقة ومسوحات الصناعة:

  • شبكات OT مسطحة. تُدير كثير من المصانع الجزائرية شبكة OT VLAN مسطحة واحدة. تقسيم Purdue تطلّعي لا مطبَّق.
  • محطات عمل هندسية بوصول إلى الإنترنت. يدفع توصيل التصحيحات والمساعدة عن بُعد من المورّد المشغّلين إلى توصيل مضيفي Tier 0 بالإنترنت.
  • Firmware PLC قديم. تتجنّب المصانع تحديثات firmware لأن تحديثاً فاشلاً قد يوقف خط إنتاج. التصحيح القائم على المخاطر مع نوافذ صيانة مجدولة هو الحل الواقعي.
  • وصول المتكاملين المُسنَد خارجياً. بيانات اعتماد VPN مشتركة واحدة، دون MFA، مسجّل فقط من جانب المتكامل.

منصات أمن OT القائمة على الذكاء الاصطناعي (Claroty xDome وDragos) تولّد ضوابط تعويضية قائمة على المخاطر تسمح للمشغّلين بالحفاظ على السلامة مع تأجيل التصحيحات إلى نوافذ صيانة مجدولة — مقاربة عملية للمصانع الجزائرية حيث تكاليف التوقف غير المخطط له أكبر بمرتبة عن تكاليف إدارة التصحيحات.

الخلاصة لمشغّلي CII الجزائريين

لم يكشف AA26-097A عن ثغرة zero-day جديدة. وثّق أن APT جيد التمويل يمكنه، بالصبر والأدوات الشرعية، الوصول إلى PLCs يفترض المشغّلون أنها معزولة. لدى المرافق والمصانع البتروكيميائية ومشغّلي المياه في الجزائر نفس الفجوات المعمارية للضحايا الأمريكيين الموثّقين في الإشعار. قائمة التحقق للدفاع مجرَّبة — السؤال هو ما إذا كان مشغّلو CII الجزائريون سيموّلون استثمارات الجرد والتقسيم والاستجابة للحوادث قبل وقوع حادث أم بعده.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

هل هذا الإشعار ذو صلة بالمشغّلين الجزائريين الذين لا يستخدمون PLCs من Allen-Bradley؟

نعم. الأداة المحددة (Studio 5000) والثغرة (CVE-2021-22681) خاصتان بـRockwell، لكن التقنية — إساءة استخدام برامج هندسية شرعية عبر OT المعرّض للإنترنت — تنطبق بالتساوي على Siemens TIA Portal وSchneider EcoStruxure وABB AC800. قائمة الدفاع (تقسيم Purdue، تحصين محطات العمل الهندسية، عدم التعرّض للإنترنت) محايدة بين المورّدين.

كيف يتوافق هذا مع الاستراتيجية الوطنية للأمن السيبراني في الجزائر؟

المرسوم الرئاسي 25-321 (ديسمبر 2025) والمرسوم 26-07 (يناير 2026) يصنّفان قطاعات الطاقة والمياه والصناعة كبنية تحتية للمعلومات الحيوية تحت إشراف ANSSI / ASSI. قائمة النقاط العشر أعلاه تتوافق مباشرة مع الأساس الأمني المتوقَّع لـCII من ANSSI والضوابط التقنية المشار إليها في IEC 62443-2-1 وNIST SP 800-82، وكلاهما يُشير إليهما ANSSI في إرشاداتها لـOT.

ما أعلى خطوة قيمة لمصنع Sonatrach أو Sonelgaz اليوم؟

إزالة كل PLC وHMI من التعرّض المباشر للإنترنت. استخدم Shodan وCensys للتحقق من الخارج، ثم افرض القاعدة على جدار حماية المصنع. OT المعرّض للإنترنت كان القاسم المشترك عبر ضحايا AA26-097A. هو أيضاً الضابط الوحيد الذي يحقق أكبر تقليل مخاطر لكل دولار مستثمَر.

المصادر والقراءات الإضافية