ما يُبلّغ عنه AA26-097A فعلياً
الإشعار AA26-097A، الصادر بتأليف مشترك من CISA وFBI وNSA وEPA وDOE وUS Cyber Command في 7 أبريل 2026، يصف حملة جارية ضد أجهزة التكنولوجيا التشغيلية (OT) المتصلة بالإنترنت عبر عدة قطاعات بنية تحتية حيوية أمريكية — الخدمات والمرافق الحكومية، أنظمة الماء والصرف الصحي، والطاقة — منسوبة إلى مجموعة APT مدعومة من دولة.
أبرز النتائج التقنية، المستخلصة من الإشعار العام وتحليلات المتابعة من Picus Security وRedSeal وIndustrial Cyber و1898 & Co. (Burns & McDonnell):
- الأهداف الرئيسية: أجهزة التحكم المنطقي القابلة للبرمجة (PLC) من Allen-Bradley التابعة لـRockwell Automation، خاصة عائلة ControlLogix.
- التقنية الأساسية: استأجر المشغّلون استضافة سحابية تابعة لجهات خارجية وشغّلوا برنامج الهندسة Studio 5000 Logix Designer الخاص بـRockwell نفسه لإنشاء اتصالات تبدو شرعية نحو PLC الضحية. لأن الجلسات تستخدم أداة الهندسة الأصلية للمورّد، تصنّف معظم قواعد الكشف الشبكي هذه الجلسات على أنها حركة هندسية عادية.
- ثغرة CVE الأساسية المُستخدمة: CVE-2021-22681 — مفتاح تشفير غير محمي بشكل كافٍ في Studio 5000 وPLCs من Logix — أُضيفت إلى كتالوج CISA للثغرات المُستغلة المعروفة (KEV) في مارس 2026.
- النتيجة: تعرّض بعض الضحايا لاضطراب تشغيلي وخسارة مالية، بما في ذلك اضطراب حالات التحكم في العمليات على PLCs.
الدرس للمدافعين ليس إسناد البلد؛ بل أن APT مُقتدر مدعوم من دولة يستخدم أدوات هندسية شرعية يمكن أن يصل إلى PLCs المعرّضة للإنترنت دون حرق أي ثغرة zero-day. الضعف معماري.
سطح الهجوم OT في الجزائر
سجّلت الجزائر أكثر من 70 مليون هجوم إلكتروني في 2024 وتحتل المرتبة 17 عالمياً بين أكثر الدول استهدافاً، وفق الاستراتيجية الوطنية الصادرة بموجب المرسوم الرئاسي 25-321 (ديسمبر 2025). تصنّف الاستراتيجية صراحةً الطاقة والماء والاتصالات والنقل والخدمات المالية والخدمات الحكومية باعتبارها بنية تحتية للمعلومات الحيوية (CII)، مع تنسيق ANSSI / ASSI لأسس الأمن القطاعية.
بيئات OT التي تتطابق مباشرة مع نتائج AA26-097A:
- محروقات Sonatrach. خطوط الأنابيب الأولية، المصافي، محطات GNL في سكيكدة وأرزيو، وآلاف PLCs لرؤوس الآبار والضواغط. Studio 5000 / ControlLogix منتشر على نطاق واسع عبر سلسلة قيمة الغاز.
- توليد وتوزيع الكهرباء في Sonelgaz. محطات حرارية، محطات توزيع فرعية، ومركز الإرسال الوطني يعتمد على حزم SCADA/PLC من Schneider وSiemens وRockwell.
- الجزائرية للمياه (ADE) وONA للصرف الصحي. مدفوعة أغلبها بـPLC، مع نمو القياس عن بُعد لمحطات الضخ وشبكات التوزيع.
- مترو الجزائر وOT السكك الحديدية. إشارات وأتمتة المحطات المعتمدة على PLC.
- الإسمنت، الأسمدة، الصلب، البتروكيماويات. مصانع خاصة وتابعة للدولة كبيرة ذات بيئات ICS قديمة تشغّل غالباً برامج HMI/SCADA غير مدعومة.
إعلان
قائمة 10 نقاط للمدافعين عن OT لمشغّلي CII الجزائريين
تجمع هذه القائمة توصيات AA26-097A، إرشادات تصميم أمن النظام الخاصة بـRockwell (منشور SECURE-RM001J، نوفمبر 2025)، IEC 62443، وNIST SP 800-82. تتوافق مع توقعات ANSSI القطاعية بموجب المرسوم 25-321:
- جرد أصول كامل. كل PLC وRTU وHMI ومحطة عمل هندسية وWindows historian في كل مصنع. الأدوات: Claroty وDragos وNozomi أو Tenable OT Security. بدون جرد لا يوجد دفاع.
- فحص التعرّض للإنترنت. استخدم Shodan وCensys والمسح السلبي داخل البلد للتأكد من عدم تعرّض أي PLC أو HMI للإنترنت العام. النتيجة الأساسية لـAA26-097A أن PLCs من Allen-Bradley المعرّضة كانت نقطة الدخول.
- تقسيم نموذج Purdue. افرض فصل المستويات 0-1 (المستشعرات/PLCs) والمستوى 2 (HMI/SCADA) عن المستوى 3 (DMZ للعمليات) والمستويين 4-5 (IT المؤسسي) بجدران حماية مادية وصمامات بيانات أحادية الاتجاه حيث يكون ذلك عملياً.
- تحصين بيانات اعتماد PLC والمفاتيح. دوّر بيانات الاعتماد الافتراضية. عطّل خدمات CIP غير المستخدمة. بالنسبة لـRockwell، مكّن CIP Security (الاتصالات المصادَقة والمحمية بالنزاهة) على وحدات التحكم التي تدعمها.
- إغلاق محطة العمل الهندسية / Studio 5000. يُظهر AA26-097A مهاجمين يسيئون استخدام برامج الهندسة الشرعية. يجب أن تكون محطات العمل الهندسية من المستوى Tier 0: غير متصلة بالإنترنت، مع قوائم السماح للتطبيقات في Windows، وتتطلب MFA ببطاقة ذكية/FIDO2، ولا تُستخدم أبداً للبريد الإلكتروني أو تصفح الويب.
- الاحتفاظ بالسجلات والرؤية. احتفاظ 12 شهراً كحد أدنى بسجلات شبكة OT وسجلات تغييرات PLC وسجلات جلسات الهندسة. أعد توجيهها إلى SIEM أو منصة خاصة بـOT (Splunk أو Claroty xDome أو Dragos Platform).
- صحّح ثغرات ICS المدرجة في KEV. CVE-2021-22681 (Studio 5000) هي الثغرة المحددة في AA26-097A، لكن تحقق من كامل كتالوج CISA KEV شهرياً مقابل جرد firmware PLC الخاص بك.
- خطة استجابة للحوادث. خطة خاصة بـOT مختلفة عن خطة IR الخاصة بـIT. حدد إجراءات الحالة الآمنة لكل عملية حرجة. تدرّب مع المشغّلين، ليس فقط مع موظفي الأمن السيبراني.
- وصول الأطراف الثالثة والمورّدين. أظهر AA26-097A المهاجمين يستخدمون بنية تحتية سحابية مستأجَرة. دقّق جميع حالات الوصول عن بُعد الخارجي: شبكات VPN للمورّدين، حسابات المتكاملين، الرصد عن بُعد القائم على السحابة. استبدل بيانات الاعتماد المشتركة بحسابات فردية مع MFA.
- التنسيق مع ANSSI / DZ-CERT. بموجب المرسوم 25-321، يُتوقع من مشغّلي CII الإبلاغ عن حوادث OT الهامة وسلوك PLC غير الطبيعي إلى ANSSI / ASSI. أنشئ قناة الاتصال قبل أن تحتاج إليها.
أين يقصّر المشغّلون الجزائريون عادةً
مراجعة صادقة للحوادث العامة في المنطقة ومسوحات الصناعة:
- شبكات OT مسطحة. تُدير كثير من المصانع الجزائرية شبكة OT VLAN مسطحة واحدة. تقسيم Purdue تطلّعي لا مطبَّق.
- محطات عمل هندسية بوصول إلى الإنترنت. يدفع توصيل التصحيحات والمساعدة عن بُعد من المورّد المشغّلين إلى توصيل مضيفي Tier 0 بالإنترنت.
- Firmware PLC قديم. تتجنّب المصانع تحديثات firmware لأن تحديثاً فاشلاً قد يوقف خط إنتاج. التصحيح القائم على المخاطر مع نوافذ صيانة مجدولة هو الحل الواقعي.
- وصول المتكاملين المُسنَد خارجياً. بيانات اعتماد VPN مشتركة واحدة، دون MFA، مسجّل فقط من جانب المتكامل.
منصات أمن OT القائمة على الذكاء الاصطناعي (Claroty xDome وDragos) تولّد ضوابط تعويضية قائمة على المخاطر تسمح للمشغّلين بالحفاظ على السلامة مع تأجيل التصحيحات إلى نوافذ صيانة مجدولة — مقاربة عملية للمصانع الجزائرية حيث تكاليف التوقف غير المخطط له أكبر بمرتبة عن تكاليف إدارة التصحيحات.
الخلاصة لمشغّلي CII الجزائريين
لم يكشف AA26-097A عن ثغرة zero-day جديدة. وثّق أن APT جيد التمويل يمكنه، بالصبر والأدوات الشرعية، الوصول إلى PLCs يفترض المشغّلون أنها معزولة. لدى المرافق والمصانع البتروكيميائية ومشغّلي المياه في الجزائر نفس الفجوات المعمارية للضحايا الأمريكيين الموثّقين في الإشعار. قائمة التحقق للدفاع مجرَّبة — السؤال هو ما إذا كان مشغّلو CII الجزائريون سيموّلون استثمارات الجرد والتقسيم والاستجابة للحوادث قبل وقوع حادث أم بعده.
الأسئلة الشائعة
هل هذا الإشعار ذو صلة بالمشغّلين الجزائريين الذين لا يستخدمون PLCs من Allen-Bradley؟
نعم. الأداة المحددة (Studio 5000) والثغرة (CVE-2021-22681) خاصتان بـRockwell، لكن التقنية — إساءة استخدام برامج هندسية شرعية عبر OT المعرّض للإنترنت — تنطبق بالتساوي على Siemens TIA Portal وSchneider EcoStruxure وABB AC800. قائمة الدفاع (تقسيم Purdue، تحصين محطات العمل الهندسية، عدم التعرّض للإنترنت) محايدة بين المورّدين.
كيف يتوافق هذا مع الاستراتيجية الوطنية للأمن السيبراني في الجزائر؟
المرسوم الرئاسي 25-321 (ديسمبر 2025) والمرسوم 26-07 (يناير 2026) يصنّفان قطاعات الطاقة والمياه والصناعة كبنية تحتية للمعلومات الحيوية تحت إشراف ANSSI / ASSI. قائمة النقاط العشر أعلاه تتوافق مباشرة مع الأساس الأمني المتوقَّع لـCII من ANSSI والضوابط التقنية المشار إليها في IEC 62443-2-1 وNIST SP 800-82، وكلاهما يُشير إليهما ANSSI في إرشاداتها لـOT.
ما أعلى خطوة قيمة لمصنع Sonatrach أو Sonelgaz اليوم؟
إزالة كل PLC وHMI من التعرّض المباشر للإنترنت. استخدم Shodan وCensys للتحقق من الخارج، ثم افرض القاعدة على جدار حماية المصنع. OT المعرّض للإنترنت كان القاسم المشترك عبر ضحايا AA26-097A. هو أيضاً الضابط الوحيد الذي يحقق أكبر تقليل مخاطر لكل دولار مستثمَر.
المصادر والقراءات الإضافية
- Cyber Actors Exploit Programmable Logic Controllers Across US Critical Infrastructure — CISA AA26-097A
- تنبيه CISA AA26-097A — تهديدات ICS/PLC للبنية التحتية الحيوية
- Rockwell Automation System Security Design Guidelines (SECURE-RM001J-EN-P)
- Ongoing Cyberattacks Targeting Internet-Connected PLCs — Industrial Cyber
- Cybersecurity at the Core of Algeria’s Digital Sovereignty — DzairTube / ASSI coverage
- How to Cloak Critical Infrastructure: Protecting Internet-Exposed PLCs — Zentera
