duty-free.cc
Malware

Вредоносное ПО ZionSiphon нацелено на промышленные системы управления водных объектов

Duty News 0 1 день назад

Обзор

Исследователи компании Darktrace обнаружили новый вредоносный код под названием ZionSiphon, который, судя по всему, нацелен на системы очистки и опреснения воды в Израиле.

ZionSiphon обладает многими функциями, характерными для массового вредоносного ПО, однако привлёк внимание аналитиков из-за возможностей, ориентированных на операционные технологии (OT), в частности на промышленные системы управления (ICS).

Признаки целевой атаки

Строки внутри анализируемого образца указывают на то, что вредонос был разработан хакерами с антиизраильской направленностью. Одна из закодированных строк расшифровывается как:

«Отравление населения Тель-Авива и Хайфы»

Также обнаружены другие признаки того, что основной целью является Израиль:

  • упоминания водных объектов страны в строках кода
  • проверка геолокации заражённой системы

После получения прав администратора и закрепления в системе вредонос определяет локальный IP-адрес и проверяет, находится ли устройство в Израиле.

Механизм атаки

Если IP-адрес связан с Израилем, ZionSiphon выполняет следующие действия:

  • проверяет наличие процессов и папок, характерных для водоочистных систем
  • ищет компоненты, связанные с:
    • обратным осмосом
    • опреснением
    • обработкой хлора
    • управлением объектами

Если условия совпадают, вредонос:

  • ищет локальные конфигурационные файлы
  • пытается изменить их, увеличивая дозировку хлора и давление

Далее происходит сканирование сети на наличие устройств ICS, использующих протоколы:

  • Modbus
  • DNP3
  • S7comm

Если обнаружены устройства Modbus, предпринимается попытка изменения параметров, связанных с хлором и давлением.

Условия активации

Вредонос активируется только при соблюдении двух условий:

  • система находится в Израиле
  • устройство связано с водоочистной инфраструктурой

Если условия не выполняются:

  • вредонос удаляет себя с устройства

Дополнительные возможности

Исследователи также обнаружили механизм распространения через USB-накопители.

При этом отмечается, что вредонос всё ещё находится в стадии разработки:

  • ошибки в проверке геолокации
  • неполная реализация логики для DNP3 и S7comm

Оценка угрозы

Изменение локальных конфигураций и параметров Modbus, вероятно, не окажет значительного влияния в реальных условиях. Несмотря на явное намерение вызвать сбои, вредонос пока недостаточно сложен для фактического изменения уровней хлора на практике.

Тем не менее, он демонстрирует опасную тенденцию:

  • злоумышленники всё чаще экспериментируют с вредоносным ПО для OT-систем
  • критическая инфраструктура становится всё более частой целью атак

Контекст угроз

Водный сектор давно является привлекательной целью для атак:

  • системы управления часто доступны из интернета
  • уровень защиты нередко недостаточен
  • потенциальные последствия атак могут быть серьёзными

Особенно часто атакуется водная инфраструктура Израиля, в том числе хакерами, связанными с Ираном. В то же время про-израильские группы также атакуют объекты водоснабжения в других странах.

Появление ZionSiphon связано с ростом кибератак на фоне геополитической напряжённости между США, Израилем и Ираном.