Аналитики компании Darktrace обнаружили и детально изучили новый образец вредоносного программного обеспечения, нацеленного на промышленные системы управления (ICS, или OT). Программа, идентифицирующая себя как ZionSiphon, сочетает в себе классические методы закрепления в системе и распространения с узконаправленной логикой атаки на объекты критической инфраструктуры, связанные с водоочисткой и опреснением. Несмотря на наличие очевидных ошибок в коде, которые, вероятно, делают текущую версию неработоспособной, этот образец демонстрирует растущий интерес злоумышленников к разработке инструментов для политически мотивированных кибератак на операционные технологии.
Описание
Главной отличительной чертой ZionSiphon является его двойной механизм определения цели. Во-первых, программа проверяет, находится ли заражённое устройство в географических пределах Израиля, сверяя его IP-адрес с жёстко заданными диапазонами. Во-вторых, она ищет признаки специализированного программного обеспечения для управления опреснительными установками. Вредоносное ПО сканирует список запущенных процессов и файловую систему на предмет ключевых слов вроде "DesalPLC", "ROController", "ChlorineCtrl", "WaterTreat" и проверяет наличие специфических путей, таких как "C:\Program Files\Desalination". Эта двухэтапная логика указывает на стремление атакующих нанести удар именно по объектам водного сектора определённой страны, минимизируя риск случайного срабатывания в других сетях.
Идеологический подтекст атаки подчёркивается пропагандистскими сообщениями, встроенными в код в виде строк, закодированных в Base64. Одно из них гласит: "В поддержку наших братьев в Иране, Палестине и Йемене против сионистской агрессии. Я - "0xICS"". Второе, более провокационное, расшифровывается как "Отравление населения Тель-Авива и Хайфы". Эти строки не используются программой в операционных целях, но служат явным указанием на политическую мотивацию авторов.
С технической точки зрения, ZionSiphon демонстрирует стандартный для вредоносного ПО арсенал: повышение привилегий до уровня администратора, закрепление в системе через автозагрузку реестра Windows под видом легитимного процесса "svchost.exe", а также механизм распространения через USB-накопители. Последний создаёт на съёмных дисках скрытую копию вредоноса и подменяет ярлыки на настоящие файлы, запуская при их открытии вредоносный код. Однако ключевая функциональность лежит в области взаимодействия с промышленными системами.
Если обе проверки (географическая и отраслевая) пройдены, активируется логика саботажа. Первым делом программа пытается найти на диске конфигурационные файлы, связанные с управлением хлором и давлением, и дописать в них команды, устанавливающие параметры на потенциально опасные значения, такие как "Chlorine_Dose=10" или "RO_Pressure=80". Затем ZionSiphon переходит к сканированию локальной сети на предмет устройств с открытыми портами, характерными для промышленных протоколов: 502 (Modbus), 20000 (DNP3) и 102 (S7comm).
Согласно отчёту аналитиков Darktrace, наиболее проработанной в образце оказалась поддержка протокола Modbus. При обнаружении соответствующего устройства вредоносное ПО отправляет команду чтения регистров, пытается найти среди них регистр, отвечающий за дозировку хлора, и в случае успеха отправляет команду на запись значения 100. Эта последовательность действий прямо указывает на намерение вмешаться в технологический процесс и изменить критически важные параметры, что в реальных условиях могло бы привести к серьёзным последствиям для безопасности и здоровья.
При этом анализ выявил критические недоработки, из-за которых текущая версия, скорее всего, не достигает стадии саботажа. Главная ошибка содержится в функции проверки страны "IsTargetCountry()": из-за несоответствия в логике шифрования сравнение всегда даёт отрицательный результат, после чего программа запускает процедуру самоуничтожения, удаляя себя с диска. Кроме того, реализации для протоколов DNP3 и S7comm выглядят незавершёнными и содержат лишь фрагменты команд, непригодные для реального взаимодействия с оборудованием.
Эти факты позволяют предположить, что исследованный образец является либо ранней, "сырой" версией, либо преднамеренно обезвреженным тестовым вариантом. Тем не менее, сам факт его появления крайне показателен. ZionSiphon отражает растущий тренд, когда угрозы, ранее характерные для IT-среды, целенаправленно адаптируются для атак на OT-инфраструктуру. Акцент на водном секторе, являющемся частью критической инфраструктуры любого государства, подчёркивает переход от финансовых или шпионских мотивов к политически ангажированным акциям, целью которых может быть причинение физического ущерба или демонстрация силы. Даже неудачные или незавершённые попытки подобного рода служат тревожным сигналом для операторов критически важных объектов по всему миру, требуя усиления мониторинга, сегментации сетей и интеграции систем безопасности IT и OT для раннего обнаружения подобных экспериментов.
Индикаторы компрометации
MD5
- eb89f018e6c3a8e9de0a0452acb16e76
SHA1
- 7cdcb8f372ceb7f5d3c178d9649080106a932f9e
SHA256
- 07c3bbe60d47240df7152f72beb98ea373d9600946860bad12f7bc617a5d6f5f
