В последние годы израильские системы водоснабжения и опреснения остаются одной из приоритетных целей для кибератак. Однако новая вредоносная программа, обнаруженная в публичных песочницах ещё в 2025 году, демонстрирует необычный разрыв между замыслом и реальным исполнением. Речь идёт о образце под названием SCADA_SecurityPatch_v8.4.exe, которому аналитики дали имя ZionSiphon. С одной стороны, это полноценный имплант для операционных систем Windows, содержащий детальную логику targeting - выбора цели - в сфере промышленного контроля (ICS, системы управления промышленными процессами). С другой стороны, в его коде обнаружена фатальная ошибка, которая делает невозможной активацию разрушительной полезной нагрузки.
Описание
С технической точки зрения, этот образец является исполняемым файлом формата PE32, написанным на платформе Mono/.NET. Он использует среду выполнения Common Language Runtime (mscoree.dll), что означает его работу исключительно на уровне хоста - то есть на компьютере оператора или инженера, а не внутри программируемого логического контроллера (PLC, устройство управления промышленным оборудованием). Архитектурно это типичный имплант для операционных технологий (OT, операционные технологии), который должен компрометировать рабочие станции как путь к потенциальному нарушению процессов.
Внутренняя логика программы продумана и операционно правдоподобна. Она включает этапы повышения привилегий, закрепления в системе (persistence), проверки окружения и самоочистки. Согласно данным анализа гибридных сред, образец копирует себя в %LOCALAPPDATA%\svchost.exe, создаёт ключ автозапуска в реестре текущего пользователя под именем SYSTEMHEALTHCHECK и запускает очистку через delete.bat, если условия выполнения не соблюдены. Маскировка под svchost.exe - это известный приём, призванный слиться с легитимными процессами Windows.
Однако самое примечательное - это моделирование целевой среды. Двоичный файл содержит обширные строки, связанные с водоснабжением: имена конфигурационных файлов (C:\ChlorineControl.dat, C:\DesalConfig.ini), ссылки на оборудование Schneider Electric, IDE Technologies, WaterGenix, а также имена израильских опреснительных заводов: Сорек, Хадера, Ашдод, Палмахим, Шафдан и Эйлат. Кроме того, в коде присутствуют управляющие идентификаторы, такие как IncreaseChlorineLevel, IsDamDesalinationPlant и CreateUSBShortcut - это прямо указывает на намерение перехватывать процессы и взаимодействовать со сменными носителями для распространения.
Наиболее тревожная часть - встроенные параметры саботажа. Строки вроде Chlorine_Dose=10, Chlorine_Flow=MAX, RO_Pressure=80 описывают модель управления химическим дозированием и давлением в системах обратного осмоса. Это явно выходит за рамки шпионажа и свидетельствует о желании нарушить работу водной инфраструктуры. Тем не менее, реализация этих возможностей остаётся неглубокой.
Ключевой вывод, который сделали исследователи, заключается в критическом дефекте проверки геолокации. Программа должна активироваться только в израильских IP-диапазонах (IL), а при несовпадении условий - самоуничтожаться. Однако из-за ошибки в алгоритме XOR эта проверка никогда не возвращает истинное значение. Это означает, что даже если образец запущен в нужной сети, он не распознаёт свою цель и запускает процедуру удаления. Таким образом, полезная нагрузка так и не доходит до этапа манипуляции процессами. Анализ специалистов показывает, что ранее наблюдаемое нестабильное поведение программы (то полная активация, то полное бездействие) объясняется именно этим системным сбоем, а не условным запуском.
Более того, в программе полностью отсутствует канал связи с командным центром (C2, command and control). Она не поддерживает соединение с оператором, не получает новых задач и не может адаптировать своё поведение после развёртывания. Это делает её похожей на одноразовый, предварительно запрограммированный пакет, вроде атаки "drive-by" без возможности корректировки.
Отсутствие зрелого взаимодействия с промышленными протоколами (Modbus, DNP3, S7comm) также бросается в глаза. Хотя строки этих протоколов присутствуют, нет подтверждённой реализации их функций, карт регистров или взаимодействия с прошивкой PLC. Всё это ставит под сомнение возможность реального воздействия на физические процессы.
Учитывая эти ограничения, аналитики приходят к выводу, что ZionSiphon в текущей форме следует классифицировать как прототип, неправильно сконфигурированную полезную нагрузку или даже намеренно ограниченный артефакт, а не как развёртываемое киберфизическое оружие. Его структура демонстрирует намерения и концептуальное нацеливание, но лишёт контроля, надёжности и механизмов обратной связи, необходимых для устойчивого воздействия.
Однако есть и ещё одно измерение - психологическое. В коде обнаружены явные идеологические послания, например, "Травить население Тель-Авива и Хайфы". Это добавляет слой нарратива и психологического воздействия, который существует независимо от технического выполнения. В сочетании с нефункционирующей активацией такая находка может работать как инструмент PSYOP (психологической операции), где целью является демонстрация намерений и формирование восприятия угрозы, а не реальный ущерб.
Приписывание авторства остаётся неопределённым. Имеющиеся улики (нацеленность на израильскую инфраструктуру, антиизраильские лозунги, стиль кода) указывают на возможную иранскую связь - в частности, на группу MuddyWater или их подрядчиков. Однако те же самые улики могут быть намеренно подброшены для имитации иранского следа. Поэтому однозначное приписывание пока невозможно.
Стратегически ZionSiphon является показателем направления, а не зрелой угрозой. Он демонстрирует, что создание целенаправленных киберфизических инструментов становится доступнее: вместо ресурсоёмких проектов уровня Stuxnet теперь можно использовать широко доступные компоненты и постепенно наращивать возможности. Даже если эта конкретная программа не работает, она служит шаблоном для будущих итераций, где ошибка будет исправлена, а протоколы реализованы полноценно.
Таким образом, ZionSiphon - это гибридный артефакт: реальный имплант на уровне хоста с чётким замыслом саботажа, но пока неспособный причинить вред критической инфраструктуре. Его главное значение лежит не в текущей операционной эффективности, а в том, что он говорит об эволюции доступности, модульности и использовании восприятия в киберфизических атаках.
Индикаторы компрометации
MD5
- 6a27e9439fa40cb89ee341133b03e4db
- 9f6265271f0b04e98ed28e414a8eee91
- b18baa0a3bfcdf52bef58ded9402889b
- eb89f018e6c3a8e9de0a0452acb16e76
- f34d5f2d4577ed6d9ceec516c1f5a744
SHA1
- 7cdcb8f372ceb7f5d3c178d9649080106a932f9e
SHA256
- 07c3bbe60d47240df7152f72beb98ea373d9600946860bad12f7bc617a5d6f5f
- 2537628e68a35124cad1c935634e70c90a62801403cbb427b262ff9ced03384a
- d3b4737095600c1d87f0354d8246a1d4a22c737b92a9ec62571f8330cfd03c05
