Новое вредоносное ПО ZionSiphon, нацеленное на OT-системы водоочистки и опреснения, может саботировать их работу, изменяя давление и уровень хлора. Обнаруженная ошибка в логике шифрования делает его неактивным, но будущие версии могут быть опасны. — bleepingcomputer.com
Новое вредоносное ПО под названием ZionSiphon, специально разработанное для операционных технологий (OT), нацелено на объекты водоочистки и опреснения с целью саботажа их работы.
Исследователи обнаружили в ходе своего анализа, что эта угроза способна изменять гидравлическое давление и доводить уровень хлора до опасных значений.
Судя по нацеливанию по IP-адресам и политическим сообщениям, внедренным в строки кода, ZionSiphon, по всей видимости, фокусируется на целях, расположенных в Израиле.
Специалисты компании Darktrace, занимающейся кибербезопасностью на базе ИИ, обнаружили в механизме проверки вредоносного ПО ошибку в логике шифрования, которая делает его неработоспособным, однако предупреждают, что будущие версии ZionSiphon могут исправить этот недостаток и высвободить его разрушительный потенциал в атаках.
После развертывания вредоносное ПО проверяет, попадает ли IP-адрес хоста в израильские диапазоны и содержит ли система программное обеспечение или файлы, связанные с водоснабжением/OT, чтобы убедиться, что оно запущено в системах водоочистки или опреснения.
Darktrace отмечает, что логика проверки страны нарушена из-за несоответствия XOR, что приводит к сбою нацеливания и активации механизма самоуничтожения вместо выполнения полезной нагрузки.
Если бы ZionSiphon активировался, он мог бы нанести значительный ущерб, повышая уровень хлора и максимально увеличивая давление и сбои.
Это достигается с помощью функции с именем «IncreaseChlorineLevel()», которая добавляет текстовый блок к существующим конфигурационным файлам, чтобы максимизировать дозу хлора и поток в пределах физически допустимого для механических систем установки.
«IncreaseChlorineLevel()» проверяет жестко закодированный список конфигурационных файлов, связанных с опреснением, обратным осмосом, контролем хлора и системами управления технологическими процессами (ICS) водоочистки», — заявляет Darktrace.
«Как только обнаруживается любой из этих файлов, к нему добавляется фиксированный блок текста, и функция немедленно завершает работу».
«Добавленный блок текста содержит следующие записи: «Chlorine_Dose=10», «Chlorine_Pump=ON», «Chlorine_Flow=MAX», «Chlorine_Valve=OPEN» и «RO_Pressure=80»».
Намерение взаимодействовать с промышленными системами управления (ICS) очевидно из сканирования локальной подсети на предмет протоколов связи Modbus, DNP3 и S7comm.
Однако Darktrace обнаружила только частично функциональный код для Modbus и лишь заполнители для двух других, что указывает на то, что вредоносное ПО все еще находится на ранней стадии разработки.
ZionSiphon также имеет механизм распространения через USB, который копирует себя на съемные накопители в виде скрытого процесса ‘svchost.exe’ и создает вредоносные ярлыки, которые запускают вредоносное ПО при нажатии.
Распространение через USB имеет решающее значение в системах критической инфраструктуры, где компьютеры, управляющие функциями, критически важными для безопасности, часто являются «воздушно-изолированными» (air-gapped), то есть не подключены напрямую к интернету.
Хотя ZionSiphon в его текущей версии неактивен, его намерения и потенциальный ущерб вызывают беспокойство, и для раскрытия того и другого достаточно исправить небольшую ошибку верификации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas