ZionSiphon малициозен софтвер дизајниран за саботажа на системи за третман на вода

Нов малициозен софтвер наречен ZionSiphon, специјално дизајниран за оперативна технологија (OT), таргетира системи за третман и десалинизација на вода со цел да ги саботира нивните операции.

Заканата може да ги прилагодува хидрауличните притисоци и да го зголеми нивото на хлор до опасни граници, откриле истражувачите при нивната анализа.

Врз основа на IP таргетирањето и политичките пораки вградени во неговите стрингови, ZionSiphon изгледа дека е насочен кон цели лоцирани во Израел. Истражувачите од компанијата за сајбер-безбедност Darktrace, која користи вештачка интелигенција, откриле грешка во логиката на енкрипција во механизмот за валидација на малициозниот софтвер, што го прави нефункционален. Сепак, тие предупредуваат дека идни верзии на ZionSiphon би можеле да ја поправат оваа слабост и да ја искористат неговата целосна моќ во напади.

По инсталацијата, малициозниот софтвер проверува дали IP адресата на хостот припаѓа на израелски опсези и дали системот содржи софтвер или датотеки поврзани со вода/оперативна технологија, за да се осигура дека се извршува во системи за третман или десалинизација на вода.

Darktrace забележува дека логиката за проверка на државата е нарушена поради несовпаѓање во XOR операцијата, што предизвикува неуспех во таргетирањето и активирање на механизам за самоуништување наместо извршување на payload-от.

Доколку ZionSiphon се активира, може да предизвика значителна штета со зголемување на нивото на хлор и максимизирање на протокот и притисокот.

Ова го постигнува преку функција наречена „IncreaseChlorineLevel()“, која додава текстуален блок во постоечките конфигурациски датотеки со цел да ја зголеми дозата и протокот на хлор до максималните вредности што ги дозволуваат механичките системи на постројката.

„IncreaseChlorineLevel()“ проверува хардкодирана листа на конфигурациски датотеки поврзани со десалинизација, обратна осмоза, контрола на хлор и системи за третман на вода (OT/ICS), наведува Darktrace.

„Штом пронајде барем една од овие датотеки, додава фиксен блок текст во неа и веднаш завршува.“

„Додадениот блок текст ги содржи следните параметри: ‘Chlorine_Dose=10’, ‘Chlorine_Pump=ON’, ‘Chlorine_Flow=MAX’, ‘Chlorine_Valve=OPEN’ и ‘RO_Pressure=80’.“

Намерата за интеракција со индустриски контролни системи (ICS) е очигледна преку скенирање на локалната мрежа за комуникациски протоколи како Modbus, DNP3 и S7comm.

Сепак, Darktrace пронашол само делумно функционален код за Modbus и само placeholder-и за другите два протоколи, што укажува дека малициозниот софтвер сè уште е во рана фаза на развој.

ZionSiphon исто така има механизам за ширење преку USB, при што се копира на преносливи уреди како скриен процес ‘svchost.exe’ и креира малициозни shortcut датотеки кои го извршуваат софтверот при нивно отворање.

Ширењето преку USB е клучно кај системите за критична инфраструктура, каде компјутерите што управуваат со безбедносно-критични функции често се „air-gapped“, односно не се директно поврзани на интернет.

Иако ZionSiphon не е оперативен во својата моментална верзија, неговата намера и потенцијалот за штета се загрижувачки, а сè што е потребно за да се активира е да се поправи мала грешка во механизмот за верификација.

Извори:

• Bleeping Computer – ZionSiphon malware designed to sabotage water treatment systems Bleeping Computer