Как хакеры атаковали опреснительные заводы Израиля?
Новая разновидность вредоносного программного обеспечения под названием ZionSiphon вызвала серьезное беспокойство среди экспертов по кибербезопасности. Исследователи компании Darktrace установили, что этот вирус был разработан специально для проникновения в системы, которые управляют работой опреснительных станций и очистных сооружений, составляющих основу национальной системы водоснабжения Израиля. В отличие от типичных кибератак, ZionSiphon фокусируется не на шпионаже, а на манипуляциях физическими процессами в промышленной среде, пишет Cyber Press.
Смотрите также Украинские больницы и операторов дронов атакуют с помощью нового вируса AgingFly
Одной из ключевых характеристик ZionSiphon является его четкая географическая направленность. Код содержит жестко прописанные диапазоны IP-адресов, принадлежащих исключительно израильским сетям. Это свидетельствует о том, что разработчики пытались ограничить зону действия вируса только одной страной.
Кроме технических индикаторов, внутри кода были найдены закодированные сообщения идеологического содержания. Они содержат лозунги в поддержку Ирана, Палестины и Йемена, а также прямые угрозы жителям Тель-Авива и Хайфы. В коде также упоминается город Димона и есть намеки на дальнейшие атаки, которые затронут другие типы технологий.
Как работает программа?
Вредоносная программа имеет многоуровневую структуру для проникновения и закрепления в системе. Она способна повышать свои права до уровня администратора с помощью PowerShell и создавать скрытые записи в реестре Windows под видом системных файлов, например "svchost.exe".
Для преодоления защищенных или изолированных сетей ZionSiphon использует механизм распространения через съемные носители. Он копирует себя на USB-накопители и заменяет реальные файлы на ярлыки, которые запускают вирус, как только пользователь откроет их.
Процесс идентификации цели вирусом выглядит особенно продуманным. Специальная функция сканирует активные процессы на наличие специфических терминов, связанных с промышленными контроллерами, очисткой воды и обратным осмосом. ZionSiphon ищет файлы конфигурации в папках, названия которых содержат упоминания о водоподготовке и опреснении.
В списке приоритетных целей фигурируют крупнейшие объекты Израиля: национальный поставщик воды "Мекорот", заводы в Сореке, Хадере, Ашдоде, Пальмахими и очистная станция Шафдан, пишет GBHackers.
Главная опасность заключается в алгоритмах саботажа, которые вирус пытается активировать после подтверждения своего местонахождения. Программа способна вносить изменения в конфигурационные файлы, отвечающие за уровень хлора и давление в системах. В частности, функция "IncreaseChlorineLevel" добавляет параметры, принудительно открывают клапаны хлорирования или устанавливают максимальный поток реагента, что может привести к опасной передозировке или повреждения оборудования.
Если вирус не находит нужных файлов на локальном компьютере, он начинает сканировать сеть на наличие устройств, работающих по протоколам Modbus, DNP3 и S7comm, пытаясь отправить команды на изменение значений в реестрах контроллеров.
Вирус имеет недостатки
Несмотря на такой агрессивный дизайн, текущая версия ZionSiphon имеет существенные недостатки, которые помешали масштабной диверсии. Исследователи Darktrace обнаружили ошибку в логике проверки страны. Из-за дефекта в функции дешифровки вирус не может правильно распознать, что он находится в Израиле, даже если IP-адрес совпадает. Это запускает механизм самоуничтожения, который удаляет следы пребывания вируса в системе.
Кроме того, модули для работы с некоторыми сетевыми протоколами выглядят недоработанными и имеют лишь базовый набор функций. Аналитики считают, что эта версия может быть экспериментальным образцом или разработкой, что еще продолжается, однако она наглядно демонстрирует эволюцию киберугроз, направленных на физическое уничтожение критической инфраструктуры.