Як хакери атакували опріснювальні заводи Ізраїлю?
Новий різновид шкідливого програмного забезпечення під назвою ZionSiphon викликав серйозне занепокоєння серед експертів із кібербезпеки. Дослідники компанії Darktrace встановили, що цей вірус був розроблений спеціально для проникнення в системи, які керують роботою опріснювальних станцій та очисних споруд, що складають основу національної системи водопостачання Ізраїлю. На відміну від типових кібератак, ZionSiphon фокусується не на шпигунстві, а на маніпуляціях фізичними процесами у промисловому середовищі, пише Cyber Press.
Дивіться також Українські лікарні та операторів дронів атакують за допомогою нового віруса AgingFly
Однією з ключових характеристик ZionSiphon є його чітка географічна спрямованість. Код містить жорстко прописані діапазони IP-адрес, що належать виключно ізраїльським мережам. Це свідчить про те, що розробники намагалися обмежити зону дії вірусу лише однією країною.
Окрім технічних індикаторів, усередині коду були знайдені закодовані повідомлення ідеологічного змісту. Вони містять гасла на підтримку Ірану, Палестини та Ємену, а також прямі погрози жителям Тель-Авіва та Хайфи. У коді також згадується місто Дімона і є натяки на подальші атаки, які торкнуться інших типів технологій.
Як працює програма?
Шкідлива програма має багаторівневу структуру для проникнення та закріплення в системі. Вона здатна підвищувати свої права до рівня адміністратора за допомогою PowerShell та створювати приховані записи в реєстрі Windows під виглядом системних файлів, як-от "svchost.exe".
Для подолання захищених або ізольованих мереж ZionSiphon використовує механізм поширення через знімні носії. Він копіює себе на USB-накопичувачі та замінює реальні файли на ярлики, які запускають вірус, щойно користувач відкриє їх.
Процес ідентифікації цілі вірусом виглядає особливо продуманим. Спеціальна функція сканує активні процеси на наявність специфічних термінів, пов'язаних із промисловими контролерами, очищенням води та зворотним осмосом. ZionSiphon шукає файли конфігурації в папках, назви яких містять згадки про водопідготовку та опріснення.
У списку пріоритетних цілей фігурують найбільші об'єкти Ізраїлю: національний постачальник води "Мекорот", заводи у Сореку, Хадері, Ашдоді, Пальмахімі та очисна станція Шафдан, пише GBHackers.
Головна небезпека полягає в алгоритмах саботажу, які вірус намагається активувати після підтвердження свого місцеперебування. Програма здатна вносити зміни до конфігураційних файлів, що відповідають за рівень хлору та тиск у системах. Зокрема, функція "IncreaseChlorineLevel" додає параметри, що примусово відкривають клапани хлорування або встановлюють максимальний потік реагенту, що може призвести до небезпечного передозування або пошкодження обладнання.
Якщо вірус не знаходить потрібних файлів на локальному комп'ютері, він починає сканувати мережу на наявність пристроїв, що працюють за протоколами Modbus, DNP3 та S7comm, намагаючись відправити команди на зміну значень у реєстрах контролерів.
Вірус має недоліки
Попри такий агресивний дизайн, поточна версія ZionSiphon має суттєві недоліки, які завадили масштабній диверсії. Дослідники Darktrace виявили помилку в логіці перевірки країни. Через дефект у функції дешифрування вірус не може правильно розпізнати, що він перебуває в Ізраїлі, навіть якщо IP-адреса збігається. Це запускає механізм самознищення, який видаляє сліди перебування вірусу в системі.
Крім того, модулі для роботи з деякими мережевими протоколами виглядають недопрацьованими та мають лише базовий набір функцій. Аналітики вважають, що ця версія може бути експериментальним зразком або розробкою, що ще триває, проте вона наочно демонструє еволюцію кіберзагроз, спрямованих на фізичне знищення критичної інфраструктури.