Darktraceの研究者は、イスラエルの水処理および造水施設を標的としていると思われるZionSiphonという新しいマルウェアを発見しました。
ZionSiphonは一般的なマルウェアに見られるような多くの機能を備えていますが、運用技術(OT)、特に産業制御システム(ICS)に対応した機能により、アナリストの注目を集めました。
分析されたマルウェアサンプルの文字列は、ZionSiphonがイスラエル反対派のハッカーによって開発されたことを示していますし、1つのエンコードされた文字列は「テルアビブとハイファの人口に毒をもたらす」にデコードされます。
イスラエルがマルウェアの主な標的であることを示す他の指標があり、国内の水処理施設の名前を含む文字列を含みます。
さらに、管理者権限で実行されていることを確認し、持続性を確立すると、マルウェアはローカルIPアドレスを取得し、侵害されたホストがイスラエルに存在するかどうかを判断する機能を実行します。
IPがイスラエルに関連している場合、ZionSiphonは水処理施設に通常見られるプロセスとフォルダをシステムで確認します。具体的には、マルウェアは逆浸透、造水、塩素処理、および施設制御にリンクされたプロセスを探します。
これらの条件が満たされた場合、マルウェアは上記の水処理プロセスに関連するローカル設定ファイルを探し、塩素用量と圧力を増加させるようにそれらを変更しようとします。
その後、Modbus、DNP3、およびS7commプロトコルを使用するICSデバイスのネットワークをスキャンします。コードは、Modbusデバイスが見つかった場合、マルウェアが塩素用量と圧力に関連するパラメータを改ざんしようとすることを示しています。
ペイロードは国がイスラエルであり、システムが水処理施設に関連している場合にのみ起動します。これらの条件が満たされていない場合、マルウェアはデバイスから自身を削除します。
研究者はまた、マルウェアがUSBドライブを経由して広がることを可能にするメカニズムを発見しました。
ZionSiphonは拡張機能を持っているように見えますが、Darktrace研究者はこの国の検証機能の問題と、DNP3とS7commプロトコルのターゲティング論理の不完全性を特定しており、マルウェアは開発中であることを示しています。
さらに、ローカル設定ファイルの改ざんとModbusパラメータ変更は、実際の環境での影響を与える可能性は低いです。コードは混乱を引き起こす意図を指していますが、実際には塩素レベルを変更するために必要な洗練さが不足しています。
「未完成の状態であっても、ZionSiphonは脅威アクターがOT指向のマルウェアを実験し、それを重要インフラの標的に適用している成長傾向を強調しています」とDarktraceは述べました。
水部門はハッカーの主な標的でした。このセクターの産業制御システムおよび他のOTシステムはしばしばインターネットに露出し、保護されていない状態で放置されており、そのような攻撃の潜在的な影響は重大です。これにより、多くのハクティビストグループと政府支援の脅威アクターハクティビストのふりをしているにとって魅力的な標的になります。
イスラエルの水部門は特にイランのハッカーによって定期的に標的にされています。イスラエル支持のハッカーもまた他国の水処理施設を標的にしていることが知られています。
ZionSiphonの出現は、米国-イスラエル-イラン紛争の観点からは驚くことではありませんし、これはサイバー攻撃の増加につながりました。
翻訳元: https://www.securityweek.com/zionsiphon-malware-targets-ics-in-water-facilities/
