ZionSiphonは、イスラエルの水処理および淡水化施設を狙うために設計された、新たに分析された運用技術(OT)マルウェア株であり、単なるIT中断ではなく、明らかにサボタージュに重点を置いています。
Darktrace社の調査では、ZionSiphonが2.52.0.0~2.55.255.255、79.176.0.0~79.191.255.255、212.150.0.0~212.150.255.255など、イスラエルのネットワーク空間にマッピングされたハードコードされたIPv4範囲に限定されていることが判明しました。
マルウェアはローカルIPv4アドレスを数値形式に変換し、これらの定義済み範囲のいずれかに該当する場合のみ処理を進めます。これはイスラエルに物理的に配置されているシステムへの意図的な焦点を示しています。
このバイナリには、イラン、パレスチナ、イエメンを「シオニスト侵略に対して」支持するメッセージにデコードされるBase64エンコードされたプロパガンダ文字列も含まれており、別名「0xICS」で署名され、テルアビブとハイファの住民への毒殺を言及しています。
Darktrace社の分析では、汎用技術とICS対応ロジックの融合を示していますが、現在マルウェアが破壊的機能を完全に活性化するのを防ぐ実装上の欠陥も明らかになっています。
これらの文字列は機能のためではなく、政治的動機が強く、イスラエルの重要インフラに対する政治的サボタージュとして動作をフレーム化する意図を強く示しています。
水および淡水化中心環境
地理を超えて、ZionSiphonはペイロードを武装する前に水セクターのOT環境の詳細なチェックを実行します。
「RunAsAdmin()」関数は「IsElevated()」を呼び出し、現在のWindowsアイデンティティを取得し、それがローカル管理者グループに属しているかどうかを確認します。
マルウェアは「DesalPLC」、「ROController」、「ReverseOsmosis」、「ChlorineCtrl」、「WaterPLC」、「SalinityCtrl」などのプロセス名を検索します。これらはすべて産業用水処理における淡水化制御、逆浸透システム、塩素投与コンポーネントと一致しています。
さらにファイルシステムで「C:\Program Files\Desalination」、「C:\Program Files\Schneider Electric\Desal」、「C:\Program Files\IDE Technologies」などのディレクトリ、および「C:\DesalConfig.ini」、「C:\ROConfig.ini」、「C:\ChlorineControl.dat」、「C:\SalinityControl.ini」などの設定ファイルを検査します。
これらのチェックは第2のゲートとして機能し、マルウェアがイスラエルのIP範囲に存在し、かつ淡水化または水処理操作に密接に関連しているホスト上でのみ活性化されることを確保します。
ホスト上で、ZionSiphonはまず管理者権限で実行されているかどうかを確認して権限昇格を試みます。そうでない場合は、昇格されたアクセス許可でPowerShell経由で自身を再起動します。
永続化のため、ユーザーのローカルアプリケーションデータの下の隠れたパスに「svchost.exe」として自身をコピーし、HKCUレジストリキーで「SystemHealthCheck」自動実行エントリを登録し、通常のWindowsバックグラウンドアクティビティに溶け込むことを目指します。
ただし、コア国検証ルーチンは現在破損しています。各IP範囲エントリは同じデコード済みマーカー文字列「Nqvbdk」に結びついており、チェックはこの値を「Israel」に対するXORベースの暗号化復号化操作の出力と比較します。
関数が「Israel」から「Nqvbdk」を生成することはできないため、比較は常に失敗し、マルウェアはデバイスが有効なターゲットではないと結論付け、メインサボタージュ関数の実行を防ぎます。
国環境の両方のチェックが満たされていた場合、ZionSiphonはまずローカルOT設定ファイルを改ざんし、「Chlorine_Dose=10」、「Chlorine_Pump=ON」、「Chlorine_Flow=MAX」、「Chlorine_Valve=OPEN」、「RO_Pressure=80」などの設定を特定された設定ファイルに追加します。
これらの変更は塩素投与と圧力を危険なレベルに押し上げるように設計されており、水質とインフラストラクチャの安全に直接的なリスクをもたらします。
対照的に、DNP3およびS7commブランチには、実行可能なコマンドとして動作するには不完全な短いプロトコルのようなバイトプレフィックスしか含まれていません。これらのパスが未完成のままであるか、将来の開発のプレースホルダーであることを示唆しています。
自己破壊とUSBベースの伝播
ターゲティングチェックが失敗すると、ZionSiphonは永続性キーを削除し、メッセージ「ターゲットが一致しません。操作はIL範囲に制限されています」をログに記録する自己破壊ルーチンをトリガーします。
マルウェアはローカルアドレスの/24プレフィックスを計算し、ホスト1~255でポート502(Modbus)、20000(DNP3)、102(S7comm)をスキャンして、応答するエンドポイントをICSデバイスとしてラベル付けすることで、サブネット全体のICS検出を実行します。
自己破壊が開始されました」を一時ファイルに記録し、メイン実行可能ファイルの削除を繰り返し試み、その後自身を消去するバッチスクリプトを作成します。
この動作は意図された地理外での法医学的可視性を制限し、キャンペーンの焦点を絞った性質を強化します。
それにもかかわらず、マルウェアはまだリムーバブルメディア伝播モジュールを含んでおり、隠された「svchost.exe」ペイロードをUSBドライブにコピーし、表示ファイルをショートカットで置き換え、開くと静かにマルウェアを実行します。
従来のUSB伝播とICS固有ロジックのこのブレンドは、以前のICS指向のキャンペーンを思わせさせ、脅威アクターが気密な、またはセグメント化が不十分なOTネットワークをブリッジする方法を試験していることを示唆しています。
ZionSiphonは、その欠陥のある形式でも、IT資産を単に中断するのではなく、重要なインフラストラクチャの物理的プロセスを直接狙う、政治的に動機付けられたOT焦点のマルウェアへの加速する傾向を強調しています。
水道ユーティリティおよび他の必須サービスを防御するセキュリティチームは、ITおよびOTネットワーク間の相互可視性、迅速な異常検出、および洗練されたバリエーションが出現する前にZionSiphonのようなニッチで環境認識の脅威のためのプロアクティブな監視を必要とする増加する必要性に直面しています。
翻訳元: https://gbhackers.com/zionsiphon-hits-israeli-water/
