Darktrace研究者は、イスラエルの水処理および淡水化システムに侵入・破壊するために特別に設計された、ZionSiphonという政治的動機を持つ新しいマルウェアの亜種を発見しました。
このマルウェアは権限昇格、永続性、USB経由での伝播、および産業制御システム(ICS)スキャンと、塩素投与量と油圧制御を対象とした明確な破壊機能を組み合わせています。
ZionSiphonは単なる日和見的な脅威ではありません。そのバイナリに埋め込まれたBase64エンコード文字列は、政治的に扇動的なメッセージにデコードされます。その中には「イスラエル人の侵略に対するイラン、パレスチナ、イエメンの兄弟たちを支持するために。
私は『0xICS』です」というメッセージと、「テルアビブとハイファの人口を毒殺する」と翻訳される別のメッセージが含まれています。著者のハンドルネーム「0xICS」は産業制御システムを直接参照しており、キャンペーンの意図を強化しています。
マルウェアのターゲットリストも同様に示唆的であり、イスラエルの国営水道会社メコロット、およびソレク、ハデラ、アシュドッド、パルマヒムを含む同国最大級の4つの海水淡水化プラント、ならびにシャフダン下水処理・回収施設が含まれています。
正しい環境でのみ実行されることを保証するために、ZionSiphonは2段階のターゲティングチェックを使用しています。
最初のチェックは、ホストIPがハードコードされたイスラエルのIPv4範囲(具体的には「2.52.0.0–2.55.255.255」「79.176.0.0–79.191.255.255」「212.150.0.0–212.150.255.255」、すべてイスラエル国内に地理的位置する)内に収まるかどうかを検証します。
IsDamDesalinationPlant()関数によって処理される2番目のチェックは、「DesalPLC」「ROController」「ChlorineCtrl」「ReverseOsmosis」などの文字列を実行中のプロセス名についてスキャンし、C:\DesalConfig.iniおよびC:\ChlorineControl.datなどのOT関連設定ファイルについてファイルシステムを検索します。
ペイロードは、地理的および環境的な条件の両方が同時に満たされた場合のみアクティベートされます。
洗練された設計にもかかわらず、ZionSiphonの現在のバージョンは国検証ロジック内のXORキーの不一致により、機能的に破損しています。
IsTargetCountry()関数は、ハードコードされたエンコード文字列を「Israel」のXOR暗号化値と比較します。ただし、2つの値が決して一致しないため、マルウェアはペイロードを実行する代わりに常にSelfDestruct()ルーチンをトリガーします。
このセルフデストラクト機能は、その永続レジストリキーを削除し、「ターゲットが一致しません。操作はIL範囲に制限されています。セルフデストラクト開始。」というメッセージをログに記録し、バッチファイル経由でマルウェア実行ファイルを削除します。
基盤となるアーキテクチャは機能的であり、OTターゲティングロジックはよく研究されており、XOR欠陥を修正するには軽微なコード修正が必要なだけです。
ZionSiphonは、重要インフラを対象とするOT指向マルウェアの実験における脅威アクターの明確なエスカレーションを表しています。
水道および産業環境を管理する組織は、ITネットワークとOTネットワーク間の相互可視性を強化し、異常なICSプロトコルアクティビティを監視し、初期段階の脅威を完全に運用可能な攻撃へと発展する前に検出するための迅速な検出機能を維持することを強く推奨されています。
翻訳元: https://cyberpress.org/zionsiphon-hits-water-infrastructure/
