運用技術(OT)システムと相互作用するために設計された新たに特定されたマルウェア株が、セキュリティ研究者によって分析され、水処理および海水淡水化インフラストラクチャを対象とした機能が明かされました。
Darktrace によって発見された ZionSiphon という名前のマルウェアは、従来のエンドポイント侵害技術と、産業用制御システム(ICS)に合わせた機能を組み合わせています。
先週発表されたアドバイザリで、研究者たちはマルウェアが権限昇格、永続化メカニズム、USB ベースの伝播を含むことを発見しました。その標的設定ロジックは水部門と密接に一致しています。
分析されたサンプルには、海水淡水化プラントと廃水システムなどのインフラストラクチャ コンポーネントへのハードコードされた参照が含まれており、逆浸透膜と塩素制御に関連するソフトウェアのチェックも含まれています。これらの指標は、マルウェアが地理的条件と環境条件の両方が満たされた場合にのみアクティブ化するように設計されていることを示唆しています。
システム チェックに加えて、マルウェアは政治的に独善的なメッセージを埋め込み、実行をイスラエルに関連する IP 範囲に制限します。これらの文字列は実行に影響を与えませんが、キャンペーンの背後にある可能性の高い動機に関する洞察を提供します。
破壊機能と ICS ネットワーク スキャン
適格な環境に展開されると、マルウェアは産業プロセスに関連するローカル構成ファイルを操作しようとします。塩素用量とシステム圧力に関連する事前定義された値を追加します。これが正常に適用されると、水処理操作を中断する可能性があります。
コードには、ローカル サブネットで ICS デバイスをスキャンするネットワーク検出ルーチンも含まれています。Modbus、DNP3、S7comm などの一般的な産業用プロトコルをプローブし、応答性のあるシステムを特定して、さらなる相互作用のために分類しようとします。
OT サイバー脅威の詳細:産業用機器を標的としたランサムウェア攻撃の大幅な増加
Darktrace は、Modbus 関連の機能が最も発展していることを観察し、マルウェアがレジスタ値を読み取ったり、潜在的に変更したりできることを示しています。ただし、DNP3 と S7comm の実装は不完全なようで、部分的な開発またはテスト段階を示唆しています。
-
一般的な OT プロトコルを使用した ICS デバイスのサブネット全体スキャン
-
塩素用量と圧力パラメータを変更しようとする試み
-
偽装実行ファイルを使用したリムーバブルメディア経由の伝播
-
レジストリ変更と隠しファイル配置による永続化
これらの機能にもかかわらず、分析されたサンプルには国検証ロジックの欠陥が含まれており、意図されたターゲットを正しく特定できません。その結果、マルウェアはペイロードのアクティブ化に失敗し、代わりに自己削除ルーチンをトリガーする可能性があります。
初期段階の OT マルウェア開発の指標
ZionSiphon 内の不完全な要素は、分析時にまだ開発中であるか、完全に機能していないツールを指します。実行ロジックのエラーと部分的に実装されたプロトコル サポートは、その即時の有効性を制限します。
それでも、マルウェアの構造は、産業プロセスと直接相互作用できるツールを開発することに対する脅威行為者の関心の増加を反映しています。
IT ベースの感染方法と OT 固有の標的設定の組み合わせは、重要なインフラストラクチャ攻撃に対する進化するアプローチを示しています。
このバージョンは直接的な運用上の脅威をもたらさないかもしれませんが、敵がより成熟した形で物理システムと必須サービスを中断できる可能性のある技術を試験していることを示しています。
翻訳元: https://www.infosecurity-magazine.com/news/zionsiphon-malware-water/
