Die Malware ZionSiphon stellt eine völlig neue Kategorie von Bedrohungen dar – eine Schadsoftware, die speziell für Operational Technology (OT) entwickelt wurde und dabei eines der kritischsten Systeme überhaupt ins Visier nimmt: die Wasserversorgung. Darktrace-Forscher haben enthüllt, dass ZionSiphon durch eine Funktion namens “IncreaseChlorineLevel()” gefährliche Chlorinwerte erzeugen kann, indem sie Konfigurationsdateien von Desalinations- und Wasseraufbereitungssystemen manipuliert.
Die Funktionsweise ist dabei erschreckend präzise: Sobald die Malware einen relevanten Konfigurationsdatei-Typ erkennt – etwa für Umkehrosmose-, Chlorinsteuerungs- oder Wasseraufbereitungssysteme – fügt sie einen Befehlsblock mit kritischen Einstellungen ein. Dieser Block setzt beispielsweise “Chlorine_Dose=10”, “Chlorine_Pump=ON” und “Chlorine_Flow=MAX”, was zu lebensbedrohlichen Chlorinkonzentrationen im Trinkwasser führen könnte. Zusätzlich manipuliert eine “RO_Pressure=80”-Anweisung die Druckverhältnisse in Umkehrosmose-Anlagen.
Ein besonders kritischer Aspekt ist die Fähigkeit der Malware zur USB-Verbreitung. Sie kopiert sich auf externe Datenträger und tarnt sich als “svchost.exe”-Prozess. Dieses Verbreitungsmerkmal ist für Angreifer hochinteressant, da viele kritische Infrastruktursysteme absichtlich isoliert sind – sogenannte “Air-Gapped”-Netzwerke ohne Internetverbindung. Durch USB-basierte Verbreitung könnten diese Sicherheitsmaßnahmen überwunden werden.
Die aktuelle Version von ZionSiphon ist glücklicherweise nicht funktionsfähig – ein fehlerhafter XOR-Vergleich bei der Länderverifizierung führt dazu, dass die Malware ihren Selbstzerstörungsmechanismus aktiviert, statt die Payload auszuführen. Allerdings handelt es sich offensichtlich um eine frühe Entwicklungsversion. Darktrace warnt, dass nur kleine Anpassungen notwendig wären, um diese Fehler zu beheben und die Malware voll funktionsfähig zu machen.
Darüber hinaus zeigt die Malware Versuche, sich mit industriellen Kontrollsystemen zu verbinden. Sie scannt lokale Netzwerke nach den Kommunikationsprotokollen Modbus, DNP3 und S7comm – technischen Standards, die in der Automatisierung kritischer Infrastruktur standard sind. Bisher ist allerdings nur teilweise funktionsfähiger Code für Modbus vorhanden, während die anderen Protokolle nur als Platzhalter implementiert sind.
Für deutsche Wasserversorger und Betreiber von Desalinations- und Aufbereitungsanlagen sollte dieser Fund ein Anlass sein, ihre Sicherheitsmaßnahmen zu überprüfen. Auch wenn ZionSiphon derzeit Israel zu fokussieren scheint, zeigt sich hier ein globaler Trend: Cyberkriminelle und potenzielle staatliche Akteure entwickeln gezielt Malware gegen Infrastruktursysteme.