Der Grund für die derzeitige Funktionsunfähigkeit liegt nach Angaben von Darktrace in einer fehlerhaften Länderverifizierung: Eine XOR-Abweichung führt dazu, dass die Zielprüfung scheitert und der Selbstzerstörungsmechanismus ausgelöst wird, anstatt die Schadlast auszuführen.

Würde ZionSiphon hingegen aktiv, könnte die Malware erheblichen Schaden anrichten, indem sie den Chlorgehalt und den Druck bis an die mechanischen Grenzen der Anlage hochtreibt. Dazu dient eine Funktion mit dem Namen „IncreaseChlorineLevel()", die einen Textblock an bestehende Konfigurationsdateien anhängt, um Chlordosis und Durchfluss so weit zu maximieren, wie es die Anlagentechnik physisch zulässt.

Laut Darktrace prüft „IncreaseChlorineLevel()" eine fest einprogrammierte Liste von Konfigurationsdateien, die mit Entsalzung, Umkehrosmose, Chlorsteuerung und OT- bzw. industriellen Steuerungssystemen (ICS) der Wasseraufbereitung in Verbindung stehen. Sobald die Funktion eine dieser Dateien findet, hängt sie einen festen Textblock an und kehrt sofort zurück. Dieser Block enthält die Einträge „Chlorine_Dose=10", „Chlorine_Pump=ON", „Chlorine_Flow=MAX", „Chlorine_Valve=OPEN" und „RO_Pressure=80".

Die Absicht, mit industriellen Steuerungssystemen zu interagieren, zeigt sich daran, dass die Schadsoftware das lokale Subnetz nach den Kommunikationsprotokollen Modbus, DNP3 und S7comm durchsucht. Allerdings fand Darktrace nur teilweise funktionsfähigen Code für Modbus und lediglich Platzhalter für die beiden anderen Protokolle – ein Hinweis darauf, dass sich die Malware noch in einer frühen Entwicklungsphase befindet.

Zusätzlich verfügt ZionSiphon über einen Verbreitungsmechanismus über USB: Die Schadsoftware kopiert sich als versteckter Prozess „svchost.exe" auf Wechseldatenträger und legt schädliche Verknüpfungsdateien an, die die Malware beim Anklicken ausführen. Diese Verbreitung über USB ist in kritischen Infrastrukturen von Bedeutung, weil Rechner mit sicherheitskritischen Funktionen dort häufig „air-gapped" sind, also nicht direkt mit dem Internet verbunden.

Auch wenn ZionSiphon in seiner aktuellen Fassung nicht einsatzfähig ist, geben die Absicht und das Schadenpotenzial Anlass zur Sorge – um beides freizuschalten, müsste lediglich ein kleiner Fehler in der Prüfroutine behoben werden.