Die neu entdeckte Malware ZionSiphon zeigt ein hohes Maß an Zielgerichtetheit und Spezialisierung. Analysen der Darktrace-Sicherheitsforscher deuten darauf hin, dass die Schadsoftware von anti-israelischen Hackern entwickelt wurde – verschlüsselte Zeichenketten im Code enthielten sogar Aussagen wie “Vergiftung der Bevölkerung von Tel Aviv und Haifa”. Die Malware ist mit mehreren geografischen und technischen Sicherheitsmechanismen ausgestattet, um sicherzustellen, dass sie nur in ihrem intendierten Einsatzgebiet aktiv wird.
Besonders bemerkenswert ist die Funktionsweise des Schädlings: Nach erfolgreicher Kompromittierung überprüft ZionSiphon zunächst, ob das System mit Administratorrechten läuft und ob sich der infizierte Rechner in Israel befindet. Dies geschieht durch Überprüfung der lokalen IP-Adresse. Im nächsten Schritt scannt die Malware das System nach typischen Prozessen und Verzeichnisstrukturen von Wasseraufbereitungsanlagen – insbesondere solche, die mit Umkehrosmose, Entsalzung, Chlorbehandlung und Anlagensteuerung verbunden sind.
Znächst wird ZionSiphon versuchen, lokale Konfigurationsdateien zu manipulieren, um Chlordosierungen und Druckparameter zu erhöhen. Darüber hinaus scannt die Malware das Netzwerk nach Industriekontrollsystemen, die die Protokolle Modbus, DNP3 und S7comm verwenden. Bei erfolgreicher Entdeckung von Modbus-Geräten würde die Malware versuchen, deren Parameter zu beeinflussen.
Ein wichtiges Detail: ZionSiphon funktioniert nur, wenn beide Bedingungen erfüllt sind – geografischer Standort Israel und Zugehörigkeit zu einer Wasseraufbereitungsanlage. Andernfalls löscht sich die Malware selbst vom System. Dies macht sie zu einer hochspezialisierten Waffe gegen ein bestimmtes Ziel.
Darktrace-Forscher weisen jedoch darauf hin, dass ZionSiphon trotz seiner ambitionierten Fähigkeiten noch in der Entwicklungsphase ist. Es gibt Fehler in der Ländervalidierung und unvollständige Logik bei der Ansteuerung von DNP3- und S7comm-Protokollen. Praktisch gesehen würden die Manipulationen von Konfigurationsdateien und Modbus-Parametern wahrscheinlich keine nennenswerten Auswirkungen in realen Umgebungen haben. Dies deutet darauf hin, dass Bedrohungsakteure experimentieren und ihre Fähigkeiten noch verfeinern.
Die Entdeckung von ZionSiphon ist Teil eines besorgniserregenden Trends: Cyberkriminelle und staatlich unterstützte Akteure entwickeln zunehmend spezialisierte Malware für Operationstechnologie und kritische Infrastruktur. Der Wassersektor ist ein bevorzugtes Ziel, da Kontrollsysteme oft mit dem Internet verbunden und unzureichend gesichert sind. Israelische Wassereinrichtungen sind regelmäßig Ziel iranischer Hacker, während pro-israelische Hacker ihrerseits Anlagen in anderen Ländern attackieren.