Erkennt ZionSiphon eine israelische IP-Adresse, durchsucht die Malware das System nach Prozessen und Ordnern, die typischerweise in Wasserwerken vorkommen. Konkret sucht sie nach Prozessen, die mit Umkehrosmose, Meerwasserentsalzung, der Handhabung von Chlor sowie der Anlagensteuerung in Verbindung stehen.
Sind diese Bedingungen erfüllt, sucht die Schadsoftware nach lokalen Konfigurationsdateien der genannten Aufbereitungsprozesse und versucht, sie so zu verändern, dass Chlordosierung und Druck erhöht werden. Anschließend durchsucht sie das Netzwerk nach ICS-Geräten, die die Protokolle Modbus, DNP3 und S7comm verwenden. Dem Code zufolge würde die Malware bei gefundenen Modbus-Geräten versuchen, Parameter für Chlordosierung und Druck zu manipulieren.
Darüber hinaus fanden die Forscher einen Mechanismus, mit dem sich die Malware über USB-Laufwerke verbreiten kann.
Trotz dieser weitreichenden Fähigkeiten stuft Darktrace ZionSiphon als noch in Entwicklung befindlich ein. Die Forscher stießen auf Fehler in der Funktion zur Länderprüfung sowie auf unvollständige Logik bei der Adressierung der Protokolle DNP3 und S7comm. Auch die Manipulation lokaler Konfigurationsdateien und die Änderung von Modbus-Parametern dürften in einer realen Umgebung kaum Wirkung zeigen: Der Code lasse zwar die Absicht erkennen, Störungen zu verursachen, es fehle ihm jedoch die nötige Ausgereiftheit, um Chlorwerte tatsächlich zu verändern.
„Selbst in seinem unfertigen Zustand verdeutlicht ZionSiphon einen wachsenden Trend, bei dem Angreifer zunehmend mit OT-orientierter Malware experimentieren und sie gegen kritische Infrastruktur einsetzen“, erklärte Darktrace.
Der Wassersektor zählt zu den bevorzugten Zielen von Angreifern. Industrielle Steuerungssysteme und andere OT-Systeme in diesem Bereich sind häufig mit dem Internet verbunden und ungeschützt, während die möglichen Folgen solcher Angriffe erheblich sein können. Das macht sie für viele Hacktivisten-Gruppen ebenso attraktiv wie für staatlich unterstützte Akteure, die sich als Hacktivisten ausgeben.
Israels Wassersektor wird laut Darktrace regelmäßig von iranischen Hackern angegriffen, während pro-israelische Hacker dafür bekannt sind, Wasseranlagen in anderen Ländern ins Visier zu nehmen. Das Auftauchen von ZionSiphon sei vor dem Hintergrund des Konflikts zwischen den USA, Israel und Iran, der zu einer Zunahme von Cyberangriffen geführt hat, wenig überraschend.
