MalwareSchwachstellenHackerangriffe

ZionSiphon: Neue Malware zielt auf israelische Wasser- und Entsalzungsanlagen ab

ZionSiphon: Neue Malware zielt auf israelische Wasser- und Entsalzungsanlagen ab
Zusammenfassung

Sicherheitsforscher haben die neue Malware ZionSiphon entdeckt, die gezielt auf israelische Wasser- und Entsalzungsanlagen abzielt. Die von Darktrace benannte Schadsoftware wurde erstmals am 29. Juni 2025 nachgewiesen, kurz nach dem zwölftägigen Krieg zwischen Iran und Israel im Juni. ZionSiphon kombiniert Privilege Escalation, Persistenzmechanismen, USB-Verbreitung und ICS-Scanning mit Sabotagekapazitäten, die speziell auf Chlor- und Druckkontrollsysteme abzielen. Die Malware ist derzeit noch unvollständig und enthält politische Botschaften zur Unterstützung des Iran, Palästinas und des Jemen. Obwohl sich die Bedrohung primär gegen Israel richtet, verdeutlicht dieser Fall die wachsende Gefahr von politisch motivierten Cyberangriffen auf kritische Infrastrukturen weltweit. Für Deutschland sind solche Entwicklungen besorgniserregend, da deutsche Wasser- und Energieversorgungssysteme ähnliche Schwachstellen aufweisen könnten. Die Entdeckung zeigt, dass Bedrohungsakteure zunehmend experimentieren, um Industrieanlagen über mehrere Kommunikationsprotokolle zu manipulieren und ihre Angriffe über externe Speichermedien zu verbreiten – ein Muster, das auch deutsche Betreiber kritischer Infrastrukturen ernst nehmen müssen.

Die Entdeckung von ZionSiphon zeigt, wie gezielt Cyberkriminelle und möglicherweise staatliche Akteure Operational-Technology-Systeme ins Visier nehmen. Das Schadprogramm ist spezialisiert auf die Kommunikation mit industriellen Steuerungssystemen über drei verschiedene Protokolle: Modbus, DNP3 und S7comm. Diese Protokolle sind Standard in der Industrie- und Infrastruktur-Automatisierung, weshalb die Malware potenziell erhebliche physische Schäden verursachen könnte.

Ein zentrales Merkmal von ZionSiphon ist sein ausgefeiltes Targeting-System. Das Schadprogramm aktiviert sich nur, wenn zwei Bedingungen erfüllt sind: erstens eine geografische Verifizierung, die überprüft, ob der infizierte Computer in Israel lokalisiert ist, und zweitens die Bestätigung von Wasser- oder Entsalzungsinfrastruktur. Diese Präzision deutet auf eine sorgfältige Planung hin, möglicherweise durch einen gut ausgestatteten Threat Actor.

Besonders beunruhigend ist die Propagationsfähigkeit über USB-Speichermedien. Dies ermöglicht es der Malware, sich auf physisch isolierte Netzwerke auszubreiten – ein klassischer Angriffsvektor gegen hochgesicherte kritische Infrastrukturen. Darktrace stellte fest, dass das aktuelle Sample sich selbst löscht, wenn die Zielkriterien nicht erfüllt sind, um keine Spuren zu hinterlassen.

Trotz der technischen Raffinesse ist das Malware-Sample noch unvollständig. Darktrace zufolge scheint die aktuelle Version sogar unfähig, ihre eigenen Zielprüfungen korrekt durchzuführen – ein Hinweis darauf, dass die Malware absichtlich deaktiviert, falsch konfiguriert oder noch in der Entwicklung sein könnte.

Die Entdeckung von ZionSiphon fällt zusammen mit zwei weiteren bemerkenswerten Malware-Funden: RoadK1ll, ein Node.js-basiertes Implant, das sich als normaler Netzwerkverkehr tarnt und als Zugriffsverstärker fungiert, sowie AngrySpark, ein VM-verschleierter Backdoor, der in UK-Systemen operierte. AngrySpark fällt durch seine dreistufige Architektur auf, die mehrere Verschleierungstechniken nutzt.

Für Deutschland und europäische Länder ist ZionSiphon vor allem als Warnung relevant. Die Malware demonstriert, wie spezifisch Angreifer kritische Infrastrukturen entwickelt werden können. Europäische Wasser-, Energie- und Entsalzungsanlagen sollten ihre OT-Sicherheitsmaßnahmen überprüfen und verstärken, insbesondere im Hinblick auf geografisch begrenzte Angriffe.

Ähnliche Artikel