Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il malware ZionSiphon è stato scoperto recentemente dai ricercatori si sicurezza informatic di Darktrace. Prende di mira gli impianti di trattamento delle acque in Israele. Il software malevolo risulta essere in grado di manipolare i livelli di cloro e la pressione, ma attualmente è inutilizzabile a causa di un errore di programmazione.
I ricercatori di Darktrace hanno scoperto un nuovo malware al quale hanno dato nome ZionSiphon, che prende di mira gli impianti di trattamento e desalinizzazione dell’acqua in Israele.
Questo malware attacca i sistemi di controllo industriale (ICS) ed è in grado di manipolare i livelli di cloro e la pressione. Tuttavia, ZionSiphon è attualmente inutilizzabile a causa di un errore di programmazione.
Gli esperti affermano che, a giudicare dalle stringhe incorporate e dal targeting IP, il malware sta prendendo di mira i sistemi in Israele. Una delle stringhe codificate nel campione di malware è stata addirittura decifrata come “Avvelenamento della popolazione di Tel Aviv e Haifa”.
Una volta avviato, ZionSiphon verifica se l’indirizzo IP dell’host rientra nell’intervallo israeliano e analizza il sistema alla ricerca di processi e file tipici dei sistemi di trattamento delle acque (osmosi inversa, desalinizzazione, controllo della clorazione). Se nessuna di queste condizioni viene soddisfatta, il malware si autodistrugge.
Se attivato con successo, il malware tenta di modificare i file di configurazione locali dei sistemi industriali. Ciò avviene tramite la funzione IncreaseChlorineLevel(), che individua le configurazioni relative alla desalinizzazione, all’osmosi inversa e alla clorazione e aggiunge parametri come Chlorine_Dose=10, Chlorine_Pump=ON, Chlorine_Flow=MAX e RO_Pressure=80; in altre parole, tenta di aumentare il dosaggio e la pressione del cloro ai valori massimi.
ZionSiphon analizza la sottorete locale alla ricerca di dispositivi che utilizzano i protocolli Modbus, DNP3 e S7comm. Tuttavia, il codice per interagire con Modbus è implementato solo parzialmente e i ricercatori hanno trovato solo frammenti di codice per DNP3 e S7comm. Queste caratteristiche indicano che il malware è ancora in fase di sviluppo.
ZionSiphon si diffonde tramite unità USB: il malware si copia su unità rimovibili come processo nascosto svchost.exe e crea collegamenti dannosi che avviano il malware quando vengono cliccati. Questo metodo di distribuzione è particolarmente rilevante per le infrastrutture critiche, dove le macchine che gestiscono processi chiave sono spesso fisicamente isolate da Internet.
Gli analisti di Darktrace sottolineano che ZionSiphon è praticamente inutilizzabile nella sua forma attuale. Questo perché i ricercatori hanno scoperto una falla nella logica di validazione XOR del paese: a causa di una discrepanza nei valori, il controllo fallisce sempre e, invece di eseguire il payload, si attiva il meccanismo di autodistruzione.
Anche la modifica dei file di configurazione e dei parametri Modbus difficilmente avrà un impatto reale in un ambiente industriale, e il malware non sarà in grado di alterare effettivamente i livelli di cloro nell’acqua.
Tuttavia, gli esperti avvertono che la comparsa di ZionSiphon riflette una tendenza in cui gli aggressori stanno sperimentando sempre più malware mirati alle infrastrutture critiche. Il settore idrico in generale è da tempo un polo di attrazione per gli hacker, poiché i sistemi ICS e altri sistemi OT di questo settore sono spesso accessibili da Internet e scarsamente protetti.
