Un nouveau logiciel malveillant, ZionSiphon, a été conçu pour cibler les technologies opérationnelles, notamment les systèmes de traitement des eaux et de désalinisation, dans le but de perturber leurs activités.
Ce malware est capable de modifier les pressions hydrauliques et d’augmenter les niveaux de chlore à des seuils dangereux, comme l’ont indiqué des chercheurs lors de leur analyse.
A en juger par sa conception, ZionSiphon semble se concentrer sur des cibles situées en Israël, comme en témoignent les messages politiques intégrés dans son code et les adresses IP ciblées.
Les experts de la société de cybersécurité alimentée par intelligence artificielle, Darktrace, ont détecté une erreur de logique dans le mécanisme de validation du malware, rendant cette version non fonctionnelle. Cependant, ils mettent en garde contre de futures itérations de ZionSiphon qui pourraient corriger cette faille et potentiellement provoquer des attaques.
Lors de son exécution, le logiciel malveillant vérifie si l’adresse IP de l’hôte appartient à des plages israéliennes et si le système contient des logiciels ou des fichiers en lien avec le traitement de l’eau, afin de s’assurer qu’il est bien déployé dans ces installations.
Source: Darktrace
Darktrace a repéré que la logique de vérification géographique est défaillante à cause d’un mismatch XOR, provoquant un échec dans le ciblage et entraînant la mise en marche d’un mécanisme de destruction au lieu de l’exécution de la charge utile.
Si ZionSiphon venait à être activé, il pourrait infliger des dégâts considérables en augmentant les niveaux de chlore tout en maximisant la pression.
Cela se produit via une fonction intitulée IncreaseChlorineLevel(), qui modifie les fichiers de configuration existants pour maximiser la dose et le débit de chlore en fonction des capacités des systèmes mécaniques de l’installation.
IncreaseChlorineLevel() consulte une liste pré-enregistrée de fichiers de configuration associés à la désalinisation, à l’osmose inverse, à la régulation du chlore et aux systèmes de contrôle industrielles liés au traitement de l’eau.
D’après Darktrace, dès qu’il trouve l’un de ces fichiers, il ajoute un bloc de texte fixe et se retire immédiatement.
Les entrées ajoutées indiquent : « Chlorine_Dose=10 », « Chlorine_Pump=ON », « Chlorine_Flow=MAX », « Chlorine_Valve=OPEN » et « RO_Pressure=80 ».
L’intention d’interagir avec les systèmes de contrôle industriels est manifeste, notamment en scannant le sous-réseau local pour les protocoles de communication Modbus, DNP3 et S7comm.
Cependant, Darktrace a trouvé seulement un code partiellement fonctionnel pour Modbus et de simples marqueurs pour les deux autres, indiquant que le malware est encore en phase de développement précoce.
ZionSiphon inclut également un mécanisme de propagation via USB, se copiant sur les lecteurs amovibles sous le processus caché ‘svchost.exe’ et créant des fichiers de raccourci malveillants qui lancent le malware lorsque cliqués.
Source: Darktrace
La propagation par USB est cruciale dans les systèmes d’infrastructure critique, où les ordinateurs gérant des fonctions sensibles à la sécurité sont souvent « découplés » d’Internet.
Bien que ZionSiphon ne soit pas opérationnel dans sa version actuelle, ses intentions et son potentiel destructeur sont préoccupants. Une simple correction de l’erreur de vérification pourrait suffire à libérer cette menace.