ZionSiphon je pravljen za sabotažu postrojenja za preradu vode
BleepingComputer prenosi Darktrace analizu novog OT malvera ZionSiphon, namenjenog postrojenjima za preradu i desalinizaciju vode. Malver je zamišljen tako da menja pritisak i podiže nivo hlora na opasne vrednosti, ali u trenutnoj verziji ne radi kako je planirano zbog greške u mehanizmu za proveru mete, pa umesto izvršavanja aktivira samouništenje. I pored toga, nalaz pokazuje jasnu nameru autora: proveru izraelskih IP opsega, traženje ICS i water-treatment fajlova, pokušaje rada sa Modbus protokolom i širenje preko USB uređaja.
Ovde zabrinjava to što je već sama logika malvera pisana za fizički proces, a ne samo za krađu podataka ili prekid rada kancelarijskih sistema. Dovoljna je mala dorada ovakvog koda da iz teorijske pretnje pređe u alat za stvarno narušavanje bezbednosti vode i rada kritične infrastrukture.
- Proveriti da li su OT i ICS sistemi za vodu odvojeni od poslovne mreže i spoljnog pristupa
- Ograničiti upotrebu USB uređaja i uvesti strogu kontrolu prenosivih medija u kritičnim okruženjima
- Pratiti pokušaje komunikacije preko Modbus, DNP3 i S7comm protokola van očekivanih tokova rada
- Pregledati konfiguracione fajlove i promene parametara vezanih za hlor, ventile, protok i pritisak
- U planovima odbrane računati da i nedovršen OT malver može brzo postati operativan u sledećoj verziji