Bezpečnostní výzkumníci identifikovali novou rodinu škodlivého softwaru označovanou jako ZionSiphon, která je zaměřena specificky na systémy provozních technologií (OT) v izraelských vodárenských podnicích a odsolovacích stanicích. Jde o další v řadě cílených útoků proti kritické infrastruktuře v regionu.
ZionSiphon je podle analytiků navržen tak, aby pronikal do průmyslových řídicích systémů (ICS) a získával citlivá provozní data o nakládání s vodou, chemických dávkovačích a distribučních sítích. Malware kombinuje funkce pro:
- Zjišťování a mapování komponent SCADA a PLC v síti
- Exfiltraci dat o provozních parametrech a konfiguracích
- Manipulaci řídicích příkazů, která může teoreticky narušit úpravu vody
- Persistenci prostřednictvím legitimních nástrojů a skrytých komunikačních kanálů
Způsob infikování
Prvotní kompromitace probíhá podle dosavadních zjištění prostřednictvím cíleného spear-phishingu směřovaného na inženýry a administrátory OT prostředí, doplněného o zneužívání veřejně přístupných vzdálených rozhraní. Útočníci následně využívají techniky „living-off-the-land“, aby zůstali nezjištěni v síti, která typicky odděluje IT od OT zóny.
Ačkoliv definitivní atribuce nebyla zveřejněna, charakter cílů, jazykové stopy v kódu a použité taktiky naznačují napojení na státem sponzorovaného aktéra operujícího v zájmu zemí, jež jsou v geopolitickém napětí s Izraelem. Vodárenský sektor v Izraeli čelí útokům opakovaně — v předchozích letech byly hlášeny pokusy o manipulaci úrovní chloru i dalších chemických procesů.
Izraelské národní kybernetické ředitelství (INCD) vydalo pro provozovatele výstrahu a sdílí indikátory kompromitace (IoC) s partnerskými organizacemi v rámci mezinárodní spolupráce.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
