Злонамерни софтвер ZionSiphon
Аналитичари сајбер безбедности идентификовали су новонастали сој злонамерног софтвера, ZionSiphon, направљен са јасним фокусом на израелска постројења за пречишћавање и десалинизацију воде. Овај развој догађаја сигнализира забрињавајућу ескалацију сајбер операција усмерених на критичну инфраструктуру, посебно у окружењима индустријске оперативне технологије (ОТ).
Преглед садржаја
Порекло и контекст: Постконфликтни раст
Злонамерни софтвер ZionSiphon први пут је примећен у јавности 29. јуна 2025. године, убрзо након Дванаестодневног рата између Ирана и Израела (13–24. јун 2025). Његово време појављивања указује на потенцијалне геополитичке мотивације, што се поклапа са ширим обрасцем сајбер активности након регионалних сукоба.
Упркос томе што је у ономе што изгледа као непотпуна или развојна фаза, злонамерни софтвер већ показује комбинацију напредних могућности. То укључује ескалацију привилегија, механизме перзистентности, ширење засновано на USB-у и циљано скенирање индустријских контролних система (ICS). Приметно је да такође садржи функционалности оријентисане на саботажу, усмерене на манипулацију нивоима хлора и контролама притиска, кључним параметрима у процесима пречишћавања воде.
Прецизно циљање: Географски и еколошки филтери
ZionSiphon користи механизам активације са два услова, осигуравајући извршавање само под веома специфичним околностима. Злонамерни софтвер активира свој корисни садржај само када су испуњена оба следећа услова:
Заражени систем се налази унутар унапред дефинисаних израелских IPv4 адресних опсега.
Окружење одговара карактеристикама повезаним са системима за пречишћавање воде или десалинизацију
Циљани IP опсези укључују:
2.52.0.0 – 2.55.255.255
79.176.0.0 – 79.191.255.255
212.150.0.0 – 212.150.255.255
Поред тога, уграђени стрингови у злонамерном софтверу референцирају израелску инфраструктуру, појачавајући његов уско дефинисан опсег циљања. Политичке поруке у коду изражавају подршку Ирану, Палестини и Јемену, додатно наглашавајући идеолошке подтонове кампање.
Оперативне способности: Манипулација ICS-ом и извиђање мреже
Када се једном изврши под важећим условима, ZionSiphon покреће извиђање и интеракцију са уређајима на локалној подмрежи. Покушава комуникацију користећи више индустријских протокола који се обично налазе у OT окружењима:
- Модбус
- ДНП3
- S7comm
Међу њима, функционалност везана за Modbus изгледа најзрелија, док је подршка за DNP3 и S7comm још увек делимично имплементирана. Ово указује на континуирани развој и тестирање.
Злонамерни софтвер такође мења локалне конфигурационе датотеке, посебно циљајући параметре који регулишу дозирање хлора и притисак у систему. Таква манипулација би могла да поремети процесе пречишћавања воде, представљајући потенцијалне ризике и за интегритет инфраструктуре и за јавну безбедност.
Механизми ширења и самоуништења
Значајна карактеристика ZionSiphon-а је његова способност ширења путем преносивих медија, омогућавајући латерално кретање у окружењима која могу бити изолована од спољних мрежа. Ова техника одражава тактике коришћене у ранијим нападима усмереним на ICS системе.
Међутим, ако злонамерни софтвер утврди да систем домаћин не испуњава његове критеријуме циљања, покреће рутину самобрисања. Ово понашање минимизира ризик од откривања и ограничава изложеност ван предвиђених циљева.
Развојне празнине и стратешке импликације
Упркос свом напредном дизајну, тренутни узорак показује критична ограничења. Конкретно, не успева правилно да валидира сопствене услове географског циљања, чак ни када ради унутар дефинисаних опсега ИП адреса. Ова недоследност указује на једну од неколико могућности: намерну деактивацију, грешке у конфигурацији или недовршену фазу развоја.
Ипак, архитектонски дизајн ZionSiphon-а одражава шири тренд. Претње све више експериментишу са манипулацијом мултипротоколним ICS-ом, сталним приступом унутар OT окружења и методама пропагације прилагођеним за системе са ваздушним зазором. Ове карактеристике веома подсећају на тактике примећене у претходним државним сајбер кампањама усмереним на индустријску инфраструктуру.
Закључак: Сигнал упозорења за безбедност критичне инфраструктуре
ZionSiphon представља више од само једне инстанце злонамерног софтвера, он истиче еволуирајуће претње са којима се суочава критична инфраструктура широм света. Чак и у свом непотпуном облику, демонстрира намерни напор да се споје геополитичке намере са техничком софистицираношћу, појачавајући хитну потребу за побољшаним безбедносним контролама у индустријским окружењима.
