ZionSiphon惡意軟體

惡意軟體年Mezo年

翻譯為：

網路安全分析師發現了一種名為 ZionSiphon 的新型惡意軟體，該軟體專門針對以色列的水處理和海水淡化設施。這一事態發展表明，針對關鍵基礎設施（尤其是工業運營技術 (OT) 環境）的網路攻擊活動正在令人擔憂地升級。

ZionSiphon惡意軟體於2025年6月29日首次在網路上被發現，就在伊朗和以色列之間的十二日戰爭（2025年6月13日至24日）之後不久。其出現的時間表明可能存在地緣政治動機，這與地區衝突後更廣泛的網路活動模式相吻合。

儘管該惡意軟體似乎仍處於未完成或開發階段，但它已展現出多種高級功能。這些功能包括權限提升、持久化機制、基於 USB 的傳播以及針對工業控制系統 (ICS) 的定向掃描。值得注意的是，它還包含旨在操縱氯含量和壓力控制（水處理過程中的關鍵參數）的破壞性功能。

ZionSiphon 採用雙條件活化機制，確保僅在高度特定的情況下執行。該惡意軟體僅在滿足以下兩個條件時才會啟動其有效載荷：

受感染的系統位於預先定義的以色列IPv4位址範圍內。
此環境符合水處理或海水淡化系統的相關特徵。

目標IP位址範圍包括：

2.52.0.0 – 2.55.255.255
79.176.0.0 – 79.191.255.255
212.150.0.0 – 212.150.255.255

此外，惡意軟體中嵌入的字串提及以色列的基礎設施，進一步強化了其目標範圍狹窄的性質。代碼中的政治訊息表達了對伊朗、巴勒斯坦和葉門的支持，更突顯了這次攻擊活動的意識形態傾向。

在有效條件下執行後，ZionSiphon 將啟動對本機子網路設備的偵察和互動。它嘗試使用 OT 環境中常見的多種工業協定進行通訊：

其中，Modbus相關功能似乎最為成熟，而對DNP3和S7comm的支援仍處於部分實現階段。這表明相關開發和測試工作仍在進行中。

該惡意軟體還會篡改本地配置文件，特別是針對控制氯投加量和系統壓力的參數。這種篡改可能會擾亂水處理流程，對基礎設施完整性和公共安全構成潛在風險。

ZionSiphon 的一個顯著特徵是它能夠透過可移動介質傳播，從而在可能與外部網路隔離的環境中實現橫向移動。這種技術與早期針對工業控制系統 (ICS) 的攻擊策略類似。

然而，如果惡意軟體判定宿主系統不符合其目標定位標準，則會啟動自我移除程式。這種行為可最大限度地降低被偵測到的風險，並將影響範圍限制在預期目標之外。

儘管設計先進，但目前樣本仍存在關鍵缺陷。具體而言，即使在定義的 IP 位址範圍內運行，它也無法正確驗證自身的地理定位條件。這種不一致表明存在以下幾種可能性：故意停用、配置錯誤或開發尚未完成。

然而，ZionSiphon 的架構設計反映了更廣泛的趨勢。威脅行為者越來越多地嘗試多協議工業控制系統 (ICS) 操控、在營運技術 (OT) 環境中進行持久訪問，以及針對物理隔離系統量身定制的傳播方法。這些特徵與以往針對工業基礎設施的國家級網路攻擊活動中觀察到的策略非常相似。

ZionSiphon 不僅僅是一個惡意軟體實例，它還凸顯了全球關鍵基礎設施面臨的不斷演變的威脅情況。即使其形態尚不完整，也展現了攻擊者蓄意將地緣政治意圖與高超技術相結合的意圖，這更加凸顯了在工業環境中加強安全控制的緊迫性。

搜索