Wprowadzenie do problemu / definicja
ZionSiphon to nowo opisane złośliwe oprogramowanie zaprojektowane z myślą o środowiskach OT i ICS, ze szczególnym naciskiem na infrastrukturę uzdatniania oraz odsalania wody. Próbka łączy typowe funkcje malware dla systemów Windows, takie jak eskalacja uprawnień, trwałość i propagacja przez nośniki USB, z logiką sabotażową ukierunkowaną na parametry procesowe, w tym chlorowanie i ciśnienie.
Na tle wielu innych kampanii zagrożenie wyróżnia się selekcją ofiar opartą na geolokalizacji oraz cechach środowiska przemysłowego. To sugeruje, iż nie chodzi o przypadkową infekcję, ale o narzędzie przygotowane z myślą o bardzo konkretnym sektorze infrastruktury krytycznej.
W skrócie
ZionSiphon został przeanalizowany w kwietniu 2026 roku jako malware ukierunkowane na izraelską infrastrukturę wodną. Kod zawiera odniesienia do izraelskich zakresów adresów IP, artefaktów związanych z krajowym systemem wodnym oraz ciągów znaków sugerujących motywację ideologiczną.
- malware próbuje uzyskać uprawnienia administratora i utrzymać się w systemie,
- weryfikuje, czy działa w środowisku przypominającym zakład uzdatniania lub odsalania wody,
- skanuje sieć pod kątem urządzeń OT korzystających z Modbus, DNP3 i S7comm,
- zawiera funkcje modyfikacji parametrów procesu,
- analizowana próbka prawdopodobnie pozostaje nieaktywna z powodu błędu logicznego.
Kontekst / historia
Ataki na infrastrukturę krytyczną od dawna wykraczają poza ransomware i klasyczne operacje szpiegowskie. Coraz częściej pojawiają się narzędzia, których celem jest bezpośredni wpływ na proces przemysłowy, a sektor wodny pozostaje szczególnie wrażliwy, ponieważ łączy systemy IT, urządzenia OT i procesy fizyczne mające znaczenie dla bezpieczeństwa publicznego.
ZionSiphon wpisuje się w szerszy trend rozwoju wyspecjalizowanego malware przemysłowego. Autorzy nie ograniczyli się do ogólnego profilu infrastruktury krytycznej, ale wbudowali w kod elementy pozwalające identyfikować potencjalne cele powiązane z izraelskim sektorem wodnym oraz środowiskami technologicznymi związanymi z uzdatnianiem i odsalaniem.
Analiza techniczna
Po uruchomieniu malware sprawdza, czy działa z uprawnieniami administratora. jeżeli nie, wykorzystuje PowerShell do ponownego uruchomienia procesu z podniesionymi uprawnieniami. Następnie tworzy mechanizm trwałości poprzez wpis w autostarcie użytkownika, kopiuje własny plik do lokalizacji w profilu użytkownika i nadaje mu nazwę przypominającą legalny proces systemowy, dodatkowo ustawiając atrybuty ukryte.
Kolejny etap to walidacja celu. ZionSiphon porównuje adres IPv4 hosta z osadzonymi w próbce zakresami powiązanymi z Izraelem, a następnie szuka oznak środowiska przemysłowego związanego z gospodarką wodną. Analizuje aktywne procesy, nazwy plików i katalogów oraz ślady sugerujące obecność komponentów PLC, sterowania przepływem, chlorowania czy instalacji odwróconej osmozy.
Jeśli host spełnia zakładane warunki, malware przechodzi do funkcji sabotażowych. Obejmują one modyfikację lokalnych plików konfiguracyjnych w sposób wskazujący na próbę zwiększenia dawki chloru, aktywacji pomp chlorowych, podniesienia przepływu i ciśnienia. Taka logika pokazuje, iż twórcy próbowali wpływać na rzeczywiste parametry procesu technologicznego.
Próbka zawiera także moduł rozpoznania sieci OT. Skanuje lokalną podsieć pod kątem urządzeń nasłuchujących na portach typowych dla Modbus, DNP3 i S7comm. Najbardziej rozwinięty jest komponent dotyczący Modbus, który potrafi wysyłać żądania odczytu rejestrów, analizować odpowiedzi i budować ramki zapisu dla wybranych wartości procesowych. Obsługa DNP3 i S7comm wygląda natomiast na mniej dojrzałą, co może wskazywać na wczesny etap rozwoju narzędzia.
Istotnym elementem jest również propagacja przez pamięci USB. Malware kopiuje się na nośniki wymienne jako ukryty plik wykonywalny i wykorzystuje artefakty zwiększające szansę uruchomienia przez użytkownika. To zachowanie jest szczególnie niebezpieczne w środowiskach przemysłowych, gdzie segmentacja sieci często współistnieje z ręcznym przenoszeniem plików między strefami.
Jednocześnie analiza wskazuje, iż obecna wersja próbki może nie być zdolna do aktywowania pełnego łańcucha sabotażowego. Błąd w mechanizmie walidacji kraju docelowego sprawia, iż choćby potencjalnie adekwatny host może nie zostać uznany za cel. W takim scenariuszu malware uruchamia procedurę samousunięcia, usuwa wpis autostartu i kasuje własne pliki.
Konsekwencje / ryzyko
Nawet jeżeli aktualnie analizowana wersja ZionSiphon wydaje się niesprawna operacyjnie, ryzyko pozostaje wysokie. Sama obecność funkcji ukierunkowanych na chlorowanie, ciśnienie i rozpoznanie protokołów przemysłowych dowodzi, iż mamy do czynienia z narzędziem zaprojektowanym z myślą o fizycznym procesie technologicznym, a nie zwykłym malware dla środowisk biurowych.
Dla operatorów infrastruktury krytycznej zagrożenie ma kilka wymiarów. Po stronie technicznej oznacza możliwość nieautoryzowanych zmian konfiguracji, skanowania sieci OT i propagacji przez nośniki wymienne. Po stronie operacyjnej wiąże się z ryzykiem zakłóceń procesu, błędnych odczytów, problemów z bezpieczeństwem procesowym i potencjalnym wpływem na jakość wody. W wymiarze strategicznym potwierdza rosnące znaczenie politycznie motywowanych operacji wymierzonych w infrastrukturę przemysłową.
Warto też pamiętać, iż choćby niedopracowana kampania może służyć do rekonesansu. Informacje o topologii sieci, obecnych protokołach, nazewnictwie hostów czy plikach konfiguracyjnych mogą zostać wykorzystane w kolejnych, bardziej dojrzałych wariantach ataku.
Rekomendacje
Organizacje odpowiedzialne za środowiska OT powinny potraktować ZionSiphon jako sygnał ostrzegawczy i impuls do przeglądu zabezpieczeń na styku IT oraz OT. Szczególne znaczenie ma wykrywanie anomalii sieciowych, nietypowych zmian w autostarcie oraz prób modyfikacji lokalnych plików konfiguracyjnych związanych z procesem technologicznym.
- wdrożyć monitoring ruchu do portów związanych z Modbus, DNP3 i S7comm,
- kontrolować stacje operatorskie i inżynierskie pod kątem ukrytych plików wykonywalnych oraz nietypowych wpisów autostartu,
- ograniczyć użycie nośników USB i wprowadzić ich skanowanie w strefach buforowych,
- weryfikować integralność plików konfiguracyjnych odpowiadających za chlorowanie, przepływ, ciśnienie i sterowanie pompami,
- segmentować sieć i ściśle kontrolować komunikację między strefami IT i OT,
- stosować listy dozwolonych aplikacji na HMI i stacjach inżynierskich,
- utrzymywać kopie zapasowe konfiguracji systemów nadzorczych i sterowników,
- testować procedury reagowania na incydenty obejmujące także komponenty OT.
Kluczowe pozostaje również budowanie wspólnej widoczności telemetrycznej dla warstw IT i OT. ZionSiphon pokazuje, iż współczesne zagrożenia często zaczynają się od technik typowych dla Windows, a dopiero potem przechodzą do działań wymierzonych w proces przemysłowy.
Podsumowanie
ZionSiphon to przykład malware łączącego motywację polityczną z precyzyjnym profilem technicznym ukierunkowanym na sektor wodny. Kod wskazuje na zamiar wpływania na parametry procesowe w instalacjach uzdatniania i odsalania oraz na rozpoznanie urządzeń przemysłowych przez popularne protokoły ICS.
Choć w tej chwili analizowana próbka prawdopodobnie zawiera błąd uniemożliwiający aktywację pełnego payloadu, nie zmniejsza to znaczenia samego trendu. Dla obrońców najważniejszy wniosek jest jasny: narzędzia ukierunkowane na OT stają się coraz bardziej wyspecjalizowane i coraz częściej pojawiają się w kontekście infrastruktury krytycznej.
