«Отравим Тель-Авив, если найдем нужный IP». Хакеры написали вирус для воды, но забыли его доделать

Вредоносное ПО, которое само себя называет ZionSiphon, нацелено не на компьютеры пользователей, а на воду. В прямом смысле. Darktrace разобрал попытку создать инструмент, чтобы вмешаться в системы очистки и опреснения воды в Израиле, включая объекты, где регулируют концентрацию хлора и давление.

Внутри ZionSiphon собрали привычный набор приёмов: повысить привилегии, закрепиться в системе, распространиться через флешки. Но дальше начинается нетипичное. Код проверяет, где запущен, и старается работать только в пределах конкретных диапазонов IP-адресов, относящихся к Израилю. Внутри файла нашли и политические сообщения, закодированные в Base64, с прямыми заявлениями о поддержке Ирана, Палестины и Йемена, а также угрозами отравления жителей Тель-Авива и Хайфы.

Программа отбирает цели не только по географии. ZionSiphon ищет признаки инфраструктуры водоснабжения. В коде зашиты названия объектов и компаний, связанных с водной системой страны, например Mekorot и крупные опреснительные станции. Вредоносная программа проверяет процессы, каталоги и конфигурационные файлы, характерные для систем обратного осмоса, насосов и хлорирования. Если совпадения есть, программа считает устройство подходящей целью.

После запуска ZionSiphon пытается получить права администратора через PowerShell, а затем закрепляется в системе под видом обычного процесса Windows с именем svchost.exe. Для скрытности файл помечается как скрытый и добавляется в автозагрузку под безобидным названием. Если программа решает, что система не подходит, она сама себя удаляет. Перед этим оставляет в системе временный файл с сообщением, что цель не соответствует условиям.

В случае «успеха» программа начинает вмешиваться. ZionSiphon ищет конфигурационные файлы и дописывает туда параметры, которые увеличивают концентрацию хлора и давление. Например, задаёт максимальный поток и включает насос. Если такие файлы не найдены, вредоносная программа переходит к сетевому сканированию.

Здесь код пытается найти промышленные устройства в локальной сети, перебирая адреса и проверяя порты, связанные с промышленными протоколами, такими как Modbus. Когда программа обнаруживает подходящее устройство, она отправляет команды, чтобы прочитать и записать регистры. В частности, пытается изменить значения, связанные с концентрацией хлора.

При этом реализация оставляет много вопросов. Логика, которая проверяет страну, работает неправильно, из-за чего программа фактически не может распознать даже подходящую систему. Часть функций для других протоколов, вроде DNP3 и S7, выглядит незавершённой и не формирует корректные команды. Похоже на заготовки, которые не довели до рабочего состояния.

Отдельный модуль отвечает за то, чтобы распространяться через флешки. ZionSiphon копирует себя на съёмные носители и создаёт ярлыки, маскируя запуск вредоносного файла под вид обычных документов. В текущем виде программа выглядит недоделанной или тестовой. Тем не менее сама структура показывает явный интерес к атакам на промышленные системы. Речь уже не про кражу данных или вымогательство, а про попытку влиять на физические процессы – в данном случае на водоснабжение.