Eine neue Malware namens **ZionSiphon**, die speziell für Operational Technology (OT) entwickelt wurde, zielt auf Wasseraufbereitungs- und Entsalzungsumgebungen ab, um deren Betrieb zu sabotieren. Die Bedrohung kann hydraulische Drücke anpassen und Chlorwerte auf gefährliche Werte anheben, stellten Forscher bei ihrer Analyse fest. Basierend auf ihrer IP-Zielausrichtung und den in ihren Strings eingebetteten politischen Botschaften scheint **ZionSiphon** auf Ziele in Israel ausgerichtet zu sein. ### Fehlerhafte Verschlüsselungslogik Forscher des KI-gestützten Cybersicherheitsunternehmens **Darktrace** fanden einen Fehler in der Verschlüsselungslogik des Validierungsmechanismus der Malware, der sie nicht funktionsfähig macht. Sie warnen, dass zukünftige **ZionSiphon**-Versionen den Fehler beheben könnten, um ihre Macht in Angriffen freizusetzen. Nach der Bereitstellung prüft die Malware, ob die Host-IP innerhalb israelischer Bereiche liegt und ob das System wasser-/OT-bezogene Software oder Dateien enthält, um sicherzustellen, dass sie in Wasseraufbereitungs- oder Entsalzungssystemen läuft.  **Darktrace** stellt fest, dass die Logik für die Länderverifizierung aufgrund eines XOR-Mismatches fehlerhaft ist, was dazu führt, dass die Zielausrichtung fehlschlägt und stattdessen der Selbstzerstörungsmechanismus ausgelöst wird, anstatt die Payload auszuführen. ### Möglicher Schaden Wenn **ZionSiphon** aktiviert würde, könnte es erheblichen Schaden anrichten, indem es die Chlorwerte erhöht und den Fehler sowie den Druck maximiert. Dies geschieht über eine Funktion namens „IncreaseChlorineLevel()“, die einen Textblock an bestehende Konfigurationsdateien anhängt, um die Chlordosis und den Durchfluss so weit wie physikalisch durch die mechanischen Systeme der Anlage unterstützt zu maximieren. „IncreaseChlorineLevel()“ prüft eine hartkodierte Liste von Konfigurationsdateien, die mit Entsalzung, Umkehrosmose, Chlorsteuerung und Wasseraufbereitungs-OT/Industrial Control Systems (ICS) verbunden sind, so **Darktrace**. „Sobald eine dieser Dateien vorhanden ist, hängt sie einen festen Textblock an und kehrt sofort zurück.“ „Der angehängte Textblock enthält die folgenden Einträge: „Chlorine_Dose=10“, „Chlorine_Pump=ON“, „Chlorine_Flow=MAX“, „Chlorine_Valve=OPEN“ und „RO_Pressure=80“.“ Die Absicht, mit industriellen Steuerungssystemen (ICS) zu interagieren, ist offensichtlich, indem das lokale Subnetz nach den Kommunikationsprotokollen **Modbus**, **DNP3** und **S7comm** gescannt wird. Allerdings hat **Darktrace** nur teilweise funktionierenden Code für **Modbus** und lediglich Platzhalter für die beiden anderen gefunden, was darauf hindeutet, dass sich die Malware noch in einer frühen Entwicklungsphase befindet. ### USB-Ausbreitung **ZionSiphon** verfügt auch über einen USB-Ausbreitungsmechanismus, der sich auf Wechseldatenträger als versteckter Prozess „svchost.exe“ kopiert und bösartige Verknüpfungsdateien erstellt, die die Malware beim Anklicken ausführen.  Die USB-Ausbreitung ist in kritischen Infrastruktursystemen von entscheidender Bedeutung, wo Computer, die sicherheitskritische Funktionen verwalten, oft „air-gapped“ sind, d. h. nicht direkt mit dem Internet verbunden sind. Obwohl **ZionSiphon** in seiner aktuellen Version nicht einsatzfähig ist, sind seine Absicht und sein Schadenspotenzial besorgniserregend, und alles, was benötigt wird, um beides freizuschalten, ist die Behebung eines geringfügigen Verifizierungsfehlers.