Un nouveau logiciel malveillant appelé **ZionSiphon**, spécifiquement conçu pour les technologies opérationnelles (OT), cible les environnements de traitement et de dessalement d'eau pour saboter leurs opérations. La menace peut ajuster les pressions hydrauliques et augmenter les niveaux de chlore à des niveaux dangereux, ont découvert les chercheurs lors de leur analyse. Sur la base de son ciblage IP et des messages politiques intégrés dans ses chaînes de caractères, **ZionSiphon** semble se concentrer sur des cibles basées en Israël. ### Logique de chiffrement défectueuse Les chercheurs de la société de cybersécurité **Darktrace**, basée sur l'IA, ont trouvé une erreur de logique de chiffrement défectueuse dans le mécanisme de validation du malware qui le rend non fonctionnel. Ils avertissent que les futures versions de **ZionSiphon** pourraient corriger le défaut pour libérer sa puissance lors d'attaques. Lors du déploiement, le malware vérifie si l'adresse IP de l'hôte se situe dans les plages israéliennes et si le système contient des logiciels ou des fichiers liés à l'eau/OT, afin de s'assurer qu'il s'exécute dans des systèmes de traitement d'eau ou de dessalement.  **Darktrace** note que la logique de vérification du pays est rompue en raison d'une incohérence XOR, ce qui entraîne l'échec du ciblage et le déclenchement du mécanisme d'autodestruction au lieu de l'exécution du payload. ### Dommages potentiels Si **ZionSiphon** parvenait à s'activer, il pourrait causer des dommages importants en augmentant les niveaux de chlore et en maximisant la faille et la pression. Il le fait via une fonction nommée « IncreaseChlorineLevel() », qui ajoute un bloc de texte aux fichiers de configuration existants pour maximiser la dose de chlore et le débit autant que physiquement supporté par les systèmes mécaniques de l'usine. « IncreaseChlorineLevel() » vérifie une liste codée en dur de fichiers de configuration associés au dessalement, à l'osmose inverse, au contrôle du chlore et aux systèmes OT/contrôle industriel (ICS) de traitement de l'eau, » indique **Darktrace**. « Dès qu'il trouve l'un de ces fichiers, il ajoute un bloc de texte fixe et revient immédiatement. » « Le bloc de texte ajouté contient les entrées suivantes : « Chlorine_Dose=10 », « Chlorine_Pump=ON », « Chlorine_Flow=MAX », « Chlorine_Valve=OPEN », et « RO_Pressure=80 ». » L'intention d'interagir avec les systèmes de contrôle industriel (ICS) est évidente en scannant le sous-réseau local pour les protocoles de communication **Modbus**, **DNP3** et **S7comm**. Cependant, **Darktrace** n'a trouvé que du code partiellement fonctionnel pour **Modbus**, et seulement des espaces réservés pour les deux autres, indiquant que le malware est encore à un stade précoce de développement. ### Propagation par USB **ZionSiphon** dispose également d'un mécanisme de propagation par USB qui se copie sur des lecteurs amovibles en tant que processus caché ‘svchost.exe’ et crée des fichiers de raccourcis malveillants qui exécutent le malware lorsqu'ils sont cliqués.  La propagation par USB est essentielle dans les systèmes d'infrastructure critiques, où les ordinateurs qui gèrent les fonctions de sécurité critiques sont souvent « isolés », c'est-à-dire qu'ils ne sont pas directement connectés à Internet. Bien que **ZionSiphon** ne soit pas opérationnel dans sa version actuelle, son intention et son potentiel de nuisance sont préoccupants, et il suffit de corriger une erreur de vérification mineure pour libérer les deux.