ZionSiphon нацелили на водную инфраструктуру Израиля: вредонос ищет PLC, сканирует ICS и пытается влиять на хлорирование

22.04.2026

Исследователи описали ZionSiphon - OT-вредонос, ориентированный на объекты водоочистки и опреснения в Израиле. В коде зашиты израильские IP-диапазоны, а также названия, связанные с национальной водной инфраструктурой страны, включая Mekorot, Sorek, Hadera, Ashdod, Palmachim и Shafdan. Отдельно malware ищет признаки сред desalination и water treatment - по именам процессов, каталогам и конфигурационным файлам.

По функциональности образец заметно шире обычного IT-малвара. Он проверяет наличие прав администратора, добивается повышения привилегий через PowerShell, закрепляется в автозагрузке под видом svchost.exe, распространяется через USB-носители и создает LNK-ярлыки, маскируя запуск вредоносного файла под обычные документы. Параллельно ZionSiphon сканирует локальную /24-сеть по OT-протоколам Modbus, DNP3 и S7comm, чтобы находить ICS-устройства и классифицировать их по ответам сервисов.

Самая опасная часть - логика саботажа. Наиболее проработанный сценарий связан с Modbus: код читает holding registers и пытается выбрать регистр для параметра Chlorine_Dose, после чего формирует команду записи со значением 100. В анализе также отмечены признаки вмешательства в параметры давления и хлорирования, а общий замысел выглядит как попытка перейти от компрометации Windows-хоста к прямому воздействию на промышленный процесс.

При этом исследованный образец, вероятно, не является полностью боевым. В нем обнаружена ошибка в проверке целевой страны, из-за которой сборка не проходит собственную валидацию даже при подходящем IP-адресе. Ветки для DNP3 и S7comm тоже выглядят незавершенными: в коде есть только фрагменты команд, недостаточные для полноценного обмена. Это позволяет предположить, что перед аналитиками оказался либо девелоперский билд, либо преждевременно развернутый, либо частично обезвреженный образец.