Phát hiện phần mềm độc hại ZionSiphon nhắm vào hệ thống ICS tại các nhà máy xử lý nước của Israel

Các nhà nghiên cứu bảo mật tại Darktrace mới đây đã phát hiện ra một biến thể phần mềm độc hại mới có tên gọi ZionSiphon. Mã độc này được thiết kế đặc biệt để nhắm mục tiêu vào các nhà máy xử lý nước và khử muối tại Israel, đánh dấu một bước leo thang đáng lo ngại trong các cuộc tấn công mạng hướng tới cơ sở hạ tầng quan trọng.

Tấn công mạng vào cơ sở hạ tầng nước

ZionSiphon sở hữu nhiều khả năng thường thấy ở các loại phần mềm độc hại thông dụng, nhưng điều khiến nó thu hút sự chú ý đặc biệt từ các chuyên gia phân tích là chức năng hoạt động trên công nghệ vận hành (OT), cụ thể là các hệ thống điều khiển công nghiệp (ICS).

Mục tiêu và nguồn gốc

Thông qua việc phân tích mẫu mã độc, các chuỗi ký tự (string) có trong mã nguồn cho thấy ZionSiphon được phát triển bởi các nhóm tin tặc chống Israel. Một chuỗi ký tự được mã hóa khi giải dịch ra có nội dung: “Đầu độc dân số tại Tel Aviv và Haifa”.

Nhiều chỉ số khác cũng xác nhận Israel là mục tiêu chính của cuộc tấn công này, bao gồm cả các chuỗi ký tự định danh các cơ sở xử lý nước tại quốc gia này.

Cơ chế hoạt động nguy hiểm

Sau khi xâm nhập thành công, ZionSiphon sẽ kiểm tra xem nó có đang chạy với quyền quản trị (admin) hay không và thiết lập sự tồn tại bền vững trên hệ thống. Sau đó, phần mềm này thực hiện một chức năng để lấy địa chỉ IP cục bộ và xác định xem máy chủ bị xâm phạm có nằm tại Israel hay không.

Nếu địa chỉ IP liên quan đến Israel, mã độc sẽ quét hệ thống để tìm kiếm các quy trình và thư mục thường xuất hiện trong các nhà máy xử lý nước. Cụ thể, nó tìm kiếm các quy trình liên quan đến thẩm thấu ngược, khử muối, xử lý clo và điều khiển nhà máy.

Hệ thống ICS

Nếu các điều kiện này được đáp ứng, ZionSiphon sẽ tìm kiếm các tệp cấu hình cục bộ liên quan đến các quy trình xử lý nước nêu trên và cố gắng thay đổi chúng nhằm tăng liều lượng clo và áp suất nước.

Tiếp đó, nó quét mạng để tìm các thiết bị ICS sử dụng các giao thức Modbus, DNP3 và S7comm. Mã nguồn cho thấy nếu tìm thấy thiết bị Modbus, phần mềm sẽ cố gắng can thiệp vào các thông số liên quan đến liều lượng clo và áp suất.

Đáng chú ý, payload (phần tải gây hại) chỉ được kích hoạt nếu quốc gia là Israel và hệ thống liên quan đến nhà máy xử lý nước. Nếu các điều kiện này không được đáp ứng, phần mềm sẽ tự xóa khỏi thiết bị. Các nhà nghiên cứu cũng tìm thấy một cơ chế cho phép mã độc lây lan qua các ổ USB.

Đánh giá mức độ rủi ro

Mặc dù ZionSiphon dường như có khả năng mở rộng, các nhà nghiên cứu của Darktrace đã xác định được một số vấn đề trong chức năng xác thực quốc gia và logic chưa hoàn chỉnh cho việc nhắm mục tiêu các giao thức DNP3 và S7comm. Điều này cho thấy phần mềm độc hại này vẫn đang trong quá trình phát triển.

Hơn nữa, việc can thiệp tệp cấu hình cục bộ và sửa đổi thông số Modbus khó có thể gây ra tác động thực tế trong môi trường thực. Mã nguồn chỉ ra ý định gây gián đoạn, nhưng thiếu sự tinh vi cần thiết để thực sự thay đổi mức độ clo trong thực tế.

“Ngay cả ở trạng thái chưa hoàn thiện, ZionSiphon làm nổi bật một xu hướng gia tăng trong đó các tác nhân đe dọa ngày càng thử nghiệm các phần mềm độc hại hướng tới OT và áp dụng chúng vào việc nhắm mục tiêu cơ sở hạ tầng quan trọng,” Darktrace nhận định.

Ngành xử lý nước từ lâu đã là mục tiêu hàng đầu của các tin tặc. Các hệ thống điều khiển công nghiệp và hệ thống OT khác trong lĩnh vực này thường bị phơi bày trên internet và thiếu bảo vệ, trong khi tác động tiềm tàng của các cuộc tấn công như vậy có thể rất lớn. Điều này khiến chúng trở thành mục tiêu hấp dẫn đối với nhiều nhóm hacktivist và các tác nhân đe dọa được nhà nước bảo trợ.

Đặc biệt, ngành nước của Israel thường xuyên bị các tin tặc Iran nhắm mục tiêu. Ngược lại, các tin tặc ủng hộ Israel cũng được biết đến là đã tấn công các cơ sở xử lý nước ở các quốc gia khác. Sự xuất hiện của ZionSiphon không gây ngạc nhiên trong bối cảnh xung đột Mỹ-Israel-Iran, vốn đã dẫn đến sự gia tăng các cuộc tấn công mạng.