«Отравим Тель-Авив, если найдем нужный IP». Хакеры написали вирус для воды, но забыли его доделать
NewsMakerСпециалисты выявили связь новой кибератаки на Израиль с интересами Ирана и Палестины.
Вредоносное ПО, которое само себя называет ZionSiphon, нацелено не на компьютеры пользователей, а на воду. В прямом смысле. Darktrace разобрал попытку создать инструмент, чтобы вмешаться в системы очистки и опреснения воды в Израиле, включая объекты, где регулируют концентрацию хлора и давление.
Внутри ZionSiphon собрали привычный набор приёмов: повысить привилегии, закрепиться в системе, распространиться через флешки. Но дальше начинается нетипичное. Код проверяет, где запущен, и старается работать только в пределах конкретных диапазонов IP-адресов, относящихся к Израилю. Внутри файла нашли и политические сообщения, закодированные в Base64, с прямыми заявлениями о поддержке Ирана, Палестины и Йемена, а также угрозами отравления жителей Тель-Авива и Хайфы.
Программа отбирает цели не только по географии. ZionSiphon ищет признаки инфраструктуры водоснабжения . В коде зашиты названия объектов и компаний, связанных с водной системой страны, например Mekorot и крупные опреснительные станции. Вредоносная программа проверяет процессы, каталоги и конфигурационные файлы, характерные для систем обратного осмоса, насосов и хлорирования. Если совпадения есть, программа считает устройство подходящей целью.
После запуска ZionSiphon пытается получить права администратора через PowerShell, а затем закрепляется в системе под видом обычного процесса Windows с именем svchost.exe. Для скрытности файл помечается как скрытый и добавляется в автозагрузку под безобидным названием. Если программа решает, что система не подходит, она сама себя удаляет. Перед этим оставляет в системе временный файл с сообщением, что цель не соответствует условиям.
Вредоносное ПО, которое само себя называет ZionSiphon, нацелено не на компьютеры пользователей, а на воду. В прямом смысле. Darktrace разобрал попытку создать инструмент, чтобы вмешаться в системы очистки и опреснения воды в Израиле, включая объекты, где регулируют концентрацию хлора и давление.
Внутри ZionSiphon собрали привычный набор приёмов: повысить привилегии, закрепиться в системе, распространиться через флешки. Но дальше начинается нетипичное. Код проверяет, где запущен, и старается работать только в пределах конкретных диапазонов IP-адресов, относящихся к Израилю. Внутри файла нашли и политические сообщения, закодированные в Base64, с прямыми заявлениями о поддержке Ирана, Палестины и Йемена, а также угрозами отравления жителей Тель-Авива и Хайфы.
Программа отбирает цели не только по географии. ZionSiphon ищет признаки инфраструктуры водоснабжения . В коде зашиты названия объектов и компаний, связанных с водной системой страны, например Mekorot и крупные опреснительные станции. Вредоносная программа проверяет процессы, каталоги и конфигурационные файлы, характерные для систем обратного осмоса, насосов и хлорирования. Если совпадения есть, программа считает устройство подходящей целью.
После запуска ZionSiphon пытается получить права администратора через PowerShell, а затем закрепляется в системе под видом обычного процесса Windows с именем svchost.exe. Для скрытности файл помечается как скрытый и добавляется в автозагрузку под безобидным названием. Если программа решает, что система не подходит, она сама себя удаляет. Перед этим оставляет в системе временный файл с сообщением, что цель не соответствует условиям.