Malware Baru “ZionSiphon” Dirancang Khusus untuk Sabotase Sistem Pengolahan Air
Sebuah malware baru yang diberi nama ZionSiphon telah ditemukan beredar dengan rancangan khusus untuk menyerang teknologi operasional (OT). Malware ini menargetkan lingkungan pengolahan air dan desalinasi dengan tujuan menyabotase operasi mereka.
Berdasarkan analisis mendalam, para peneliti menemukan bahwa ancaman siber ini memiliki kemampuan mengerikan untuk menyesuaikan tekanan hidrolik dan meningkatkan kadar klorin air ke tingkat yang sangat berbahaya. Dilihat dari penargetan alamat IP dan pesan-pesan politik yang tertanam dalam kodenya, ZionSiphon tampaknya difokuskan secara spesifik untuk menyerang target-target yang berada di Israel.
Cacat Logika Menyelamatkan Target (Untuk Saat Ini)
Para peneliti di perusahaan keamanan siber bertenaga AI, Darktrace, menemukan adanya kesalahan logika enkripsi yang cacat dalam mekanisme validasi malware ini. Kesalahan tersebut membuat ZionSiphon saat ini tidak berfungsi (non-functional).
Saat disebarkan, malware ini akan memeriksa apakah IP host berada dalam rentang IP Israel dan apakah sistem tersebut berisi perangkat lunak atau fail terkait pengolahan air/OT. Darktrace mencatat bahwa logika untuk verifikasi negara ini rusak karena adanya ketidakcocokan XOR (XOR mismatch). Alih-alih mengeksekusi muatan berbahayanya, cacat ini menyebabkan penargetan gagal dan justru memicu mekanisme penghancuran diri (self-destruct).
Kendati demikian, para peneliti memperingatkan bahwa rilis ZionSiphon di masa depan dapat dengan mudah memperbaiki kelemahan sepele ini untuk melepaskan potensi kerusakannya secara penuh.
Mekanisme Sabotase Klorin dan Modbus
Jika ZionSiphon berhasil diaktifkan secara sempurna, ia dapat menyebabkan kerusakan parah. Malware ini beroperasi melalui sebuah fungsi internal bernama IncreaseChlorineLevel(). Fungsi ini secara agresif menambahkan blok teks pada fail konfigurasi sistem yang ada untuk memaksimalkan dosis dan aliran klorin sejauh yang dapat didukung oleh sistem mekanis pabrik secara fisik.
Fungsi IncreaseChlorineLevel() tersebut memeriksa daftar fail konfigurasi yang dikodekan secara permanen (hardcoded) yang terkait dengan Sistem Kontrol Industri (ICS)/OT untuk desalinasi, osmosis balik (reverse osmosis), kontrol klorin, dan pengolahan air.
Begitu malware menemukan salah satu dari fail ini, ia akan segera menambahkan entri perintah berikut:
Chlorine_Dose=10Chlorine_Pump=ONChlorine_Flow=MAXChlorine_Valve=OPENRO_Pressure=80
Niat penyerang untuk berinteraksi langsung dengan sistem kontrol industri (ICS) juga sangat jelas terlihat dari rutinitas pemindaian subnet lokal untuk mencari protokol komunikasi Modbus, DNP3, dan S7comm. Namun, Darktrace baru menemukan kode yang berfungsi sebagian untuk Modbus, dan hanya mendapati kode placeholder (sementara) untuk dua protokol lainnya. Hal ini mengindikasikan bahwa malware ini masih dalam fase pengembangan awal.
Propagasi USB untuk Tembus Sistem Terisolasi
Selain serangan jaringan, ZionSiphon juga dibekali dengan mekanisme propagasi USB yang memungkinkannya menyalin diri ke drive portabel (seperti flashdisk) sebagai proses svchost.exe yang tersembunyi. Malware ini kemudian menciptakan fail pintasan (shortcut) jahat yang akan mengeksekusi malware ketika diklik oleh pengguna.
Propagasi USB merupakan vektor serangan yang sangat vital dalam melumpuhkan sistem infrastruktur kritis. Sering kali, komputer yang mengelola fungsi-fungsi kritis keamanan di pabrik pengolahan berstatus “air-gapped“, yang berarti mereka terisolasi secara fisik dan tidak terhubung langsung ke internet.
Meskipun ZionSiphon belum sepenuhnya beroperasi pada versinya saat ini, niat jahat dan potensi kerusakannya yang masif sangat mengkhawatirkan. Peretas hanya butuh memperbaiki satu kesalahan verifikasi kecil untuk membuka kunci ancaman ini.
