20.04.2026
1 хв
183
Дослідники кібербезпеки виявили новий шкідливий код під назвою ZionSiphon, який націлений на критичну інфраструктуру водопостачання та опріснення в Ізраїлі. Малвар здатний змінювати параметри систем, що потенційно може призвести до серйозних наслідків у реальному світі.
Дослідники кібербезпеки виявили новий шкідливий інструмент під назвою ZionSiphon. Судячи з аналізу, його створили з конкретною метою – атакувати системи очищення та опріснення води в Ізраїлі.
Назву цьому малвару дала компанія Darktrace. За їхніми словами, програма вміє закріплюватися в системі, змінювати локальні конфігурації та шукати в мережі сервіси, пов’язані з промисловими процесами. Перший зразок з’явився у відкритому доступі 29 червня 2025 року – майже одразу після короткого, але напруженого конфлікту між Іраном та Ізраїлем у середині червня.
Фахівці звертають увагу на набір можливостей цього ПЗ. Воно підвищує привілеї, намагається закріпитися в системі, може поширюватися через флешки і паралельно сканує промислові пристрої. Найнебезпечніше – спроби втручання в параметри, які впливають на фізичні процеси: рівень хлору та тиск у системах водопостачання.
Цікаво, що ZionSiphon не працює «всліпу». У ньому жорстко прописані діапазони IP-адрес, які належать Ізраїлю:
2.52.0.0 – 2.55.255.255
79.176.0.0 – 79.191.255.255
212.150.0.0 – 212.150.255.255
Крім цього, код містить політичні повідомлення. Там є згадки про підтримку Ірану, Палестини та Ємену. Також у списках цілей прямо фігурують об’єкти, пов’язані з водною інфраструктурою Ізраїлю. Перед запуском малвар перевіряє одразу дві умови: чи підходить географія і чи відповідає система потрібному типу.
Після запуску програма поводиться досить активно. Вона сканує локальну мережу, шукає пристрої з протоколами Modbus, DNP3 і S7comm, намагається встановити з ними зв’язок і змінити налаштування. У першу чергу ті, що відповідають за хлорування і тиск.
За словами дослідників, найкраще реалізована частина атаки через Modbus. Інші напрямки поки виглядають сирими, ніби їх тільки почали розробляти.
Ще одна деталь – поширення через знімні носії. Якщо система не підходить під умови, програма просто видаляє сама себе. У Darktrace зазначають, що навіть перевірка «правильної» країни зараз працює нестабільно. Це може означати, що інструмент ще тестують або він не доведений до кінця.
Попри це, загальна логіка зрозуміла. Хтось експериментує з атаками на промислові системи одразу через кілька протоколів і шукає способи закріплення в таких мережах.
На фоні цієї історії з’явилися й інші цікаві знахідки.
Компанія Blackpoint Cyber описала інструмент RoadK1ll. Це імплант на Node.js, який не виглядає як класичний троян. Він просто створює канал зв’язку через WebSocket і перетворює заражений комп’ютер у точку доступу до внутрішньої мережі. Через нього можна тихо «гуляти» по системі, не піднімаючи шуму.
Ще один випадок – бекдор AngrySpark, про який повідомила Gen Digital. Його знайшли у Великій Британії. Він працював майже рік і зник після того, як інфраструктура перестала існувати.
Його схема виглядає складно, але суть проста:
маскується під системний файл Windows
запускається через планувальник
впроваджується в svchost.exe
далі керується через власну «віртуальну машину»
Усі команди передаються замасковано – наприклад, через запити до PNG-файлів. Завдяки цьому малвар практично не видно в мережі. Дослідники кажуть прямо: такі інструменти спеціально роблять так, щоб їх було важко знайти і ще важче розібрати. Якщо дивитися ширше, всі ці кейси показують одну тенденцію. Атаки стають тихішими, складнішими і все частіше націлені не на дані, а на інфраструктуру. І це вже інший рівень ризику.
