Les chercheurs en sécurité ont mis l'accent sur un nouveau malware spécifiquement conçu pour attaquer les systèmes de technologie opérationnelle (OT) dans les usines de traitement de l'eau et de dessalement. Cette conclusion, publiée par l'entreprise de cybersécurité Darktrace, décrit un code avec des intentions de sabotage claires : manipuler des paramètres critiques - tels que le dosage du chlore et la pression sur les équipements d'osmose inverse - susceptibles de causer des dommages physiques et d'affecter la qualité de l'approvisionnement. Bien que l'échantillon analysé ne puisse pas être activé sous sa forme actuelle, les experts avertissent que la correction d'une petite erreur logique suffirait à transformer cette menace en un outil opérationnel et dangereux.. Plus de détails techniques et d'analyse complète sont disponibles dans le rapport de Darktrace: À l'intérieur de ZionSiphon - Darktrace.
Le programme, nommé ZionSiphon par les découvreurs, intègre plusieurs vérifications conçues pour s'assurer qu'il est exécuté uniquement sur des objectifs spécifiques. Avant d'agir, vérifiez l'adresse IP de l'équipement en fonction des zones géographiques et explorez si le système contient des logiciels ou des fichiers associés à des usines de traitement ou de dessalement. Si elle est détectée, elle peut modifier les fichiers de configuration liés au contrôle du chlore et aux pompes, forçant ainsi des valeurs de dose extrêmes, l'ouverture de la valve et la pression dans les unités de traitement. Dans le rapport, Darktrace documente la routine responsable de ces changements et l'ensemble de paramètres que les logiciels malveillants tentent d'imposer.
L'intention d'interagir avec les contrôleurs industriels est claire : le code scanne le sous-réseau local pour des protocoles communs dans des environnements industriels tels que Modbus, DNP3 et S7comm. Cependant, le développement est incomplet : la fonctionnalité de Modbus est partielle, tandis que pour DCP3 et S7comm il y a des marqueurs de position, ce qui suggère qu'il s'agit d'un début de développement et que les auteurs pourraient augmenter leurs capacités plus tard. En outre, ZionSiphon intègre un mécanisme de propagation USB qui copie l'exécutable aux unités amovibles sous un nom qui imite un processus légitime et génère un accès direct malveillant pour faciliter son exécution en étant pressé.
Un aspect curieux et critique de l'analyse technique est que la logique de vérification par pays contient une défaillance de l'opération XOR utilisée pour comparer les valeurs. En conséquence, ce contrôle échoue et malware active une routine d'autodestruction plutôt que d'exécuter sa charge nuisible. Cela signifie que, pour l'instant, la menace n'est pas opérationnelle, mais la correction de cette erreur par ses créateurs pourrait en faire un véritable vecteur contre les installations d'eau.. Darktrace souligne également la présence dans le code des chaînes avec des messages politiques et une liste d'objectifs qui indiquent une orientation de l'infrastructure en Israël.
La manipulation possible de paramètres tels que la dose de chlore et les pressions de pompe n'est pas une question purement théorique: dans les systèmes d'eau, des changements soudains de dose ou de pression peuvent entraîner une surchauffe, avec des implications pour la santé publique et la corrosion des équipements, des défaillances mécaniques dans les membranes et les pompes qui compromettent la continuité du service. Par conséquent, la simple possibilité qu'un acteur malveillant automatise ces modifications en utilisant l'accès local aux systèmes de contrôle industriel est alarmante.
Les incidents dirigés contre des systèmes industriels ne sont pas inédits : des attaques comme Stuxnet ont démontré il y a des années que les logiciels peuvent avoir des effets physiques sur les infrastructures. Aujourd'hui, les responsables de l'exploitation et de la sécurité des installations d'approvisionnement en eau doivent tenir compte à la fois des menaces connues et du potentiel de nouveaux outils adaptés à l'environnement d'OT. Pour documenter les techniques et tactiques applicables aux environnements industriels, le cadre MITRE ATT & CK pour ICS est une ressource utile : MITRE ATT & CK - ICS.
Quelles mesures pratiques devraient être renforcées en réponse à une telle découverte? Tout d'abord, les politiques sur les supports amovibles doivent être strictes : la propagation USB reste un moyen efficace d'attirer des réseaux physiquement isolés. Contrôler et enregistrer l'utilisation des unités, appliquer des listes blanches d'applications et maintenir les processus de vérification des fichiers aux points d'arrivée OT sont des étapes clés. Il est également essentiel de surveiller l'intégrité des fichiers de configuration critiques et de mettre en place des alertes aux modifications inattendues, en plus de segmenter les réseaux d'OT pour minimiser l'impact d'un équipement compromis. Pour les orientations sectorielles et les ressources spécifiques, l'Agence américaine pour la sécurité des infrastructures. UU fournit des documents sur la sécurité de l'eau et des égouts : CISA - Systèmes d'eau et d'eaux usées, et les organismes d'échange d'informations tels que WaterISAC peuvent être des canaux pour recevoir les avis pertinents: Eau.
Du point de vue de la surveillance technique, il convient d'inspecter le trafic Modbus / DNP3 et d'autres protocoles industriels à la recherche d'anomalies, d'appliquer la détection des intrusions orientées BT et de revoir les contrôles d'accès aux consoles et serveurs qui gèrent les configurations. Garder la sauvegarde hors ligne des configurations et des procédures de récupération réduit également la fenêtre d'exposition en cas de manipulation malveillante. Pour les équipements combinant les fonctions IT et OT, les solutions de détection des menaces et de réponse dans les paramètres devraient être complétées par des outils spécifiques pour les environnements industriels.
Le cas de ZionSiphon est un rappel que les attaquants adaptent leurs outils au domaine opérationnel : il ne s'agit pas seulement de chiffrer des serveurs ou de voler des données, mais aussi de modifier les paramètres physiques qui peuvent affecter la sécurité et la santé publiques. En ce moment, l'échantillon analysé n'exécute pas la charge destructrice par une erreur de validation, mais il n'y a aucune garantie que les versions futures ne supprimeront pas cet obstacle. En restant informé, en appliquant de bonnes pratiques de cyberhygiène en OT et en renforçant les contrôles sur les moyens amovibles et les configurations critiques est le moyen le plus pratique de réduire les risques.
Pour lire l'analyse technique et le contexte de la découverte, voir le rapport Darktrace: À l'intérieur de ZionSiphon - Darktrace et pour les guides et les ressources opérationnelles sur la protection de l'infrastructure de l'eau, visitez la section CISA dédiée au secteur : CISA - Systèmes d'eau et d'eaux usées.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...