安全研究员打开ZionSiphon的代码时,发现了一个荒诞的漏洞——这个专门设计来毒化城市供水的恶意软件,因为加密验证逻辑写错了一个异或运算,还没发动攻击就先自毁了。

但这恰恰是最可怕的地方。Darktrace的研究团队警告:一旦开发者修复这个低级错误,全球数千座水厂和海水淡化设施将暴露在物理破坏的风险之下。

打开网易新闻 查看精彩图片

代码里读出的攻击意图

打开网易新闻 查看精彩图片

ZionSiphon不是普通的勒索软件。它针对的是工控系统(ICS,工业控制系统),核心功能只有一个:把自来水变成毒水。

具体手段粗暴而有效。恶意软件内置了一个名为「IncreaseChlorineLevel()」的函数,一旦激活,会向水厂配置文件追加固定文本块——把氯剂量设为10、氯泵强制开启、流量拉满、阀门全开,同时把反渗透压力推到80。

Darktrace在报告中描述了它的工作逻辑:「一旦发现目标配置文件,立即追加文本块并返回。」

这种设计绕过了复杂的协议破解,直接篡改本地配置文件。水厂的机械系统会忠实地执行这些参数,把消毒用的氯气浓度提升到危险水平。

更隐蔽的是它的目标筛选机制。部署后,ZionSiphon会检查两个条件:主机IP是否在以色列网段内,以及系统是否存在水处理/工控相关软件或文件。只有双重匹配,才会进入攻击流程。

代码字符串里嵌入的政治信息,加上IP地理定位逻辑,表明这是一起带有明确地缘政治动机的网络武器项目。

那个让攻击失效的"低级错误"

讽刺的是,如此精密的定向攻击设计,栽在了一个基础密码学错误上。

Darktrace发现,国家验证逻辑存在异或运算(XOR)不匹配问题。这个用于校验目标身份的加密步骤失败了,导致恶意软件误判环境不符,触发自毁机制而非执行攻击载荷。

用大白话说:炸弹的引信装反了,点火反而触发保险。

但这个"幸运"是暂时的。Darktrace明确指出,未来版本的ZionSiphon很可能修复这一缺陷。届时,现有的防御体系将面临严峻考验。

代码分析还揭示了另一个信号:ZionSiphon处于早期开发阶段。它扫描本地子网寻找三种工控通信协议——Modbus、DNP3和S7comm,但只有Modbus实现了部分功能代码,另外两个只是占位符。

这意味着开发者正在迭代完善,而非放弃项目。

USB传播与"空气间隙"的失效

ZionSiphon的传播机制同样针对工控环境的特殊架构设计。

它具备USB传播能力:复制自身到可移动驱动器,伪装成隐藏的「svchost.exe」进程,并创建恶意快捷方式。用户点击U盘文件时,恶意软件悄然执行。

这种设计直指关键基础设施的"空气间隙"(Air-Gapped)防护策略——把核心控制计算机与互联网物理隔离,曾是工控安全的黄金标准。

但隔离不等于免疫。维护人员使用的U盘、工程师携带的笔记本、第三方服务商的调试设备,都是跨越空气间隙的桥梁。Stuxnet(震网病毒)2010年摧毁伊朗核设施离心机,正是通过感染U盘突破物理隔离的经典案例。

十五年过去,同样的攻击路径仍在被复制。

Darktrace的数据表明,针对工控系统的威胁正在从"概念验证"走向"实战部署"。ZionSiphon的出现,标志着攻击者开始将水处理这类民生关键基础设施纳入目标清单。

为什么水厂成了软目标

打开网易新闻 查看精彩图片

理解ZionSiphon的威胁,需要看清工控安全的历史欠账。

传统IT安全强调"保密性",而工控系统的核心需求是"可用性"——水厂不能停,电网不能断。这种差异导致工控网络长期沿用专有协议和封闭架构,安全更新机制薄弱,漏洞修补周期以月甚至年计。

更棘手的是遗留系统问题。全球大量水处理设施运行在二十年前的软硬件平台上,这些设备的设计假设是"物理隔离等于安全",缺乏身份验证、加密通信、异常检测等现代安全机制。

ZionSiphon的攻击逻辑正是利用了这一现实:它不需要破解复杂协议,只需要找到配置文件并追加几行文本。水厂的机械执行机构会完成剩下的破坏工作。

这种"借刀杀人"的模式,降低了攻击门槛,却放大了破坏后果。与窃取数据不同,篡改物理参数可能导致即时的人身伤害和公共安全事件。

以色列国家网络安全局2023年的报告显示,该国关键基础设施面临的网络威胁数量同比增长了47%,其中针对水务系统的侦察活动显著上升。ZionSiphon的地理定向特征,与这一趋势形成呼应。

防御方的窗口期还有多久

Darktrace的发现为防御者争取了时间,但窗口可能正在关闭。

当前版本的ZionSiphon因加密逻辑错误无法运行,这一事实本身具有双重解读:一方面,它尚未造成实际损害;另一方面,它像是一份"预告函",明确展示了攻击者的能力和意图。

修复一个异或运算错误,对专业开发者而言是几小时的工作量。真正耗时的是测试、分发和部署。考虑到ZionSiphon的USB传播特性,新版本可能通过已有的感染渠道静默更新。

对于潜在目标,当务之急是重新审视几类风险敞口:

配置文件完整性监控。ZionSiphon依赖篡改本地文件生效,实时检测关键配置文件的异常修改,可以在攻击链末端阻断破坏。

USB设备管控。在工控网络中实施严格的可移动介质策略,包括禁用自动运行、强制杀毒扫描、物理端口管控等。

网络分段与协议可见性。即使空气间隙被突破,内部网络的分段隔离可以限制横向移动。对Modbus等工控协议的深度检测,有助于识别异常指令序列。

更重要的是,安全团队需要理解攻击者的"物理意图"。传统威胁情报关注数据窃取或系统瘫痪,而ZionSiphon这类恶意软件的目标是改变物理世界的参数。这种意图分析需要结合工艺知识——知道什么程度的氯剂量超标、什么压力值会损坏反渗透膜,才能设定有效的异常阈值。

一次值得警惕的"未遂"

ZionSiphon的曝光,揭示了网络攻击与物理破坏融合的新阶段。

它不再是理论上的风险。代码中硬编码的配置文件列表、精确的压力参数、针对特定国家IP的定向逻辑,都表明这是一个经过调研、有明确场景假设的武器化项目。

那个导致自毁的加密错误,或许是开发者的疏忽,也可能是测试版本的临时状态。无论如何,它不会改变恶意软件的设计目标——让城市供水系统成为人质。

对于运营水处理、海水淡化设施的技术团队,现在需要做的不是等待官方补丁,而是假设攻击可能发生在下一个维护周期。检查U盘使用流程、审计配置文件变更日志、验证工控网络的访问控制,这些基础动作的成本远低于一次氯气泄漏事故的清理费用。

Darktrace的研究提供了一个难得的机会:在攻击者修复漏洞之前,先修复自己的防御。这种时间差不会经常出现。