Am 16. April 2026 veröffentlichte Darktrace die Analyse einer Malware namens ZionSiphon, die auf israelische Wasser- und Entsalzungsanlagen abzielt. Dragos hatte das Sample bereits im März untersucht und ordnet ZionSiphon als unausgereiften, möglicherweise LLM-gestützt entwickelten Versuch ein, OT-Malware zu erstellen. Als einzelnes Sample ist ZionSiphon nicht bedrohlich. Was es über die Bedrohungslandschaft zeigt, ist dennoch relevant.
Bekannte Techniken
Die Angreifertechniken im Sample entsprechen dem, was man aus klassischen Infrastrukturangriffen kennt: Persistenz über die Registry, Tarnung als svchost.exe und USB-Verbreitung über manipulierte Verknüpfungen. Die Malware nutzt keine Zero-Days aus, also nichts außergewöhnliches.
ZionSiphon hat Modbus, DNP3 und S7comm zum Teil implementiert. Die Modbus-Implementierung ist am weitesten entwickelt, DNP3 und S7comm sind kaum umgesetzt. Sowohl Darktrace als auch Dragos beschreiben fehlerhafte Implementierungen. Verglichen mit Incontroller/Pipedream oder Industroyer spielt ZionSiphon in einer völlig anderen Liga. Hinter diesen Tools standen Teams mit erheblichen Ressourcen, die Protokolle waren präzise umgesetzt. ZionSiphon wirkt eher wie eine Alpha-Version, entwickelt von einer einzelnen Person.
Warum es trotzdem relevant ist
Modbus ist ein weit verbreitetes ICS-Protokoll und gilt als unsicher, da es weder Authentifizierung noch Verschlüsselung vorsieht. Es existieren zahlreiche Open-Source-Bibliotheken, die das Lesen und Schreiben von Registern in wenigen Codezeilen ermöglichen. Im Vergleich dazu sind Protokolle wie IEC 61850 deutlich komplexer und schwerer zu missbrauchen. Die Hürde für einen funktionierenden Modbus-Angriff ist niedrig.
Dass Modbus-Angriffe funktionieren, zeigt FrostyGoop. Diese Malware nutzte im Januar 2024 Modbus TCP, um ENCO-Controller einer ukrainischen Fernwärmeanlage zu manipulieren. FrostyGoop nutzte eine öffentlich verfügbare Go-Bibliothek von GitHub und eine JSON-Konfigurationsdatei mit den Zielregistern der ENCO-Controller. Die nötigen Registerinformationen waren über die Herstellerdokumentation öffentlich zugänglich.
In vielen Herstellerhandbüchern finden sich detaillierte Registertabellen. Welche Adresse welchen Prozesswert steuert, steht in der Dokumentation. Wer sich mit OSINT-Techniken auskennt, kann solche Informationen beschaffen. Angreifer können zusätzlich LLMs einsetzen, um den Entwicklungsprozess zu beschleunigen.
OT-Malware ist nicht IT-Malware auf OT-Systemen
HMIs werden regelmäßig mit klassischer IT-Malware infiziert, oft werden die Infektionen erst Wochen oder Monate später bemerkt. Weil diese Systeme produktionskritisch sind, laufen sie häufig wochenlang infiziert weiter.
OT-spezifische Malware, die direkt mit Steuerungssystemen interagiert, ist etwas anderes. Sie greift gezielt in physikalische Prozesse ein, etwa durch Manipulation von Sollwerten in der Pumpensteuerung oder der Chemikaliendosierung. Käme solche Malware in ausgereifter Form auf ohnehin kompromittierten OT-Systemen zum Einsatz, wäre der mögliche Schaden erheblich.
Auf vielen dieser Systeme laufen kein EDR und kein aktuelles Antivirenprogramm. Selbst einfache Windows-Techniken bleiben dort unerkannt. In OT-Umgebungen finden Infektionen häufig über infizierte USB-Sticks statt, weil Wartungstechniker regelmäßig USB-Sticks zwischen Systemen nutzen, etwa für Software-Updates, Konfigurationsänderungen oder Datenexporte. Bereits Stuxnet nutzte diesen Weg, um in eine isolierte Anlage zu gelangen.
Die Hürde für einfache OT-Malware auf Basis offener Protokolle sinkt. Protokolldokumentation ist frei zugänglich, für verschiedene Programmiersprachen existieren Bibliotheken, und generative KI kann die Entwicklung beschleunigen. ZionSiphon zeigt allerdings, dass das Ergebnis nicht automatisch funktionsfähig ist. Wirkungsvolle, prozessspezifische Malware bleibt weiterhin anspruchsvoll. Umso wichtiger werden grundlegende Maßnahmen: Asset-Inventory, Hardening, OT-Pentests, Netzwerksegmentierung und OT-spezifisches Security Monitoring.
Quellen:
Ali Recai Yekta
Ali Recai Yekta ist CTO & Head of Cybersecurity bei Yekta IT. Seine Schwerpunkte sind u.a. Pentesting sowie Cyber Defense für die Branchen Automotive & Rail. Er hat ein Master in IT-Sicherheit und ist OSCP, OSEP, OSWE, CRTO zertifiziert.