Ekspert: AI-genereret malware mod israelske vandværker var blot 'hype'

En ny type malware, der angiveligt skulle infiltrere og sabotere israelske vandværker, er blevet afvist som en tom trussel af eksperter. Ifølge cybersikkerhedsfirmaet Dragos er koden, døbt ZionSiphon, hverken sofistikeret eller funktionel nok til at udgøre en reel fare for kritisk infrastruktur.

Malwaren blev først identificeret af AI-baseret cybersikkerhedsfirma Darktrace, som hævdede, at den var designet til at målrette mod operational technology (OT) og industrielle kontrolsystemer (ICS). Koden skulle angiveligt scanne internettet efter IP-adresser tilhørende israelske vandbehandlings- og afsaltningsanlæg med det formål at kompromittere systemerne og manipulere klorniveauer for at forgifte vandforsyningen.

I koden fandtes desuden politisk motiverede beskeder som "In support of our brothers in Iran, Palestine, and Yemen against Zionist aggression". Men en teknisk malware-analytiker hos Dragos, Jimmy Wyles, betegnede truslen som ren "hype".

Wyles påpeger, at udviklerne af malwaren tilsyneladende manglede grundlæggende viden om, hvordan israelske vandværker fungerer. "Koden er brudt og viser ringe eller ingen forståelse for dæmningsafsaltning eller ICS-protokoller," skrev han i en analyse.

AI-genereret kode fyldt med fejl
Wyles fremhæver, at store dele af koden tilsyneladende er genereret af AI, hvilket har resulteret i hallucinationer og fejl. For eksempel indeholdt Windows-baserede procesnavne og stier, der skulle identificere målrettede vandafsaltningsanlæg, fiktive og sandsynligvis AI-genererede gæt.

Også konfigurationsfiler, der angiveligt skulle manipulere klorniveauer, viste sig at være falske og sandsynligvis skabt med AI. Darktrace’s egen test af malwaren viste, at den var dysfunktionel på grund af fejl i landemålsfunktionerne. Men selv hvis konfigurationen havde været korrekt, ville malwaren ifølge Wyles alligevel have været harmløs, da resten af koden var fyldt med logiske fejl og ugyldige antagelser.

Lignende problemer blev fundet i malwarens evne til at inficere via USB og dens selvdestruktionsmekanisme. Wyles understreger, at Dragos ikke offentliggør yderligere teknisk analyse af fejlene, da de "ikke er i forretningen med at reparere malware for modstandere".

AI-trusler vs. etablerede hackingmetoder

Episoden illustrerer den igangværende debat om, hvor meget opmærksomhed forsvarsaktører – især inden for OT – bør rette mod nye trusler som AI-genereret malware sammenlignet med mere etablerede hackingmetoder anvendt af statslige hackergrupper.

Operational technology (OT) adskiller sig væsentligt fra traditionel IT-infrastruktur, da det styrer fysiske processer i blandt andet vandværker, kraftværker og andre industrielle anlæg. Dette stiller både forsvarsaktører og angribere over for unikke udfordringer, da specialiseret viden om industrien ofte er nødvendig for at udvikle effektive angreb.

Ifølge Dragos findes der offentligt færre end 10 malware-eksempler, der rent faktisk kan true industrielle kontrolsystemer. ZionSiphon er ifølge eksperterne ikke blandt dem.