Malware ZionSiphon: secondo Dragos è solo un 'hype' senza reale minaccia per le infrastrutture idriche israeliane

Un futuro in cui l'intelligenza artificiale potrebbe generare malware in grado di minacciare infrastrutture critiche è una prospettiva preoccupante. Tuttavia, secondo l'azienda specializzata in cybersecurity industriale Dragos, quel giorno non è ancora arrivato. Il caso di ZionSiphon, un presunto malware progettato per sabotare le infrastrutture idriche israeliane, sarebbe solo un 'hype' privo di reale pericolosità.

Un malware 'rotto' e pieno di errori

ZionSiphon era stato inizialmente identificato da Darktrace, un'azienda di cybersecurity che utilizza l'IA, come un codice malevolo in grado di scansionare internet alla ricerca di indirizzi IP legati a impianti di trattamento e desalinizzazione delle acque in Israele. L'obiettivo dichiarato era quello di compromettere questi sistemi per manipolare i livelli di cloro e avvelenare le forniture idriche. Nel codice binario del malware erano presenti riferimenti a componenti del settore idrico israeliano e messaggi politici, come "In supporto ai nostri fratelli in Iran, Palestina e Yemen contro l'aggressione sionista".

Tuttavia, secondo Jimmy Wyles, analista capo di Dragos, ZionSiphon non rappresenta alcuna minaccia concreta. Il codice, infatti, è difettoso e dimostra una scarsa conoscenza dei sistemi di controllo industriale (ICS) e delle procedure operative degli impianti idrici israeliani. Wyles ha sottolineato che il malware contiene numerosi errori logici e assunzioni errate, rendendolo inutilizzabile.

L'IA dietro un codice malfunzionante

Gli sviluppatori di ZionSiphon avrebbero utilizzato l'IA per generare gran parte del codice, portando a allucinazioni e imprecisioni. Ad esempio, i nomi dei processi Windows e dei percorsi delle directory progettati per identificare gli impianti di desalinizzazione contenevano riferimenti fittizi e probabilmente generati da modelli linguistici. Anche i file di configurazione che avrebbero dovuto manipolare i livelli di cloro si sono rivelati falsi e inutilizzabili.

Darktrace ha confermato che il campione di malware testato era disfunzionale, citando errori nella configurazione delle funzioni di targeting geografico. Tuttavia, anche se fosse stato correttamente configurato, ZionSiphon sarebbe rimasto inoffensivo a causa dei gravi difetti nel resto del codice. Problemi simili sono stati riscontrati anche nelle capacità di infezione tramite USB e nell'autodistruzione del malware.

Un falso allarme che solleva interrogativi sulla sicurezza industriale

Dragos ha scelto di non divulgare ulteriori dettagli tecnici sui difetti di ZionSiphon, affermando di non voler "aiutare gli avversari a migliorare i loro malware". Questo episodio mette in luce un dibattito in corso tra gli esperti di cybersecurity: quanto peso dare alle minacce emergenti, come il malware generato dall'IA, rispetto alle tecniche consolidate utilizzate da gruppi di hacker stranieri?

Gli ambienti di tecnologia operativa (OT) – che controllano macchinari in settori come l'acqua, l'energia e l'industria – presentano sfide uniche rispetto ai sistemi informatici tradizionali. Questo rende difficile sia per i difensori che per gli attaccanti sviluppare exploit efficaci senza una conoscenza specifica del settore. Secondo Dragos, esistono meno di 10 campioni di malware pubblicamente noti in grado di minacciare i sistemi di controllo industriale. ZionSiphon, chiaramente, non rientra tra questi.