Siber güvenlik araştırmacıları, Darktrace tarafından "ZionSiphon" olarak adlandırılan ve özellikle İsrail'in su arıtma ve tuzdan arındırma tesislerini hedef almak üzere tasarlanmış yeni bir zararlı yazılım tespit etti. İlk olarak İran ile İsrail arasında yaşanan On İki Gün Savaşı'nın hemen ardından, 29 Haziran 2025'te tespit edilen bu yazılım, küresel çapta endüstriyel operasyonel teknolojilere (OT) yönelik siyasi amaçlı saldırıların giderek arttığını gösteriyor. ZionSiphon, yerel ağlarda OT hizmetlerini taramak, yetkilerini yükseltmek, sistemde kalıcılık sağlamak ve hatta USB sürücüler aracılığıyla yayılmak üzere tasarlanmış. En dikkat çekici özelliği ise, bu tesislerdeki klor seviyelerini ve basınç kontrollerini manipüle etmeyi amaçlayan sabotaj yetenekleri barındırması. Ayrıca yazılımın kodları arasına İran, Filistin ve Yemen'i destekleyen siyasi mesajlar da yerleştirilmiş.

Endişe verici yeteneklerine rağmen, ZionSiphon'un hala deneysel veya tamamlanmamış bir aşamada olduğu görülüyor. Zararlı yazılım, çalışmak için hem belirli İsrail IPv4 adres aralıklarına uyan bir coğrafi konuma hem de su arıtma sistemlerine özgü bir ortama ihtiyaç duyan katı koşullarla programlanmış. Bu koşullar karşılanmazsa, yazılım kendi kendini imha etme sürecini başlatıyor. Darktrace, mevcut IP adresi belirtilen hedef aralıklarda olsa bile, şu anki örneğin kendi iç kontrollerini geçemediğini; bunun da yazılımın kasıtlı olarak devre dışı bırakıldığını, yanlış yapılandırıldığını veya henüz bitirilmediğini gösterdiğini belirtiyor. Ancak, Modbus protokolü saldırı yolunun, kısmen çalışan DNP3 ve S7comm yeteneklerine kıyasla çok daha gelişmiş olması, tehdit aktörlerinin çok protokollü OT manipülasyonu ve çıkarılabilir medya üzerinden yayılma teknikleri üzerinde aktif olarak denemeler yaptığını kanıtlıyor.

ZionSiphon bulgularıyla eş zamanlı olarak Blackpoint Cyber, "RoadK1ll" adında Node.js tabanlı yeni bir implant keşfettiğini duyurdu. Güvenilir bir ağ erişimi sağlamak ve normal ağ trafiğinin arasına karışmak üzere tasarlanan RoadK1ll, bir ters tünelleme (reverse tunneling) implantı olarak çalışıyor. Geleneksel uzaktan erişim truva atlarının (RAT) aksine, büyük bir komut seti barındırmıyor veya kurban makinede dışarıdan gelen bağlantıları bekleyen bir dinleyiciye ihtiyaç duymuyor. Bunun yerine, saldırganın kontrolündeki altyapıya dışa dönük bir WebSocket bağlantısı kuruyor ve isteğe bağlı olarak TCP trafiğine aracılık ediyor. Bu durum, enfekte olmuş makineyi adeta gizli bir geçiş noktasına (bir erişim güçlendiriciye) dönüştürerek, saldırganların güvenlik duvarını aşıp dışarıdan ulaşılamayan iç ağ segmentlerine ve hizmetlerine sızmasına olanak tanıyor.

Son olarak Gen Digital, "AngrySpark" adı verilen ve altyapı süresi dolmadan önce İngiltere'deki tek bir makinede bir yıldan fazla bir süre tespit edilemeden çalışan, sanal makine (VM) ile gizlenmiş son derece sinsi bir arka kapı (backdoor) raporladı. AngrySpark, oldukça karmaşık, üç aşamalı bir sistem olarak işliyor. Süreç, Görev Zamanlayıcı aracılığıyla yüklenen ve meşru bir Windows bileşeni gibi davranan bir DLL ile başlıyor. Bu DLL, kayıt defterindeki yapılandırmasını çözüyor ve svchost.exe işlemine konumdan bağımsız bir shellcode enjekte ediyor. Ardından bu shellcode, asıl zararlı yükü çözmek ve oluşturmak için 25 KB'lık bir bayt kodunu işleyen özel bir sanal makineyi devreye sokuyor. AngrySpark, tespit edilmekten kaçınmak için komuta-kontrol sunucusuyla HTTPS üzerinden iletişim kuruyor ve ağ trafiğini zararsız PNG görsel istekleri gibi gizliyor. PE meta verilerini kasıtlı olarak değiştirmesi ve modüler tasarımı, yazılımın adli analiz araçlarını yanıltmak, ağ savunucularını atlatmak ve arkasında minimum iz bırakmak için ne kadar özenle tasarlandığını gözler önüne seriyor.

Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları;

· IT ve OT Ağlarının Kesin İzolasyonu (Segmentasyon)

· Dışarı Yönlü (Egress) Ağ Trafiğinin Sıkı Denetimi

· Gelişmiş Uç Nokta Koruması (EDR) ve Davranışsal Analiz

· Çıkarılabilir Medya (USB) Kullanımının Kısıtlanması

· Gelişmiş E-posta ve İletişim Güvenliği

Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.