{"id":512460,"date":"2026-04-17T16:15:00","date_gmt":"2026-04-17T19:15:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/17\/virus-zionsiphon-ataca-estacoes-de-agua-em-israel\/"},"modified":"2026-04-17T16:15:00","modified_gmt":"2026-04-17T19:15:00","slug":"virus-zionsiphon-ataca-estacoes-de-agua-em-israel","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/04\/17\/virus-zionsiphon-ataca-estacoes-de-agua-em-israel\/","title":{"rendered":"V\u00edrus ZionSiphon ataca esta\u00e7\u00f5es de \u00e1gua em Israel"},"content":{"rendered":"<p>A Darktrace identificou uma nova variante de malware voltada a sistemas de Tecnologia Operacional OT que controlam esta\u00e7\u00f5es de tratamento e dessaliniza\u00e7\u00e3o de \u00e1gua em Israel. O c\u00f3digo, batizado ZionSiphon, foi detectado em an\u00e1lises recentes de seguran\u00e7a e aponta para manipula\u00e7\u00e3o de par\u00e2metros cr\u00edticos da infraestrutura h\u00eddrica. A descoberta refor\u00e7a a vulnerabilidade de plantas de \u00e1gua ante ataques cibern\u00e9ticos.<\/p>\n<p>O ZionSiphon foi desenvolvido para alterar par\u00e2metros f\u00edsicos como concentra\u00e7\u00e3o de cloro e press\u00e3o da rede, com potencial de causar danos reais \u00e0 popula\u00e7\u00e3o. Embora ainda haja falhas de implementa\u00e7\u00e3o, o malware demonstra conhecimento t\u00e9cnico espec\u00edfico sobre os sistemas ICS usados pelas usinas israelenses.<\/p>\n<p>Entre as alvos identificadas pela amostra de c\u00f3digo est\u00e3o usinas de dessaliniza\u00e7\u00e3o e tratamento de efluentes de Sorek, Hadera, Ashdod, Shafdan e Palmachim. Esses ativos s\u00e3o consideradas instala\u00e7\u00f5es-chave para abastecimento e manejo de \u00e1gua no pa\u00eds.<\/p>\n<h3>Alvos e capacidades<\/h3>\n<p>O malware busca arquivos de configura\u00e7\u00e3o como DesalConfig.ini e ChlorineControl.dat e suporta os protocolos Modbus, DNP3 e S7comm, comuns em automa\u00e7\u00e3o industrial. O c\u00f3digo inclui uma lista de instala\u00e7\u00f5es-alvo codificada no programa.<\/p>\n<p>Tamb\u00e9m houve indica\u00e7\u00e3o de endere\u00e7os IP codificados em base64 e ofuscados, o que sugere planejamento para invas\u00e3o segmentada de redes OT. O ZionSiphon utiliza t\u00e9cnicas de reconhecimento de plantas para mapear ambientes cr\u00edticos.<\/p>\n<h3>Mecanismos de ataque e persist\u00eancia<\/h3>\n<p>Ap\u00f3s a infec\u00e7\u00e3o, o sistema verifica privil\u00e9gios administrativos atrav\u00e9s de RunAsAdmin e pode se disfar\u00e7ar como o processo svchost.exe para mascarar sua presen\u00e7a. A persist\u00eancia \u00e9 assegurada pela cria\u00e7\u00e3o da chave de registro SystemHealthCheck.<\/p>\n<p>A propaga\u00e7\u00e3o por m\u00eddia remov\u00edvel \u00e9 prevista: ao detectar um pen drive, o malware copia-se para o dispositivo e substitui atalhos por links falsos criados com CreateUSBShortcut, executando a carga maliciosa sem indicar anomalias.<\/p>\n<h3>Observa\u00e7\u00f5es t\u00e9cnicas e riscos<\/h3>\n<p>Pesquisadores da Darktrace encontraram mensagens ocultas que expressam apoio a determinados grupos e refer\u00eancias geopol\u00edticas, embora o c\u00f3digo n\u00e3o tenha capacidade t\u00e9cnica de executar a\u00e7\u00f5es associadas a essas mensagens. O grupo pode se autodenominar 0xICS e mencionar Dimona, o que chama aten\u00e7\u00e3o para o potencial de motiva\u00e7\u00e3o pol\u00edtica.<\/p>\n<p>Uma fun\u00e7\u00e3o chamada SelfDestruct apaga o execut\u00e1vel se o malware n\u00e3o estiver em Israel, mas apresenta falhas de l\u00f3gica que podem levar \u00e0 autodestrui\u00e7\u00e3o incorreta em alvos leg\u00edtimos. O conjunto de erros n\u00e3o anula a periculosidade do c\u00f3digo, que j\u00e1 demonstra conhecimento t\u00e9cnico sobre protocolos ICS e arquivos de configura\u00e7\u00e3o propriet\u00e1rios.<\/p>\n<p>A Darktrace recomenda monitoramento cont\u00ednuo de redes OT, segmenta\u00e7\u00e3o entre TI e sistemas de controle e pr\u00e1ticas de detec\u00e7\u00e3o de anomalias para reduzir o risco de ataque a infraestruturas h\u00eddricas.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Darktrace identificou o ZionSiphon, uma nova variante de malware direcionada a sistemas de Tecnologia Operacional que controlam esta\u00e7\u00f5es de tratamento e dessaliniza\u00e7\u00e3o de \u00e1gua em Israel.<\/li>\n<li>O objetivo \u00e9 alterar par\u00e2metros f\u00edsicos, como concentra\u00e7\u00e3o de cloro e press\u00e3o da rede h\u00eddrica, com potencial de causar danos reais \u00e0 popula\u00e7\u00e3o, n\u00e3o apenas roubar dados.<\/li>\n<li>O c\u00f3digo utiliza protocolos Modbus, DNP3 e S7comm e busca arquivos de configura\u00e7\u00e3o como DesalConfig.ini e ChlorineControl.dat, atingindo instala\u00e7\u00f5es como Sorek, Hadera, Ashdod, Shafdan e Palmachim.<\/li>\n<li>Ap\u00f3s a infec\u00e7\u00e3o, o malware verifica privil\u00e9gios administrativos, disfar\u00e7a-se como svchost.exe e cria a chave de registro SystemHealthCheck para manter persist\u00eancia; tamb\u00e9m pode se propagar por m\u00eddia remov\u00edvel via atalhos falsos.<\/li>\n<li>Embora contenha mensagens pol\u00edticas e erros de c\u00f3digo, a Darktrace ressalta que o ZionSiphon representa risco real a infraestruturas cr\u00edticas, exigindo monitoramento cont\u00ednuo de redes OT e segmenta\u00e7\u00e3o entre TI e controles industriais.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":512480,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Darktrace identifica ZionSiphon, malware direcionado a esta\u00e7\u00f5es de \u00e1gua em Israel, capaz de alterar cloro e press\u00e3o e pode causar danos \u00e0 popula\u00e7\u00e3o","footnotes":""},"categories":[296,1],"tags":[84,135,102,269,125,189],"class_list":["post-512460","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-acontecimentos-internacionais","tag-automacao","tag-conflitos","tag-internacionais","tag-relacoes-internacionais","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/512460","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=512460"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/512460\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/512480"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=512460"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=512460"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=512460"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}