- Darktrace identificou o ZionSiphon, uma nova variante de malware direcionada a sistemas de Tecnologia Operacional que controlam estações de tratamento e dessalinização de água em Israel.
- O objetivo é alterar parâmetros físicos, como concentração de cloro e pressão da rede hídrica, com potencial de causar danos reais à população, não apenas roubar dados.
- O código utiliza protocolos Modbus, DNP3 e S7comm e busca arquivos de configuração como DesalConfig.ini e ChlorineControl.dat, atingindo instalações como Sorek, Hadera, Ashdod, Shafdan e Palmachim.
- Após a infecção, o malware verifica privilégios administrativos, disfarça-se como svchost.exe e cria a chave de registro SystemHealthCheck para manter persistência; também pode se propagar por mídia removível via atalhos falsos.
- Embora contenha mensagens políticas e erros de código, a Darktrace ressalta que o ZionSiphon representa risco real a infraestruturas críticas, exigindo monitoramento contínuo de redes OT e segmentação entre TI e controles industriais.
A Darktrace identificou uma nova variante de malware voltada a sistemas de Tecnologia Operacional OT que controlam estações de tratamento e dessalinização de água em Israel. O código, batizado ZionSiphon, foi detectado em análises recentes de segurança e aponta para manipulação de parâmetros críticos da infraestrutura hídrica. A descoberta reforça a vulnerabilidade de plantas de água ante ataques cibernéticos.
O ZionSiphon foi desenvolvido para alterar parâmetros físicos como concentração de cloro e pressão da rede, com potencial de causar danos reais à população. Embora ainda haja falhas de implementação, o malware demonstra conhecimento técnico específico sobre os sistemas ICS usados pelas usinas israelenses.
Entre as alvos identificadas pela amostra de código estão usinas de dessalinização e tratamento de efluentes de Sorek, Hadera, Ashdod, Shafdan e Palmachim. Esses ativos são consideradas instalações-chave para abastecimento e manejo de água no país.
Alvos e capacidades
O malware busca arquivos de configuração como DesalConfig.ini e ChlorineControl.dat e suporta os protocolos Modbus, DNP3 e S7comm, comuns em automação industrial. O código inclui uma lista de instalações-alvo codificada no programa.
Também houve indicação de endereços IP codificados em base64 e ofuscados, o que sugere planejamento para invasão segmentada de redes OT. O ZionSiphon utiliza técnicas de reconhecimento de plantas para mapear ambientes críticos.
Mecanismos de ataque e persistência
Após a infecção, o sistema verifica privilégios administrativos através de RunAsAdmin e pode se disfarçar como o processo svchost.exe para mascarar sua presença. A persistência é assegurada pela criação da chave de registro SystemHealthCheck.
A propagação por mídia removível é prevista: ao detectar um pen drive, o malware copia-se para o dispositivo e substitui atalhos por links falsos criados com CreateUSBShortcut, executando a carga maliciosa sem indicar anomalias.
Observações técnicas e riscos
Pesquisadores da Darktrace encontraram mensagens ocultas que expressam apoio a determinados grupos e referências geopolíticas, embora o código não tenha capacidade técnica de executar ações associadas a essas mensagens. O grupo pode se autodenominar 0xICS e mencionar Dimona, o que chama atenção para o potencial de motivação política.
Uma função chamada SelfDestruct apaga o executável se o malware não estiver em Israel, mas apresenta falhas de lógica que podem levar à autodestruição incorreta em alvos legítimos. O conjunto de erros não anula a periculosidade do código, que já demonstra conhecimento técnico sobre protocolos ICS e arquivos de configuração proprietários.
A Darktrace recomenda monitoramento contínuo de redes OT, segmentação entre TI e sistemas de controle e práticas de detecção de anomalias para reduzir o risco de ataque a infraestruturas hídricas.
Entre na conversa da comunidade