A Darktrace identificou uma nova variante de malware voltada a sistemas de Tecnologia Operacional (OT) usados em estações de tratamento e dessalinização de água em Israel. Batizado de ZionSiphon, o código foi desenvolvido para interferir diretamente em parâmetros físicos, como níveis de cloro e pressão da rede — o que pode gerar impactos reais, indo além do simples roubo de dados.
Código falho, mas altamente direcionado
Mesmo com falhas de implementação, o malware demonstra conhecimento técnico aprofundado sobre sistemas de controle industrial (ICS) utilizados no setor hídrico. Ele procura arquivos específicos, como DesalConfig.ini e ChlorineControl.dat, e é compatível com protocolos amplamente usados na automação industrial, como Modbus, DNP3 e S7comm.
O código ainda traz uma lista pré-definida de alvos, incluindo instalações estratégicas como Sorek, Hadera, Ashdod, Shafdan e Palmachim — algumas das principais plantas de água do país.
Como o malware se mantém ativo
Após infectar o sistema, o ZionSiphon tenta obter privilégios administrativos e se disfarça como o processo legítimo do Windows “svchost.exe” para evitar detecção. Ele também cria mecanismos de persistência no sistema, garantindo que continue ativo mesmo após reinicializações.
Outro ponto de atenção é sua capacidade de propagação via dispositivos USB. Ao detectar um pen drive, o malware se copia automaticamente, escondendo arquivos originais e substituindo-os por atalhos falsos que executam o código malicioso sem levantar suspeitas.
Mensagens políticas e falhas críticas
Pesquisadores encontraram mensagens embutidas no código com conteúdo político, incluindo referências a países do Oriente Médio e ameaças simbólicas a cidades israelenses. O grupo responsável se identifica como “0xICS”.
Apesar disso, erros de programação limitam parte do funcionamento do malware. Um exemplo é a função de autodestruição, que deveria ativar fora de Israel, mas pode falhar e apagar o código em sistemas que seriam alvos legítimos.
Risco continua mesmo com imperfeições
Segundo a Darktrace, bugs não tornam a ameaça irrelevante. Ataques anteriores já mostraram que malwares imperfeitos ainda podem causar danos significativos em infraestruturas críticas.
O nível de conhecimento demonstrado no desenvolvimento do ZionSiphon indica que houve reconhecimento detalhado dos sistemas industriais israelenses. Por isso, práticas como monitoramento contínuo de redes OT e separação rigorosa entre ambientes de TI e controle industrial seguem sendo essenciais para mitigar esse tipo de risco.
