A Darktrace identificou uma nova variante de malware direcionada a sistemas de Tecnologia Operacional (OT) que controlam estações de tratamento e dessalinização de água em Israel.

Batizado de ZionSiphon, o código foi projetado para manipular parâmetros físicos de infraestruturas críticas, como concentração de cloro e pressão da rede hídrica. Inclusive tem o potencial de causar danos reais à população, não apenas roubar dados.

Amostra incompleta, mas com alvos bem definidos

Apesar de conter falhas de implementação, o ZionSiphon demonstra conhecimento técnico específico sobre os sistemas de controle industrial (ICS) utilizados no setor hídrico israelense.

O malware busca ativamente arquivos de configuração como DesalConfig.ini e ChlorineControl.dat, além de suportar três protocolos de comunicação industrial São eles Modbus, DNP3 e S7comm. Esses protocolos são padrão em equipamentos de automação de plantas industriais ao redor do mundo.

O código também contém uma lista predefinida de instalações-alvo. Entre elas estão as usinas de Sorek, Hadera, Ashdod, Shafdan e Palmachim, algumas das principais plantas de dessalinização e tratamento de efluentes do país.

Mecanismos de infecção e persistência

Após a infecção inicial, o ZionSiphon verifica se possui privilégios administrativos por meio de uma função chamada RunAsAdmin(). Para escapar de detecção, ele se disfarça como o processo legítimo do Windows svchost.exe. Ele também cria uma chave de registro denominada SystemHealthCheck para garantir persistência na máquina comprometida.

O malware também implementa propagação por mídia removível. Ao detectar um pen drive conectado ao sistema infectado, ele se copia para o dispositivo quase que imediatamente. Para enganar o usuário, oculta os arquivos originais e substitui os atalhos por links falsos criados via função CreateUSBShortcut(). Clicar nesses atalhos executa a carga maliciosa sem qualquer indicação visual de anomalia.

Mensagens políticas e erros de código

Dentro do binário, pesquisadores da Darktrace encontraram mensagens ocultas expressando apoio ao Irã, Iêmen e à Palestina. Uma das notas fazia referência a "envenenar a população de Tel Aviv e Haifa", embora o código não fosse tecnicamente capaz de executar essa ação.

O grupo por trás do malware se identificou como 0xICS e chegou a mencionar Dimona, cidade onde Israel mantém um centro de pesquisa nuclear.

Os erros identificados são significativos. A função SelfDestruct(), projetada para apagar o malware caso ele não esteja em um sistema localizado em Israel, contém uma falha de lógica que pode fazer o código identificar incorretamente a localização e se autodestruir em sistemas que deveriam ser os alvos. 

O malware também cria um arquivo delete.bat para remover rastros, mas a execução incorreta do mecanismo de geolocalização compromete a eficácia geral do ataque.

Ameaça imperfeita, risco real

A Darktrace ressalta que a presença de bugs não elimina o perigo representado pelo ZionSiphon. Malwares com falhas já causaram incidentes graves em infraestruturas críticas no passado.

Além disso, o simples fato de que um agente de ameaça desenvolveu código com conhecimento técnico específico sobre plantas hídricas israelenses, incluindo protocolos ICS e arquivos de configuração proprietários, indica capacidade de reconhecimento avançado.

O monitoramento contínuo de redes OT e a segmentação rigorosa entre sistemas de TI e sistemas de controle industrial continuam sendo as principais linhas de defesa contra esse tipo de ataque.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.