Um novo malware chamado ZionSiphon, desenvolvido especificamente para ambientes de tecnologia operacional (OT), está mirando instalações de tratamento de água e dessalinização com o objetivo de sabotar operações.
Durante a análise, pesquisadores identificaram que a ameaça é capaz de ajustar pressões hidráulicas e elevar os níveis de cloro a patamares perigosos.
Com base no direcionamento por endereços IP e em mensagens políticas presentes em seu código, o ZionSiphon parece focado em alvos localizados em Israel.
Pesquisadores da empresa de cibersegurança Darktrace identificaram uma falha lógica na validação criptográfica do malware, o que o torna inoperante em seu estado atual.
Ainda assim, eles alertam que versões futuras do ZionSiphon podem corrigir o erro e viabilizar seu uso em ataques reais.
Após a infecção, o malware verifica se o endereço IP do host pertence a faixas associadas a Israel e se o sistema contém softwares ou arquivos relacionados a água e ambientes de tecnologia operacional, com o objetivo de confirmar que está sendo executado em sistemas de tratamento ou dessalinização.
A Darktrace observa que a lógica de verificação de país está comprometida devido a uma incompatibilidade em uma operação XOR, o que faz com que a segmentação falhe e acione o mecanismo de autodestruição, em vez de executar a carga maliciosa.
Se estivesse plenamente funcional, o ZionSiphon poderia causar danos significativos ao aumentar os níveis de cloro e elevar ao máximo a pressão do sistema.
Isso ocorre por meio de uma função chamada “IncreaseChlorineLevel()”, que adiciona um bloco de texto a arquivos de configuração existentes para maximizar a dosagem de cloro e o fluxo, dentro dos limites físicos suportados pelos sistemas mecânicos da planta.
Segundo a Darktrace, essa função verifica uma lista embutida de arquivos de configuração associados à dessalinização, osmose reversa, controle de cloro e a sistemas de controle industrial (ICS) utilizados em operações de tratamento de água.
“Assim que encontra qualquer um desses arquivos, ela acrescenta um bloco fixo de texto e encerra a execução”, informou a empresa.
“O bloco anexado contém entradas como ‘Chlorine_Dose=10’, ‘Chlorine_Pump=ON’, ‘Chlorine_Flow=MAX’, ‘Chlorine_Valve=OPEN’ e ‘RO_Pressure=80’.”
A intenção de interagir com sistemas de controle industrial também fica evidente na varredura da rede local em busca de protocolos como Modbus, DNP3 e S7comm.
No entanto, a Darktrace identificou apenas código parcialmente funcional para Modbus e estruturas incompletas para os outros dois protocolos, indicando que o malware ainda se encontra em estágio inicial de desenvolvimento.
O ZionSiphon também incorpora um mecanismo de propagação via USB, copiando a si mesmo para dispositivos removíveis como um processo oculto chamado “svchost.exe” e criando atalhos maliciosos que executam o malware quando acionados.
Esse tipo de propagação é especialmente relevante em ambientes de infraestrutura crítica, onde sistemas sensíveis frequentemente operam de forma isolada (air-gapped), sem conexão direta com a internet.
Embora o ZionSiphon ainda não esteja operacional em sua versão atual, sua intenção e potencial de impacto são preocupantes, e tudo indica que bastaria a correção de uma falha pontual para viabilizar ataques com efeitos significativos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...