Uma nova ameaça cibernética foi descoberta, afetando sistemas de tratamento e dessalinização de água em Israel, capaz de alterar parâmetros cruciais como níveis de cloro e pressão da água.
A empresa de segurança cibernética, Darktrace, revelou um novo tipo de malware que é direcionado a sistemas de Tecnologia Operacional (OT) utilizados em instalações hídricas israelenses.
Intitulado ZionSiphon, o malware foi desenvolvido para manipular variáveis físicas em infraestruturas críticas, apresentando um risco não apenas de roubo de dados, mas também de causar danos reais à população.
Amostras do malware e suas intenções
Embora contenha falhas de implementação, o ZionSiphon demonstrou um entendimento técnico profundo dos sistemas de controle industrial (ICS) empregados no setor hídrico de Israel.
O ZionSiphon é programado para buscar arquivos de configuração como DesalConfig.ini e ChlorineControl.dat, suportando protocols de comunicação padrão como Modbus, DNP3 e S7comm, comuns em equipamentos de automação de plantas industriais.
Vale ressaltar que o malware tem como alvos algumas das principais instalações de dessalinização de Israel, como Sorek, Hadera e Ashdod.
Métodos de infecção e persistência
Após a infecção inicial, o ZionSiphon verifica se possui privilégios administrativos utilizando uma função chamada RunAsAdmin(). Para evitar ser detectado, disfarça-se como o processo legítimo do Windows, svchost.exe, além de criar uma chave de registro chamada SystemHealthCheck.
Além disso, o malware se propaga por meio de mídias removíveis, copiando-se para pen drives conectados e ocultando arquivos originais para enganar o usuário.
Mensagens políticas e falhas de proteção
Dentro do código, foram encontradas mensagens de apoio a países como Irã e Iémen, e um comentário alucinado sobre envenenar a população de Tel Aviv e Haifa, embora o código não tenha a capacidade técnica de realizar tal ato.
Curiosamente, a função de autodestruição do malware possui uma falha que pode levar a identificações erradas da localização, resultando em sua autoexclusão em sistemas que são alvos válidos.
Um risco significativo
Ainda que contenha bugs, o ZionSiphon representa uma pista de segurança cibernética séria, considerando que malwares com falhas já causaram incidentes graves em infraestruturas críticas anteriormente.
O fato de que uma ameaça com tal conhecimento técnico sobre sistemas hídricos existiu reforça a importância de monitoramento contínuo e segmentação rigorosa entre sistemas de TI e OT como defesa contra esse tipo de ataque.
Acompanhe o TecMania nas redes sociais e fique por dentro das últimas notícias de segurança e tecnologia.