Malware defeituoso mira sistemas de tratamento de água
Pesquisadores da Darktrace identificaram um novo código malicioso, batizado de ZionSiphon, criado especificamente para atacar sistemas de tratamento de água e plantas de dessalinização em Israel. Diferente de campanhas genéricas de ransomware ou de espionagem, esse malware foi desenhado desde o início com foco em ambientes industriais, combinando técnicas de sabotagem operacional com recursos avançados de movimentação lateral e persistência em redes corporativas e de tecnologia operacional (OT).
Apesar do nível de sofisticação em várias partes do código, o ZionSiphon falha em cumprir seu objetivo principal por causa de um erro de programação aparentemente simples: um bug na rotina que verifica se o endereço IP da vítima pertence a faixas utilizadas em Israel. Na prática, o erro impede que o módulo de sabotagem seja acionado corretamente, o que transforma uma ameaça potencialmente grave em um ataque fracassado – ao menos na versão analisada em 16 de abril de 2026 pela Darktrace.
Foco em Israel e motivação política declarada
O malware contém listas de faixas de IP codificadas diretamente no binário (hardcoded), associadas a endereços geograficamente localizados em Israel. Entre elas, aparecem intervalos como:
– 2.52.0.0 – 2.55.255.255
– 79.176.0.0 – 79.191.255.255
– 212.150.0.0 – 212.150.255.255
Esse direcionamento geográfico é reforçado por duas strings em Base64 encontradas no código. Ao serem decodificadas, elas revelam claramente o viés político e a intenção do operador do malware. A primeira mensagem afirma:
“Em apoio aos nossos irmãos no Irã, Palestina e Iêmen contra a agressão sionista. Eu sou ‘0xICS'”.
A segunda vai além e descreve explicitamente o propósito de sabotagem:
“Envenenando a população de Tel Aviv e Haifa”.
Além das mensagens ideológicas, o binário traz referências diretas a elementos da infraestrutura hídrica israelense. São citados nomes como “Mekorot” (a companhia nacional de água), além das plantas de dessalinização “Sorek”, “Hadera”, “Ashdod” e “Palmachim”, e a estação de tratamento de esgoto “Shafdan”. Esses termos funcionam como indicadores de ambiente-alvo, sugerindo que o atacante estudou minimamente o ecossistema hídrico de Israel antes de desenvolver o malware.
Checagem de ambiente industrial: quem é um alvo “válido”
Antes de ativar os módulos de sabotagem, o ZionSiphon tenta confirmar se está rodando em um sistema ligado ao tratamento de água ou dessalinização. Para isso, utiliza a função “IsDamDesalinationPlant()”, responsável por inspecionar processos, diretórios e arquivos de configuração.
Entre os processos monitorados estão nomes como:
– DesalPLC
– ROController
– ChlorineCtrl
– ReverseOsmosis
– WaterPLC
Em paralelo, o malware procura por diretórios que sugerem a presença de softwares específicos de controle industrial, como:
– C:Program FilesDesalination
– C:Program FilesSchneider ElectricDesal
Também são verificados arquivos de configuração sensíveis, por exemplo:
– C:ChlorineControl.dat
– C:SalinityControl.ini
Se qualquer um desses elementos é encontrado, o malware assume que está em um ambiente crítico de água ou dessalinização, o que libera etapas subsequentes de sabotagem e varredura de redes OT.
Escalonamento de privilégios e persistência
Para garantir controle total da máquina comprometida, o ZionSiphon inicia verificando se está sendo executado com privilégios administrativos. Caso não tenha privilégios suficientes, utiliza o PowerShell para relançar o próprio executável com elevação de acesso. Essa prática é comum em ameaças modernas que precisam alterar arquivos de sistema, mexer em registros, ou interagir com serviços industriais e drivers especiais.
Uma vez com privilégios elevados, o malware se instala de forma persistente. Ele se copia para o diretório de dados de aplicativo local do usuário (LocalApplicationData) com o nome “svchost.exe” – o mesmo nome de um processo legítimo do Windows, o que dificulta a detecção por olho humano e por soluções de segurança menos sofisticadas. O arquivo é marcado como oculto, e o ZionSiphon cria ainda uma entrada na chave “Run” do Registro do Windows, com o nome “SystemHealthCheck”. Assim, garante que será executado automaticamente a cada inicialização da máquina.
Propagação via USB: da TI para o chão de fábrica
Um dos mecanismos de disseminação do ZionSiphon é a propagação através de dispositivos USB. O malware copia uma versão oculta de si mesmo para qualquer unidade removível detectada, mantendo o nome “svchost.exe”. Em seguida, cria arquivos de atalho (.lnk) que imitam pastas ou documentos legítimos, mas que na verdade apontam para o executável malicioso.
Essa técnica explora o comportamento rotineiro de operadores e técnicos que usam pendrives para transferir arquivos de configuração, atualizações de firmware ou relatórios entre estações corporativas e equipamentos de controle industrial isolados da internet. Desse modo, mesmo redes OT consideradas “air gapped” podem ser contaminadas, caso não existam controles rigorosos de mídia removível.
Sabotagem: manipulação de cloro e pressão
O coração do ataque está na capacidade de sabotagem dos sistemas de tratamento de água. Se o ZionSiphon conclui que está em um alvo apropriado, aciona a função “IncreaseChlorineLevel()”. Esse módulo tenta localizar arquivos de configuração relacionados a dessalinização, osmose reversa e controle de cloro.
Ao identificar qualquer um dos arquivos esperados, o malware anexa um bloco de parâmetros com valores potencialmente perigosos, como:
– Chlorine_Dose=10
– Chlorine_Pump=ON
– Chlorine_Flow=MAX
– Chlorine_Valve=OPEN
– RO_Pressure=80
Embora valores exatos dependam do contexto operacional, a lógica aqui é clara: aumentar a dose de cloro, manter bombas ligadas em fluxo máximo, abrir válvulas e forçar uma pressão específica em sistemas de osmose reversa. Em um cenário sem mecanismos de segurança adicionais, isso poderia levar a dosagens inadequadas de cloro na água distribuída à população ou a danos físicos a equipamentos por sobrepressão.
É importante ressaltar que, em instalações bem projetadas, há camadas extras de proteção: intertravamentos físicos, alarmes, sensores redundantes e verificações manuais. Ainda assim, a presença de um malware com foco explícito em parâmetros de cloro e pressão ilustra o quão real é o risco de interferência cibernética na qualidade da água.
Varredura de dispositivos OT na rede
Além da manipulação direta de arquivos de configuração, o ZionSiphon tenta localizar e interagir com dispositivos industriais acessíveis via rede. A função “UZJctUZJctUZJct()” descobre o endereço IPv4 local da máquina infectada, reduz esse endereço a um prefixo /24 (por exemplo, de 192.168.1.34 para 192.168.1.0/24) e percorre todos os hosts possíveis, do 1 ao 255.
Para cada IP, realiza tentativas de conexão nas seguintes portas:
– 502 (Modbus)
– 20000 (DNP3)
– 102 (S7comm, protocolo utilizado em controladores Siemens)
Quando há resposta, o malware executa uma checagem de “segundo estágio” para validar se de fato está lidando com equipamentos que falam esses protocolos. Ele analisa bytes específicos nas respostas, como:
– Para Modbus, se o primeiro byte está entre 1 e 255
– Para DNP3, se os dois primeiros bytes correspondem à sequência “05 64”
– Para S7comm, se o primeiro byte é “03”
Se a validação é bem-sucedida, o dispositivo é marcado como alvo potencial para leitura e, eventualmente, escrita de registros de controle.
Lógica Modbus: leitura e tentativa de sabotagem
O protocolo Modbus é o mais explorado na amostra analisada. O ZionSiphon envia o comando “01 03 00 00 00 0A”, que corresponde a uma leitura de 10 registros a partir do endereço 0. A intenção é identificar quais desses registros podem estar relacionados a parâmetros críticos como dose de cloro ou velocidade de turbinas.
Na análise dos valores retornados, o malware busca:
– Para “Chlorine_Dose”: valores entre 0 e 1000 (faixa considerada plausível)
– Para “Turbine_Speed”: valores acima de 100
Se algum registro se encaixa nesse perfil, o malware constrói uma requisição de escrita Modbus (função 6) definindo o valor 100, o que pode representar aumento abrupto de dose ou alteração indevida de velocidade, dependendo da configuração real do sistema.
Caso não consiga identificar registros “plausíveis” apenas pela leitura, o ZionSiphon recorre a frames de escrita pré-definidos (hardcoded), o que sugere que o autor do malware tinha hipóteses sobre endereços de registradores comuns a determinados controladores ou aplicações de água e dessalinização.
DNP3 e S7comm: módulos inacabados
Enquanto a parte relativa ao Modbus apresenta lógica mais madura, os ramos de DNP3 e S7comm parecem incompletos. Há rotinas de identificação e validação inicial, mas as funcionalidades de leitura e escrita não estão inteiramente implementadas.
Isso pode indicar que o ZionSiphon ainda está em desenvolvimento, que se trata de uma versão de teste ou mesmo de um protótipo abandonado. De qualquer forma, o simples fato de incluir rascunhos de suporte a protocolos amplamente usados em sistemas elétricos e de automação industrial aponta para uma intenção de expansão do escopo de ataque para além da água, em versões futuras.
O bug que impede o “gatilho” do ataque
O ponto que, na prática, desarma o ZionSiphon é o bug na função que verifica se o IP da vítima está dentro das faixas atribuídas a Israel. A lógica de geolocalização de IP é essencial para que o malware decida se deve ou não ativar suas rotinas de sabotagem.
Segundo a análise da Darktrace, um erro na forma como essas faixas são comparadas aos endereços coletados impede que o critério seja atendido, mesmo quando o alvo está efetivamente em Israel. Resultado: o código nunca entra nos blocos de sabotagem em condições normais. É um exemplo de como uma falha de implementação, por menor que pareça, pode neutralizar uma ameaça que, em teoria, seria bastante perigosa.
No entanto, confiar na “sorte” ou na incompetência de um atacante não é uma estratégia de segurança. O bug pode ser facilmente corrigido em versões futuras, e o conceito da ameaça – manipular parâmetros de tratamento de água – já está claramente estabelecido.
Por que esse caso é relevante para além de Israel
Mesmo que o ZionSiphon tenha sido projetado para um contexto específico, o caso serve como alerta global. A maior parte das infraestruturas de água no mundo foi projetada décadas atrás, em uma época em que a conectividade OT era limitada e ameaças cibernéticas a controles industriais eram pouco consideradas.
Hoje, sistemas SCADA, PLCs e estações de tratamento estão cada vez mais conectados a redes corporativas, nuvens privadas e até à internet, para fins de monitoramento em tempo real, telemetria e manutenção remota. Essa convergência entre TI e OT aumenta dramaticamente a superfície de ataque.
Malwares como o ZionSiphon mostram que atores maliciosos não estão apenas interessados em dados ou dinheiro, mas também em impactos físicos: contaminação da água, interrupção de fornecimento, danos a equipamentos e perda de confiança da população nas instituições responsáveis pelo saneamento.
Medidas de proteção para operadores de água e saneamento
Para operadores de sistemas de água, dessalinização e saneamento, o caso oferece várias lições práticas:
1. Segmentação de rede rigorosa:
Separar de forma clara as redes corporativas das redes OT, com firewalls, VLANs e políticas de acesso restritivas, reduz a probabilidade de que uma infecção em estações de trabalho comuns alcance controladores industriais.
2. Controle de mídias removíveis:
O uso de pendrives deve ser rigidamente controlado, com escaneamento obrigatório, registros de uso, políticas de bloqueio em portas USB críticas e, se possível, soluções de transferência de arquivos seguras e intermediadas.
3. Monitoramento de protocolos industriais:
Soluções de segurança especializadas em OT, capazes de inspecionar tráfego Modbus, DNP3, S7comm e outros protocolos, podem detectar comandos suspeitos, leituras incomuns ou tentativas de varredura de rede.
4. Hardening de estações de engenharia e servidores SCADA:
Aplicar patches de segurança, restringir o uso de PowerShell e de ferramentas administrativas, limitar contas com privilégios administrativos e monitorar a criação de chaves de execução automática ajudam a dificultar a instalação de malwares persistentes.
5. Verificação cruzada de parâmetros críticos:
Implementar mecanismos independentes – como controladores de segurança, alarmes físicos e rotinas operacionais – para acompanhar parâmetros como dose de cloro, pressão, vazão e salinidade, reduz o risco de que uma alteração maliciosa passe despercebida.
6. Treinamento e conscientização de equipes:
Operadores, engenheiros e técnicos precisam entender que ataques cibernéticos podem afetar diretamente operações de campo. Reconhecer sinais de anomalias, evitar conectar dispositivos não autorizados e seguir procedimentos de resposta rápida é essencial.
O futuro das ameaças à infraestrutura hídrica
O ZionSiphon, mesmo defeituoso, representa um marco simbólico na evolução das ameaças direcionadas à água. A tendência é que atacantes avancem em três frentes:
– Maior precisão técnica: versões futuras podem incorporar conhecimento detalhado de controladores específicos, endereços de registradores e lógica de processo, tornando sabotagens mais eficazes e discretas.
– Automação de decisões maliciosas: o uso de técnicas de machine learning e análise em tempo real pode ajudar malwares a “aprender” quais parâmetros influenciam diretamente a qualidade da água, reduzindo a necessidade de conhecimento prévio.
– Campanhas coordenadas: ataques simultâneos a múltiplas instalações, em diferentes regiões, poderiam causar impactos generalizados na confiança da população, mesmo que não resultem em danos físicos extremos.
Nesse cenário, a proteção da infraestrutura de água deixa de ser apenas uma questão técnica e passa a ser uma prioridade estratégica e de segurança nacional. Investimentos em visibilidade OT, resposta a incidentes e cooperação entre operadores, governo e indústria de segurança serão determinantes para evitar que malwares como o ZionSiphon deixem de ser apenas um protótipo com bug e se transformem em armas eficazes contra o abastecimento de água.