Um novo software malicioso batizado de ZionSiphon está a focar-se em tecnologias operacionais, com especial atenção para estações de tratamento de água e instalações de dessalinização. O grande objetivo desta ameaça é sabotar as operações, manipulando parâmetros críticos como a pressão hidráulica e os níveis de cloro. Toda a informação foi detalhada numa análise da empresa de cibersegurança Darktrace, que identificou o foco político e geográfico da ameaça em alvos situados em Israel.
O erro interno que bloqueia o impacto
Durante a investigação, os especialistas descobriram uma falha na lógica de encriptação do mecanismo de validação do malware. O ZionSiphon verifica se o IP do alvo pertence a redes israelitas e procura por ficheiros ou software associados a sistemas de tratamento de água. No entanto, um erro na verificação do país faz com que o processo falhe e ative um mecanismo de autodestruição, impedindo a execução da carga maliciosa. Apesar de a ameaça estar atualmente inativa por este motivo, os investigadores alertam que futuras versões podem corrigir este lapso com facilidade para desencadear ataques severos.
Se o código for ativado com sucesso, as consequências podem ser profundas. O malware utiliza uma função interna desenhada especificamente para anexar comandos a ficheiros de configuração existentes em sistemas industriais. Esta ação tem a capacidade de maximizar a dose e o fluxo de cloro para o limite suportado pelas infraestruturas, alterando imediatamente parâmetros vitais em válvulas, bombas de cloro e canais de osmose inversa.
Infeção através de pens USB
Para garantir que atinge alvos industriais, o ZionSiphon não depende exclusivamente da internet. As infraestruturas críticas operam frequentemente em redes fechadas por motivos de proteção. Para contornar esta barreira, o código copia-se automaticamente para unidades USB amovíveis, ocultando-se como um processo de sistema e criando atalhos maliciosos que infetam qualquer computador onde sejam clicados.
Além desta tática de propagação física, a ameaça também pesquisa a rede local por protocolos de comunicação cruciais na indústria. Embora algumas destas pesquisas apresentem apenas marcadores de posição ou blocos de código limitados, indicando uma fase inicial de desenvolvimento, a intenção de assumir o comando direto das fábricas torna este malware num foco preocupante para o futuro da proteção operacional.
Nenhum comentário
Seja o primeiro!