Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreihm5olfgvcwtyenpyylrh2uykacmwifsxq5z2fcg5brh2p5pmhb3y",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mjq4bm5odlb2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreihtzrv5i3lkkbkjx6hcub3mohkweyh4k3v4hxsygmqxnzbaltmyca"
    },
    "mimeType": "image/png",
    "size": 795121
  },
  "path": "/seguranca/412486-novo-virus-zionsiphon-ataca-estacoes-de-agua-de-israel.htm",
  "publishedAt": "2026-04-17T22:15:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "A Darktrace identificou uma nova variante de malware direcionada a sistemas de Tecnologia Operacional (OT) que controlam estações de tratamento e dessalinização de água em Israel.\n\nBatizado de ZionSiphon, o código foi projetado para manipular parâmetros físicos de infraestruturas críticas, como concentração de cloro e pressão da rede hídrica. Inclusive tem o potencial de causar danos reais à população, não apenas roubar dados.\n\n## Amostra incompleta, mas com alvos bem definidos\n\nApesar de conter falhas de implementação, o ZionSiphon demonstra conhecimento técnico específico sobre os sistemas de controle industrial (ICS) utilizados no setor hídrico israelense.\n\nO código revela um dicionário de faixas de endereços IP codificadas em base64 e ofuscadas via função de conversão personalizada. Imagem: Darktrace.\n\nO malware busca ativamente arquivos de configuração como DesalConfig.ini e ChlorineControl.dat, além de suportar três protocolos de comunicação industrial São eles Modbus, DNP3 e S7comm. Esses protocolos são padrão em equipamentos de automação de plantas industriais ao redor do mundo.\n\nO código também contém uma lista predefinida de instalações-alvo. Entre elas estão as usinas de Sorek, Hadera, Ashdod, Shafdan e Palmachim, algumas das principais plantas de dessalinização e tratamento de efluentes do país.\n\n## Mecanismos de infecção e persistência\n\nApós a infecção inicial, o ZionSiphon verifica se possui privilégios administrativos por meio de uma função chamada RunAsAdmin(). Para escapar de detecção, ele se disfarça como o processo legítimo do Windows svchost.exe. Ele também cria uma chave de registro denominada SystemHealthCheck para garantir persistência na máquina comprometida.\n\nA função RunAsAdmin() verifica se o processo está sendo executado com privilégios elevados via IsElevated(). Imagem: Darktrace.\n\nO malware também implementa propagação por mídia removível. Ao detectar um pen drive conectado ao sistema infectado, ele se copia para o dispositivo quase que imediatamente. Para enganar o usuário, oculta os arquivos originais e substitui os atalhos por links falsos criados via função CreateUSBShortcut(). Clicar nesses atalhos executa a carga maliciosa sem qualquer indicação visual de anomalia.\n\n## Mensagens políticas e erros de código\n\nDentro do binário, pesquisadores da Darktrace encontraram mensagens ocultas expressando apoio ao Irã, Iêmen e à Palestina. Uma das notas fazia referência a \"envenenar a população de Tel Aviv e Haifa\", embora o código não fosse tecnicamente capaz de executar essa ação.\n\nO grupo por trás do malware se identificou como 0xICS e chegou a mencionar Dimona, cidade onde Israel mantém um centro de pesquisa nuclear.\n\nTrecho do código do ZionSiphon mostra a função SelfDestruct(), que remove a chave de registro SystemHealthCheck, grava um log de saída (target_verify.log) e cria um script delete.bat para apagar o próprio executável. Imagem: Darktrace.\n\nOs erros identificados são significativos. A função SelfDestruct(), projetada para apagar o malware caso ele não esteja em um sistema localizado em Israel, contém uma falha de lógica que pode fazer o código identificar incorretamente a localização e se autodestruir em sistemas que deveriam ser os alvos.\n\nO malware também cria um arquivo delete.bat para remover rastros, mas a execução incorreta do mecanismo de geolocalização compromete a eficácia geral do ataque.\n\n## Ameaça imperfeita, risco real\n\nA Darktrace ressalta que a presença de bugs não elimina o perigo representado pelo ZionSiphon. Malwares com falhas já causaram incidentes graves em infraestruturas críticas no passado.\n\nAlém disso, o simples fato de que um agente de ameaça desenvolveu código com conhecimento técnico específico sobre plantas hídricas israelenses, incluindo protocolos ICS e arquivos de configuração proprietários, indica capacidade de reconhecimento avançado.\n\nO monitoramento contínuo de redes OT e a segmentação rigorosa entre sistemas de TI e sistemas de controle industrial continuam sendo as principais linhas de defesa contra esse tipo de ataque.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "Novo vírus, ZionSiphon ataca estações de água de Israel"
}