Um novo malware chamado **ZionSiphon**, projetado especificamente para tecnologia operacional (OT), está visando ambientes de tratamento e dessalinização de água para sabotar suas operações. A ameaça pode ajustar pressões hidráulicas e elevar os níveis de cloro a patamares perigosos, descobriram pesquisadores durante sua análise. Com base em seu direcionamento de IP e mensagens políticas embutidas em suas strings, o **ZionSiphon** parece focar em alvos baseados em Israel. ### Lógica de Criptografia Falha Pesquisadores da **Darktrace**, empresa de cibersegurança com IA, encontraram um erro de lógica de criptografia falha no mecanismo de validação do malware que o torna não funcional. Eles alertam que futuras versões do **ZionSiphon** podem corrigir a falha para liberar seu poder em ataques. Após a implantação, o malware verifica se o IP do host está dentro das faixas israelenses e se o sistema contém software ou arquivos relacionados à água/OT, para garantir que esteja rodando em sistemas de tratamento de água ou dessalinização.  A **Darktrace** observa que a lógica de verificação de país está quebrada devido a uma incompatibilidade XOR, fazendo com que o direcionamento falhe e acionando o mecanismo de autodestruição em vez de executar o payload. ### Dano Potencial Se o **ZionSiphon** fosse ativado, poderia causar danos significativos ao aumentar os níveis de cloro e maximizar a falha e a pressão. Ele faz isso através de uma função chamada “IncreaseChlorineLevel()”, que anexa um bloco de texto a arquivos de configuração existentes para maximizar a dose de cloro e o fluxo o máximo que é fisicamente suportado pelos sistemas mecânicos da planta. “IncreaseChlorineLevel()” verifica uma lista codificada de arquivos de configuração associados a dessalinização, osmose reversa, controle de cloro e sistemas de controle industrial (ICS) de tratamento de água”, diz a **Darktrace**. “Assim que encontra qualquer um desses arquivos presentes, ele anexa um bloco fixo de texto a ele e retorna imediatamente.” “O bloco de texto anexado contém as seguintes entradas: “Chlorine_Dose=10”, “Chlorine_Pump=ON”, “Chlorine_Flow=MAX”, “Chlorine_Valve=OPEN” e “RO_Pressure=80”.” A intenção de interagir com sistemas de controle industrial (ICS) é óbvia ao escanear a sub-rede local em busca dos protocolos de comunicação **Modbus**, **DNP3** e **S7comm**. No entanto, a **Darktrace** encontrou apenas código parcialmente funcional para **Modbus**, e meros placeholders para os outros dois, indicando que o malware ainda está em uma fase inicial de desenvolvimento. ### Propagação por USB O **ZionSiphon** também possui um mecanismo de propagação por USB que se copia para unidades removíveis como um processo oculto ‘svchost.exe’ e cria arquivos de atalho maliciosos que executam o malware quando clicados.  A propagação por USB é fundamental em sistemas de infraestrutura crítica, onde computadores que gerenciam funções de segurança crítica são frequentemente “air-gapped”, o que significa que não estão diretamente conectados à internet. Embora o **ZionSiphon** não esteja operacional em sua versão atual, sua intenção e potencial de dano são preocupantes, e tudo o que é necessário para desbloquear ambos é corrigir um pequeno erro de verificação.