Pesquisadores de segurança puseram em foco um novo malware concebido especificamente para atacar sistemas de tecnologia operacional (OT) em plantas de tratamento e desalação de água. O achado, publicado pela assinatura de cibersegurança Darktrace, descreve um código com intenções claras de sabotagem: manipular parâmetros críticos, como a dosagem de cloro e as pressões em equipamentos de ósmose inversa, com o potencial de causar dano físico e afetar a qualidade do fornecimento. Embora a amostra analisada não possa ser ativada na sua forma atual, os especialistas advertem que consertar um pequeno erro lógico bastaria para transformar essa ameaça em uma ferramenta operacional e perigosa. Mais detalhes técnicos e a análise completa estão disponíveis no relatório do Darktrace: Inside ZionSiphon — Darktrace.
O programa, batizado como ZionSiphon pelos descubridores, incorpora várias verificações concebidas para garantir que se executa apenas em objectivos concretos. Antes de atuar, verifica o endereço IP da equipe contra intervalos geográficos e explora se o sistema contém software ou arquivos associados a plantas de tratamento ou desalação. No caso de o detectar, tem a capacidade de modificar arquivos de configuração relacionados ao controle de cloro e bombas, forçando valores extremos de dose, abertura de válvulas e pressão em unidades de tratamento. No relatório, Darktrace documenta a rotina responsável por essas mudanças e o conjunto de parâmetros que o malware tenta impor.
A intenção de interagir com controladores industriais é evidente: o código digitaliza a subred local procurando protocolos comuns em ambientes industriais, como Modbus, DNP3 e S7comm. No entanto, o desenvolvimento está incompleto: a funcionalidade de Modbus está parcial, enquanto para DNP3 e S7comm há marcadores de posição, sugerindo que se trata de uma etapa precoce de desenvolvimento e que os autores poderiam ampliar capacidades mais adiante. Além disso, ZionSiphon incorpora um mecanismo de propagação por USB que copia o executável a unidades removíveis sob um nome que mimetiza um processo legítimo e gera acessos diretos maliciosos para facilitar sua execução ao ser carregado.
Um aspecto curioso e crítico da análise técnica é que a lógica de verificação do país contém uma falha na operação XOR utilizada para comparar valores. Como resultado, essa verificação falha e o malware ativa uma rotina de autodestruição em vez de executar sua carga daninha. Isso significa que, por agora, a ameaça não está operacional, mas a correção desse erro por parte de seus criadores poderia transformá-la em um vetor real contra instalações hídricas. Darktrace também destaca a presença no código de cadeias com mensagens políticas e uma lista de objetivos que apontam para uma orientação para infra-estruturas localizadas em Israel.
A possível manipulação de parâmetros como a dose de cloro e as pressões das bombas não é um assunto meramente teórico: em sistemas de água, mudanças bruscas em dosagem ou pressão podem provocar desde sobrecloração, com implicações para a saúde pública e corrosão de equipamentos, até falhas mecânicas em membranas e bombas que comprometam a continuidade do serviço. Por isso, a mera possibilidade de um ator malicioso automatice essas modificações usando acesso local a sistemas de controle industrial é alarmante.
Os incidentes dirigidos contra sistemas industriais não são inéditos: ataques como Stuxnet demonstraram há anos que o software pode causar efeitos físicos em infraestruturas. Hoje, os responsáveis pelas operações e segurança das instalações hídricas devem considerar tanto as ameaças conhecidas como o potencial de novas ferramentas adaptadas ao ambiente OT. Para documentar técnicas e táticas aplicáveis a ambientes industriais, o quadro MITRE ATT&CK para ICS é um recurso útil: MITRE ATT&CK — ICS.
Que medidas práticas devem ser reforçadas em resposta a uma descoberta como este? Em primeiro lugar, as políticas sobre meios removíveis devem ser rigorosas: a propagação por USB continua a ser uma via eficaz para contornar redes isoladas fisicamente. Controlar e registrar o uso de unidades, aplicar listas brancas de aplicações, e manter processos de verificação de arquivos em pontos finais OT são passos chave. Também é essencial monitorar a integridade de arquivos de configuração críticos e estabelecer alertas ante modificações inesperadas, além de segmentar as redes OT para minimizar o impacto de uma equipe comprometida. Para orientação sectorial e recursos específicos, a Agência de Segurança de Infra-estruturas dos EUA. Os EUA fornecem documentação sobre segurança em água e esgoto: CISA — Water and Wastewater Systems, e organizações de intercâmbio de informações como a WaterISAC podem ser canais para receber avisos relevantes: WaterISAC.
Do ponto de vista de vigilância técnica, convém inspeccionar tráfego Modbus/DNP3 e outros protocolos industriais em busca de anomalias, aplicar detecção de intrusões orientada para OT e revisar controles de acesso a consoles e servidores que gerem as configurações. Manter cópias de segurança offline de configurações e procedimentos de recuperação também reduz a janela de exposição em caso de manipulação maliciosa. Para equipamentos que combinam funções IT e OT, as soluções de detecção de ameaças e resposta em endpoints devem ser complementadas com ferramentas específicas para ambientes industriais.
O caso de ZionSiphon é um lembrete de que os atacantes adaptam suas ferramentas ao domínio operacional: não se trata apenas de cifrar servidores ou roubar dados, mas de modificar parâmetros físicos que podem afetar a segurança e a saúde pública. Agora mesmo a amostra analisada não executa a carga destrutiva por um erro de validação, mas não há garantia de que futuras versões não removam esse obstáculo. Manter-se informado, aplicar boas práticas de ciber-higiene no OT e fortalecer controles sobre meios removíveis e configurações críticas é a forma mais prática de reduzir o risco.
Para ler a análise técnica e o contexto da descoberta, consulte o relatório do Darktrace: Inside ZionSiphon — Darktrace, e para guias e recursos operacionais sobre a protecção das infra-estruturas hídricas, visite a secção da CISA dedicada ao sector: CISA — Water and Wastewater Systems.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...