El malware combina propagación USB, escaneo de protocolos ICS y lógica de sabotaje para manipular niveles de cloro y presión en sistemas de desalinación. Darktrace detectó fallas en su código que impiden su activación actual.
Investigadores de Darktrace identificaron una nueva cepa de malware denominada ZionSiphon, diseñada específicamente para sabotear sistemas de tecnología operacional (OT) en plantas de tratamiento de agua y desalinación. El código malicioso incorpora lógica de sabotaje capaz de elevar los niveles de cloro hasta cotas peligrosas y manipular la presión hidráulica de las instalaciones, lo que podría derivar en riesgos para la salud pública y daños materiales significativos en infraestructura crítica.
El análisis técnico reveló que ZionSiphon realiza verificaciones de entorno antes de ejecutar su carga útil, comprueba si la dirección IP del sistema comprometido corresponde a rangos geográficos de Israel y busca procesos o archivos asociados a sistemas de ósmosis inversa, desalinización, manejo de cloro y control de plantas. Según el reporte de BleepingComputer, el malware incluye una función llamada "IncreaseChlorineLevel()" que inyecta valores predefinidos en archivos de configuración, tales como "Chlorine_Dose=10", "Chlorine_Pump=ON", "Chlorine_Flow=MAX" y "RO_Pressure=80", con el objetivo de maximizar la dosificación de cloro y el flujo de presión hasta los límites físicos del sistema.
La motivación ideológica del malware queda patente en los mensajes políticos embebidos en sus cadenas de texto. Uno de los strings decodificados reza: "En apoyo a nuestros hermanos en Irán, Palestina y Yemen contra la agresión sionista. Soy 0xICS". Otro mensaje amenaza con "envenenar a la población de Tel Aviv y Haifa". La
lista de objetivos codificada en el binario incluye nombres de infraestructura hídrica real israelí: Mekorot (compañía nacional de agua), las plantas desalinadoras de Sorek, Hadera, Ashdod y Palmachim, y la instalación de tratamiento de aguas residuales Shafdan.
ZionSiphon también incorpora capacidades de propagación mediante unidades USB, una técnica reminiscente de Stuxnet que resulta crítica para alcanzar sistemas air-gapped comunes en infraestructura crítica. El malware se copia a dispositivos extraíbles como un archivo oculto "svchost.exe" y crea accesos directos maliciosos que ejecutan el código al ser abiertos. Adicionalmente, escanea la subred local en busca de dispositivos que respondan a los puertos 502 (Modbus), 20000 (DNP3) y 102 (S7comm), los tres protocolos de comunicación industrial más extendidos en sistemas de control.
No obstante, el análisis de Darktrace detectó un error de lógica en el mecanismo de validación del malware, una discrepancia en la operación XOR provoca que la verificación geográfica falle, activando el mecanismo de autodestrucción en lugar de ejecutar la carga útil. Las ramas de código para DNP3 y S7comm también aparecen incompletas, lo que sugiere que el analizado es un build de desarrollo o una versión preliminar desplegada antes de su finalización.
A pesar de su estado inacabado, ZionSiphon representa una evolución significativa en el panorama de amenazas OT, demuestra que actores con recursos modestos y motivación ideológica pueden experimentar con malware capaz de interaccionar directamente con sistemas de control industrial.
Los equipos de seguridad responsables de infraestructura crítica deben implementar monitoreo conductual que detecte escaneos inusuales de protocolos ICS y reforzar las políticas de medios extraíbles. Las soluciones EDR con capacidades de detección OT pueden identificar comportamientos anómalos en subredes industriales antes de que un comando malicioso alcance un PLC.
FUENTE ORIGINAL
Darktrace↗CURADO POR
Alejandro Vargas