Pesquisadores de cibersegurança revelaram a descoberta de um novo malware direcionado a Sistemas de Controle Industrial (ICS), denominado FrostyGoop. Este malware foi utilizado em um ataque cibernético disruptivo contra uma empresa de energia na cidade de Lviv, Ucrânia, neste ano. O FrostyGoop é notável por ser a primeira variante a usar diretamente comunicações Modbus TCP para sabotar redes de tecnologia operacional (OT).

Detalhes Técnicos do FrostyGoop

O FrostyGoop, identificado em abril de 2024, é um malware específico para ICS escrito em Golang, capaz de interagir diretamente com ICS via Modbus TCP na porta 502. Ele foi projetado principalmente para atacar sistemas Windows e visa controladores ENCO com a porta TCP 502 exposta à internet.

Funcionalidades e Impactos

Este malware possui capacidades avançadas, incluindo a leitura e escrita em registros de retenção de dispositivos ICS, que contêm entradas, saídas e dados de configuração. Ele aceita argumentos de execução de linha de comando opcionais e utiliza arquivos de configuração em formato JSON para especificar endereços IP alvo e comandos Modbus. O FrostyGoop registra a saída em um console e/ou arquivo JSON, facilitando o controle e monitoramento dos ataques pelos cibercriminosos.

O ataque cibernético contra a empresa de energia em Lviv resultou na interrupção dos serviços de aquecimento para mais de 600 edifícios de apartamentos por quase 48 horas. Os atacantes enviaram comandos Modbus aos controladores ENCO, provocando medições imprecisas e falhas no sistema. A remediação do incidente levou quase dois dias para ser concluída.

Conclusão

A descoberta do FrostyGoop sublinha a crescente sofisticação e o foco dos cibercriminosos em sistemas industriais críticos. Este incidente destaca a necessidade urgente de fortalecer as defesas cibernéticas em infraestruturas essenciais para mitigar riscos e proteger contra futuras ameaças.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber: