# FrostyGoop Incident ## Descrição O FrostyGoop Incident (MITRE C0041) é o primeiro ataque cibernético documentado que utilizou malware OT (Operational Technology) com protocolo Modbus para causar interrupção real em infraestrutura de aquecimento urbano. Em janeiro de 2024, durante o inverno ucraniano, atores não atribuídos públicamente comprometeram os sistemas de controle de uma empresa municipal de aquecimento em Lviv, Ucrânia. O malware FrostyGoop - escrito em Go e projetado específicamente para manipular controladores ENCO - enviou comandos Modbus legítimos que degradaram a temperatura de saída dos sistemas de aquecimento, privando mais de 600 edifícios residenciais de aquecimento durante um período de 48 horas com temperaturas externas abaixo de zero. O vetor de acesso inicial foi provavelmente a exploração de serviços expostos externamente ([[t1190-exploit-public-facing-application|T1190]]), com possível implantação de web shell ([[t1505-003-web-shell|T1505.003]]) para persistência. Os atores utilizaram ataque de downgrade ([[t1562-010-downgrade-attack|T1562.010]]) e exfiltração de credenciais via SAM ([[t1003-002-security-account-manager|T1003.002]]) para aprofundar o acesso. A comunicação C2 usou protocolos de camada de aplicação ([[t1071-application-layer-protocol|T1071]]). O FrostyGoop demonstrou uma característica particularmente perigosa: ao usar o protocolo Modbus nativo - amplamente utilizado em sistemas de controle industrial - o malware se camuflava como tráfego OT legítimo, escapando de detecções baseadas em anomalias de protocolo. O incidente é um marco na história dos ataques a infraestrutura crítica: é o nono malware OT documentado capaz de interagir diretamente com hardware industrial (após Stuxnet, Havex, Industroyer, TRITON, BlackEnergy, Industroyer2, CosmicEnergy e PIPEDREAM). A CERT-UA e a empresa Dragos públicaram análises técnicas detalhadas. A ausência de atribuição pública e a escolha do setor de aquecimento no inverno aponta para objetivos de impacto civil deliberado, consistente com as campanhas de sabotagem de infraestrutura ucraniana atribuídas a grupos russos. ## Impacto | Métrica | Detalhe | |---------|---------| | Data | Janeiro de 2024 | | Alvo | Empresa municipal de aquecimento urbano, Lviv, Ucrânia | | Impacto civil | +600 edifícios sem aquecimento por ~48h em temperaturas abaixo de zero | | Malware | FrostyGoop - primeiro malware OT via Modbus documentado | | Atribuição | Não atribuída públicamente; padrão consistente com grupos russos | | Referências | Dragos, CERT-UA (análise técnica pública) | ## Relevância LATAM/Brasil O impacto direto no Brasil e América Latina é **baixo**. Contudo, o FrostyGoop Incident é altamente relevante como referência métodológica para a proteção de infraestrutura crítica brasileira. O Brasil possui redes extensas de sistemas de controle industrial (ICS/SCADA) em setores de energia elétrica, petróleo e gás, água e saneamento - todos potencialmente expostos a ataques via protocolos industriais como Modbus, DNP3 e IEC 104. A ANP, ANEEL e ANTT possuem regulamentações de segurança cibernética para operadores de infraestrutura crítica, mas a segmentação de redes OT/IT e o monitoramento de protocolos industriais ainda são gaps comuns em concessionárias brasileiras. O FrostyGoop demonstra que ataques OT com impacto civil real estão ao alcance de atores sofisticados. ## Técnicas Utilizadas - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - [[t1562-010-downgrade-attack|T1562.010 - Downgrade Attack]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK - C0041](https://attack.mitre.org/campaigns/C0041)*