# FrostyGoop > Tipo: **ICS malware** · S1165 · [MITRE ATT&CK](https://attack.mitre.org/software/S1165) · [Dragos](https://www.dragos.com/blog/protect-against-frostygoop-ics-malware-targeting-operational-technology) ## Visão Geral [[s1165-frostygoop|FrostyGoop]] (também conhecido como BUSTLEBERM) e o nono malware ICS documentado na historia e o primeiro a usar o protocolo Modbus TCP para causar impacto fisico direto em sistemas de controle industrial. Descoberto pela Dragos em abril de 2024 em um repositorio público de análise de malware, foi confirmado como arma usada em ataque real em janeiro de 2024 contra uma empresa municipal de aquecimento urbano em Lviv, Ucrania - deixando mais de 600 predios residenciais sem aquecimento central por quase dois dias durante temperaturas abaixo de zero. O FrostyGoop e escrito em Golang, compilado para Windows, e projetado para interagir diretamente com dispositivos ICS via Modbus TCP na porta 502. Sua principal caracteristica e a capacidade de ler e escrever nos registradores de retencao (holding registers) de qualquer dispositivo Modbus TCP - nao apenas os controladores ENCO alvejados no ataque ucraniano. O protocolo Modbus e um dos mais ubiquos na industria global: mais de 1 milhao de dispositivos Modbus estavam expostos a Internet em setembro de 2024, segundo dados da Unit 42 (Palo Alto Networks). A atribuicao nao foi formalizada pela Dragos, que acompanha os operadores como TAT2024-24. O ataque coincidiu com campanha cibernetica mais ampla contra a Ucrania em janeiro de 2024 que atingiu a maior empresa de petroleo e gas do pais e os Correios Ucranianos. A simplicidade técnica do FrostyGoop - básicamente um cliente Modbus malicioso - ilustra como ataques a infraestrutura critica nao precisam ser técnicamente sofisticados para causar impacto civil significativo. **Plataformas:** Windows (ICS Engineering Workstations) ## Como Funciona O FrostyGoop e um binario Windows compilado com Golang que atua como cliente Modbus TCP. Sua operação e deliberadamente simples: 1. **Configuração via JSON:** Aceita arquivo de configuração externo específicando endereco IP do dispositivo alvo e lista de comandos Modbus a executar (funções de leitura/escrita de holding registers) 2. **Conexão Modbus:** Estabelece conexão TCP na porta 502 do dispositivo alvo 3. **Envio de comandos:** Envia comandos Modbus para ler ou modificar os holding registers do dispositivo 4. **Log de resultados:** Registra respostas em console e/ou arquivo JSON No ataque de Lviv, os adversarios usaram o FrostyGoop para enviar comandos Modbus aos controladores ENCO do sistema de aquecimento, causando: (a) downgrade de firmware para versao sem telemetria - cegando os operadores; (b) alteração dos parametros de temperatura para que os controladores reportassem agua quente quando estava fria. O resultado foi agua fria sendo bombeada para os edificios residenciais. > [!danger] 9o Malware ICS da Historia > FrostyGoop e o nono malware específicamente ICS documentado, após Stuxnet, BlackEnergy2, Havex, Industroyer, Triton/TRISIS, Industroyer2, CosmicEnergy e PipeDream. Diferente de seus predecessores sofisticados, e técnicamente simples - provando que qualquer ator com acesso a rede OT pode causar impacto fisico. ## Attack Flow ```mermaid graph TB A["🌐 Acesso Inicial<br/>Exploração roteador MikroTik<br/>exposto na Internet (abr/2023)"] --> B["🐚 Webshell<br/>Deploy de variante ReGeorg<br/>para persistência"] B --> C["💤 Período de Espera<br/>7 meses de dormencia<br/>antes do ataque (abr-nov 2023)"] C --> D["🔑 Coleta Credenciais<br/>SAM registry hive<br/>credenciais do sistema"] D --> E["🌐 Tunnel L2TP<br/>Conexão VPN de IPs<br/>de Moscou (ján 2024)"] E --> F["📡 Ataque Modbus<br/>FrostyGoop envia comandos<br/>aos controladores ENCO"] F --> G["❄️ Impacto Fisico<br/>600+ predios sem aquecimento<br/>temperaturas negativas"] classDef access fill:#1a5276,color:#fff,stroke:#154360 classDef persist fill:#7f8c8d,color:#fff,stroke:#626567 classDef wait fill:#2c3e50,color:#fff,stroke:#1a252f classDef cred fill:#d35400,color:#fff,stroke:#a04000 classDef tunnel fill:#8e44ad,color:#fff,stroke:#6c3483 classDef attack fill:#c0392b,color:#fff,stroke:#922b21 classDef impact fill:#922b21,color:#fff,stroke:#6e2318 class A access class B persist class C wait class D cred class E tunnel class F attack class G impact ``` ## Timeline do Ataque Lviv 2024 ```mermaid timeline title FrostyGoop - Linha do Tempo do Ataque 2023-04 : Acesso inicial via roteador MikroTik vulnerável 2023-04 : Deploy de webshell ReGeorg para persistência 2023-11 : Retomada da atividade - coleta credenciais do SAM 2023-12 : Nova tentativa de coleta de credenciais 2024-01-22 : Inicio do ataque - comandos Modbus via FrostyGoop 2024-01-22 : Downgrade de firmware ENCO (sem telemetria) 2024-01-22 : Medicoes incorretas de temperatura enviadas 2024-01-24 : Remediacao concluida após quase 2 dias 2024-04 : Dragos descobre binarios FrostyGoop em repositorio publico 2024-07 : Dragos publica relatorio tecnico completo ``` ## Técnicas MITRE ATT&CK / ICS ATT&CK | Técnica | Dominio | Descrição | |---------|---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Enterprise | Exploração de roteador MikroTik exposto | | [[t1505-003-web-shell\|T1505.003]] | Enterprise | Webshell ReGeorg para persistência | | [[t1071-001-web-protocols\|T1071.001]] | Enterprise | Tunnel L2TP para IPs de Moscou | | T0836 | ICS | Modify Parameter - medicoes incorretas | | T0826 | ICS | Loss of Availability - perda do servico de aquecimento | | T0829 | ICS | Loss of View - firmware sem telemetria | | T0857 | ICS | System Firmware - downgrade do firmware ENCO | ## Comparativo: FrostyGoop vs Predecessores ICS | Caracteristica | [[s0604-industroyer\|Industroyer]] | [[industroyer2\|Industroyer2]] | FrostyGoop | |----------------|------------|-------------|------------| | Protocolo ICS | IEC-104, IEC-101, GOOSE | IEC-104 | Modbus TCP | | Sofisticacao | Alta (modular) | Alta (customizado) | Baixa (cliente simples) | | Setor alvo | Energia eletrica | Energia eletrica | Qualquer Modbus | | Impacto real | Apagao Kiev 2016 | Interceptado | Aquecimento Lviv 2024 | | Atribuicao | Sandworm | Sandworm | Nao atribuido | ## Relevância LATAM/Brasil O FrostyGoop e de alta relevância para o Brasil por razoes técnicas claras: o protocolo Modbus TCP - o único protocolo que o malware utiliza - e onipresente em toda a infraestrutura industrial brasileira. Setor de energia (Petrobras, Eletrobras, distribuidoras regionais), agua e saneamento (Sabesp, Copasa, Casan), industria petrolifera e processamento de gas natural, e refinarias utilizam dispositivos Modbus. Segundo dados da Unit 42, mais de 1 milhao de dispositivos Modbus estavam expostos a Internet globalmente em outubro de 2024 - e o Brasil, com sua vasta infraestrutura industrial, representa parcela significativa desse número. A mensagem critica do FrostyGoop para gestores de segurança OT no Brasil e: **a sofisticacao técnica do malware nao e o problema central**. O problema e a ausência de segmentacao de rede adequada entre IT e OT, e dispositivos ICS acessiveis diretamente pela Internet. O fato de o malware nao ser detectado por antivirus convencionais no momento da descoberta (aprox. 2024) reforça a necessidade de monitoramento específico de protocolo OT. > [!warning] Modbus nas Redes Industriais Brasileiras > O protocolo Modbus TCP e amplamente usado em subestacoes eletricas, plataformas de petroleo, refinarias, estacoes de tratamento de agua e plantas industriais no Brasil. Dispositivos com porta 502 exposta na Internet sem autenticação sao vulneraveis ao mesmo vetor explorado pelo FrostyGoop. ## Detecção e Mitigação **Detecção:** - Monitorar comúnicacoes Modbus TCP anomalas (especialmente comandos de escrita em holding registers fora do padrao operacional) - Alertas para conexoes externas na porta 502 - nenhum dispositivo ICS deve aceitar Modbus de IPs externos - Implementar plataformas OT-nativas (Dragos, Claroty, Nozomi Networks) com analytics de protocolo ICS - Monitorar tentativas de downgrade de firmware em controladores **Mitigação (SANS 5 Critical Controls para OT):** - Arquitetura defensavel: segmentacao IT/OT com firewall dedicado, sem acesso direto de Internet a dispositivos ICS - Monitoramento de rede OT com visibilidade de protocolo Modbus - Resposta a incidentes ICS com plano testado - Gestao de acesso remoto seguro (VPN + MFA para acesso a OT) - Gestao de vulnerabilidades baseada em risco para ativos ICS/OT ## Referências - [Dragos - Protect Against FrostyGoop ICS Malware](https://www.dragos.com/blog/protect-against-frostygoop-ics-malware-targeting-operational-technology) - [MITRE ATT&CK - S1165 FrostyGoop](https://attack.mitre.org/software/S1165/) - [MITRE ATT&CK - FrostyGoop Incident C0041](https://attack.mitre.org/campaigns/C0041/) - [Unit 42 - FrostyGoop Malware Analysis](https://unit42.paloaltonetworks.com/frostygoop-malware-analysis/) - [CyberScoop - FrostyGoop Ukrainians Without Heating](https://cyberscoop.com/frostygoop-ics-malware-dragos-ukraine/) - [SecurityWeek - FrostyGoop ICS Malware](https://www.securityweek.com/frostygoop-ics-malware-left-ukrainian-citys-residents-without-heating/) - [SANS - FrostyGoop ICS Controls Considerations](https://www.sans.org/blog/whats-the-scoop-on-frostygoop-the-latest-ics-malware-and-ics-controls-considerations)