A empresa de segurança cibernética Dragos divulgou nessa terça-feira (23) um relatório detalhando um novo malware chamado FrostyGoop, projetado para atingir sistemas de controle industrial, especificamente controladores de sistemas de aquecimento.
Os pesquisadores da Dragos detectaram o malware pela primeira vez em abril, inicialmente acreditando que ele estava sendo usado apenas para testes.
No entanto, autoridades ucranianas alertaram a Dragos sobre o uso ativo do malware em um ataque cibernético em Lviv, na noite de 22 para 23 de janeiro.
Esse ataque resultou na perda de aquecimento em mais de 600 prédios de apartamentos por quase 48 horas, afetando gravemente a população civil durante um período de temperaturas abaixo de zero.
- Leia também: Proteína que acelera a queima de gordura pode revolucionar medicamentos para emagrecimento
Detalhes do ataque com FrostyGoop
O relatório da Dragos, elaborado por Mark “Magpie” Graham, Kyle O’Meara e Carolyn Ahlers, descreve que a remediação do incidente levou quase dois dias.
Esta é a terceira interrupção conhecida ligada a ataques cibernéticos a atingir a Ucrânia nos últimos anos.
Embora o malware FrostyGoop provavelmente não cause interrupções generalizadas, ele demonstra um esforço crescente de hackers maliciosos para atingir infraestruturas críticas como redes de energia.
O malware FrostyGoop foi projetado para interagir com dispositivos de controle industrial (ICS) via Modbus, um protocolo amplamente utilizado no mundo todo, o que significa que ele pode ser usado para atingir outras empresas e instalações em qualquer lugar.
Segundo Graham, há pelo menos 46 mil dispositivos ICS expostos à Internet que permitem Modbus atualmente.
A Dragos destacou que o FrostyGoop é o nono malware específico para ICS que encontrou ao longo dos anos, com exemplos notáveis como o Industroyer, usado pelo grupo de hackers Sandworm, ligado ao governo russo, e o Triton, implantado contra uma planta petroquímica saudita.
No caso do FrostyGoop, os hackers obtiveram acesso à rede da empresa de energia visada explorando uma vulnerabilidade em um roteador Mikrotik, que não estava adequadamente segmentado junto com outros servidores e controladores.
Os pesquisadores concluíram que os hackers possivelmente obtiveram acesso à rede em abril de 2023 e continuaram acessando-a até o ataque em janeiro de 2024.
Embora os endereços IP utilizados fossem baseados em Moscou, a Dragos não atribuiu a responsabilidade a nenhum grupo de hackers ou governo específico, seguindo sua política de não atribuir ataques cibernéticos diretamente.
Mark Graham afirmou que esse tipo de ataque parece ser uma tentativa de minar o moral dos ucranianos por meios cibernéticos, em vez de ataques cinéticos.
Ele enfatizou a importância de não subestimar nem superestimar a ameaça representada pelo FrostyGoop, reconhecendo seu uso ativo, mas alertando contra a percepção de que ele poderia derrubar imediatamente a rede elétrica de um país.
Leia também: Guerra tech: Exército dos EUA testa helicópteros autônomos com inteligência artificial