Ukrayna hükümeti, Rusya’nın Ukrayna’daki ve müttefiklerinin topraklarındaki elektrik şebekelerini ve diğer kritik altyapıları hedef alan “büyük siber saldırılar” gerçekleştirmeyi planladığı konusunda uyardı:
“Siber saldırılarla düşman, füze saldırılarının başta Ukrayna’nın doğu ve güney bölgelerindeki elektrik tedarik tesisleri üzerindeki etkisini artırmaya çalışacak. İşgalci komutanlık, bunun Ukrayna Savunma Kuvvetlerinin saldırı operasyonlarını yavaşlatacağına inanıyor”
Ukrayna, Rus hükümetinin gerçekleştirdiği – önce 2015’te ve ardından neredeyse tam bir yıl sonra – yılın en soğuk aylarından birinde Ukraynalıları kasten elektriksiz bırakan iki siber saldırıya atıfta bulunuldu. Saldırılar, Ukrayna’nın güç kaynağını bozmak için bir tür kavram kanıtı ve test alanı olarak görüldü .
İlk saldırı, Kremlin destekli bilgisayar korsanları tarafından oluşturulan BlackEnergy adlı bilinen bir kötü amaçlı yazılım parçasını yeniden amaçlıyordu. Saldırganlar, bu yeni BlackEnergy3 kötü amaçlı yazılımını Ukraynalı enerji şirketlerinin kurumsal ağlarına girmek ve ardından şirketlerin elektrik üretmek ve iletmek için kullandıkları denetleyici kontrol ve veri toplama sistemlerine daha fazla girmek için kullandılar. Saldırı, saldırganların, 225.000’den fazla kişinin altı saatten fazla elektriksiz kalmasına neden olan bir arızayı tetiklemek için güç dağıtımı ve iletiminde yaygın olarak bulunan normal işlevleri kullanmalarına izin verdi.
2016 saldırısı daha karmaşıktı. Elektrik şebekesi sistemlerini hacklemek için özel olarak tasarlanmış sıfırdan yazılmış yeni bir kötü amaçlı yazılım parçası kullandı. Industroyer ve Crash Override adlarıyla anılan yeni kötü amaçlı yazılım, Ukrayna’nın şebeke operatörleri tarafından kullanılan gizli endüstriyel süreçlerdeki ustalığıyla dikkat çekiyordu. Industroyer, trafo hatlarının enerjisini kesmeleri ve ardından yeniden enerji vermeleri için talimat vermek için bu sistemlerle yerel olarak iletişim kurdu.
Bu yılın başlarında, Ukraynalı CERT-UA, bölgesel bir Ukraynalı enerji firmasının ağı içinde yeni bir Industroyer türünü başarıyla tespit ettiğini söyledi. Industroyer2’nin dokuz elektrik trafo merkezine giden gücü geçici olarak kapatabildiği ancak büyük bir elektrik kesintisi tetiklenmeden önce durdurulduğu bildirildi.
Ancak Mandiant ve başka yerlerden araştırmacılar, elektrik şebekesi hacklerinin arkasındaki Kremlin destekli grubun adı olan Sandworm’un dünyanın en seçkin hack grupları arasında olduğunu da belirtiyorlar. Gizliliği, kalıcılığı ve yüzeye çıkmadan önce aylar hatta yıllar boyunca hedeflenen organizasyonların içinde gizli kalmalarıyla tanınıyorlar.