A SANS ICS blogján a szervezet szakterület igazgatójának írása foglalja össze a legújabb fejleményeket a 2015. december 23-i, ukrán áramszolgáltatók elleni kibertámadással kapcsolatos vizsgálatról. A SANS vizsgálatát az érintett áramszolgáltatóktól kapott információk is segítik, ezek alapján egyre nagyobb biztonsággal állítják, hogy a támadás egy jól szervezett, szándékosan előidézett incidens volt (az ICS rendszerek esetén egyáltalán nem számít ritkának a véletlenül előidézett incidens, de ebben az esetben a vizsgálat során eddig gyűjtött információk egyértelműen a szándékosságot támasztják alá).

A támadók nem csak magas szintű szervezési és koordinációs képességekkel rendelkeztek, de képesek voltak malware-ekkel és feltételezhetően közvetlen távoli hozzáféréssel lehetetlenné tenni, hogy a megtámadott áramszolgáltatók diszpécserei irányításuk alatt tudják tartani a villamosenergia-rendszert. Az áramszolgáltatóktól származó információk alapján egyre pontosabban lehet látni a támadások idővonalát. Ezek alapján a Kyivoblenergo rendszerében 2015 december 23-án 15:35 és 16:30 között hajtottak végre sikeres támadást a 35-110 kV-os rendszert vezérlő alállomási SCADA-rendszer ellen. Miután előidézték az áramszünetet, a KillDisk modullal használhatatlanná tették a vezérlő rendszert, ezzel is tovább növelve a támadás utáni helyreálláshoz szükséges időt és növelve az áramszünet időtartamát - a Kyivoblenergo munkatársai elismerésre méltó gyorsasággal váltottak manuális vezérlésre, de az áramszolgáltatás ennek ellenére csak helyi idő szerint 18:56-ra állt helyre mindenhol. A számítógépes rendszerek elleni támadással egyidőben DDoS-támadást indítottak az áramszolgáltatók weboldalai és call centerei ellen, így nehezítve az ügyfelek számára a hibabejelentéseket és megosztva a támadás elhárításán dolgozó szakemberek figyelmét.

További részletek a SANS ICS blogján olvashatóak.