El 17 de diciembre de 2016, poco antes de la medianoche, se produjo un ciberataque en la capital ucraniana, Kiev , que duró poco más de una hora. [1] [2] El operador nacional de transmisión eléctrica, Ukrenergo, afirmó que el ataque había reducido una quinta parte del consumo eléctrico de la ciudad a esa hora de la noche. [1]
El ataque afectó a la subestación eléctrica de 330 kilovatios "Norte" en Pivnichna, en las afueras de la capital. [1] Ocurrió un año después de un ataque anterior a la red eléctrica de Ucrania . [1]
Dragos Security concluyó que el ataque no solo tenía como objetivo causar una interrupción a corto plazo, sino también causar daños duraderos que podrían durar semanas o meses. [3] Los atacantes habían intentado causar daños físicos a la estación cuando los operadores volvieron a encender la red. [3] El ataque utilizó malware de Industroyer y tiene la capacidad de atacar hardware, incluidos los relés de protección SIPROTEC. [3] Estos relés de protección abren los disyuntores si detectan condiciones peligrosas. [3] Una falla de seguridad significaba que un solo paquete podía poner los relés en un estado en el que serían inútiles a menos que se reiniciaran manualmente . [3] Siemens lanzó un parche de software en 2015 para solucionar el problema, pero muchos relés no se actualizaron con él. [3] La evidencia de los registros obtenidos por Dragos Security mostró que los atacantes inicialmente abrieron todos los disyuntores en la estación de transmisión, lo que provocó un corte de energía. [3] Luego, una hora más tarde, ejecutaron un malware limpiador para deshabilitar la computadora de la estación, lo que hizo imposible monitorearla. [3] Finalmente, los atacantes intentaron desactivar cuatro de los relés de protección SIPROTEC de la estación, que no pudieron ser detectados por los operadores. [3] Dragos concluyó que los atacantes pretendían que los operadores volvieran a poner en funcionamiento el equipo de la estación, lo que podría haber herido a los ingenieros y dañado el equipo. [3] Los paquetes de datos destinados a los relés de protección se enviaron a la dirección IP incorrecta. [3] Los operadores también podrían haber puesto la estación en línea de nuevo más rápido de lo que esperaban los atacantes. [3]
En abril de 2022, las autoridades ucranianas anunciaron que habían evitado un ciberataque que utilizaba un malware similar al de Industroyer. [4]