Un ciberataque se produjo en Kiev, la capital de Ucrania , poco antes de la medianoche del 17 de diciembre de 2016 y duró poco más de una hora. [1] [2] El operador nacional de transmisión de electricidad Ukrenergo dijo que el ataque había reducido una quinta parte del consumo de energía de la ciudad a esa hora de la noche. [1]
El ataque afectó a la subestación eléctrica "Norte" de 330 kilovatios en Pivnichna, en las afueras de la capital. [1] Ocurrió un año después de un ataque anterior a la red eléctrica de Ucrania . [1]
Dragos Security concluyó que el ataque no pretendía simplemente causar perturbaciones a corto plazo sino causar daños duraderos que podrían durar semanas o meses. [3] Los atacantes habían intentado causar daños físicos a la estación cuando los operadores volvieron a conectar la red. [3] El ataque utilizó malware Industroyer y tiene la capacidad de atacar hardware, incluidos los relés de protección SIPROTEC. [3] Estos relés de protección abren los disyuntores si detectan condiciones peligrosas. [3] Una falla de seguridad significaba que un solo paquete podía poner los relés en un estado en el que serían inútiles a menos que se reiniciaran manualmente . [3] Siemens lanzó un parche de software en 2015 para solucionar el problema, pero muchos relés no se actualizaron con él. [3] La evidencia de los registros obtenidos por Dragos Security mostró que los atacantes inicialmente abrieron todos los disyuntores en la estación de transmisión, provocando un corte de energía. [3] Luego, una hora más tarde, ejecutaron un malware de limpieza para desactivar la computadora de la estación, haciendo imposible monitorear la estación. [3] Finalmente, los atacantes intentaron desactivar cuatro de los relés de protección de las estaciones SIPROTEC, que no pudieron ser detectados por los operadores. [3] Dragos concluyó que los atacantes tenían la intención de que los operadores reactivaran el equipo de la estación, lo que podría haber herido a los ingenieros y dañado el equipo. [3] Los paquetes de datos destinados a los relés de protección se enviaron a una dirección IP incorrecta. [3] Es posible que los operadores también hayan vuelto a poner en línea la estación más rápido de lo que esperaban los atacantes. [3]
En abril de 2022, las autoridades ucranianas anunciaron que habían evitado un ciberataque que utilizaba malware similar a Industroyer. [4]