Cyberatak na Kijów w 2016 roku
Cyberatak miał miejsce w stolicy Ukrainy, Kijowie , tuż przed północą 17 grudnia 2016 r. i trwał nieco ponad godzinę. Narodowy operator przesyłu energii elektrycznej Ukrenergo powiedział, że atak zmniejszył o jedną piątą zużycie energii w mieście o tej porze nocy.
Atak
Atak dotknął podstację elektryczną w Pivnichna, poza stolicą. Stało się to rok po poprzednim ataku na ukraińską sieć energetyczną .
Dragos Security doszedł do wniosku, że atak miał na celu nie tylko spowodowanie krótkotrwałych zakłóceń, ale także spowodowanie długotrwałych szkód, które mogą trwać tygodnie lub miesiące. Atakujący próbowali spowodować fizyczne uszkodzenie stacji, gdy operatorzy ponownie włączyli sieć. Atak wykorzystywał Industroyer i ma możliwość atakowania sprzętu, w tym przekaźników ochronnych Siprotec. Te przekaźniki zabezpieczające otwierają wyłączniki automatyczne , jeśli wykryją niebezpieczne warunki. Luka w zabezpieczeniach oznaczała, że pojedynczy pakiet mógł wprowadzić przekaźniki w stan, w którym byłby bezużyteczny, chyba że zostałby ręcznie uruchomiony ponownie . Siemens wydał poprawkę oprogramowania w 2015 roku, aby rozwiązać ten problem, ale wiele przekaźników nie zostało zaktualizowanych. Dowody z dzienników uzyskanych przez Dragos Security wykazały, że napastnicy początkowo otworzyli każdy wyłącznik w stacji nadawczej, powodując przerwę w dostawie prądu. Następnie godzinę później uruchomili złośliwe oprogramowanie wycierające , aby wyłączyć komputer stacji, uniemożliwiając monitorowanie stacji. Na koniec atakujący próbowali wyłączyć cztery przekaźniki zabezpieczające Siprotec stacji, których operatorzy nie mogli wykryć. Dragos doszedł do wniosku, że napastnicy chcieli, aby operatorzy ponownie włączyli sprzęt stacji, co mogło spowodować obrażenia inżynierów i uszkodzenie sprzętu. Pakiety danych przeznaczone dla przekaźników ochronnych zostały wysłane na niewłaściwy adres IP. Operatorzy mogli również przywrócić stację do trybu online szybciej, niż spodziewali się atakujący.