Door de aanval op drie Oekraïense energiebedrijven die eind december vorig jaar plaatsvond kwamen 225.000 mensen enige tijd zonder stroom te zetten, zo meldt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van het Amerikaanse ministerie van Homeland Security.

Naar aanleiding van de aanvallen besloten het ICS-CERT, de FBI, het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT), het Amerikaanse ministerie van Energie en een organisatie van Amerikaanse energiebedrijven naar de Oekraïne te gaan om meer informatie over het incident te verzamelen. Aan de hand van rapporten en interviews met de getroffen organisaties is er nu een beschrijving van de gebeurtenissen gemaakt. Daarbij stelt het ICS-CERT dat het onduidelijk is of de Black Energy-malware, die met de aanvallen in verband werd gebracht en bij de getroffen organisaties werd aangetroffen, een rol bij de cyberaanvallen heeft gespeeld.

Wel staat vast dat de stroomstoringen door cyberaanvallen van buiten zijn veroorzaakt en bij drie energiebedrijven plaatsvonden. De aanvallen waren goed gecoördineerd en vonden binnen 30 minuten van elkaar plaats. Tijdens de aanvallen werden de stroomonderbrekers via remote beheerprogramma's op het besturingssysteem en vpn-verbindingen naar de industriële controlesysteemsoftware bediend. Volgens de energiebedrijven wisten de aanvallers de inloggegevens om op deze systemen in te loggen al voor de aanval te verkrijgen en konden zo op afstand toegang krijgen.

Verder zijn bij alle drie de energiebedrijven systemen via de KillDisk-malware gewist. Deze malware wist bepaalde bestanden en het master boot record, waardoor systemen niet meer werken. Ook werden seriele-naar-ethernet-apparaten bij substations uitgeschakeld door de firmware te beschadigen. Daarnaast hadden de aanvallers de Uninterruptable Power Supplies (UPS) van verschillende servers via de beheerdersinterface zo ingesteld dat die zichzelf zouden uitschakelen. Waarschijnlijk werd dit gedaan om het herstel van de aanval te bemoeilijken.

Het ICS-CERT heeft een document met de bevindingen van het onderzoek gepubliceerd, waarin het ook verschillende tips geeft. Zo wordt organisaties aangeraden om applicatie-whitelisting toe te passen, industriële netwerken van onbetrouwbare netwerken, en dan specifiek het internet, te scheiden, en beheer op afstand te beperken. Met name modems zijn volgens het ICS-CERT onveilig en ook permanente verbindingen van de leverancier naar het controlenetwerk moeten niet worden toegestaan.