Asi polovica z jeden a pol milióna obyvateľov Ivanofrankivskej oblasti na Ukrajine zostala 23. decembra 2015 bez elektriny. Oblasť sa nachádza len 200 kilometrov od slovenských hraníc. Ukrajinská televízia TSN ako prvá informovala o tom, že za výpadkom prúdu je škodlivý kód. ESET však pri svojej analýze zistil, že tento prípad je prepojený s útokmi na ukrajinské médiá a s kybernetickou špionážou zameranou na ukrajinské vládne agentúry.
ESET pri analýze zistil, že útok bol zameraný aj na ďalšie spoločnosti zaoberajúce sa distribúciou elektriny. Útočníci použili známy backdoor BlackEnergy na to, aby na zasiahnuté počítače umiestnili komponent s názvom KillDisk, ktorý počítače znefunkční. BlackEnergy bol použitý aj pri útoku na účastníkov bezpečnostnej konferencie Globsec 2014, ktorá sa každoročne koná na Slovensku.
„Naša analýza deštruktívneho škodlivého kódu KillDisk nájdeného v niekoľkých spoločnostiach distribuujúcich elektrinu v Ukrajine naznačuje, že ten istý nástroj úspešne použitý pri útokoch na ukrajinské médiá v novembri 2015 je teoreticky schopný vypnúť kritické priemyselné systémy,“ hovorí Anton Čerepanov, analytik škodlivého kódu zo spoločnosti ESET.
BlackEnergy backdoor je modulárny trójsky kôň, ktorý na uskutočnenie špecifických úkonov používa viacero stiahnuteľných komponentov. ESET sa s ním stretol napríklad aj pri analýze série špionážnych útokov na ukrajinské vládne ciele v roku 2014. Počas nedávnych útokov na spoločnosti distribuujúce elektrinu bol deštruktívny KillDisk trojan spustený na systémoch, ktoré boli predtým infikované trojanom BlackEnergy.
Prvé známe prepojenie medzi BlackEnergy a KillDiskom odhalila ukrajinská bezpečnostná agentúra CERT-UA v novembri 2015. V tomto prípade išlo o útoky smerované na médiá práve počas ukrajinských regionálnych volieb. Podľa správy CERT-UA došlo pri tomto útoku k zničeniu vysokého počtu dokumentov a videí.
Varianta KillDisku použitá pri decembrovom útoku na distribučné spoločnosti obsahovala dodatočné funkcie. Okrem mazania systémových súborov, vďaka čomu zneškodnila infikované zariadenia, obsahovala aj kód určený na sabotáž priemyselných systémov.
Infekcia prebiehala tak, že obeť dostala spear-phishingový email so škodlivou prílohou. Odosielateľ nafingoval, že správa prišla z ukrajinského parlamentu a škodlivá správa obsahovala text, ktorým prijímateľa nabádala k tomu, aby v dokumente aktivoval makrá. Ich vlastnosťou je aj to, že dokážu z internetu sťahovať ďalšie súbory.