Im Artikel „IT-Schutz von Kraftwerken vor Cyberbedrohungen“ wurde der Computerwurm Stuxnet erwähnt, der speziell zum Angriff auf leittechnische Systeme zur Überwachung und Steuerung von Kraftwerksanlagen, das sogenannte SCADA-System (Supervisory Control and Data Acquisition), entwickelt und genutzt wurde. Betroffen war damals unter anderem das Atomprogramm des Irans, wo durch das Schadprogramm gezielt eine Urananreicherungsanlage sowie ein Kernkraftwerk angegeriffen und systemisch gestört wurden. Ähnliche Attacken gab es auch in der Ukraine, die zu flächendeckenden Ausfällen in der Stromversorgung des Landes führten.

So kam es im Dezember 2015 zu weitreichenden Stromausfällen in der ukrainischen Region Iwano-Frankiwsk im Westen des Landes. Der Blackout wurde, wie sich im Nachhinein herausstellte, zumindest zum Teil durch einen Hackerangriff verursacht, was auch vom Computer Emergency Response Team der Ukraine (CERT-UA) bestätigt wurde. Hauptsächlich vom Vorfall betroffen war damals offenbar der ukrainische Stromversorger Prykarpattyaoblenergo, jedoch auch weitere regionale Energieversorgungsunternehmen (EVU) des Landes. Durchgeführt wurde der ebenfalls gezielte Angriff mit der kurz zuvor bekannt gewordenen Malware Black Energy, die von Hackern vornehmlich zu DDoS-Angriffen und industriellen Spionagezwecken eingesetzt werden soll.

Entdeckt wurde die Malware laut CERT-UA, als während der ukrainischen Wahlen im November 2015 verschiedene Varianten des Trojaners ebenfalls gezielt zur Manipulation mittels Datensuch- und -löschfunktionen durch das Programm eingesetzt wurden. Für die Herbeiführung der oben genannten Stromausfälle vor Weihnachten über den Zugriff auf industrielle Kontrollanlagen soll dann eine weitere angepasste Version des Schadcodes angewendet worden sein, die laut des slowakischen IT-Sicherheitsunternehmens ESET eine Komponente enthielt, die die für die Anlagensteuerung relevanten Daten auf den infiltrierten Systemen überschreibt und somit unbrauchbar macht.

Sicherheitsexperten berichteten weiterhin, dass Mitarbeiter verschiedener ukrainischer Energielieferanten ihre Rechner zunächst über eine sogenannte Phishing-Attacke mit Black Energy infiziert haben sollen, woraufhin dieser sich über die Ausführung der in den angehängten Microsoft Office-Dateien enthaltenen schädlichen Makros (Unterprogramme auf VBA-Basis) erst wirksam entfalten konnte. Die Schadsoftware soll betroffene Systeme weiterhin unbootbar machen, so dass Industrieanlagen nicht mehr angesteuert werden können, und darüber hinaus in der Lage sein, Hintertüren (sogenannte Back- oder Trapdoors) auf den sabotierten Rechnern zu installieren, um von außen gezielt auf diese zugreifen oder beispielsweise weitere Module des / der Sabotagetools nachladen zu können.