Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA отбила целевую атаку на объекты энергетики.
Ее целью которых было выведение из строя нескольких инфраструктурных элементов: высоковольтных электрических подстанций — с помощью вредоносной программы INDUSTROYER2; причем каждый исполняемый файл содержал статически указанный набор уникальных параметров для соответствующих подстанций (дата компиляции файлов: 23.03.2022); электронных вычислительных машин (ЭВМ) под управлением операционной системы Windows (компьютеров пользователей, серверов, а также автоматизированных рабочих мест автоматизированной системы управления технологическим процессом) — с помощью вредоносной программы-деструктора CADDYWIPER; при этом для дешифрования и запуска последнего предусмотрено использование лоадера ARGUEPATCH и шелкода TAILJUMP; серверного оборудования под управлением операционной систем Linux — с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED, AWFULSHRED; активного сетевого оборудования. «Централизованное распространение и запуск CADDYWIPER реализовано посредством механизма групповых политик (GPO).
С целью добавления групповой политики, предусматривающей загрузку компонентов файлового деструктора из контроллера домена, а также создания запланированного задания на ЭВМ, использован PowerShell-скрипт POWERGAP.
Возможность горизонтального перемещения между сегментами локальной вычислительной сети обеспечена путем создания цепей SSH-тоннелей.