По результатам расследования специальной группы, которая работала с 18 января 2016 по 3 февраля этого года, было выявлено, что компрометация сетей облэнерго была проведена как минимум 6 месяцев назад. Сделано это было с помощью рассылки писем с вирусами типа BlackEnergy на электронные адреса сотрудников компании. После запуска вируса у злоумышленников появилась возможность собирать сведения о программных средствах сетей, её структуре, а также данные об учетных записях, пароли и прочей информации.
В данной атаке участвовала группа лиц, действия которой были одновременно направлены на три энергопоставщика – « Прикарпатьеоблэнерго», «Киевоблэнерго» и «Черновцыоблэнерго». По полученной информации, подключение одного из злоумышленников происходило из подсети глобального интернета, принадлежащего провайдеру из России.
Злоумышленники, используя заранее полученный удаленный доступ к компьютерам АСДУ, произвели отключение на распределительных подстанциях, что и привело к кратковременному отключению энергосистем. Перерыв в электроснабжении составил в различных местах от 1 до 3.5 часов. Кроме этого, были заражены часть рабочих станций и серверов, что привело к их выходу из строя.
Кибератака сопровождалась массовыми звонками с российских номеров на номера колл-центра облэнерго.
Рабочая группа представила свои рекомендации для предотвращения подобных действий в будущем.