Im letzten Artikel wurde der erste Cyberangriff am 23. Dezember 2015 auf die ukrainische Stromversorgung beschrieben. Ungefähr ein Jahr später ereignete sich ein weiterer ähnlicher IT-Zwischenfall gegen das Land, der die Hauptstadt Kiew betraf und für einen stromseitigen Black Out in einem Teil der Region sorgte.
Die zweite Attacke innerhalb eines Jahres auf das Stromnetz der Ukraine am 17. Dezember 2016 wurde jedoch nicht wieder mit der im Beitrag „Cyberangriffe auf die ukrainische Stromversorgung I“ beschriebenen Schadsoftware BlackEnergy, sondern mit einer speziell für Systemstörungen industrieller Kraftwerksanlagen der Energieversorgung entwickelten und somit codeseitig sehr fortgeschrittenen Malware namens Industroyer (als engl. Mischwort zwischen Industry für „Industrie“ und Destroyer für „Zerstörer“), also einer Art zweitem Stuxnet, durchgeführt. Diese Bezeichnung wurde dem Programm von der slowakischen IT-Sicherheitsfirma ESET gegeben, die es entdeckte. Ein weiterer Name dafür ist CrashOverride, der von der US-amerikanischen IT-Sicherheitsfirma DRAGOS vergeben wurde.
Von ESET wird Industroyer als die größte Cyber-Bedrohung für industrielle Kontroll- und Steuerungssysteme von Kraftwerksanlagen seit Stuxnet (vgl. Artikel „IT-Schutz von Kraftwerken vor Cyberbedrohungen“) eingestuft. Betroffen von dem offenbar von langer Hand geplanten Zugriff war der ukrainische Stromversorger Ukrenergo, dessen Umspannwerke von dem hochentwickelten Trojaner angegriffen und deren Steuerungssoftware in der Folge von den Angreifern über die unten genannte Hintertür des Schadprogramms von den Kontrollservern der Hacker aus übernommen wurde. Die Dauer des dadurch ausgelösten großflächigen Stromausfalls belief sich auf etwa eine Stunde und betraf etwa ein Fünftel der Landeshauptstadt.
Industroyer, der laut Angaben der IT-Sicherheitsforscher ebenso wie Stuxnet und BlackEnergy für gezielte Angriffe auf die Infrastruktur eines Landes bzw. auf dessen in Betrieb befindliche Industrieanlagen entwickelt und eingesetzt wurde, stellt eine komplexe modulare Malware mit verschiedenen, weit entwickelten Hauptkomponenten dar, insbesondere zwei Hintertüren (sog. Backdoors) zwecks Redundanz sowie Start-, Träger- und Löschkomponenten des Programms, wobei der Schadcode mehrere Kommunikationsprotokolle beherrscht, die auch in SCADA-Anlagen (Supervisory Control and Data Acquisition zur Überwachung und Steuerung technischer Prozesse mit Hilfe von Computersystemen) zum Einsatz kommen (IEC 60870-5-101, IEC 60870-5-104, IEC 61850 und OPC DA). Bei der IT-Attacke wurden vom Schädling, der zum oben genannten Datum von den Hackern aktiviert wurde, systemkritische Registrierungsschlüssel sowie OS-relevante Dateien gelöscht, um spezifische anlageninterne Kontrollschnittstellen zur Unterbrechung der Energieversorgung zu stören, das System unbootbar zu machen und eine Wiederherstellung des Systems zu erschweren.