ESET公司的研究人員詳細分析了一款看似專門針對電力網的惡意軟件Industroyer（“工業毀壞者”），它被指在2016年12月用于攻擊烏克蘭的一所電力變電站。發現其能夠專門攻擊電網系統基礎設施，研究人員認為，Industroyer是Stuxnet以來最大的工控系統威脅

　　和烏克蘭電力網攻擊有關聯

專門針對ICS的惡意軟件非常少見，而Industroyer是已知的第四款此類惡意軟件，其它三款是2010年用于攻擊伊朗核實施的“震網病毒”、2015年12月用于攻擊烏克蘭電力網的BlackEnergy、以及主要針對歐洲組織機構的Havex。

雖然ESET和Dragos公司無法證實Industroyer/CRASHOVERRIDE就是導致2016年烏克蘭基輔地區電力中斷的直接原因，但很多人認為俄羅斯黑客是幕后黑手，而這兩家公司基于編譯日期等數據得出的結論是，攻擊中使用的正是這款惡意軟件。這款惡意軟件的主要后門組件能讓攻擊者在受感染系統上執行多個命令。它通過Tor網絡跟C&C服務器通信并可被設置為僅在特定時間段呈現活躍狀態，這樣做可能是為了逃避檢測。

這個組件還會部署偽裝成Windows Notepad應用程序木馬版本的次級后門。這個主要后門還會安裝啟動器組件從而觸發擦除器和有效負載。這款擦除器顯然是針對攻擊的最后階段設計的，從而幫助攻擊者隱藏其蹤跡并導致恢復受感染系統更難。這包括清除注冊鍵并覆寫ICS配置和Windows文件。

這些有效負載能讓攻擊者控制電路斷路器、利用工業通信協議。這表明至少某些惡意軟件開發人員對電力網運營和工業網絡通信有著深刻理解。其它相關工具包括一款利用CVE-2015-5374的自定義內置端口掃描器和DoS工具，從而導致西門子SIPROTEC中繼變得無響應。