Koniec lutego pokazał, że nawet moloch ma słabe punkty. Fabryka odpowiedzialna za kompresje gazu została wyłączona z użytku na dwa dni. To spowodowało problem w dostawie gazu, bo złamało układ systemów zależnych. Tym razem nie dokonała tego żadna grupa ochrony środowiska przez pikietę. Nie było również działań oddziałów specjalnych. Wystarczył zdalny dostęp. Oznacza to nic innego, jak wejście cyberterroryzmu w nową fazę. Do tej pory wiele scenariuszy rozważano jako teoretyczne.

Amerykański oddział CERT poinformował, że Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dokonała analizy zdarzenia. Operacja opierała się na połączeniu psychologii, a także znajomości techniki. Atak polegał na przejęciu systemu informatycznego odpowiedzialnego za nadzór nad linią przesyłową gazu, tak zwaną siecią technologii operacyjnej (OT). Do wejścia do chronionego obiektu użyli przynęty. Zastosowali link. Po kliknięciu na niego przez osobę z zewnątrz haktywiści otrzymali wejście do bazowej warstwy informatycznej. Metoda na wędkę polega na podesłaniu ofierze wiadomości zawierającą istotną dla odbiorcy treść. Po kliknięciu na odsyłacz następuje ładowanie kodu. To wystarcza, aby skończył się on uruchomieniem wirusa, czy przekazaniem danych koniecznych do nawiązania połączenia. Metoda tak zwanego „odsyłacza z przynętą” okazała się wystarczająca do umieszczenia w systemie układu szyfrującego.

Informatycy zostali odcięci od swoich danych, bo ich dyski zostały zaszyfrowane. Uderzenie kodujące skierowano na obie warstwy informatyczne linii przesyłowych. Działania na wewnętrzny system OT pozwolił na zablokowanie fizycznych zmian, a z kolei uderzenie na łączność utrudniło poszukiwanie pomocy, a także odczytywanie danych. Za tym kryło się nic innego, jak brak możliwości zarządzania całością. Atak szyfrujący stanowił odpowiednik umiejscowienia ładunku wybuchowego, ale nie powodującego szkód - w uproszczeniu tak jakby ktoś uderzył środkami EMP, czy bombą grafitową.

Wraz z szyfrowaniem danym i zablokowanie dysków pojawiła się cała reakcja łańcuchowa. Zniknął dostęp do HMI, czyli interfejsu dostępowego ludzi. Tym określeniem obejmuje się między innymi panele sterujące odpowiedzialne za zmianę ustawień na przykład otwieranie zaworów, czy regulacje ciśnienia. Urządzenia w trakcie pracy informują, co się z nimi dzieje. Operator systemu ma dzięki temu możliwość reakcji. Mechanizm tego działania przypomina sprężarkę z manometrem. Urządzenie pozwala na napompowanie koła, a wskaźnik na stwierdzenie, czy uzyskane wartości ciśnienia mieszczą się w normach, czy je na przykład przekraczają. Pracownicy stracili dostęp do tych danych. Nie wiedzieli, co się dzieje w infrastrukturze na jej najniższym poziomie.

W ramach ataku haktywiści nie wykonali żadnych działań skierowanych przeciwko układów logicznym kontrolerów programowalnych (PLC). Te właśnie układy są ostatnim ogniwem odpowiedzialnym za na przykład redukcje przepływu w gazociągu. Pomimo tego fabryka została zmuszona do wyłączenia układu, bo nie miała nad nim pełnej kontroli. Specjaliści wskazują, że atak wykazał zaawansowaną technikę przekraczania barier między systemami opartym o rozwiązanie Microsoft Windows. Tylko ten fakt ocalił Amerykanów przed na przykład wybuchem, czy daleko idącą awarią. Działania objęły tylko jedną fabrykę.

Sieciowy komunista po włamaniu, jak zobaczył iż popsuł układ uruchomił przywracanie systemu. Nie jest jednak ujawnione, czy za tym stała kwestia zakamuflowania ataku, bo wymknął się spod kontroli, czy marksistowska etyka, że każdy system wymaga ujawnienia sekretów. Pomimo, że operacja dotknęła w ujęciu ilościowym tylko jeden obiekt to wystarczyło do zablokowania całego gazociągu.

Równocześnie ujawnił się problem szkoleń pracowników. Nie wiedzieli oni, co jest do zrobienia w przypadku cyberataku. Ze strony zabezpieczeń brakowało blokowania sieciowych adresów powiązanych z przestępczością, ograniczania zakresu dozwolonego działania użytkowników, czy wieloskładnikowego modelu autoryzacji użytkowników. Nie mniej poszła już w świat informacja, że energetyka wymaga zmiany mentalności. Oznacza to, że nadchodzą lata odcinania prądu, czy gazu za pomocą komputerów, a tym samym wkroczenie terroryzmu w nowej formie na skalę jakiej do tej pory nie znaliśmy.