Waarom de daders dat wilden, is niet bekend. Tegen de New York Times zegt FireEye dat de hackers misschien alleen aan het testen waren, en dat ze eigenlijk een ander doelwit hadden. De aanval is verijdeld.

De hack was eerder dit jaar al uitgelekt. Toen werd al gezegd dat de aanvallers waarschijnlijk gesteund werden door een staat, maar welk land dat was, bleef onduidelijk. FireEye zegt nu dat de hackers werken voor het Centraal Wetenschappelijk Onderzoeksinstituut voor Scheikunde en Mechanica, een regeringsinstelling in Moskou. De aanval werd bijvoorbeeld uitgevoerd vanaf een IP-adres van dat instituut tijdens Moskouse kantooruren. In de code komt volgens FireEye de schuilnaam van een Russische persoon voor en bestandsnamen hebben cyrillische (Russische) letters.

Het is niet bekend om welke raffinaderij het gaat. De hackers drongen door in het systeem dat ervoor zorgt dat de elektrische spanning, de druk en de temperatuur stabiel blijven. Het systeem wordt gebruikt in ongeveer 18.000 complexen in de wereld, waaronder kerncentrales en waterzuiveringsinstallaties.