Lotus valytuvas
Kibernetinio saugumo analitikai nustatė anksčiau nedokumentuotą duomenis naikinančią kenkėjišką programą, dabar žinomą kaip „Lotus Wiper“, kuri buvo naudojama tikslinėse atakose prieš Venesuelos energetikos ir komunalinių paslaugų sektorių 2025 m. pabaigoje – 2026 m. pradžioje. Ši kenkėjiška programa sukurta maksimaliam sunaikinimui, todėl užkrėstos sistemos tampa visiškai neveikiančios.
Turinys
Koordinuotas atakų vykdymas: daugiapakopis diegimas
Ataka remiasi dviem paketiniais scenarijais, kurie organizuoja kruopščiai suplanuotą operaciją. Šie scenarijai sinchronizuoja veiklą tinkle, silpnina sistemos apsaugą ir sutrikdo įprastą veikimą prieš inicijuodami galutinį naudingąjį apkrovą. Jų vaidmuo apima valytuvo komponento gavimą, dekofuskavimą ir vykdymą, užtikrinant sklandų perėjimą į destruktyviąją fazę.
Sistemingas naikinimas: kaip veikia „Lotus Wiper“
Aktyvavus „Lotus Wiper“, atliekama išsami duomenų naikinimo procedūra, kuri panaikina tiek sistemos funkcijas, tiek atkūrimo parinktis. Jos naikinamosios galimybės apima:
- Atkūrimo mechanizmų, įskaitant atkūrimo taškus, pašalinimas
- Fizinio disko sektorių perrašymas nuliniais duomenimis
- Failų ištrynimas visuose prijungtuose tomuose
- Atnaujinimo sekos numerių (USN) išvalymas tomų žurnaluose
Šie veiksmai kartu užtikrina, kad paveiktų sistemų nebūtų galima atkurti ar perkurti įprastomis priemonėmis.
Ketinimų rodikliai: nėra finansiškai motyvuoti
Kitaip nei išpirkos reikalaujanti programinė įranga, „Lotus Wiper“ neturi jokių išpirkos reikalaujančių pranešimų ar mokėjimo nurodymų. Šis nebuvimas rodo, kad kampanija vykdoma ne finansiniais tikslais, o sabotažo ar geopolitiniais motyvais. Pažymėtina, kad kenkėjiškos programos pavyzdys buvo viešai įkeltas 2025 m. gruodžio viduryje iš Venesuelos sistemos, prieš pat JAV karinius veiksmus 2026 m. sausį. Nors tiesioginis ryšys nebuvo patvirtintas, šis laikas sutampa su padažnėjusiais pranešimais apie kibernetinę veiklą, nukreiptą į tą patį sektorių, o tai rodo labai sutelktą operaciją.
Taikymasis į pasenusias sistemas: pasenusių aplinkų išnaudojimas
Atakų grandinė prasideda paketiniu scenarijumi, kuris inicijuoja kelių pakopų procesą. Vienas iš ankstyvųjų jos veiksmų yra bandymas išjungti „Windows“ interaktyviųjų paslaugų aptikimo (UI0Detect) paslaugą. Ši paslauga, pašalinta šiuolaikinėse „Windows“ versijose po „Windows 10“ versijos 1803, rodo, kad kenkėjiška programa yra specialiai sukurta atakuoti senesnes operacines sistemas.
Scenarijus taip pat tikrina, ar yra NETLOGON bendrinamas aplankas, ir nuskaito nuotolinį XML failą. Jis palygina šį failą su lokaliai saugoma versija tokiuose kataloguose kaip C:\lotus arba %SystemDrive%\lotus. Šis elgesys greičiausiai lemia, ar sistema yra „Active Directory“ domeno dalis. Jei nuotolinis failas nepasiekiamas, scenarijaus vykdymas nutraukiamas; kitu atveju jis tęsiamas po galimo atsitiktinės atrankos delsos iki 20 minučių, kad būtų galima bandyti iš naujo prisijungti.
Aplinkos paruošimas: sistemų išjungimas ir sutrikdymas
Antrasis partijos scenarijus paruošia pažeistą sistemą sunaikinimui, sistemingai silpnindamas jos veikimo būseną. Jo veiksmai apima:
- Vietinių vartotojų paskyrų išvardijimas ir talpykloje saugomų kredencialų išjungimas
- Aktyvių vartotojų sesijų atsijungimas
- Tinklo sąsajų išjungimas
- Vykdant komandą „diskpart clean all“, norint ištrinti loginius diskus
Be to, ji naudoja vietines „Windows“ programas, tokias kaip „robocopy“, kad perrašytų arba ištrintų failus, ir „fsutil“, kad sukurtų didelius failus, kurie užima visą laisvą vietą diske, efektyviai užkertant kelią atkūrimo pastangoms.
Galutinis naudingojo krovinio vykdymas: negrįžtama žala
Po paruošimo diegiama „Lotus Wiper“ naudingoji apkrova. Ji užbaigia naikinimo procesą ištrindama atkūrimo taškus, perrašydama fizinius sektorius, išvalydama žurnalo įrašus ir pašalindama visus sistemos failus iš prijungtų tomų. Šiame etape atkūrimas tampa praktiškai neįmanomas be išorinių atsarginių kopijų.
Gynybinės rekomendacijos: stebėsena ir švelninimas
Organizacijos, ypač veikiančios ypatingos svarbos infrastruktūros sektoriuose, turėtų taikyti aktyvias stebėsenos ir aptikimo strategijas. Pagrindinės dėmesio sritys:
NETLOGON bendrinamų išteklių pakeitimų stebėjimas
Aptikti bandymus perduoti įgaliojimus dumpinimui arba eskaluoti privilegijas
Neįprasto vietinių įrankių, tokių kaip „fsutil“, „robocopy“ ir „diskpart“, naudojimo stebėjimas
Strateginė įžvalga: ankstesnio kompromiso įrodymai
Pasenusioms „Windows“ aplinkoms pritaikytų funkcijų buvimas rodo ankstesnę žvalgybą ir ilgalaikę prieigą. Užpuolikai greičiausiai turėjo išsamių žinių apie tikslinę infrastruktūrą ir galėjo pažeisti domeno aplinkas gerokai prieš pradėdami destruktyvų etapą.
