- Miért éppen a Wipers a leggyakrabban használt fegyver az OT-támadások során?
- A Wiper kártevő által alkalmazott négyfázisú stratégiája
- Hogyan néznek ki a valós Wiper-támadások az operatív technológiai (OT) környezetekben?
- Miért kezdődik minden Wiper-támadás azzal, hogy egy fájl átlép egy bizalmi határt?
- A legújabb támadás Venezuela energiaipara ellen
- Az elemzésben hivatkozott törlőlapka-minták és mutatók
- Állítsuk meg az Wiper-támadásokat, mielőtt végrehajtódnának
Előző blogbejegyzésünkben elemeztük a 2024-től 2026 elejéig bekövetkezett jelentősebb ICS- és OT-kiber támadásokat. Egy tendencia különösen szembetűnt: a törlőprogramok váltak az államilag támogatott szereplők kedvelt fegyverévé az operatív technológiai környezetek ellen. 2024–2025-ben hat különálló törlőprogram-kampány érintette az ipari szektorokat világszerte, ideértve az áramhálózatokat, a vízellátó rendszereket, az egészségügyet és a gyártást.
Ez a cikk részletesen elemzi ezt a tendenciát. Kifejti, miért hatékonyak a wiperek az OT-környezetekben, három valós esetet ismertet, és feltárja a mögöttük meghúzódó, visszatérő támadási mintát. A cikk megírása közben újabb példa merült fel: a nemrégiben bejelentett Lotus Wiper fenyegetés Venezuela energiaiparát vette célba. Ez az eset a cikk utolsó szakaszában szerepel.
Miért éppen a Wipers a leggyakrabban használt fegyver az OT-támadások során?
A törlőprogramok célja az adatok megsemmisítése, ami alapvetően megkülönbözteti őket a zsarolóvírusoktól. Mivel nem teszik lehetővé a zsarolást, nem jelentenek hasznos eszközt azoknak a támadóknak, akiket kizárólag anyagi haszonszerzés vezérel. Ugyanakkor rendkívül hatékonyak azok számára, akiknek célja a zavarok okozása vagy a károkozás, különösen akkor, ha a kiberműveleteket a valós világban is érezhető hatássá kívánják alakítani, miközben magas fokú anonimitást kívánnak fenntartani. Emiatt a törlőprogramokat általában államilag támogatott tevékenységekkel hozzák összefüggésbe.
A hagyományos IT-környezetekben a fájltörlő programok elsősorban fájlokat semmisítenek meg. Bár ez komoly zavarokat okozhat, a hatások gyakran helyrehozhatók, ha megbízható biztonsági mentések állnak rendelkezésre. Az OT- és ICS-környezetekben azonban más a helyzet. Az olyan rendszerek, mint a SCADA-kiszolgálók, a mérnöki munkaállomások és a HMI-kijelzők nem csupán adatokat tárolnak. Aktívan irányítják és figyelemmel kísérik a fizikai folyamatokat. Amikor ezeken a rendszereken tárolt adatok megsemmisülnek, az üzemeltetők elveszítik a műveletek feletti áttekintést és irányítást, így gyakorlatilag vakokká válnak a helyszínen zajló események tekintetében.
Itt válnak a rendszer-törlő programok különösen veszélyessé. Képesek ugyanis áthidalni a szakadékot a kibertámadások és a fizikai következmények között. Ezen képességük miatt az állami támogatást élvező szereplők gyakran alkalmazzák ezeket a programokat. Használatukra gyakran fegyveres konfliktusokkal vagy fokozott geopolitikai feszültségekkel sújtott régiókban figyelhető fel, ahol a zavarok okozása a fő cél.
A Wiper kártevő által alkalmazott négyfázisú stratégiája
Minden elemzett wiper – nyelvtől, platformtól és bonyolultságtól függetlenül – ugyanazt az alapvető mintát követi. Ezen fázisok megértése gyakorlati kiindulópontot jelent a wiper-támadások elleni védekezéshez.
1. fázis: Inicializálás
A wiper előkészíti a rendszer megrongálására szolgáló kódot, amelyhez általában egy szokásos véletlenszám-generátor segítségével pszeudo-véletlenszerű adatokat generál. A véletlenszerű adatok miatt a nyomozati helyreállítás nehezebb, mint a nullákkal való felülírás.
2. szakasz: Felmérés
A wiper felsorolja az összes megsemmisíthető elemet: a meghajtókat, köteteket, könyvtárakat és fájlokat.
3. fázis: Adatmegsemmisítés
A törlőprogram megnyitja az egyes fájlokat, eltávolítja a védelmi beállításokat, majd véletlenszerű adatokkal írja felül őket. Egyes programok ezt követően a fájlokat is törlik. Mások a Master Boot Recordot (MBR) vagy a Master File Table-t (MFT) támadják meg, így az egész lemez olvashatatlanná válik.
4. fázis: Helyreállítás-megakadályozás
A kényszerű újraindítás véglegessé teszi a kárt. A törlőprogram kiterjeszti jogosultságait, megszerez a rendszer leállításához szükséges jogokat, majd újraindítja a rendszert. Ha – és amikor – a rendszer újra elindul, már nincs mit helyreállítani.
A következő fejezetben ezt az útmutatót alkalmazzuk valós eseményekre.
Hogyan néznek ki a valós Wiper-támadások az operatív technológiai (OT) környezetekben?
DynoWiper – Lengyelország villamosenergia-hálózata
Készítő: Sandworm/ELECTRUM (GRU)
Célpont: Lengyelország, energetikai szektor (decentralizált energiaforrások)
Terjesztés: Windows-futtatható fájl (PE bináris fájl), amelyet egy megfertőzött hálózaton keresztül juttatnak el
2025 decemberében a GRU leghatékonyabb, ipari vezérlőrendszerekre (ICS) specializálódott egysége, a Sandworm a DynoWiper segítségével Lengyelország villamosenergia-infrastruktúráját vette célba. A Dragos szerint ez volt az első olyan összehangolt kibertámadás, amely széles körben a decentralizált energiaforrásokat (DER) vette célba.
Körülbelül 30 létesítményt érintett a támadás, köztük kapcsolt hő- és villamosenergia-termelő erőműveket, szélerőműparkokat és napenergia-elosztó rendszereket. A korábbi, központosított erőművekre irányuló támadásokkal ellentétben ez a művelet a modern energiaipari piacokon gyorsan terjedő, kisebb, decentralizált létesítményeket vette célba. Ezek a létesítmények általában kevésbé védettek is.
A támadás akár 500 000 lakost is érinthetett. A lengyel miniszterelnök kijelentette, hogy az átviteli hálózat nem került veszélybe, de a támadók behatoltak az operációs technológiai (OT) rendszerekbe, és egyes berendezéseket véglegesen működésképtelenné tettek. A DynoWiper pontosan követte a négyfázisú forgatókönyvet: pszeudo-véletlenszerű hasznos teher generálása, meghajtók felderítése, fájlok felülírása és kényszerű újraindítás. A támadás egy szisztematikus pusztításra tervezett, lefordított bináris fájlként futott le.
PathWiper – Ukrajna kritikus infrastruktúrája
Elkövető: Russia-nexus (meg nem nevezett egység)
Célpont: Ukrajna, kritikus infrastruktúra (több szektor)
Terjesztés: VBScript dropper és egy futtatható fájl kombinációja
A PathWiper-t egy Oroszországgal kapcsolatban álló szereplő vetette be az ukrán kritikus infrastruktúra ellen egy jelenleg is folyó háborús kiberkampány részeként. Míg a DynoWiper egy konkrét szektort vett célba, a PathWiper szélesebb körben támadta a kritikus infrastruktúrát, és a fegyveres konfliktus idején számos alapvető szolgáltatást érintett.
Ami ezt a programot kiemeli a többi közül, az a megsemmisítés alapossága. A PathWiper nem csupán felülírja a fájlokat. A helyi tárolóeszközt kötet szinten semmisíti meg. Egy aktív háborúban a létfontosságú szolgáltatásokat irányító rendszerek törlése olyan következményekkel jár, amelyek messze túlmutatnak az adatvesztésen.
Ugyanezek a négy fázisok érvényesek, de a PathWiper a megsemmisítési fázist a legtöbb eszköznél tovább viszi. Azzal, hogy nem az egyes fájlokat, hanem a tárolóegység egészét veszi célba, biztosítja, hogy még a részleges helyreállítás is gyakorlatilag lehetetlen legyen. A cél a teljes törlés, nem csupán az adatoké, hanem a rendszer működőképességéé is.
LazyWiper — Lengyelország gyártási szektora
Kiváltó: Sandworm/ELECTRUM (GRU)
Célpont: Lengyelország, gyártóipar
Terjesztés: PowerShell-parancsfájl, amelyet csoportházirend-objektumokon (GPO) keresztül juttatnak el
A LazyWiper nem volt önálló támadási kampány. A DynoWiperrel azonos napon, 2025. december 29-én csapott le, ugyanazon összehangolt művelet részeként. Célpontja azonban egy gyártóvállalat volt, és a CERT Polska a támadást alkalmi jellegűnek minősítette. A támadók felderítettek egy védelem nélküli behatolási pontot, és azt használták ki.
A behatolási pont egy Fortinet-eszköz volt, amelynek konfigurációs adatait ellopták, majd egy bűnözői fórumon közzétették. A támadók a kiszivárgott hitelesítő adatokat felhasználva állandó hozzáférést biztosítottak maguknak, majd oldalirányban eljutottak a tartományi rendszergazdai jogosultságokig, és a GPO-n keresztül minden gépre feltelepítették a LazyWiper programot. A DynoWiper összeállított bináris fájljával ellentétben a LazyWiper egy PowerShell szkript. Letiltja a Defender programot, a beépített Windows felügyeleti eszközöket használva feltérképezi az összes meghajtót, a fájlokat véletlenszerű, négy karakterből álló nevekre nevezi át, majd pszeudo-véletlenszerű adatokkal írja felül őket.
Egy részlet teszi ezt az esetet különösen figyelemre méltóvá. A CERT Polska megállapította, hogy a fájlokat felülíró kód egyes részeit valószínűleg egy nagy nyelvi modell generálta, ami arra utal, hogy a valós környezetben már AI-támogatott kártevőprogramok is megjelennek. Ha a biztonsági szakemberek azt feltételezik, hogy a fájlmegsemmisítő programok mindig hagyományos, lefordított kártevőprogramok formájában jelennek meg, a LazyWiper rávilágít arra, hogy figyelembe kell venni a szkriptalapú és dinamikusan generált fenyegetéseket is.
Miért kezdődik minden Wiper-támadás azzal, hogy egy fájl átlép egy bizalmi határt?
A blogban bemutatott minden esetnek, valamint a korábbi fenyegetési helyzetről szóló jelentésben szereplő minden esetnek van egy közös vonása: egy fájl átlépte a bizalmi határt. A formátumok és az átviteli módszerek eltérőek, de a mintázat ugyanaz.
- DynoWiper: egy fertőzött hálózaton keresztül terjesztett Windows-fájl
- PathWiper: VBScript-alapú dropper és egy futtatható fájl párosítása
- LazyWiper: PowerShell-parancsfájl GPO-n keresztül történő telepítése
OPSWAT Adaptive Sandbox minden fájltSandbox minden bizalmi határon, mielőtt az eljutna a fejlesztői munkaállomásra, mielőtt kapcsolatba lépne a SCADA-rendszerrel, és mielőtt átlépne az IT-ről az OT-re. Nem a káros viselkedés megfigyelésére támaszkodik. Ehelyett ellenőrzött környezetben azonosítja a rosszindulatú funkciókat, mielőtt a fájlt megbízhatónak minősítené.
Ha az energia-, víz-, gyártási, egészségügyi vagy közszféra területén tevékenykedik, akkor a wiperek – függetlenül attól, hogy kifejezetten figyelembe veszik-e őket vagy sem – része a fenyegetési modelljének.
A törlőprogramok új nyelvekkel, terjesztési módszerekkel és célpontokkal bővülnek, de a működési elv változatlan marad. A fájlnak be kell jutnia a rendszerbe, és ott futnia kell. Ez a 2010-es Stuxnet-től a 2025-ös DynoWiper-ig változatlanul igaz. A fájl ellenőrzése még azelőtt, hogy átlépné a rendszerhatárt, olyan védelmi intézkedés, amely minden törlőprogramra, támadóra és szektorra érvényes.
A legújabb támadás Venezuela energiaipara ellen
A cikk véglegesítésének idején, április 21-én a Kaspersky GReAT egy eddig ismeretlen, a venezuelai energia- és közüzemi szektort célzó adatmegsemmisítő programról, a Lotus Wiperről számolt be.
A támadás módszeresen zajlik. Két parancsfájl először elszigeteli a gépet azáltal, hogy letiltja a szolgáltatásokat, leállítja a hálózati interfészeket és kijelentkezik a munkamenetekből. Ezután törli a lemezpartíciókat, felülírja a mappákat és kitölti a fennmaradó tárhelyet. Csak ezek után fut le a végső kártékony kód.
A törlőprogram legitim vállalati szoftverkomponensként álcázza magát, titkosított formában kerül a rendszerbe, és futáskor kerül visszafejtésre. Aktiválódása után a rendszer már nem indítható el, és az adatok helyrehozhatatlanul elvesznek. Nincs váltságdíj-követelés, és nincs jele annak sem, hogy az adatokat anyagi haszonszerzés céljából szivárogtatták volna ki. A cikkben bemutatott többi törlőprogramhoz hasonlóan a Lotus Wiper is kizárólag a rendszer megsemmisítésére szolgál.
Ugyanez a mintázat valós időben is megismétlődik. Egy fájl átlép egy bizalmi határt, végrehajtódik, és megsemmisít mindent, amihez hozzáfér. A hasznos adat dekódolása előtti fájlszintű ellenőrzés jelenti a legkorábbi lehetőséget a megakadályozásra.
Az elemzésben hivatkozott törlőlapka-minták és mutatók
Ablaktörlő | Típus | Cél | Színész | Hash / Mutató |
DynoWiper | Windows PE | Lengyelország, Energia | Homokféreg/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | Ukrajna, kritikus infrastruktúra | Oroszország-kapcsolat | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | Lengyelország, Gyártás | Homokféreg/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
Lotus ablaktörlő | Windows PE | Venezuela, energia és közművek | Ismeretlen (geopolitikai okokból) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
Állítsuk meg az Wiper-támadásokat, mielőtt végrehajtódnának
A Wiper-támadások minden környezetben, ágazatban és támadótípus esetében hasonló mintát követnek. Függetlenül attól, hogy milyen módon kerülnek terjesztésre vagy milyen nyelvet használnak, mindig ugyanazon a folyamaton alapulnak: egy fájl átlép egy bizalmi határt, végrehajtódik, majd megsemmisíti a rendszer adatait.
Ez a következetesség egyértelmű védelmi lehetőséget teremt. A fájlok azonosítása és elemzése még mielőtt megbízhatónak minősülnének, továbbra is az egyik leghatékonyabb módszer a törlőprogramok megakadályozására, mielőtt azok kárt okozhatnának.
MetaDefender többszintű megközelítést alkalmaz a probléma kezelésére. Valós idejű hírnév-elemzést, fejlett sandbox-technológiát és viselkedésalapú korrelációt ötvöz, hogy a végrehajtás előtt felismerje az ismeretlen és nehezen felismerhető fenyegetéseket. Emulációalapú elemzésével feltárja a rejtett hasznos adatokat, kibontja a többfázisú kártevőket, és szignatúrák használata nélkül azonosítja a fertőzésre utaló jeleket.
A kritikus infrastruktúrát üzemeltető szervezetek számára ez a megközelítés lehetővé teszi a támadások korai felismerését még azok kezdeti szakaszában, mielőtt a zavarok eljutnának az operatív technológiai (OT) rendszerekig. Ha szeretné megismerni, hogyan alkalmazható ez az Ön környezetére, vegye fel a kapcsolatot OPSWAT , hogy megbeszéljék MetaDefender .
