Lotus: Yeni Bir Veri Temizleme Zararlısı
Geçtiğimiz yıl, enerji ve kamu hizmetleri sektöründeki kuruluşlara yönelik hedefli saldırılarda “Lotus” adı verilen daha önce belgelenmemiş bir veri temizleme zararlısının kullanıldığı tespit edilmiştir. Bu zararlının, Venezuela’daki istihdam edilen bir makineden kamuya açık bir platforma yüklendiği ve Kaspersky araştırmacıları tarafından incelendiği ortaya konmuştur.
Saldırı Nasıl Çalışıyor?
Kaspersky’nin raporuna göre, Lotus veri temizleme zararlısı, hedef alınan sistemlerin tamamen yok edilmesi için tasarlandığı için, fiziksel sürücüleri yazıp geçiyor ve kurtarma seçeneklerini ortadan kaldırıyor.
Zararlının Etkileri:
- Kurtarma mekanizmalarını kaldırmak,
- Fiziksel sürücü içeriklerini yazmak,
- Etkilenmiş hacimlerdeki dosyaları sistematik olarak silmek.
Bu sonucun nihayetinde, sistemin geri alınamaz bir durumda kalmasına neden olduğu belirtildi. Saldırıların zamanlaması, venezuelalı lider Nicolás Maduro’nun yakalandığı 3 Ocak 2023 tarihinde bölgedeki jeopolitik gerginliklerle paralellik göstermektedir.
Etkilenen Sistemler
Aralık 2025’te, Venezuela’nın devlet kontrolündeki petrol şirketi Petróleos de Venezuela (PDVSA), teslimat sistemlerini devre dışı bırakan bir siber saldırıya uğradı. Şirket, bu olayı ABD’nin gerçekleştirdiğini ileri sürdü. Ancak, PDVSA’nın sistemlerinin saldırı sırasında silindiğine dair kamuya açık bir kanıt bulunmamaktadır.
İlk Faaliyetler
Kaspersky’nin raporu, saldırıların bir batch script’inin (OhSyncNow.bat) çalıştırılmasıyla başladığını belirtmektedir. Bu script, Windows’un ‘UI0Detect’ hizmetini devre dışı bırakarak, sistemler arasında senkronizasyon sağlamak için bir XML dosyası kontrolü yapmaktadır. Belirli şartlar gerçekleştiğinde ikinci aşama script’i (notesreg.bat) devreye girmektedir; burada kullanıcılar listelenir, hesaplar şifre değişiklikleriyle devre dışı bırakılır, aktif oturumlar kapatılır ve tüm ağ arayüzleri devre dışı bırakılır.
Lotus Temizleyicisinin Yayılması
Lotus wiper, düşük seviyede çalışarak, disklerle IOCTL çağrıları aracılığıyla etkileşimde bulunur, disk geometrisini alır, USN günlük girişlerini temizler, geri yükleme noktalarını siler ve yalnızca mantıksal hacimleri değil, fiziksel sektörleri de siler.
Lotus Wiper’ın Gerçekleştirdiği İşlemler:
- Yüksek yetkili erişim sağlamak için kendi token’larında tüm ayrıcalıkları etkinleştirme,
- Windows sistem geri yükleme API’sini kullanarak tüm geri yükleme noktalarını silme,
- Fiziksel sürücüleri sıfırlarla doldurarak silme,
- Dosya sistemi etkinliklerinin izlerini kaldırmak için USN günlüğünü temizleme,
- Dosyaları sıfırlayarak içeriğini silme ve rastgele yeniden adlandırma.
Kaspersky, sistem yöneticilerinin NETLOGON paylaşımındaki değişiklikler, UI0Detect manipülasyonu, toplu hesap değişiklikleri ve ağ arayüzlerinin devre dışı bırakılması için izleme yapmalarını önermektedir. Ayrıca ‘diskpart’, ‘robocopy’ ve ‘fsutil’ gibi komutların beklenmedik kullanımı da bir alarm işareti olarak değerlendirilmektedir.
Çözüm ve Korunma
Veri temizleme zararlıları ve fidye yazılımlarına karşı genel bir öneri olarak, düzenli olarak çevrimdışı yedeklerin tutulması ve bu yedeklerin geri yüklenebilirliğinin sıklıkla doğrulanması tavsiye edilmektedir.
Aksiyon:
Kullanıcıların, sistemlerini güncel tutmaları, gereksiz portları kapatmaları ve şüpheli aktiviteleri izlemeleri önemlidir. Özellikle yukarıda belirtilen işlemleri gerçekleştiren script’leri ve zararlıları takip ederek, sistem güvenliğini sağlamak için aktif önlemler alınmalıdır.
