Lotus Wiper cilja energetski sektor

by ·

Lotus Wiper, zlonamjerni softver koji je nedavno analizirala kompanija Kaspersky, pokazao je razarajući uticaj na sektore kritične infrastrukture i time naglasio potrebu za snažnim bezbjednosnim protokolima radi zaštite od naprednih napada. Njegova sposobnost da izbjegne otkrivanje i izazove haos na ciljanim sistemima dodatno pojačava zabrinutost u savremenom pejzažu prijetnji. Kako se organizacije suočavaju sa posljedicama ovog napada, postaje jasno da je budnost presudna za sprječavanje sličnih incidenata.

Lotus Wiper

Lotus Wiper cilja energetski sektor; Source: Bing Image Creator

LOTUS WIPER ZLONAMJERNI SOFTVER

Otkriće nove destruktivne kampanje zlonamjernog softvera usmjerene na energetske i komunalne organizacije u Venecueli ima značajne posljedice po bezbjednost kritične infrastrukture. Zlonamjerni softver Lotus Wiper je raspoređen sredinom decembra 2025. godine sa uređaja unutar granica zemlje, što se poklopilo sa izvještajima o aktivnostima usmjerenim na energetski sektor.

Ovaj događaj naglašava rastući pejzaž prijetnji u Latinskoj Americi i na Karibima, gdje ciljanje kritične infrastrukture postaje sve rasprostranjenije. Raspoređivanje destruktivnog zlonamjernog softvera poput Lotus Wiper pokazuje potrebu za jačanjem bezbjednosnih mjera kako bi se vitalni sistemi zaštitili od sve spretnijih sajber napada.

Za razliku od ucjenjivačkog softvera (eng. ransomware), koji obično uključuje iznudu plaćanja u zamjenu za vraćanje pristupa podacima, Lotus Wiper ima jedinu svrhu da uništi podatke i trajno poremeti operacije, bez očiglednog finansijskog motiva. Ovakav pristup mijenja način na koji bezbjednosni timovi moraju da razmišljaju o incidentima, jer sada postoji realna prijetnja napada koji daju prednost ometanju u odnosu na iznudu.

Organizacije koje posluju u sektorima visokog rizika, poput energetike i komunalnih usluga, moraju ponovo procijeniti svoj stav prema sajber bezbjednosti i osigurati da su spremne da odgovore na ovakve prijetnje.

Pojava Lotus Wiper pokreće i pitanja o njegovim potencijalnim vezama sa širim geopolitičkim tenzijama u karipskom regionu. Kampanja koja se pojavila krajem 2025. i početkom 2026. godine, zajedno sa dokazima o dugoročnom pristupu mrežama žrtava prije pokretanja zlonamjernog softvera za brisanje podataka, ukazuje na mogućnost da iza nje stoje akteri koje sponzoriše država ili oni sa strateškim motivima.

 

Početni vektor i pripremne radnje

Lotus Wiper započinje djelovanje kroz batch skriptu OhSyncNow.bat, koja otvara radni direktorijum na disku, obično pod nazivom C:\lotus, i gasi staru uslugu Interactive Services Detection na starijim verzijama Windows operativnog sistema. Skripta provjerava NETLOGON dijeljenje za XML datoteku OHSync.xml, koja služi kao mrežni okidač. Kada je marker prisutan, pokreće se notesreg.bat, koji mijenja lozinke lokalnih korisnika u nasumične vrijednosti, ostavljajući netaknute samo unaprijed određene naloge. Time se blokira pristup većini korisnika, dok se istovremeno gasi privremeno zapamćeni prijem preko registra Winlogon i prekidaju aktivni korisnički pristupi. Na kraju se mrežna okruženja isključuju pomoću netsh komandi, čime se sistem izoluje.

Nakon ovih pripremnih radnji, skripta prelazi u destruktivnu fazu. Korištenjem ugrađenih Windows alata, poput diskpart sa naredbom clean all, brišu se svi logički diskovi i particije. Robocopy se koristi u režimu preslikavanja da bi se obrisali sadržaji direktorijuma, dok fsutil stvara ogromne datoteke koje popunjavaju preostali prostor na disku. Ova kombinacija radnji čini oporavak gotovo nemogućim, jer briše podatke i istovremeno onemogućava vraćanje sistema u prethodno stanje.

U završnoj fazi pokreće se lažna izvršna datoteka nstats.exe, koja se predstavlja kao HCL Domino softver. Ona koristi dodatne binarne datoteke nevent.exe i ndesign.exe da bi dešifrovala završni kod zlonamjernog softvera za brisanje podataka. Ove datoteke su već raspoređene na više računara u mreži, što ukazuje na dugotrajan pristup zlonamjernog aktera. Korištenje lažnih legitimnih softvera otežava analizu i prikriva stvarnu namjeru. Kada se zlonamjerni softver za brisanje podataka aktivira, dobija povišene privilegije i time stiče potpunu kontrolu nad sistemom.

Lotus Wiper se u ovoj fazi oslanja na postojeću infrastrukturu u ugroženom okruženju. Korištenje NETLOGON dijeljenja i selektivno mijenjanje naloga ukazuje na pažljivo planiran napad, gdje se određeni privilegovani pristupi čuvaju radi daljeg djelovanja. Ovakva strategija omogućava zlonamjernim akterima da zadrže dugotrajnu kontrolu i koordinaciju preko više ugroženih sistema.

 

Analiza destruktivnih sposobnosti

Lotus Wiper koristi funkcije niskog nivoa sistema kako bi osigurao potpunu destrukciju. System Restore biblioteka srclient.dll koristi se za brisanje tačaka vraćanja, čime se uklanja mogućnost povratka sistema na ranije stanje. Kontrola ulazno/izlaznih operacija (eng. input/output control – IOCTL) omogućava direktan pristup fizičkim diskovima, čitanje njihove geometrije i upisivanje nula u svaki sektor. Na ovaj način se zaobilaze standardne zaštite i briše cjelokupan sadržaj uređaja. Dodatno, brišu se žurnali broja ažuriranja (eng. update sequence number – USN), što otežava praćenje aktivnosti i forenzičku analizu.

Proces uništavanja uključuje višestruke prolaze: datoteke se prazne, preimenuju u nasumične heksadecimalne oznake i brišu pomoću MoveFileExW sa odloženim zastavicama kada su zaključane. Ovaj pristup osigurava da sistemi ostanu neupotrebljivi i da se ne mogu obnoviti. Lotus Wiper se time svrstava među najrazornije zlonamjerne softvere, jer koristi ugrađene funkcije operativnog sistema za potpuno uništenje podataka i infrastrukture.

Korištenje ugrađenih alata kao što su diskpart, robocopy i fsutil pokazuje da zlonamjerni akteri nastoje da ostanu neprimijećeni, oslanjajući se na legitimne funkcije sistema. Ovakav način djelovanja otežava otkrivanje, jer se radnje ne razlikuju od uobičajenih administrativnih komandi. Istovremeno, kombinacija brisanja podataka, popunjavanja prostora i uklanjanja tačaka vraćanja čini oporavak gotovo nemogućim.

Lotus Wiper se povezuje sa istorijskim incidentima poput NotPetya i HermeticWiper, jer dijeli sposobnost da potpuno onesposobi sisteme i ostavi ih neupotrebljivim. Višestruko brisanje datoteka, manipulacija žurnalima i korištenje odloženog brisanja dodatno otežavaju forenzičku analizu i produžavaju vrijeme potrebno za razumijevanje napada. Ovakva kombinacija metoda čini Lotus Wiper jednim od najopasnijih alata za uništavanje podataka u modernim napadima.

 

Geopolitički kontekst

Vrijeme sajber napada poklopilo se sa rastućom geopolitičkom napetošću u karipskom regionu krajem 2025. i početkom 2026. godine. Ovakav okvir ukazuje na moguću povezanost između lokalnih sukoba i pojave naprednog zlonamjernog softvera poput Lotus Wiper. Sama činjenica da se napad odvijao u trenutku intenzivnih političkih previranja daje dodatnu težinu njegovom značaju.

Postoje određene naznake da su slične sajber operacije mogle biti dio američke strategije usmjerene na olakšavanje izvlačenja predsjednika Venecuele Nikolasa Madura u januaru 2026. godine. U tim navodima se spominjalo ciljanje elektroenergetskih mreža i sistema protivvazdušne odbrane. Iako se ove tvrdnje ne povezuju direktno sa konkretnom grupom ili entitetom odgovornim za napad zlonamjernim softverom Lotus Wiper, one naglašavaju složen odnos između političkih procesa i sajber bezbjednosnih prijetnji.

Eskalacija tenzija u karipskom regionu stvorila je okruženje pogodno za intenziviranje sajber aktivnosti. Takva atmosfera omogućila je da digitalni napadi postanu dio šireg bezbjednosnog pejzaža, u kojem se granice između fizičkih i virtuelnih prijetnji sve više brišu. Ova dinamika pokazuje kako se sajber prostor koristi kao dodatni instrument u kontekstu međunarodnih odnosa.

Uočljivo je da se sajber operacije u ovom periodu nisu odvijale izolovano, već su bile povezane sa širim geopolitičkim kretanjima. Lotus Wiper se pojavio kao primjer zlonamjernog softvera čija upotreba odražava povezanost između tehnoloških kapaciteta i političkih ciljeva. Time se otvara pitanje načina na koji sajber napadi postaju dio strateških kalkulacija u kriznim situacijama.

 

UTICAJ

Lotus Wiper pokazuje kako zlonamjerni softver može imati direktan uticaj na energetski sektor i šire okvire kritične infrastrukture. Njegova sposobnost da uništi podatke bez finansijskog motiva mijenja prirodu prijetnje, jer cilj nije iznuda već trajno ometanje rada. Time se otvara prostor za razmatranje novih dimenzija sajber napada, gdje destrukcija postaje primarni cilj, a posljedice se šire na društvo i ekonomiju.

Uticaj Lotus Wiper zlonamjernog softvera na energetske sisteme u Venecueli pokazuje kako digitalni napadi mogu destabilizovati ključne sektore. Gubitak podataka i prekid rada mreža dovode do poremećaja u snabdijevanju, što ima domino efekat na industriju, javne usluge i svakodnevni život građana. Ovakvi događaji naglašavaju ranjivost infrastrukture oslonjene na digitalne sisteme i ukazuju na potrebu da se sagleda širi kontekst sigurnosti.

Destruktivne sposobnosti Lotus Wiper zlonamjernog softvera, zasnovane na korištenju legitimnih sistemskih alata, utiču na način na koji se posmatra odbrana od sajber prijetnji. Kada se zlonamjerni akter oslanja na funkcije koje su već dio operativnog sistema, granica između normalnog administrativnog rada i zlonamjernog djelovanja postaje nejasna. To otežava otkrivanje i produžava vrijeme potrebno da se prepozna i zaustavi napad, čime se povećava šteta.

Uticaj se ne ograničava samo na tehnički nivo, već se širi i na geopolitički kontekst. Pojava Lotus Wiper zlonamjernog softvera u trenutku političkih tenzija u karipskom regionu pokazuje kako sajber napadi mogu biti povezani sa širim strateškim ciljevima. Digitalni prostor se koristi kao sredstvo pritiska i destabilizacije, što mijenja način na koji se sagledava sigurnost u međunarodnim odnosima.

Ovakvi napadi ostavljaju dugotrajne posljedice na povjerenje u digitalne sisteme. Kada infrastruktura postane meta destruktivnog softvera, povjerenje u njenu otpornost slabi, a društvo postaje svjesnije da digitalna sigurnost nije samo tehničko pitanje, već i faktor koji oblikuje političku i ekonomsku stabilnost.

 

ZAKLJUČAK

Lotus Wiper zlonamjerni softver se pojavljuje u vremenu kada digitalni prostor postaje sve značajniji u oblikovanju odnosa između država. Njegova upotreba u kontekstu političkih tenzija pokazuje da sajber napadi više nisu izolovani tehnički incidenti, već dio šireg bezbjednosnog okvira. Time se otvara pitanje granica između tradicionalnih sukoba i digitalnih operacija.

Sama činjenica da je napad izveden u periodu intenzivnih političkih previranja ukazuje na povezanost tehnoloških kapaciteta i strateških ciljeva. Digitalni prostor se koristi kao sredstvo pritiska, a napadi na infrastrukturu postaju dio šireg plana destabilizacije. Ovakva dinamika mijenja način na koji se sagledava sigurnost u međunarodnim odnosima.

Sajber operacije u ovom periodu nisu djelovale samostalno, već su bile povezane sa širim geopolitičkim kretanjima. Lotus Wiper se pojavljuje kao primjer zlonamjernog softvera čija upotreba odražava složenost odnosa između političkih procesa i digitalnih prijetnji. Time se pokazuje kako tehnologija postaje instrument u rukama aktera sa različitim interesima.

Okruženje u kojem se napad dogodio bilo je pogodno za intenziviranje digitalnih aktivnosti. Eskalacija tenzija u regionu stvorila je uslove u kojima sajber prostor postaje produžetak političkih sukoba. Ova povezanost između virtuelnog i stvarnog svijeta naglašava novu dimenziju bezbjednosnog pejzaža.

 

PREPORUKE

Nove prijetnje poput Lotus Wiper zlonamjernog softvera pokazuju koliko je važno da organizacije i pojedinci pravovremeno poduzmu mjere radi zaštite sistema od napada usmjerenih na brisanje podataka, jer samo dosljedna prevencija može smanjiti rizik od ozbiljnih posljedica. U nastavku slijede preporuke koje mogu pomoći u jačanju sigurnosti i otpornosti sistema:

  1. Redovne rezervne kopije važnih podataka su ključne za sprječavanje gubitka podataka usljed zlonamjernih aktivnosti ili kvarova sistema. Osigurati da svi kritični podaci budu sačuvani na sigurnoj lokaciji, poput spoljnog čvrstog diska ili usluge čuvanja podataka u oblaku, i to redovno (npr. svakodnevno).
  2. Identifikovati potencijalne ranjivosti i procijeniti vjerovatnoću napada unutar infrastrukture organizacije. Ovo omogućava efikasno raspoređivanje resursa u rješavanju najrizičnijih oblasti.
  3. Redovno pregledati bezbjednosne dnevnike radi sumnjivih obrazaca pristupa, naročito na domenima gdje se čuvaju osjetljivi podaci. Primjena alata za nadzor može pomoći u ranom otkrivanju neovlaštenih promjena ili zlonamjernih aktivnosti.
  4. Omogućiti da samo ovlašćeno osoblje ima pristup kritičnim sistemima i podacima. Redovno sprovoditi revizije korisničkih naloga i privilegija radi sprječavanja potencijalnih zloupotreba.
  5. Redovno ažurirati operativne sisteme, aplikacije i bezbjednosne ispravke radi obezbjeđivanja najnovije zaštite od poznatih ranjivosti koje iskorištavaju zlonamjerni programi poput Lotus Wiper zlonamjernog softvera.
  6. Koristiti provjereni antivirusni softver koji može efikasno otkriti i ukloniti zlonamjerni kôd. Osigurati da su alati pravilno podešeni i redovno ažurirani.
  7. Prilikom prenosa osjetljivih informacija koristiti šifrovane kanale (npr. HTTPS) ili virtuelne privatne mreže (VPN) radi sprječavanja presretanja od strane neovlaštenih lica.
  8. Podijeliti mrežu na izolovane segmente prema funkcionalnosti i nivou osjetljivosti. Ovo ograničava širenje zlonamjernog softvera u slučaju napada u određenom segmentu.
  9. Razviti sveobuhvatne procedure za reagovanje na potencijalne incidente koji uključuju napade uništavanja podataka poput Lotus Wiper zlonamjernog softvera. Osigurati da relevantno osoblje bude obučeno na vrijeme.
  10. Angažovati spoljne stručnjake ili interne timove radi simuliranja stvarnih scenarija napada, identifikovanja ranjivosti i oblasti za unapređenje.
  11. Pratiti obrasce korištenja Windows alata poput fsutil, robocopy i diskpart, jer zlonamjerni akteri često zloupotrebljavaju ove alate radi izbjegavanja tradicionalnih bezbjednosnih alarma.
  12. Primjenjivati mehanizme za sprječavanje neovlaštenog zauzimanja slobodnog prostora na fizičkim diskovima, poput praćenja aktivnosti sistema datoteka radi sumnjivih promjena.
  13. Koristiti provjeru identiteta u više koraka (eng. multi-factor authentication – MFA) i druge sigurne metode za provjeru identiteta korisnika koji pokušavaju da pristupe osjetljivim sistemima ili podacima.
  14. Koristiti centralizovana rješenja za prikupljanje i analizu sistemskih dnevnika iz različitih izvora unutar infrastrukture organizacije.
  15. Sprovoditi redovnu edukaciju osoblja o rizicima povezanim sa napadima uništavanja podataka poput Lotus Wiper zlonamjernog softvera, kao i o najboljim praksama zaštite.
  16. Pregledati postojeće smjernice, najbolje prakse i regulative redovno (npr. godišnje) radi obezbjeđivanja djelotvornosti protiv novih prijetnji.

Zaštita sistema organizacije od zlonamjernih aktivnosti poput onih koje pokazuje Lotus Wiper zahtijeva sveobuhvatan pristup bezbjednosti. Primjenom ovih preporuka moguće je značajno smanjiti izloženost prijetnjama i obezbijediti kontinuitet poslovanja čak i u suočavanju sa novim opasnostima.

Tags:

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *


The reCAPTCHA verification period has expired. Please reload the page.