LOTUS wiper
A Kaspersky a LOTUS wiper elemzését mutatja be, amely destruktív célú támadásokra készült, és elsősorban ázsiai célpontok ellen került bevetésre az energia- és közműszektorban. A kártevő rendszerrombolásra épül, a fertőzés után a malware megvizsgálja a fájlrendszert, és a kiválasztott állományokat felülírja vagy törli, így azok visszaállítása gyakorlatilag lehetetlenné válik. Ez a viselkedés tipikusan wiper kategóriába sorolja, ahol a cél a működés megbénítása, nem pedig a hozzáférés fenntartása.
A LOTUS egyik fontos jellemzője, hogy legitim rendszerkomponensekhez és API-khoz nyúl, így a fájlműveletek normál rendszeraktivitásnak tűnhetnek. Ez csökkenti a detektálhatóságot, különösen olyan környezetben, ahol a viselkedésalapú védelem nem megfelelően hangolt. A végrehajtás során a malware gyakran adminisztrátori jogosultságokra támaszkodik, ami arra utal, hogy a támadás egy már korábban kompromittált környezetben fut le, nem pedig önálló kezdeti hozzáférési eszközként.
A támadási láncban a wiper jellemzően utolsó fázisként jelenik meg, miután a támadók már elérték céljaikat, az adatgyűjtést, vagy infrastruktúra-hozzáférés. Ez a működési modell illeszkedik a geopolitikai motivációjú kampányokhoz, ahol a cél nemcsak hírszerzés, hanem a rendszerek működésének tartós megzavarása is.
A Securelist elemzés szerint a LOTUS variánsok technikai felépítése moduláris, és képes alkalmazkodni különböző környezetekhez, ugyanakkor nem tartalmaz kifejezetten kifinomult exploitokat. A hangsúly inkább a megbízható, determinisztikus rombolási mechanizmuson van, amely biztosítja a célrendszer gyors és visszafordíthatatlan károsítását.
