今天我们将深入剖析一起发生在2025年底至2026年初的重大网络安全事件——Lotus Wiper(莲花Wiper)恶意软件针对委内瑞拉能源及公用事业部门的定向攻击。这一事件不仅在技术层面展现出高度精密性,更与当时加勒比地区的地缘政治紧张局势深度交织,尤其恰逢美国2026年1月初对委内瑞拉实施军事干预、捕获马杜罗总统的关键节点。
![]()
本文将基于卡巴斯基(Kaspersky)的安全报告及多家权威媒体的披露,全面拆解该攻击的完整链条、核心技术细节、背景成因、潜在影响,以及其对全球关键基础设施安全带来的深刻启示。全文力求详尽精准,助力读者理解现代混合战争中,网络手段如何成为一柄“无声的利剑”,深刻影响地缘格局与行业安全。
一、事件概述:一场旨在彻底摧毁的Wiper攻击
2026年4月,俄罗斯网络安全巨头卡巴斯基(Kaspersky)发布专项报告,披露了一款新型破坏性恶意软件——Lotus Wiper(莲花Wiper)。该恶意软件被定向用于攻击委内瑞拉能源及公用事业部门,攻击者以两个批处理脚本(BAT)作为攻击初始环节,逐步削弱系统防御能力、破坏设备正常运营,最终部署核心有效载荷Lotus Wiper,完成破坏性攻击。
与勒索软件存在本质区别,Lotus Wiper未留下任何索要赎金的痕迹,其唯一目标便是彻底擦除系统数据、覆盖存储驱动器、删除各类恢复机制,使受感染系统陷入不可恢复的瘫痪状态。这一特征表明,此次攻击的动机极具破坏性,而非经济性,与国家支持型网络行动或地缘冲突中的“前置准备性打击”高度契合。
该恶意软件样本的编译时间约为2025年9月底,同年12月中旬从委内瑞拉境内的一台受感染机器上传至公共平台。这一时间节点,恰好处于委内瑞拉能源部门频繁遭受各类网络活动干扰的时期,且紧邻2026年1月3日美国对委内瑞拉发起的军事行动。
卡巴斯基在报告中明确指出,此次攻击“具有极强的针对性”,攻击脚本中甚至硬编码了目标组织的名称,其中包含与委内瑞拉国有石油公司(PDVSA)相关的关键线索。
为何将其命名为“Lotus Wiper”?核心原因在于,攻击者所使用的可执行文件,均伪装成HCL Domino(原Lotus Domino)应用开发的组件,例如nstats.exe、nevent.exe、ndesign.exe等。这种伪装策略,旨在适配能源行业普遍存在的遗留IT环境,最大限度降低被安全检测工具发现的概率,实现隐蔽攻击。
二、技术细节深度拆解:从批处理脚本到最终Wiper
此次攻击的完整链条高度依赖“Living off the Land(LotL)”技术,即大量借助系统原生工具开展攻击,避免引入明显的恶意二进制文件,从而大幅提升攻击的隐蔽性,降低被检测和拦截的风险。
1. 第一阶段:OhSyncNow.bat——触发器与环境准备
禁用UI0Detect服务:尝试终止Interactive Services Detection服务,避免后台恶意活动弹出可见警告窗口。该服务主要存在于较早期的Windows系统版本(Windows 10 1803版本之前),这一操作暗示攻击者对目标环境的遗留系统特性有着充分了解。
网络触发机制:检查NETLOGON共享目录下的特定XML文件(OHSync.xml),该文件路径中硬编码了受害组织的名称。只有当该远程文件存在时,攻击脚本才会继续执行。这是一种经典的域环境同步触发方式,能够确保攻击在整个域内协调一致地启动,扩大攻击覆盖面。
随机延迟策略:若NETLOGON共享目录无法访问,脚本会随机等待最长20分钟后重新尝试连接,通过模拟正常网络延迟,进一步提升攻击的隐蔽性,规避安全检测。
当上述所有条件均满足时,脚本将自动执行第二个批处理脚本notesreg.bat,进入攻击的下一阶段。
2. 第二阶段:notesreg.bat——全面瘫痪系统防御
该脚本是整个攻击过程中破坏准备的核心环节,主要执行以下操作,全面瓦解目标系统的防御能力:
检查执行标记:通过另一个XML文件判断自身是否已执行,避免重复操作留下异常痕迹,确保攻击流程的规范性。
用户账户操纵:枚举本地所有用户账户(排除特定IT部门账户),将其密码修改为随机字符串,并设置为非活动状态,剥夺合法用户的系统访问权限。具体操作通过类似“net user %%a %randomPassword% /times:friday,01:00-02:00 /active:no”的命令实现。
禁用缓存登录:修改系统注册表中的CachedLogonsCount值为0,禁止用户离线登录,进一步切断系统的应急访问通道。
注销活动会话:通过qwinsta和logoff命令,强制登出所有当前活跃的用户会话,中断正常的系统操作流程。
禁用网络接口:借助netsh命令禁用系统所有网络适配器,彻底切断受感染设备与外部的通信连接,防止受害者发出告警信息,同时阻止外部救援和数据恢复操作。
磁盘清理与覆盖:枚举系统所有逻辑驱动器,通过diskpart的clean all命令对磁盘卷进行全零覆盖擦除,彻底破坏数据存储结构。
文件夹镜像覆盖:使用robocopy /MIR命令,将空文件夹或恶意文件夹递归镜像至目标文件夹,实现对现有内容的覆盖与删除,进一步销毁关键数据。
耗尽存储空间:计算磁盘剩余存储空间,通过fsutil命令创建大型文件,直至填满整个磁盘,阻止系统正常运行及应急操作的开展。
准备最终载荷:将Windows系统原生命令行工具复制至工作目录,执行nstats.exe(附带参数nevent.exe和ndesign.exe),由后者负责解密并运行真正的Lotus Wiper恶意软件,启动最终破坏环节。
上述一系列操作充分表明,攻击者早已获取目标系统的域管理员级权限,并提前完成文件植入,此次攻击属于长期潜伏后的“激活阶段”,展现出高度的计划性和针对性。
3. 最终载荷:Lotus Wiper的破坏力
Lotus Wiper恶意软件具备极强的破坏性,其核心操作包括以下几个方面,最终实现对系统的彻底摧毁:
启用当前令牌的所有特权,获取系统最高操作权限,为后续破坏操作奠定基础。
删除系统还原点:动态加载srclient.dll文件,通过调用SRSetRestorePoint和SRRemoveRestorePoint API接口,逐一移除系统所有还原点,切断系统的应急恢复通道。
物理驱动器擦除:向系统每个物理驱动器的扇区写入全零数据,彻底覆盖原有数据,从物理层面破坏数据的可恢复性。
清除USN日志:清除磁盘卷的更新序列号(USN)日志,破坏攻击行为的取证痕迹,增加安全人员追溯攻击源头、分析攻击过程的难度。
系统文件删除:对所有磁盘卷进行全面扫描,系统性删除系统核心文件及各类应用文件,彻底瓦解系统运行基础。
最终造成的结果是:受感染系统无法正常启动,所有数据不可恢复,各类恢复机制全部失效。这种破坏方式比多数勒索软件的“加密锁定”更具毁灭性——勒索软件尚有解密密钥可恢复数据,而Lotus Wiper的攻击属于纯物理与逻辑层面的彻底抹除,不存在任何数据恢复的可能。
三、地缘政治背景:网络战与实体干预的交织
2025年底至2026年初,委内瑞拉国内局势陷入高度紧张。美国长期以来持续对马杜罗政权施加压力,指控其涉及贩毒、腐败及选举舞弊等行为。2026年1月3日,美国正式发动军事行动,捕获马杜罗夫妇并将二人带至美国接受指控,同时宣布将“暂时接管”委内瑞拉事务,直至完成石油基础设施重建及政权有序过渡。
Lotus Wiper恶意软件的部署时间,与委内瑞拉国家石油公司(PDVSA)遭受的网络干扰高度重合。此前,PDVSA曾公开指责美国发起网络攻击,导致其石油装载作业陷入停滞。结合时间线与事件关联性可以推断,此次网络攻击很可能作为美国军事行动的“前置铺垫”,用于瘫痪委内瑞拉能源基础设施、削弱其防空能力,或制造社会混乱(相关报道提及,此次攻击曾导致委内瑞拉出现电力中断、雷达失效等情况),为后续实体军事干预创造有利条件。
这并非国家支持型Wiper攻击首次应用于地缘冲突。历史上,此类攻击多次被用于冲突前置,成为混合战争的重要手段:
Shamoon恶意软件(2012年,针对沙特阿美石油公司):成功擦除数万台企业电脑数据,导致沙特阿美正常运营陷入瘫痪。
NotPetya恶意软件(2017年,针对乌克兰):伪装成勒索软件,实际造成全球范围内的大规模系统破坏,本质上是地缘冲突的延伸。
此外,伊朗针对沙特、俄罗斯针对乌克兰的网络行动中,也多次出现类似的破坏性Wiper攻击。
Lotus Wiper事件充分体现了“混合战争”的全新范式:网络攻击具备低成本、高隐蔽、可否认的特点,能够在不直接引发实体冲突的前提下,实现战略目标,同时为后续动能军事行动创造有利条件,成为地缘博弈中的重要工具。
四、对能源关键基础设施的警示
能源领域是典型的OT/IT融合环境,普遍存在遗留系统数量多、安全补丁更新滞后、供应链结构复杂等问题。Lotus Wiper攻击的发生,暴露了全球能源关键基础设施在网络安全防护方面的诸多薄弱环节,具体包括:
域环境脆弱性突出:NETLOGON共享目录、批处理脚本执行权限等易被攻击者滥用,成为攻击突破的重要入口。
LotL技术滥用风险:PowerShell、netsh、robocopy、diskpart等系统原生命令工具被武器化,攻击者借助这些工具开展隐蔽攻击,难以被传统安全检测手段发现。
恢复机制缺失:多数能源企业在攻击发生前未有效隔离数据备份,部分备份甚至被攻击者针对性破坏,导致攻击后无法实现数据恢复与系统重建。
遗留Windows系统隐患:大量老旧Windows系统仍在能源领域服役,其自带的部分服务(如UI0Detect)成为攻击的薄弱环节,为攻击者提供可乘之机。
从全球范围来看,类似的破坏性网络攻击并非个例,未来可能针对任何依赖能源的国家和地区。
五、更广泛的网络安全启示
Lotus Wiper事件再次印证:在数字化时代,网络空间已成为地缘博弈的重要战场。国家行为体越来越倾向于在“灰色地带”开展网络行动,选择Wiper恶意软件这类破坏性工具,而非传统间谍软件,其核心目标已从单纯的信息窃取,转向实现战略层面的系统瘫痪,进而影响地缘格局。
这一事件对中国网络安全从业者也带来了深刻启示:
《关键信息基础设施保护法》的落地实施需更注重实战化,结合行业实际场景,完善防护标准与实施细则,提升关键基础设施的安全防护水平。
能源、电力、水利等关键行业应加快推进核心技术国产化替代,推动系统安全可控转型,减少对国外软硬件的依赖,从源头降低安全风险。
培养复合型网络安全人才:打造既精通OT安全技术,又具备地缘政治风险评估能力的专业人才队伍,适配混合战争背景下的安全防护需求。
加强国际合作:尽管地缘政治分歧存在,但在高级持续性威胁(APT)防御、网络威胁情报共享等领域,仍存在广泛合作空间,需积极推动国际协同,共同应对全球性网络安全挑战。
同时我们也应看到攻击者的局限性:Lotus Wiper的攻击效果高度依赖对目标环境的提前访问和特定系统配置,并非适用于所有目标场景。防御端只要提升网络安全可见性,加快应急响应速度,完善多层防护体系,就能大幅降低此类攻击的成功率,有效防范破坏性网络威胁。
![]()
结语:警惕“沉默的破坏者”
Lotus Wiper事件是2025-2026年委内瑞拉危机的一个缩影,它深刻提醒我们:网络攻击已不再是“可能发生”的潜在风险,而是地缘冲突中常态化的作战选项。能源领域作为现代社会的经济命脉,其网络安全直接关系到国家稳定、民生保障与经济发展,容不得丝毫懈怠。
合作电话:18610811242
合作微信:aqniu001
联系邮箱:bd@aqniu.com
![]()
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.