网易首页 > 网易号 > 正文 申请入驻

莲花Wiper:委内瑞拉能源领域遭遇的新型破坏性恶意软件,美国干预前的网络幽灵

0
分享至

今天我们将深入剖析一起发生在2025年底至2026年初的重大网络安全事件——Lotus Wiper(莲花Wiper)恶意软件针对委内瑞拉能源及公用事业部门的定向攻击。这一事件不仅在技术层面展现出高度精密性,更与当时加勒比地区的地缘政治紧张局势深度交织,尤其恰逢美国2026年1月初对委内瑞拉实施军事干预、捕获马杜罗总统的关键节点。


本文将基于卡巴斯基(Kaspersky)的安全报告及多家权威媒体的披露,全面拆解该攻击的完整链条、核心技术细节、背景成因、潜在影响,以及其对全球关键基础设施安全带来的深刻启示。全文力求详尽精准,助力读者理解现代混合战争中,网络手段如何成为一柄“无声的利剑”,深刻影响地缘格局与行业安全。

一、事件概述:一场旨在彻底摧毁的Wiper攻击

2026年4月,俄罗斯网络安全巨头卡巴斯基(Kaspersky)发布专项报告,披露了一款新型破坏性恶意软件——Lotus Wiper(莲花Wiper)。该恶意软件被定向用于攻击委内瑞拉能源及公用事业部门,攻击者以两个批处理脚本(BAT)作为攻击初始环节,逐步削弱系统防御能力、破坏设备正常运营,最终部署核心有效载荷Lotus Wiper,完成破坏性攻击。

与勒索软件存在本质区别,Lotus Wiper未留下任何索要赎金的痕迹,其唯一目标便是彻底擦除系统数据、覆盖存储驱动器、删除各类恢复机制,使受感染系统陷入不可恢复的瘫痪状态。这一特征表明,此次攻击的动机极具破坏性,而非经济性,与国家支持型网络行动或地缘冲突中的“前置准备性打击”高度契合。

该恶意软件样本的编译时间约为2025年9月底,同年12月中旬从委内瑞拉境内的一台受感染机器上传至公共平台。这一时间节点,恰好处于委内瑞拉能源部门频繁遭受各类网络活动干扰的时期,且紧邻2026年1月3日美国对委内瑞拉发起的军事行动。

卡巴斯基在报告中明确指出,此次攻击“具有极强的针对性”,攻击脚本中甚至硬编码了目标组织的名称,其中包含与委内瑞拉国有石油公司(PDVSA)相关的关键线索。

为何将其命名为“Lotus Wiper”?核心原因在于,攻击者所使用的可执行文件,均伪装成HCL Domino(原Lotus Domino)应用开发的组件,例如nstats.exe、nevent.exe、ndesign.exe等。这种伪装策略,旨在适配能源行业普遍存在的遗留IT环境,最大限度降低被安全检测工具发现的概率,实现隐蔽攻击。

二、技术细节深度拆解:从批处理脚本到最终Wiper

此次攻击的完整链条高度依赖“Living off the Land(LotL)”技术,即大量借助系统原生工具开展攻击,避免引入明显的恶意二进制文件,从而大幅提升攻击的隐蔽性,降低被检测和拦截的风险。

1. 第一阶段:OhSyncNow.bat——触发器与环境准备

  • 禁用UI0Detect服务:尝试终止Interactive Services Detection服务,避免后台恶意活动弹出可见警告窗口。该服务主要存在于较早期的Windows系统版本(Windows 10 1803版本之前),这一操作暗示攻击者对目标环境的遗留系统特性有着充分了解。

  • 网络触发机制:检查NETLOGON共享目录下的特定XML文件(OHSync.xml),该文件路径中硬编码了受害组织的名称。只有当该远程文件存在时,攻击脚本才会继续执行。这是一种经典的域环境同步触发方式,能够确保攻击在整个域内协调一致地启动,扩大攻击覆盖面。

  • 随机延迟策略:若NETLOGON共享目录无法访问,脚本会随机等待最长20分钟后重新尝试连接,通过模拟正常网络延迟,进一步提升攻击的隐蔽性,规避安全检测。

当上述所有条件均满足时,脚本将自动执行第二个批处理脚本notesreg.bat,进入攻击的下一阶段。

2. 第二阶段:notesreg.bat——全面瘫痪系统防御

该脚本是整个攻击过程中破坏准备的核心环节,主要执行以下操作,全面瓦解目标系统的防御能力:

  • 检查执行标记:通过另一个XML文件判断自身是否已执行,避免重复操作留下异常痕迹,确保攻击流程的规范性。

  • 用户账户操纵:枚举本地所有用户账户(排除特定IT部门账户),将其密码修改为随机字符串,并设置为非活动状态,剥夺合法用户的系统访问权限。具体操作通过类似“net user %%a %randomPassword% /times:friday,01:00-02:00 /active:no”的命令实现。

  • 禁用缓存登录:修改系统注册表中的CachedLogonsCount值为0,禁止用户离线登录,进一步切断系统的应急访问通道。

  • 注销活动会话:通过qwinsta和logoff命令,强制登出所有当前活跃的用户会话,中断正常的系统操作流程。

  • 禁用网络接口:借助netsh命令禁用系统所有网络适配器,彻底切断受感染设备与外部的通信连接,防止受害者发出告警信息,同时阻止外部救援和数据恢复操作。

  • 磁盘清理与覆盖:枚举系统所有逻辑驱动器,通过diskpart的clean all命令对磁盘卷进行全零覆盖擦除,彻底破坏数据存储结构。

  • 文件夹镜像覆盖:使用robocopy /MIR命令,将空文件夹或恶意文件夹递归镜像至目标文件夹,实现对现有内容的覆盖与删除,进一步销毁关键数据。

  • 耗尽存储空间:计算磁盘剩余存储空间,通过fsutil命令创建大型文件,直至填满整个磁盘,阻止系统正常运行及应急操作的开展。

  • 准备最终载荷:将Windows系统原生命令行工具复制至工作目录,执行nstats.exe(附带参数nevent.exe和ndesign.exe),由后者负责解密并运行真正的Lotus Wiper恶意软件,启动最终破坏环节。

上述一系列操作充分表明,攻击者早已获取目标系统的域管理员级权限,并提前完成文件植入,此次攻击属于长期潜伏后的“激活阶段”,展现出高度的计划性和针对性。

3. 最终载荷:Lotus Wiper的破坏力

Lotus Wiper恶意软件具备极强的破坏性,其核心操作包括以下几个方面,最终实现对系统的彻底摧毁:

  • 启用当前令牌的所有特权,获取系统最高操作权限,为后续破坏操作奠定基础。

  • 删除系统还原点:动态加载srclient.dll文件,通过调用SRSetRestorePoint和SRRemoveRestorePoint API接口,逐一移除系统所有还原点,切断系统的应急恢复通道。

  • 物理驱动器擦除:向系统每个物理驱动器的扇区写入全零数据,彻底覆盖原有数据,从物理层面破坏数据的可恢复性。

  • 清除USN日志:清除磁盘卷的更新序列号(USN)日志,破坏攻击行为的取证痕迹,增加安全人员追溯攻击源头、分析攻击过程的难度。

  • 系统文件删除:对所有磁盘卷进行全面扫描,系统性删除系统核心文件及各类应用文件,彻底瓦解系统运行基础。

最终造成的结果是:受感染系统无法正常启动,所有数据不可恢复,各类恢复机制全部失效。这种破坏方式比多数勒索软件的“加密锁定”更具毁灭性——勒索软件尚有解密密钥可恢复数据,而Lotus Wiper的攻击属于纯物理与逻辑层面的彻底抹除,不存在任何数据恢复的可能。

三、地缘政治背景:网络战与实体干预的交织

2025年底至2026年初,委内瑞拉国内局势陷入高度紧张。美国长期以来持续对马杜罗政权施加压力,指控其涉及贩毒、腐败及选举舞弊等行为。2026年1月3日,美国正式发动军事行动,捕获马杜罗夫妇并将二人带至美国接受指控,同时宣布将“暂时接管”委内瑞拉事务,直至完成石油基础设施重建及政权有序过渡。

Lotus Wiper恶意软件的部署时间,与委内瑞拉国家石油公司(PDVSA)遭受的网络干扰高度重合。此前,PDVSA曾公开指责美国发起网络攻击,导致其石油装载作业陷入停滞。结合时间线与事件关联性可以推断,此次网络攻击很可能作为美国军事行动的“前置铺垫”,用于瘫痪委内瑞拉能源基础设施、削弱其防空能力,或制造社会混乱(相关报道提及,此次攻击曾导致委内瑞拉出现电力中断、雷达失效等情况),为后续实体军事干预创造有利条件。

这并非国家支持型Wiper攻击首次应用于地缘冲突。历史上,此类攻击多次被用于冲突前置,成为混合战争的重要手段:

  • Shamoon恶意软件(2012年,针对沙特阿美石油公司):成功擦除数万台企业电脑数据,导致沙特阿美正常运营陷入瘫痪。

  • NotPetya恶意软件(2017年,针对乌克兰):伪装成勒索软件,实际造成全球范围内的大规模系统破坏,本质上是地缘冲突的延伸。

  • 此外,伊朗针对沙特、俄罗斯针对乌克兰的网络行动中,也多次出现类似的破坏性Wiper攻击。

Lotus Wiper事件充分体现了“混合战争”的全新范式:网络攻击具备低成本、高隐蔽、可否认的特点,能够在不直接引发实体冲突的前提下,实现战略目标,同时为后续动能军事行动创造有利条件,成为地缘博弈中的重要工具。

四、对能源关键基础设施的警示

能源领域是典型的OT/IT融合环境,普遍存在遗留系统数量多、安全补丁更新滞后、供应链结构复杂等问题。Lotus Wiper攻击的发生,暴露了全球能源关键基础设施在网络安全防护方面的诸多薄弱环节,具体包括:

  • 域环境脆弱性突出:NETLOGON共享目录、批处理脚本执行权限等易被攻击者滥用,成为攻击突破的重要入口。

  • LotL技术滥用风险:PowerShell、netsh、robocopy、diskpart等系统原生命令工具被武器化,攻击者借助这些工具开展隐蔽攻击,难以被传统安全检测手段发现。

  • 恢复机制缺失:多数能源企业在攻击发生前未有效隔离数据备份,部分备份甚至被攻击者针对性破坏,导致攻击后无法实现数据恢复与系统重建。

  • 遗留Windows系统隐患:大量老旧Windows系统仍在能源领域服役,其自带的部分服务(如UI0Detect)成为攻击的薄弱环节,为攻击者提供可乘之机。

从全球范围来看,类似的破坏性网络攻击并非个例,未来可能针对任何依赖能源的国家和地区。

五、更广泛的网络安全启示

Lotus Wiper事件再次印证:在数字化时代,网络空间已成为地缘博弈的重要战场。国家行为体越来越倾向于在“灰色地带”开展网络行动,选择Wiper恶意软件这类破坏性工具,而非传统间谍软件,其核心目标已从单纯的信息窃取,转向实现战略层面的系统瘫痪,进而影响地缘格局。

这一事件对中国网络安全从业者也带来了深刻启示:

  • 《关键信息基础设施保护法》的落地实施需更注重实战化,结合行业实际场景,完善防护标准与实施细则,提升关键基础设施的安全防护水平。

  • 能源、电力、水利等关键行业应加快推进核心技术国产化替代,推动系统安全可控转型,减少对国外软硬件的依赖,从源头降低安全风险。

  • 培养复合型网络安全人才:打造既精通OT安全技术,又具备地缘政治风险评估能力的专业人才队伍,适配混合战争背景下的安全防护需求。

  • 加强国际合作:尽管地缘政治分歧存在,但在高级持续性威胁(APT)防御、网络威胁情报共享等领域,仍存在广泛合作空间,需积极推动国际协同,共同应对全球性网络安全挑战。

同时我们也应看到攻击者的局限性:Lotus Wiper的攻击效果高度依赖对目标环境的提前访问和特定系统配置,并非适用于所有目标场景。防御端只要提升网络安全可见性,加快应急响应速度,完善多层防护体系,就能大幅降低此类攻击的成功率,有效防范破坏性网络威胁。


结语:警惕“沉默的破坏者”

Lotus Wiper事件是2025-2026年委内瑞拉危机的一个缩影,它深刻提醒我们:网络攻击已不再是“可能发生”的潜在风险,而是地缘冲突中常态化的作战选项。能源领域作为现代社会的经济命脉,其网络安全直接关系到国家稳定、民生保障与经济发展,容不得丝毫懈怠。

合作电话:18610811242

合作微信:aqniu001

联系邮箱:bd@aqniu.com


特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
Scotto:快船和36号秀巴巴-米勒签下4年961万合同

Scotto:快船和36号秀巴巴-米勒签下4年961万合同

北青网-北京青年报
2026-07-10 20:42:03
多名院士呼吁快停止食用,吃一口等于14斤塑料袋,女子因肾衰走了

多名院士呼吁快停止食用,吃一口等于14斤塑料袋,女子因肾衰走了

任医生聊健康
2026-06-18 22:00:09
神舟二十三号的香港女航天员:失重环境隐患重重,怎样保障隐私?

神舟二十三号的香港女航天员:失重环境隐患重重,怎样保障隐私?

兵鉴史
2026-07-10 14:58:16
晚饭七分饱被推翻了?医生:过了65岁,吃饭尽量要做到这5点

晚饭七分饱被推翻了?医生:过了65岁,吃饭尽量要做到这5点

健康科普365
2026-06-14 18:10:08
朱允炆逃亡时发现朱元璋的密旨,崩溃嚎哭:早知有它,朱棣必败

朱允炆逃亡时发现朱元璋的密旨,崩溃嚎哭:早知有它,朱棣必败

纪实文录
2025-07-24 11:25:15
王俊杰被弃用背后:郭士强在怕什么?

王俊杰被弃用背后:郭士强在怕什么?

刘哥谈体育
2026-07-10 14:24:02
钱再多有什么用?47岁刘璇在家晕倒进急诊室,给所有人敲响了警钟

钱再多有什么用?47岁刘璇在家晕倒进急诊室,给所有人敲响了警钟

她时尚丫
2026-07-09 21:38:50
7月9日俄乌最新:重磅消息

7月9日俄乌最新:重磅消息

西楼饮月
2026-07-09 18:21:01
快手再也回不去了

快手再也回不去了

蓝鲸新闻
2026-07-09 12:43:12
特朗普这次帮了大忙,中国有机会进入世界杯了

特朗普这次帮了大忙,中国有机会进入世界杯了

酷侃体坛
2026-07-10 12:01:59
搞垮自己祖国后遭遇欧美抛弃,悲惨命运中挣扎,如今又瞄向了中国

搞垮自己祖国后遭遇欧美抛弃,悲惨命运中挣扎,如今又瞄向了中国

史智文道
2026-07-09 10:04:13
送完死人炸活人,葬礼刚结束,穆杰塔巴就报复,中国这次也没闲着

送完死人炸活人,葬礼刚结束,穆杰塔巴就报复,中国这次也没闲着

小雪的运动之心
2026-07-10 17:59:08
试睡2天给5万!仅坚持1晚逃跑,上海凶宅试睡员自述:终生难忘

试睡2天给5万!仅坚持1晚逃跑,上海凶宅试睡员自述:终生难忘

卡西莫多的故事
2025-10-24 10:56:14
樊振东也没想到,王楚钦会因广西大雨后的一个举动,实现口碑暴涨

樊振东也没想到,王楚钦会因广西大雨后的一个举动,实现口碑暴涨

阿讯说天下
2026-07-10 10:45:23
突发利空!A股午盘跳水,商业航天涨停潮

突发利空!A股午盘跳水,商业航天涨停潮

看财经show
2026-07-10 16:48:38
迪丽热巴深V直逼腰际!麦克风一拿开「傲人北半球」引全网暴动

迪丽热巴深V直逼腰际!麦克风一拿开「傲人北半球」引全网暴动

ETtoday星光云
2026-07-09 12:22:14
帅化民坦言:张学良被终身软禁一点不冤,西安打光了老蒋的御林军

帅化民坦言:张学良被终身软禁一点不冤,西安打光了老蒋的御林军

磊子讲史
2026-06-26 14:55:01
《给阿嬷的情书》早就讲明了:婚后碰见让你动心的人,千万别轻易抛弃家庭,真正深沉的爱,不是占有,而是守住这两样东西

《给阿嬷的情书》早就讲明了:婚后碰见让你动心的人,千万别轻易抛弃家庭,真正深沉的爱,不是占有,而是守住这两样东西

心理观察局
2026-06-26 07:05:03
32岁美女着急结婚,相亲30多次无一成功,指责男人不舍得给她花钱

32岁美女着急结婚,相亲30多次无一成功,指责男人不舍得给她花钱

小米拉
2026-07-09 08:08:40
中国的经济问题,只要强制双休就可以盘活一大半

中国的经济问题,只要强制双休就可以盘活一大半

流苏晚晴
2026-07-09 20:46:30
2026-07-10 21:00:49
安全牛 incentive-icons
安全牛
信息安全新媒体
4682文章数 5976关注度
往期回顾 全部

头条要闻

六旬男子被7只狗咬成重伤缝300针:从头到脚被咬10分钟

头条要闻

六旬男子被7只狗咬成重伤缝300针:从头到脚被咬10分钟

体育要闻

法国VS摩洛哥:谁才是臭外地的?

娱乐要闻

韩国顶流李钟硕与IU官宣分手!

财经要闻

一封举报信 引发小红书IPO合规考验

科技要闻

中国开启可回收火箭时代

汽车要闻

吉利银河TT:C级纯电轿跑新玩家 此TT非彼TT

态度原创

游戏
本地
亲子
家居
公开课

厨力党&强度党都爱!《FGO》十周年从者U-奥尔加玛丽介绍

本地新闻

重庆人有自己的避暑桃花源 | 夏天就去「酉」风的地方!

亲子要闻

孩子喜提人生第一只“猫”,开箱后上去一巴掌……

家居要闻

2026建博会(广州) 公装联探展交流活动

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版