Siber güvenlik dünyasında fidye yazılımlarına (Ransomware) oldukça aşinayız; sisteminiz kilitlenir, para öderseniz verileriniz geri gelir. Ancak siber espiyonaj ve devlet destekli operasyonlarda çok daha acımasız bir silah kullanılıyor: Veri Siliciler (Data Wipers). Para istemeyen ve tek amacı "yıkmak" olan bu zararlıların en yenisi olan "Lotus", jeopolitik gerilimlerin zirve yaptığı dönemde Venezuela'daki kritik enerji ve altyapı tesislerini (özellikle PDVSA'yı) hedef aldı.
Kaspersky tarafından detaylıca analiz edilen Lotus, sıradan bir virüs değil; işletim sisteminin savunma mekanizmalarını kendi silahıyla vuran ve hedefte hiçbir dijital iz veya kurtarma umudu bırakmayan askeri düzeyde bir sabotaj aracı.
Nasıl Çalışır? Lotus'un Yıkım Anatomisi
Bu sinsi saldırı, doğrudan silici yazılımın (payload) çalıştırılmasıyla başlamıyor. Öncesinde sistemin "elini kolunu bağlayan" çok yetenekli batch (toplu iş) dosyaları devreye giriyor. Saldırı zinciri şu adımlarla işliyor:
1. Savunmayı Kör Etme: OhSyncNow.bat ve notesreg.bat isimli dosyalar sisteme sızdığında ilk iş olarak ağ arayüzlerini kapatıyor, aktif kullanıcıları sistemden atıyor ve loglama mekanizmalarını (UI0Detect) devre dışı bırakıyor. 2. İşletim Sistemi Araçlarının İstismarı (LotL): Saldırganlar dışarıdan bir araç indirmek yerine Windows'un yasal araçlarını (diskpart, robocopy, fsutil) kullanarak sürücülere kasten boş veriler ("0" değerleri) yazıyor ve diskleri sahte dosyalarla dolduruyor. 3. Son Vuruş (Lotus Payload): Ortam tamamen izole edildikten sonra şifresi çözülen Lotus devreye giriyor. Yazılım; API'ler üzerinden Windows Geri Yükleme noktalarını kalıcı olarak siliyor ve IOCTL çağrıları ile sadece C: veya D: gibi mantıksal birimleri değil, doğrudan fiziksel disk sektörlerinin üzerine yazıyor.
Kişisel Not / Analiz: Adli Bilişimcinin Kabusu
Bir Blue Team analisti veya adli bilişim (Forensics) uzmanı bir vakaya müdahale ettiğinde ilk bakacağı yerler Windows olay günlükleri ve USN Journal (dosya sistemi değişiklik günlüğü) kayıtlarıdır. Lotus'u bu kadar tehlikeli yapan şey, sadece dosyaları silmesi değil; USN günlüğünü temizlemesi, silinen dosyaları rastgele isimlerle yeniden adlandırması ve sektörlerin üzerine "sıfır" yazarak veri kurtarma (Data Recovery) yazılımlarının şansını %0'a indirmesidir.
Bu noktada savunma ekipleri (SOC) için "Kırmızı Alarmlar" (Red Flags) çok nettir: Eğer sistemdeki yüksek yetkili bir servis hesabı aniden diskpart clean all komutunu çalıştırıyor veya NETLOGON paylaşımlarında anormallikler görülüyorsa, içeride bir silici uyanıyor demektir. Fidye yazılımlarında yedeğe dönmek bir B planıdır; veri silicilerde ise ana ağa bağlı olmayan, "Çevrimdışı/Yalıtılmış" (Offline Air-Gapped) bir yedeğiniz yoksa oyun tamamen biter.
