在我們之前的部落格文章中,我們分析了 2024 年至 2026 年初期間發生的主要 ICS 和 OT 網路攻擊事件。其中一個明顯的趨勢是:資料清除程式已成為國家資助攻擊者針對營運技術環境的首選武器。在 2024 至 2025 年間,共有六起獨立的資料清除攻擊行動衝擊了全球的工業領域,包括電力網、供水系統、醫療保健及製造業。
本文將深入探討此趨勢。文中闡述了為何「Wiper」類病毒在OT環境中如此有效,並分析了三起實際案例,同時揭示了這些事件背後一貫的攻擊模式。在撰寫本文期間,又出現了一起新案例。一項名為「Lotus Wiper」的最新威脅,鎖定了委內瑞拉的能源部門。該案例已收錄於最後一節中。
為什麼清除程式會成為 OT 攻擊的首選武器?
清除型病毒的設計目的在於銷毀資料,這使其與勒索軟體在根本上有所不同。由於它們無法用於勒索,因此對純粹以金錢利益為動機的威脅行為者而言,並非實用的工具。相反地,對於那些旨在造成干擾或損害的行為者而言,此類病毒極具成效,特別是在試圖將網路行動轉化為現實世界影響,同時維持高度匿名性的情況下。正因如此,清除型病毒通常與國家資助的活動有關聯。
在傳統的 IT 環境中,清除程式主要會銷毀檔案。雖然這可能造成極大的干擾,但只要有可靠的備份機制,通常仍可恢復。然而,在 OT 和 ICS 環境中,情況則有所不同。 諸如 SCADA 伺服器、工程工作站及 HMI 顯示器等系統,不僅僅是儲存資料。它們會主動控制並監控實體流程。當這些系統上的資料遭到破壞時,操作人員將喪失對運作狀況的掌握與控制,等同於對現場發生的一切視而不見。
這正是清除型病毒特別危險之處。它們能夠將網路攻擊與實體後果聯繫起來。正因具備這種能力,國家資助的行為者經常利用清除型病毒。在發生武裝衝突或地緣政治緊張局勢加劇的地區,常能觀察到此類病毒的運用,而這些地區的主要目標往往在於造成破壞。
Wiper 惡意軟體採用的四階段作戰指南
每款經過分析的 Wiper 程式,無論其語言、平台或複雜程度如何,都遵循相同的基本模式。理解這些階段,是防禦 Wiper 攻擊的實用起點。
第一階段:初始化
資料清除程式會準備其破壞性載荷,通常會使用常見的隨機數產生器來生成偽隨機資料。相較於以零值覆寫,隨機資料會使鑑識復原更加困難。
第二階段:探索
清除工具會透過枚舉磁碟機、磁碟區、目錄和檔案,將所有可刪除的項目進行盤點。
第三階段:銷毀
清除程式會開啟每個檔案,移除其保護屬性,並以隨機資料覆寫該檔案。有些程式在覆寫後還會刪除檔案;另一些則鎖定主開機記錄 (MBR) 或主檔案表 (MFT),導致整個磁碟無法讀取。
第四階段:防復原
強制重新開機將使損害永久化。此清除程式會提升權限、取得關機權限,並重新啟動系統。一旦系統重新啟動(若能重新啟動的話),將已無任何資料可供還原。
以下章節將此應變手冊應用於實際事件。
在營運技術(OT)環境中,真實世界的 Wiper 攻擊究竟是什麼樣子?
DynoWiper — 波蘭的電力網
攻擊者:Sandworm/ELECTRUM(GRU)
攻擊目標:波蘭能源部門(分散式能源資源)
傳遞方式:透過遭入侵的網路傳送 Windows 可執行檔(PE 二進位檔)
2025年12月,俄羅斯總參謀部情報總局(GRU)旗下最擅長攻擊工業控制系統(ICS)的單位「沙蟲」(Sandworm),利用「DynoWiper」對波蘭的電力基礎設施發動攻擊。根據Dragos的說法,這是首起針對分散式能源資源(DER)的大規模協調性網路攻擊。
約有 30 處設施受到影響,包括熱電聯產電廠、風力發電場及太陽能調度系統。與以往針對集中式發電廠的攻擊不同,此次行動鎖定的是在現代能源市場中迅速擴張的較小型分散式設施。此外,這類設施的防禦措施通常也較為薄弱。
此次攻擊可能影響多達 50 萬名居民。波蘭總理表示,輸電網並未受到威脅,但攻擊者已侵入營運技術(OT)系統,並永久性損毀部分設備。DynoWiper 嚴格遵循了四階段的攻擊流程:生成偽隨機有效載荷、驅動器枚舉、檔案覆寫,以及強制重新啟動。該程式以編譯二進位檔的形式執行,旨在系統性地進行破壞。
PathWiper — 烏克蘭的關鍵基礎設施
行為者:與俄羅斯有關聯(未指明單位)
目標:烏克蘭,關鍵基礎設施(多個領域)
傳遞方式:VBScript 載體程式搭配可執行檔
PathWiper是由與俄羅斯有關聯的行為者針對烏克蘭關鍵基礎設施所部署的,此舉是持續進行中的戰時網路行動的一部分。雖然 DynoWiper 鎖定特定領域,但 PathWiper 則更廣泛地針對關鍵基礎設施,在衝突期間影響了多項重要服務。
其獨特之處在於銷毀的徹底性。PathWiper 並非僅是覆寫檔案,而是以磁碟區層級徹底銷毀本地儲存裝置。在戰火紛飛之際,抹除管理關鍵服務的系統所造成的後果,遠不止於資料遺失。
雖然同樣適用這四個階段,但 PathWiper 將破壞階段推向了比多數工具更極端的程度。透過鎖定儲存裝置層級而非單一檔案,它確保即使進行部分鑑識復原也幾乎不可能成功。其目的在於徹底抹除,不僅是資料,更包括系統的運作能力。
LazyWiper — 波蘭的製造業
攻擊者:Sandworm/ELECTRUM (GRU)
攻擊目標:波蘭,製造業
傳遞方式:透過群組原則物件 (GPO) 推送 PowerShell 腳本
LazyWiper 並非一項獨立的攻擊行動。它與 DynoWiper 發生在同一天——2025 年 12 月 29 日——屬於同一項協調行動的一部分。然而,其攻擊目標是一間製造公司,且 CERT Polska 將其評估為機會主義性攻擊。攻擊者發現了一個暴露的入侵點,並利用了該漏洞。
該入侵入口是一台 Fortinet 設備,其設定資料遭竊並發布於犯罪論壇上。 攻擊者利用外洩的憑證建立持久存取權限,隨後橫向移動以取得網域管理員權限,並透過群組原則 (GPO) 將 LazyWiper 推送至每台機器。與 DynoWiper 的編譯二進位檔不同,LazyWiper 是一個 PowerShell 腳本。它會停用 Windows Defender,利用內建的 Windows 管理工具映射所有磁碟機,將檔案重命名為隨機的四字元名稱,並以偽隨機資料覆寫這些檔案。
有個細節讓這起案例格外引人注目。CERT Polska 評估認為,該檔案覆寫程式碼的部分內容很可能是由大型語言模型所生成,這顯示出在實際環境中已出現由人工智慧輔助開發的惡意軟體。若防禦者仍認為資料清除型惡意軟體(wiper)總是會以傳統編譯型惡意軟體的形式出現,那麼 LazyWiper 便凸顯了必須將腳本型及動態生成的威脅納入考量之必要性。
為什麼每次 Wiper 攻擊都會以檔案跨越信任邊界作為開端?
本部落格中每起事件,以及先前威脅情勢報告中的每起事件,都有一個共同點:某個檔案跨越了信任邊界。雖然格式與傳遞方式各異,但模式卻如出一轍。
- DynoWiper:透過遭入侵的網路傳送的 Windows 可執行檔
- PathWiper:搭配可執行檔的 VBScript 載入程式
- LazyWiper:透過 GPO 推送的 PowerShell 腳本
OPSWAT Adaptive Sandbox 每個信任邊界處Sandbox 每個檔案,無論是檔案送達工程工作站之前、與 SCADA 系統互動之前,還是從 IT 環境進入 OT 環境之前。它不依賴於觀察破壞性行為,而是會在檔案被信任之前,於受控環境中識別其惡意功能。
無論您是否明確將其納入考量,只要您的業務涉及能源、水務、製造、醫療保健或政府部門,清潔工便已成為您威脅模型的一部分。
Wiper 型病毒雖會隨著新語言、傳播方式及攻擊目標而演變,但其運作模式始終如一:檔案必須先傳送至系統,並在系統中執行。從 2010 年的 Stuxnet 到 2025 年的 DynoWiper,這一點始終不變。在檔案跨越系統邊界之前進行檢查,是適用於各類 Wiper 病毒、攻擊者及各產業領域的防禦措施。
委內瑞拉能源部門遭遇最新一波Wiper網路攻擊
就在本文定稿之際,卡巴斯基 GReAT於 4 月 21 日通報了一種此前未知的刪除型惡意軟體「Lotus Wiper」,該軟體鎖定委內瑞拉的能源與公用事業部門。
這場攻擊有條不紊。首先,兩個批次腳本會透過停用服務、終止網路介面以及登出所有連線,將目標機器隔離。接著,它們會清除磁碟區、覆寫資料夾,並填滿剩餘的儲存空間。只有在完成這些步驟後,最終的有效載荷才會執行。
該清除程式偽裝成合法的企業軟體元件,以加密形式傳送,並在執行時進行解密。一旦啟動,系統將無法開機,且資料無法恢復。此程式既未提出贖金要求,亦無跡象顯示其為牟利而竊取資料。與本文中討論的其他清除程式一樣,Lotus Wiper 的設計目的就是為了破壞。
同樣的模式在實際運作中再次出現。一個檔案跨越信任邊界,執行後便摧毀所有它能觸及的目標。在載荷解密之前進行檔案層級的檢查,是攔截攻擊的最早時機。
本分析中提及的雨刷樣本與指標
雨刷 | 類型 | 目標 | 演員 | 哈希 / 指標 |
DynoWiper | Windows PE | 波蘭,能源 | 沙蟲/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | 烏克蘭,關鍵基礎設施 | 俄羅斯關聯 | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | 波蘭,製造業 | 沙蟲/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
蓮花雨刷 | Windows PE | 委內瑞拉,能源與公用事業 | 未知(出於地緣政治考量) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
在 Wiper 攻擊執行前予以阻止
Wiper 攻擊在各種環境、產業領域及威脅行為者之間,都呈現出一致的模式。無論其傳遞方式為何,或使用何種語言,這些攻擊皆遵循相同的流程:檔案跨越信任邊界、執行,並破壞系統資料。
這種一致性創造了明確的防禦機會。在檔案被視為可信之前就加以識別和分析,仍是阻止刪除程式造成損害的最有效方法之一。
MetaDefender 採用分層式方法來解決此問題。它結合即時聲譽分析、進階沙箱技術及行為關聯分析,能在惡意程式執行前偵測未知及具有隱蔽性的威脅。其基於模擬的分析技術能揭露隱藏的載荷、解包多階段惡意軟體,並在無需依賴簽名檔的情況下識別入侵指標。
對於營運關鍵基礎設施的組織而言,此方法能讓您在攻擊發生的初期階段即予以偵測,避免中斷影響擴及至營運技術(OT)系統。若想了解此方案如何應用於您的環境,請聯繫OPSWAT 進一步探討MetaDefender 。
- MetaDefender Aether ,
- 威脅分析
