- Silecekler neden OT saldırılarında en çok tercih edilen silah?
- Wiper Kötü Amaçlı Yazılımının Kullandığı Dört Aşamalı Strateji
- OT Ortamlarında Gerçek Hayattaki Wiper Saldırıları Nasıl Görünür?
- Neden her Wiper saldırısı, bir dosyanın güven sınırını aşmasıyla başlar?
- Venezuela Enerji Sektörüne Yönelik Son Wiper Saldırısı
- Bu Analizde Atıfta Bulunulan Silecek Örnekleri ve Göstergeler
- Silici Saldırılarını Gerçekleşmeden Önce Engelle
Bir önceki blog yazımızda, 2024'ten 2026'nın başlarına kadar gerçekleşen önemli ICS ve OT siber saldırılarını inceledik. Bu süreçte göze çarpan bir eğilim vardı: Veri silme yazılımları, operasyonel teknoloji ortamlarını hedef alan devlet destekli aktörlerin en çok tercih ettiği silah haline geldi. 2024–2025 yıllarında, dünya çapında elektrik şebekeleri, su sistemleri, sağlık hizmetleri ve imalat sektörleri dahil olmak üzere endüstriyel sektörleri etkileyen altı ayrı veri silme kampanyası gerçekleştirildi.
Bu makale söz konusu eğilimi ayrıntılı olarak inceliyor. Silicilerin OT ortamlarında neden etkili olduğunu açıklıyor, üç gerçek olay örneğini ele alıyor ve bunların ardındaki tutarlı saldırı modelini ortaya koyuyor. Bu yazıyı hazırlarken, yeni bir örnek daha ortaya çıktı. Yakın zamanda bildirilen bir tehdit olan Lotus Wiper, Venezuela’nın enerji sektörünü hedef aldı. Bu vaka, makalenin son bölümünde ele alınmaktadır.
Silecekler neden OT saldırılarında en çok tercih edilen silah?
Silici yazılımlar, verileri yok etmek üzere tasarlanmıştır; bu da onları fidye yazılımlarından temelden ayırır. Şantaj imkânı sunmadıkları için, yalnızca maddi kazanç peşinde olan siber suçlular için kullanışlı bir araç değildirler. Bunun yerine, özellikle yüksek düzeyde anonimliklerini korurken siber operasyonları gerçek dünyaya yansıtmayı amaçlayan, kesintiye veya hasara yol açmayı hedefleyen aktörler için son derece etkilidirler. Bu nedenle, silici yazılımlar genellikle devlet destekli faaliyetlerle ilişkilendirilir.
Geleneksel BT ortamlarında, siber saldırı araçları öncelikle dosyaları yok eder. Bu durum büyük bir aksaklığa yol açsa da, güvenilir yedeklemeler mevcutsa etkiler genellikle telafi edilebilir. Ancak OT ve ICS ortamlarında durum farklıdır. SCADA sunucuları, mühendislik iş istasyonları ve HMI ekranları gibi sistemler sadece veri depolamaz. Bu sistemler fiziksel süreçleri aktif olarak kontrol eder ve izler. Bu sistemlerdeki veriler yok edildiğinde, operatörler operasyonlar üzerindeki görünürlük ve kontrolünü kaybeder ve sahada neler olup bittiğinden habersiz kalır.
Silgiler işte bu noktada özellikle tehlikeli hale gelir. Bu araçlar, siber saldırılar ile fiziksel sonuçlar arasındaki boşluğu doldurabilir. Bu yetenekleri nedeniyle, devlet destekli aktörler sıklıkla silgilerden yararlanır. Silgilerin kullanımı, genellikle silahlı çatışmaların yaşandığı veya jeopolitik gerilimin tırmandığı, kargaşanın temel amaç olduğu bölgelerde gözlemlenir.
Wiper Kötü Amaçlı Yazılımının Kullandığı Dört Aşamalı Strateji
Analiz edilen her silici program, dil, platform veya karmaşıklık düzeyinden bağımsız olarak aynı temel şemayı izler. Bu aşamaları anlamak, silici saldırılara karşı savunma için pratik bir başlangıç noktasıdır.
1. Aşama: Başlatma
Silici, bozulma yükünü hazırlar; bu süreçte genellikle yaygın bir rasgele sayı üreteci kullanarak sözde rasgele veriler oluşturur. Rasgele veriler, verilerin sıfırlarla üzerine yazılmasına kıyasla adli kurtarma işlemlerini daha zor hale getirir.
2. Aşama: Keşif
Wiper, sürücüleri, birimleri, dizinleri ve dosyaları tarayarak yok edebileceği her şeyi haritalandırır.
3. Aşama: Yıkım
Silici program her dosyayı açar, koruma özelliklerini kaldırır ve dosyayı rastgele verilerle üzerine yazar. Bazıları daha sonra dosyaları da siler. Diğerleri ise Ana Önyükleme Kaydı’nı (MBR) veya Ana Dosya Tablosu’nu (MFT) hedef alarak tüm diski okunamaz hale getirir.
4. Aşama: Kurtarmayı Engelleme
Zorla yeniden başlatma işlemi, hasarı kalıcı hale getirir. Silici program, sistem ayrıcalıklarını yükseltir, sistemi kapatma yetkisini alır ve sistemi yeniden başlatır. Sistem yeniden açıldığında (eğer açılırsa), geri yüklenecek hiçbir şey kalmaz.
Aşağıdaki bölümde, bu kılavuz gerçek hayattaki olaylara uygulanmaktadır.
OT Ortamlarında Gerçek Hayattaki Wiper Saldırıları Nasıl Görünür?
DynoWiper — Polonya’nın Elektrik Şebekesi
Aktör: Sandworm/ELECTRUM (GRU)
Hedef: Polonya, enerji sektörü (dağıtık enerji kaynakları)
Dağıtım: Güvenliği ihlal edilmiş bir ağ üzerinden gönderilen Windows yürütülebilir dosyası (PE ikili dosyası)
Aralık 2025’te, GRU’nun endüstriyel kontrol sistemleri (ICS) alanındaki en yetkin birimi olan Sandworm, DynoWiper ile Polonya’nın elektrik altyapısını hedef aldı. Dragos’a göre bu, dağıtık enerji kaynaklarını (DER) hedef alan ilk büyük ölçekli koordineli siber saldırıydı.
Kombine ısı ve elektrik santralleri, rüzgâr santralleri ve güneş enerjisi dağıtım sistemleri dahil olmak üzere yaklaşık 30 tesis saldırıdan etkilendi. Merkezi elektrik santrallerine odaklanan önceki saldırıların aksine, bu operasyon modern enerji piyasalarında hızla yaygınlaşan daha küçük, dağıtık tesisleri hedef aldı. Bu tür tesisler genellikle daha az güvenlik önlemine sahip.
Saldırı, 500.000'e yakın kişiyi etkilemiş olabilir. Polonya Başbakanı, iletim şebekesinin risk altında olmadığını ancak saldırganların OT sistemlerine ulaştığını ve bazı ekipmanları kalıcı olarak devre dışı bıraktığını belirtti. DynoWiper, dört aşamalı saldırı planını harfiyen uyguladı: sözde rastgele yük oluşturma, sürücü taraması, dosya üzerine yazma ve zorla yeniden başlatma. Sistem, sistematik tahribat amacıyla tasarlanmış derlenmiş bir ikili dosya olarak çalıştırıldı.
PathWiper — Ukrayna’nın Kritik Altyapısı
Fail: Rusya bağlantılı (birim belirtilmemiş)
Hedef: Ukrayna, kritik altyapı (çeşitli sektörler)
Dağıtım: Yürütülebilir dosya ile eşleştirilmiş VBScript dropper
PathWiper, devam eden bir savaş zamanı siber kampanyasının parçası olarak, Rusya bağlantılı bir aktör tarafından Ukrayna’nın kritik altyapısına karşı kullanıldı. DynoWiper belirli bir sektörü hedef alırken, PathWiper kritik altyapıyı daha geniş bir kapsamda hedef aldı ve aktif çatışma sırasında birçok hayati hizmeti etkiledi.
Bunu diğerlerinden ayıran şey, imha işleminin kapsamlılığıdır. PathWiper, dosyaları sadece üzerine yazmakla kalmaz. Yerel depolama alanını birim düzeyinde tamamen yok eder. Aktif bir savaş ortamında, hayati hizmetleri yöneten sistemlerin silinmesi, veri kaybının ötesine geçen sonuçlar doğurur.
Aynı dört aşama geçerlidir, ancak PathWiper imha aşamasını diğerlerinden daha ileri bir noktaya taşır. Tek tek dosyalar yerine depolama birimlerini hedef alarak, kısmi adli kurtarma işlemlerinin bile fiilen imkansız olmasını sağlar. Amaç, yalnızca verilerin değil, sistemin işlevselliğinin de tamamen ortadan kaldırılmasıdır.
LazyWiper — Polonya’nın İmalat Sektörü
Aktör: Sandworm/ELECTRUM (GRU)
Hedef: Polonya, imalat sektörü
Dağıtım: Grup İlkesi Nesneleri (GPO) aracılığıyla yüklenen PowerShell komut dosyası
LazyWiper ayrı bir saldırı kampanyası değildi. DynoWiper ile aynı gün, yani 29 Aralık 2025’te, aynı koordineli operasyonun bir parçası olarak gerçekleştirildi. Ancak bu saldırı bir imalat şirketini hedef aldı ve CERT Polska tarafından fırsatçı bir saldırı olarak değerlendirildi. Saldırganlar, güvenlik açığı bulunan bir giriş noktasını tespit ederek bunu kullandılar.
Bu giriş noktası, yapılandırması çalınarak bir suç forumunda yayınlanan bir Fortinet cihazıydı. Saldırganlar, sızdırılan kimlik bilgilerini kullanarak kalıcı erişim sağladı, etki alanı yöneticisi ayrıcalıklarına yanal olarak geçti ve GPO aracılığıyla her makineye LazyWiper'ı yükledi. DynoWiper'ın derlenmiş ikili dosyasından farklı olarak, LazyWiper bir PowerShell komut dosyasıdır. Defender'ı devre dışı bırakır, yerleşik Windows yönetim araçlarını kullanarak tüm sürücüleri eşler, dosyaları rastgele dört karakterli adlarla yeniden adlandırır ve bunları sözde rastgele verilerle üzerine yazar.
Bu vakayı özellikle dikkat çekici kılan bir ayrıntı var. CERT Polska, dosya silme kodunun bazı bölümlerinin büyük bir dil modeli tarafından oluşturulmuş olabileceğini değerlendirdi; bu da, gerçek ortamda yapay zeka destekli kötü amaçlı yazılım geliştirildiğine işaret ediyor. Güvenlik uzmanları, silici yazılımların her zaman geleneksel derlenmiş kötü amaçlı yazılımlar şeklinde ortaya çıkacağını varsayarsa, LazyWiper, komut dosyası tabanlı ve dinamik olarak oluşturulan tehditleri de hesaba katmanın gerekliliğini ortaya koyuyor.
Neden her Wiper saldırısı, bir dosyanın güven sınırını aşmasıyla başlar?
Bu blogdaki her olay ile önceki tehdit ortamı raporundaki her olayın ortak bir noktası var: bir dosya güven sınırını aştı. Biçimler ve dağıtım yöntemleri farklı olsa da, izlenen yol aynı.
- DynoWiper: Güvenliği ihlal edilmiş bir ağ üzerinden dağıtılan Windows yürütülebilir dosyası
- PathWiper: Yürütülebilir bir dosya ile birlikte gelen VBScript dropper
- LazyWiper: GPO aracılığıyla dağıtılan PowerShell komut dosyası
OPSWAT Adaptive Sandbox , her dosyayı mühendislik iş istasyonuna ulaşmadan, SCADA sistemiyle etkileşime girmeden ve BT ortamından OT ortamına geçmeden önce her bir güven sınırındaSandbox . Bu çözüm, yıkıcı davranışları gözlemlemeye dayanmaz. Bunun yerine, dosya güvenilir olarak kabul edilmeden önce kontrollü bir ortamda kötü niyetli yetenekleri tespit eder.
Enerji, su, imalat, sağlık veya kamu sektöründe faaliyet gösteriyorsanız, siliciler açıkça dikkate alınmış olsun ya da olmasın, tehdit modelinizin bir parçasıdır.
Silici yazılımlar yeni diller, dağıtım yöntemleri ve hedeflerle birlikte gelişecek olsa da, temel işleyiş şekli aynı kalacaktır. Bir dosyanın hedefe ulaşması, sisteme girmesi ve çalıştırılması gerekir. Bu durum, 2010’daki Stuxnet’ten 2025’teki DynoWiper’a kadar değişmeden devam etmiştir. Dosyanın sınırdan geçmeden önce incelenmesi, tüm silici yazılımlar, aktörler ve sektörler için geçerli olan bir kontrol mekanizmasıdır.
Venezuela Enerji Sektörüne Yönelik Son Wiper Saldırısı
Bu makale son halini alırken, 21 Nisan’da Kaspersky GReAT, Venezuela’nın enerji ve kamu hizmetleri sektörünü hedef alan, daha önce bilinmeyen bir silici yazılım olan Lotus Wiper’ı bildirdi.
Saldırı sistemli bir şekilde gerçekleştiriliyor. İki komut dosyası, önce hizmetleri devre dışı bırakarak, ağ arabirimlerini sonlandırarak ve oturumları kapatarak makineyi izole ediyor. Ardından disk birimlerini siliyor, klasörlerin üzerine yazıyor ve kalan depolama alanını dolduruyor. Ancak bu adımların tamamlanmasının ardından nihai yük çalıştırılıyor.
Wiper, meşru bir kurumsal yazılım bileşeni kılığına girerek şifrelenmiş halde dağıtılır ve çalışma sırasında şifresi çözülür. Etkin hale geldiğinde sistem önyüklenemez hale gelir ve kurtarılabilir veri kalmaz. Fidye talebi yoktur ve maddi kazanç amacıyla veri sızdırılmasına dair herhangi bir işaret de bulunmamaktadır. Bu makalede ele alınan diğer wiper'lar gibi, Lotus Wiper de tamamen imha amacıyla tasarlanmıştır.
Aynı senaryo gerçek zamanlı olarak tekrarlanıyor. Bir dosya güvenlik sınırını aşıyor, çalıştırılıyor ve ulaşabildiği her şeyi yok ediyor. Yükün şifresi çözülmeden önce dosya düzeyinde yapılan inceleme, müdahale için en erken fırsatı sunuyor.
Bu Analizde Atıfta Bulunulan Silecek Örnekleri ve Göstergeler
Silecek | Tip | Hedef | Oyuncu | Hash / Gösterge |
DynoWiper | Windows PE | Polonya, Enerji | Kum Solucanı/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | Ukrayna, Kritik Altyapı | Rusya bağlantısı | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
Tembel Silici | PowerShell | Polonya, İmalat | Kum Solucanı/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
Lotus Silecek | Windows PE | Venezuela, Enerji ve Kamu Hizmetleri | Bilinmiyor (jeopolitik nedenlerle) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
Silici Saldırılarını Gerçekleşmeden Önce Engelle
Wiper saldırıları, ortamlar, sektörler ve tehdit aktörleri arasında tutarlı bir model izler. Nasıl yayıldıkları veya hangi dili kullandıkları ne olursa olsun, bu saldırılar aynı akışa dayanır: bir dosya güven sınırını aşar, çalıştırılır ve sistem verilerini yok eder.
Bu tutarlılık, net bir savunma fırsatı yaratır. Dosyaların güvenilirlik statüsü kazanmadan önce tespit edilmesi ve analiz edilmesi, silme programlarının zarar vermeden önce durdurulmasının en etkili yollarından biri olmaya devam etmektedir.
MetaDefender , bu soruna katmanlı bir yaklaşım uygular. Gerçek zamanlı itibar analizi, gelişmiş sanal ortam teknolojisi ve davranışsal korelasyonu bir araya getirerek, bilinmeyen ve tespit edilmeye karşı dirençli tehditleri çalıştırılmadan önce tespit eder. Emülasyon tabanlı analizi sayesinde, imzaya dayanmadan gizli yükleri ortaya çıkarır, çok aşamalı kötü amaçlı yazılımları açar ve güvenlik ihlali göstergelerini belirler.
Kritik altyapı işleten kuruluşlar için bu yaklaşım, kesintilerin OT sistemlerine ulaşmadan önce, saldırıların başladığı noktada daha erken tespit edilmesini sağlar. Bunun ortamınıza nasıl uygulanabileceğini anlamak için bir OPSWAT iletişime geçerek MetaDefender hakkında görüşün.
