Обнаружен инструмент киберсаботажа fast16, предшествовавший Stuxnet: NSA считала его «не заслуживающим внимания»

1 час назад / Технологии → Новости / Технологии

Специалисты по кибербезопасности обнаружили платформу для киберсаботажа, которая появилась как минимум на пять лет раньше Stuxnet. Лаборатория Sentinel Labs опубликовала в блоге отчет о своих находках, связанных с инструментом fast16, описывая масштаб этого средства государственного уровня, которое нацелено на определенное программное обеспечение для высокоточных вычислений, незаметно внося в них ошибки. Расследования показывают, что fast16 использовался для искажения ключевых расчетов в программах, применяемых в проектах, связанных с ядерными реакторами, проектированием плотин и другими физическими симуляциями, делая их незначительно, но систематически ошибочными.

«* Не заслуживает внимания — проходите мимо *»

Прежде чем подробнее рассмотреть fast16, интересно задуматься о том, кто может стоять за ним и каково происхождение названия. Sentinel Labs отмечает, что имя «fast16» можно найти в ссылках из печально известной утечки файлов АНБ, касающейся «территориальных споров». В частности, оно было упомянуто в самом строгом контексте в списке «не трогать», предоставленном операторам. Строка «fast16 *** Nothing to see here – carry on ***» (fast16 *** Не заслуживает внимания — проходите мимо ***) выделяет fast16 как один из самых — если не самый — важных инструментов взлома АНБ.

Исследователи безопасности, включая Виталия Камлюка и Хуана Андреса Герреро-Сааде, обнаружили fast16, основываясь на архитектурной догадке. Поскольку ряд угроз высокого уровня в этой категории были построены на встроенной виртуальной машине Lua, они решили проверить, не осталось ли следов более ранних инструментов на Lua VM.

Файл svcmgmt.exe, загруженный на VirusTotal почти десять лет назад, стал ключевым звеном. Этот «непримечательный» файл 2005 года действительно оказался «сервисным бинарным файлом на Lua». Однако, как отмечают исследователи, «он до сих пор почти не обнаруживается: только один антивирусный движок классифицирует его как вредоносный, и то с низкой уверенностью».

Как распространялся fast16

Упомянутый svcmgmt.exe действует как червь-носитель для доставки драйвера ядра fast16.sys. Он удивительно скрытен для инструмента своего возраста. Например, он проверял реестр машины на наличие средств мониторинга вредоносных программ от таких компаний, как Symantec, TrendMicro, McAfee и других, чтобы решить, прервать выполнение или развернуться.

Распространение fast16 происходило через «червячков», которые распространялись через API управления службами Windows и общего доступа к файлам. Эта версия fast16 была нацелена на Windows 2000 и Windows XP и использовала стандартные и слабые пароли администратора для доступа к общим папкам.

Основные цели fast16

Fast16 был разработан для искажения вычислений с плавающей запятой незаметным, предсказуемым и воспроизводимым образом. Он искал исполняемые файлы, в частности EXE-файлы, скомпилированные с помощью компилятора Intel C/C++.

Искажение результатов работы целевых исполняемых файлов контролировалось таким образом, что fast16 вносил «небольшие, но систематические ошибки в расчеты физического мира». Как отмечают исследователи, инженерные проекты, основанные на этих расчетах, могли бы разрушаться быстрее, чем ожидалось, «или даже способствовать катастрофическим повреждениям».

В блоге Sentinel Labs были названы три программных пакета, соответствующих той эпохе, которые были конкретными целями fast16.

LS-DYNA 970 (симуляции аварий/взрывов; обычно используется в ядерном моделировании)

PKPM (китайский пакет для структурного проектирования, используемый для проектирования масштабных инфраструктурных проектов)

MOHID (португальское программное обеспечение для гидродинамического моделирования окружающей среды)

Другие зараженные машины, использующие то же программное обеспечение и выполняющие те же расчеты, получали те же незначительно ошибочные результаты.

Что еще существует?

Fast16 — это довольно значимое открытие, которое указывает на то, что государственный киберсаботаж существовал уже в середине «нулевых», опередив обнаружение Stuxnet как минимум на пять лет.

Однако родословная fast16 может быть гораздо длиннее и глубже в истории. Некоторые строки в файлах вредоносного ПО имеют отпечатки юникс-систем времен Холодной войны. Это, по сути, окаменевшие следы систем контроля версий программного обеспечения, датируемых 1970-ми и 80-ми годами.

Источник: Tomshardware.com