FAST16 – öt évvel a Stuxnet előtt
A SentinelOne kutatás a FAST16 malware-t egy korai, állami szintű kiber-szabotázs keretrendszerként azonosítja, amely már 2005 körül létezett, tehát legalább öt évvel megelőzte a Stuxnet megjelenését. A kód eredetileg a Shadow Brokers által kiszivárogtatott NSA eszköztárban szerepelt referenciaként, de funkciója hosszú ideig ismeretlen maradt.
A FAST16 nem klasszikus romboló vagy kémkedő malware, hanem célzottan a nagy pontosságú mérnöki és fizikai szimulációs szoftverek működését manipulálja. A kernel driver (fast16.sys) betöltésével a memóriában módosítja az alkalmazások kódját, és észrevétlenül torzítja a számítási eredményeket, ami hibás döntésekhez, kutatási eredmények torzulásához vagy akár fizikai rendszerek meghibásodásához vezethet.
A célzott alkalmazások között olyan rendszerek szerepelnek, mint az LS-DYNA, PKPM és MOHID, amelyek ipari, mérnöki és akár nukleáris kutatási modellezésben használatosak. A malware működése kifejezetten arra épít, hogy a módosítások minimálisak legyenek, így hosszú ideig rejtve maradjanak, miközben kumulatív hatásuk kritikus hibákhoz vezethet.
A fertőzés része egy worm jellegű terjedési mechanizmus, amely hálózati megosztásokon keresztül más rendszerekre is átmásolja a kódot. Ennek célja, hogy a validációs folyamatokat is kompromittálja, ha több gép ugyanazt a hibás eredményt adja, a manipuláció sokkal nehezebben észlelhető.
A FAST16 moduláris, egy viszonylag stabil komponens (svcmgmt.exe) futtatja a titkosított Lua-alapú payloadot, ami lehetővé teszi a műveletek rugalmas újrakonfigurálását különböző célkörnyezetekhez.
A kiberfegyverek fejlődése már a 2000-es évek közepén elérte a magas precizitású, észrevétlen manipuláció szintjét. A FAST16 nem rendszereket rombol, hanem a bizalmat támadja, a mérnöki számítások integritását, ami stratégiai szinten a döntéshozatalt és a fizikai világ működését is torzíthatja.
