Uma nova análise do malware fast16, baseado em Lua, confirmou que ele foi uma ferramenta de sabotagem cibernética criada para adulterar simulações de testes de armas nucleares.
Segundo equipes da Symantec, da Broadcom e da Carbon Black, a ferramenta, anterior ao Stuxnet, foi desenvolvida para corromper simulações de compressão de urânio, um elemento central no projeto de armas nucleares.
“O mecanismo de hooks do fast16 tem interesse seletivo em simulações de alto explosivo no LS-DYNA e no AUTODYN”, afirmou a Threat Hunter Team.
“O malware verifica a densidade do material que está sendo simulado e só age quando esse valor ultrapassa 30 g/cm³, o limite que o urânio só pode atingir sob a compressão por choque de um dispositivo de implosão.”
A descoberta ocorre poucas semanas depois de a SentinelOne apresentar uma análise do fast16, descrevendo-o como o primeiro framework de sabotagem cujos componentes podem ter surgido já em 2005, dois anos antes da primeira versão conhecida do Stuxnet, também chamada de Stuxnet 0.5.
Entre as evidências encontradas pela empresa de cibersegurança estava uma referência à string “fast16” em um arquivo de texto vazado em 2017 por um grupo hacker anônimo chamado The Shadow Brokers.
O arquivo fazia parte de um grande volume de ferramentas de hacking e exploits supostamente usadas pelo Equation Group, um threat actor patrocinado pelo Estado e com suspeita de ligação com a Agência de Segurança Nacional dos EUA, a NSA.
Em sua essência, o malware de sabotagem industrial traz um conjunto de 101 regras para adulterar cálculos matemáticos executados por determinados programas de engenharia e simulação que eram comuns na época.
Embora os binários exatos alterados pelo malware não estejam claros, a SentinelOne identificou três prováveis candidatos: LS-DYNA versão 970, Practical Structural Design and Construction Software, conhecido como PKPM, e Modelo Hidrodinâmico, ou MOHID.
A análise mais recente da Symantec confirmou que LS-DYNA e AUTODYN são as duas aplicações alvo do fast16 e acrescentou que ele foi projetado explicitamente para interferir em simulações de detonações com alto explosivo, quase certamente para facilitar a sabotagem de pesquisas sobre armas nucleares.
“Ambas são aplicações de software usadas para simular problemas do mundo real, como segurança em colisões de veículos, modelagem de materiais e simulação de explosões”, disseram Symantec e Carbon Black.
“Os hooks que o fast16 insere dentro do programa de simulação consistem em três estratégias de ataque.
A adulteração só é ativada durante execuções completas de explosão transitória e detonação.”
As 101 regras de hook podem ser agrupadas em 9 ou 10 grupos, cada um voltado para diferentes versões de LS-DYNA ou AUTODYN, o que sugere que os desenvolvedores do malware acompanhavam as atualizações dos programas e acrescentavam suporte a diferentes versões ao longo do tempo.
Isso aponta para uma operação metódica e contínua.
“Se os grupos de regras de hook foram adicionados sequencialmente conforme a necessidade, vemos um grupo incluído para uma versão anterior do software depois de uma versão mais nova”, explicaram os pesquisadores.
“Pode-se imaginar que o usuário da simulação tenha revertido para uma versão mais antiga diante da anomalia, antes que essa versão também passasse a ser alvo.
Em segundo lugar, os grupos de hook representam até 10 versões diferentes de software de simulação, o que significa que o usuário atualizava as versões com relativa frequência.”
O fast16 foi criado de forma a não infectar computadores que tenham determinados produtos de segurança instalados.
Ele também se espalha automaticamente para outros endpoints na mesma rede, de modo que qualquer máquina usada para executar as simulações produza os mesmos resultados adulterados.
As descobertas indicam que a sabotagem industrial estratégica usando malware já era conduzida por agentes estatais há pelo menos 20 anos, muito antes de o Stuxnet ser usado para danificar centrífugas de enriquecimento de urânio na usina nuclear de Natanz, no Irã, ao injetar código malicioso em PLCs da Siemens.
Em conversa com a jornalista de cibersegurança Kim Zetter, Vikram Thakur, diretor técnico da Symantec, disse que o nível de especialização necessário para projetar um malware assim em 2005 é “assombroso”.
Ainda assim, não se sabe se existe uma versão moderna do fast16 em circulação.
“Esse grau de conhecimento de domínio, como entender quais formulários de EOS importam, quais convenções de chamada são produzidas por quais compiladores e quais classes de simulação vão ou não acionar a proteção, é incomum em qualquer época e era muito incomum em 2005”, disseram Symantec e Carbon Black.
“O framework pertence à mesma linhagem conceitual do Stuxnet, na qual o malware era ajustado não apenas para o produto de um fornecedor, mas para um processo físico específico que era simulado ou controlado por esse produto.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...