Pesquisadores de cibersegurança descobriram um novo malware baseado em Lua, criado anos antes do notório worm Stuxnet, que tinha como objetivo sabotar o programa nuclear do Irã ao destruir centrífugas de enriquecimento de urânio.
Segundo um novo relatório da SentinelOne, a estrutura de sabotagem cibernética, até então não documentada, remonta a 2005 e tinha como alvo principal softwares de cálculo de alta precisão, para adulterar resultados.
O código recebeu o nome fast16.
“Ao combinar esse payload com mecanismos de autopropagação, os invasores buscavam produzir cálculos igualmente incorretos em toda a instalação”, afirmaram os pesquisadores Vitaly Kamluk e Juan Andrés Guerrero-Saade em um relatório detalhado publicado nesta semana.
A avaliação é de que o fast16 é anterior ao Stuxnet, a primeira arma digital conhecida projetada para ações disruptivas e que serviu de base para o rootkit infostealer Duqu, em pelo menos cinco anos.
O Stuxnet é amplamente associado ao desenvolvimento pelos Estados Unidos e por Israel.
Ele também antecede as primeiras amostras conhecidas do Flame, também chamado Flamer e Skywiper, outro malware sofisticado descoberto em 2012 e que incorporava uma máquina virtual Lua para atingir seus objetivos.
A descoberta faz do fast16 a primeira variante de malware para Windows a incorporar um mecanismo Lua.
A SentinelOne afirmou ter feito a descoberta após identificar um artefato chamado “svcmgmt.exe” que, à primeira vista, parecia apenas um invólucro genérico de serviço em modo console.
Segundo o VirusTotal, a amostra tem carimbo de criação de arquivo de 30/08/2005, embora tenha sido enviada à plataforma mais de uma década depois, em 08/10/2016.
Uma análise mais aprofundada, porém, revelou uma máquina virtual Lua 5.0 embutida e um contêiner de bytecode criptografado, além de vários outros módulos que se conectam diretamente às APIs de sistema de arquivos, registro, controle de serviços e rede do Windows NT.
A lógica central do implante está no bytecode Lua, e o binário também referencia um driver de kernel, chamado “fast16.sys”, por meio de um caminho PDB, um arquivo com data de criação de 19/07/2005, responsável por interceptar e modificar código executável à medida que ele é lido do disco.
Vale destacar, porém, que esse driver não executa em sistemas com Windows 7 ou versões posteriores.
Em uma pista que pode indicar a origem da ferramenta, a SentinelOne disse ter encontrado uma referência à string “fast16” em um arquivo de texto chamado “drv_list.txt”, que incluía uma lista de drivers projetados para uso em ataques de advanced persistent threat (APT).
O arquivo, de quase 250 KB, foi vazado por um grupo de hackers misterioso nove anos atrás.
Em 2016 e 2017, o coletivo, que se autodenominava The Shadow Brokers, publicou grandes volumes de dados supostamente roubados do Equation Group, um grupo de advanced persistent threat com suspeitas de ligação com a NSA.
O material incluía diversas ferramentas de hacking e exploits sob o apelido “Lost in Translation”.
O arquivo de texto era um deles.
“A string dentro de svcmgmt.exe forneceu a principal ligação forense nesta investigação”, disse a SentinelOne.
“O caminho PDB conecta o vazamento de 2017 de assinaturas de desconflitação usadas por operadores da NSA a um módulo ‘carrier’ multimodal, movido por Lua, compilado em 2005 e, em última instância, ao seu payload furtivo, um driver de kernel projetado para sabotagem de precisão.”
O “svcmgmt.exe” foi descrito como um “módulo carrier altamente adaptável”, capaz de alterar seu comportamento com base nos argumentos de linha de comando passados a ele, o que permite que ele seja executado como um serviço do Windows ou rode código Lua.
Ele traz três payloads distintos: bytecode Lua para lidar com configuração, propagação e lógica de coordenação, uma DLL auxiliar ConnotifyDLL (“svcmgmt.dll”) e o driver de kernel “fast16.sys”.
Na prática, ele foi projetado para analisar a configuração, elevar privilégios como serviço, opcionalmente implantar o implante de kernel e iniciar um wormlet do Service Control Manager (SCM) que varre servidores de rede e propaga o malware para outros ambientes Windows 2000/XP com credenciais fracas ou padrão.
Um ponto importante é que a propagação só ocorre quando é forçada manualmente ou quando produtos de segurança comuns não são encontrados no sistema, por meio da varredura do Banco de Registro do Windows em busca de chaves associadas.
Entre as ferramentas verificadas explicitamente estão produtos da Agnitum, F-Secure, Kaspersky, McAfee, Microsoft, Symantec, Sygate Technologies e Trend Micro.
A presença da Sygate Technologies é outro indicativo de que a amostra foi desenvolvida em meados dos anos 2000, já que a empresa foi adquirida pela Symantec, hoje parte da Broadcom, em agosto de 2005, e as vendas e o suporte aos seus produtos foram formalmente encerrados até novembro.
“Para uma ferramenta dessa época, esse nível de consciência do ambiente é notável”, afirmou a SentinelOne.
“Embora a lista de produtos possa não parecer abrangente, ela provavelmente reflete os produtos que os operadores esperavam encontrar nas redes-alvo e cuja tecnologia de detecção ameaçaria a furtividade de uma operação clandestina.”
A ConnotifyDLL, por sua vez, é invocada sempre que o sistema estabelece uma nova conexão de rede usando o Remote Access Service (RAS), e grava os nomes das conexões remota e local em um named pipe (“\\.\pipe\p577”).
Mas é o driver que responde pela sabotagem de precisão.
Ele mira executáveis compilados com o compilador Intel C/C++ para realizar patching baseado em regras e sequestrar o fluxo de execução por meio de injeções maliciosas de código.
Um desses blocos é capaz de corromper cálculos matemáticos, com foco específico em ferramentas usadas em engenharia civil, física e simulações de processos físicos.
“Ao introduzir pequenos erros, porém sistemáticos, em cálculos do mundo real, a estrutura poderia enfraquecer ou atrasar programas de pesquisa científica, degradar sistemas de engenharia ao longo do tempo ou até contribuir para danos catastróficos”, explicou a SentinelOne.
“Ao separar um invólucro de execução relativamente estável de payloads criptografados e específicos por tarefa, os desenvolvedores criaram uma estrutura reutilizável e compartimentalizada, que poderia ser adaptada a diferentes ambientes-alvo e objetivos operacionais, mantendo o binário externo praticamente inalterado entre campanhas.”
Com base em uma análise das 101 regras definidas no mecanismo de patching e no cruzamento desses dados com softwares usados em meados dos anos 2000, a avaliação é de que três suítes de engenharia e simulação de alta precisão podem ter sido os alvos: LS-DYNA 970, PKPM e a plataforma de modelagem hidrodinâmica MOHID.
O LS-DYNA, hoje parte do Ansys Suite, é um pacote de software de simulação multifísica de uso geral, usado para simular colisões, impactos e explosões.
Em setembro de 2024, o Institute for Science and International Security (ISIS) divulgou um relatório detalhando o provável uso, pelo Irã, de softwares de modelagem computacional como o LS-DYNA em atividades relacionadas ao desenvolvimento de armas nucleares, com base na análise de 157 publicações acadêmicas encontradas em literatura científica e de engenharia de fonte aberta.
Essa linha de evidências ganha ainda mais importância diante da informação de que o programa nuclear iraniano sofreu danos substanciais depois que sua instalação de enriquecimento de urânio em Natanz foi alvo do worm Stuxnet, em junho de 2010.
Além disso, a Symantec revelou, em fevereiro de 2013, uma versão anterior do Stuxnet, usada para atacar o programa nuclear do Irã em novembro de 2007, com indícios de que ela já estava em desenvolvimento desde novembro de 2005.
“O Stuxnet 0.5 é a versão mais antiga do Stuxnet já analisada”, observou a Symantec na época.
“O Stuxnet 0.5 contém uma estratégia de ataque alternativa, fechando válvulas dentro da instalação de enriquecimento de urânio em Natanz, no Irã, o que teria causado danos sérios às centrífugas e ao sistema de enriquecimento de urânio como um todo.”
Em conjunto, a descoberta mais recente “obriga uma reavaliação” da linha do tempo histórica do desenvolvimento de operações clandestinas de sabotagem cibernética, afirmou a SentinelOne, acrescentando que ela mostra que ferramentas de sabotagem cibernética apoiadas por Estados e voltadas a alvos físicos já estavam plenamente desenvolvidas e em uso em meados dos anos 2000.
“No panorama mais amplo da evolução de APT, o fast16 faz a ponte entre programas iniciais, em grande parte invisíveis, e kits de ferramentas posteriores, mais amplamente documentados, baseados em Lua e LuaJIT”, concluíram os pesquisadores.
“Ele é um ponto de referência para entender como atores avançados pensam sobre implantes de longo prazo, sabotagem e a capacidade de um Estado de remodelar o mundo físico por meio de software.
O fast16 foi o prenúncio silencioso de uma nova forma de estratégia de Estado, bem-sucedida em seu sigilo até hoje.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...