TokyoBlackHatNews

gbhackers.com 4分で読了

Fast16マルウェア、データを改ざんして核兵器テスト・シミュレーションを妨害

新たに分析されたサイバー・スパイ活動フレームワーク「Fast16」は、重要なテストデータを密かに操作することで、核兵器シミュレーションを標的とした、これまで発見された中で最も正確で秘密裏の妨害活動の一つを明らかにした。

研究者らは、このマルウェアが単にシステムに侵入したわけではなく、科学的結果そのものを改ざんしたことを確認している。

Fast16の中核機能は、非常に選別的な「フック・エンジン」にあり、リアルタイムでアプリケーション動作を修正する。マルウェアは広くシステムを破損させるのではなく、核爆発モデリングに関連する非常に特定の条件下でのみ活性化する。

例えば、シミュレーション・パラメータを監視し、材料密度が30g/cm³を超えるときのみトリガーされる。これは核爆縮時の圧縮されたウラン関連の閾値である。

シマンテックがGBhackersと共有したレポートで述べたように、Fast16は、爆発と物質の動作をモデリングするために広く使用されている2つの物理エンジンであるLS-DYNAとAUTODYN内でのウラン圧縮シミュレーションに干渉するために特に設計された。

このレベルの認識は、攻撃者が核物理ワークフローを詳細に理解していたことを強く示唆している。

このマルウェアは、高爆薬シミュレーション・モデルに焦点を当てており、特に爆発物理学のモデリングで一般的に使用されているJones-Wilkins-LeeやLee-Tarverなどの特定の状態方程式(EOS)を使用するモデルに焦点を当てている。

Fast16マルウェアの妨害

埋め込まれると、Fast16は微妙だが影響力のある方法で出力値を改ざんする。研究者は3つの主要な改ざんメカニズムを特定した:

  • メカニズムAは、特定の閾値に達すると、計算された値を真の出力の10%に削減する。
  • メカニズムBは、LS-DYNAシミュレーション内の応力テンソル値を標的とし、高密度条件下で1%程度まで徐々に低下させる。
  • メカニズムCはAUTODYNシミュレーションに影響し、ソフトウェアのバージョンとパラメータに応じて圧力出力を8%から42%の間でスケーリング低下させる。

これらの操作は、ウラン圧縮がシミュレーション内でどのように動作するかを歪める。実際には、これはデザインが実行不可能な場合に実行可能に見せたり、逆に有効なデザインを失敗させたりする可能性がある。

これを理解する簡単な方法:車が時速100km/hで走行しているときも、スピードメーターが常に時速40km/hを表示する想像してください。そのデータに依存するエンジニアは完全に間違った決定を下すでしょう。

証拠は、Fast16が1回限りの攻撃ではなく、継続的なキャンペーンの一部であったことを示唆している。研究者は、それぞれがLS-DYNAとAUTODYNの特定のバージョンに適合された最大10の異なるマルウェア・ビルドを特定した。これは、攻撃者がソフトウェア更新を継続的に追跡し、それに応じてツールを適応させたことを示している。

EOSは、材料の体積または密度が圧縮または膨張したときに材料の圧力がどのように変化するかを決定する数学的モデルです。 

このマルウェアは、共有ドライブと認証情報の偽装を使用してネットワーク内で横方向に拡散しますが、ターゲット環境を離れないように意図的に設計されており、検出の可能性を低減します。

そのステルス性はインストールまで及びます。Fast16は、カーネル・レベル・ドライバを使用して実行ファイルをインターセプトし、ロード中に悪意のあるコードを注入し、イメージ・ファイル実行オプション(IFEO)ハイジャックなどのWindowsレジストリのトリックを使用して永続性を維持します。一方、既知のセキュリティ・ツールがインストールされているシステムを積極的に回避します。

Fast16は、データを盗むのではなく、科学的真実を妨害するために設計された稀なサイバー兵器のクラスを表しています。

シミュレーション出力を破損させることで、明らかなアラームをトリガーすることなく、核兵器開発を遅延または脱線させることができます。

セキュリティ専門家はそれをStuxnetと比較していますが、Fast16がそれより数年前に存在した可能性があり、コンポーネントは2005年頃にさかのぼることに注意しています。ソフトウェア・エンジニアリングと物理科学の知識の深い統合により、それは一般的なマルウェアから区別されます。

開始密度 終了密度 低下量(真の値の%)
30g/cm3 60g/cm3 42%
30g/cm3 40g/cm3 10%
30g/cm3 47g/cm3 10%
30g/cm3 48g/cm3 8%

最新の変種が存在するかどうかは不明ですが、機密シミュレーションを扱う組織は予防策を講じるべきです:

  • カーネル・ドライバを監視・監査してください。特に未署名または不明なものについてです。
  • 権限のない実行可能ファイルをブロックするために、厳格なアプリケーション制御を実施してください。
  • EDRソリューションのような高度なエンドポイント検出ツールを導入してください。
  • 異常を検出するために、シミュレーション出力を独立したモデルに対して定期的に検証してください。

Fast16は、サイバー攻撃がもはやデータ盗難に限定されず、一度に1つの計算で静かに現実そのものを再形成できることを思い出させてくれます。

翻訳元: https://gbhackers.com/fast16-malware-sabotages/

ソース: gbhackers.com
#APT #Fast16マルウェア #IFEO #LS-DYNA #Stuxnet #サイバー戦争 #サイバー攻撃 #ステルス技術 #データ改ざん #核兵器シミュレーション

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚