Stuxnetが 国家規模のサイバー破壊工作の象徴になるはるか前から、世界で最も破壊的なテクノロジーを改ざんする静かなフレームワークが既に存在していた。
SentinelOneによって発見され、Symantecの脅威ハンターチームによって分析された「Fast16」マルウェアは、2005年にさかのぼります。
この非常に洗練されたスパイツールは、1つの恐ろしい目的のために特別に設計されました:核兵器研究に使用される爆発シミュレーションを秘密裏に破損させることです。
Fast16は、Intelソフトウェアでコンパイルされた特定の実行ファイルをシステムで監視することで動作します。
エンジニアが対象のシミュレーションを実行すると、マルウェアのフックエンジンは101個のバイトパターンルールのテーブルを使用して、ソフトウェアのメモリをリアルタイムで修正します。
Fast16は、複雑な物理学、特にウランのような材料が極端な圧力下でどのように圧縮されるかを決定する状態方程式(EOS)モデルに関して、異常なレベルの領域知識を持っています。
これらのメトリクスを改ざんすることで、Fast16は科学者をだまして、彼らの核兵器設計が失敗しないはずなのに失敗する、または臨界に早期に達すると信じさせました。
複数の報告によると、研究者はこれらの異常に気づき、頻繁にソフトウェアを更新していましたが、攻撃者は新しいバージョンを対象とする新しいフックグループを配置しました。
Fast16は、セグメント化された対象ネットワーク内でのみ機能するように構築されました。
感染はsvcmgmt.exeで始まります。これは、リモートインストール、Luaスクリプトの実行、および正当なWindowsプログラムのハイジャックのためのコマンドライン引数を公開するインストーラーです。
fast16.sysという名前のカスタムカーネルドライバーをドロップし、正当なシステムファイルから作成日を複製して検出を回避します。18個の特定のエンドポイントセキュリティレジストリキーのいずれかを検出した場合、インストールすることを拒否します。
永続化を維持するために、フレームワークはWindows イメージファイル実行オプション (IFEO)機能を悪用します。
マルウェアはその後、バックグラウンドで実際のアプリケーションを読み込み、ユーザーをだましながらシステムへのフックを確保します。
フレームワークは、ネットワーク接続を管理するプロセスにDLL(svcmgmt.dll)を注入することで、ローカルネットワーク全体に横方向に拡散します。
ログオンしているユーザーの認証情報を盗み、管理ネットワーク共有をスキャンします。同じサブネット内の新しいホストに自身をコピーします。
Fast16のような高度にターゲット化されたサボタージュから身を守るには、厳格な環境管理が必要です。
組織は、ロードされたシステムドライバーの厳密なインベントリを維持し、署名されていないコードをブロックする必要があります。
アプリケーション制御と高度なエンドポイント検出と対応(EDR)プラットフォームを実装することで、攻撃者がこれらの精密ストライクを開始するために必要な悪意のあるツールをサイドロードすることを防ぐのに役立ちます。
翻訳元: https://cyberpress.org/fast16-corrupts-nuclear-simulations/