Black Hat Asia セキュリティ企業SentinelOneがエンジニアリングおよび物理シミュレーションソフトウェアにエラーを誘発しようとするマルウェアを発見しました。これはサイバー破壊活動の試みを表しており、イランのウラン濃縮遠心分離機を破壊することを目的としたStuxnetワームより数年前に作成されたことが示唆されています。
同社のVitaly Kamlukが本日Black Hat Asiaカンファレンスでこのマルウェアについて講演しました。SentinelOneはまた、このマルウェアについてブログ記事も発表しています。
Kamlukはカンファレンスで、Flame、Animal Farm、Project Sauronのような既知の国家級スパイウェアツールが最初のものであるかどうか疑問に思った後、この発見がもたらされたと述べました。この3つはすべてLua言語と仮想マシンの使用を共有していたため、彼は同様のソフトウェアを探すことにしました。
その検索により、「fast16」への参照を含む2016年にVirusTotalにアップロードされたマルウェアサンプルが見つかりました。
Kamlukによるサンプルの分析により、その開発者が採用した技術は2016年代のマルウェアの典型的なものではないことが示唆されました。SentinelOneの研究者らはまた、2016年に現れた悪名高いShadowBrokerマルウェアのキャッシュが後にアメリカ国家安全保障局(NSA)にリンクされたが、fast16への参照を含んでいたことを思い出しました。
SentinelOneは、コード内の手がかりとWindows XPより後のバージョンでは実行されず、Windows XP上でもシングルコアCPUでのみ動作するという事実に基づいて、fast16は2005年頃に存在するようになったと考えています。Intelは2006年に最初のマルチコアコンシューマCPUを出荷しました。
研究者らはサンプルを分析し、ワームをインストールしてfast16.sysというドライバーをデプロイしようとしていることを発見しました。
このドライバーには、浮動小数点計算の出力を変更するルーチンが含まれており、また「土木工学、物理学、物理プロセスシミュレーションなどの専門分野における精密計算ツール」を探しています。
研究者らは、fast16が2000年代半ばに使用されていた3つの高精度エンジニアリングおよびシミュレーションスイート「LS-DYNA 970、PKPM、およびMOHID流体力学モデリングプラットフォーム(すべてクラッシュテスト、構造解析、環境モデリングなどのシナリオに使用されていた)」を標的にしていたと考えています。
イランはその核兵器開発プログラムでLS-DYNAを使用していたと考えられています。
Kamlukは、fast16の目的はエンジニアリングシミュレーションソフトウェアで実行される計算でエラーを引き起こすことであり、おそらく現実世界の問題につながる可能性があると仮説立てました。そして、fast16はStuxnetより5年先行するサイバー兵器だったと主張しました。
「APT進化のより広い図において、fast16は初期のほぼ見えない開発プログラムと後のより広く文書化されたLua-およびLuaJIT-ベースのツールキット間のギャップを埋めている」とKamlukはSentinelOneの同僚Juan Andrés Guerrero-Saadeと共に書きました。
「これは、高度な行為者がどのように長期的な侵害、破壊活動、およびソフトウェアを通じて物理的な世界を再構成する国家能力についてどのように考えているかを理解するための参照ポイントです。fast16は新しい形の国家統治の静かな先駆者であり、今日までその秘密性において成功していました。」
彼の講演で、Kamlukは自分の成果をfast16が標的にするエンジニアリングアプリケーションのベンダーに開示したと述べました。マルウェアが不正な計算を生成した証拠がないかどうか、自分の製品の出力をチェックしたいと思うかもしれないと感じているためです。
「もしかしたらもっと多くの発見があるかもしれませんね?」と彼は結論づけました。
Kamlukは、友人で同僚のSergey Mineevに涙ながらに講演を捧げました。Sergey Mineevは彼の仕事の重要性に対する注目を求めることなく、多くの非常に重要なAPTの発見に責任を持っており、3月に亡くなったとのことです。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/24/fast16_sabotage_malware/
