Fast16マルウェアが破壊能力でハイバリューシステムをターゲット

Fast16と呼ばれる、これまで知られていなかったサイバー破壊フレームワークで、そのコア成分は2005年にさかのぼります。これにより、悪名高いStuxnetワームを少なくとも5年先制する、その種の最も早く知られている破壊マルウェアになります。

Fast16フレームワークは2つの主要コンポーネントで構成されています: Lua駆動のサービスバイナリ(svcmgmt.exe)とカーネルドライバーfast16.sysです。

マルウェアは高精度計算ソフトウェアを選別的にターゲットにし、メモリ内のコードをパッチして計算結果を改ざんします。このペイロードを自己伝播メカニズムと組み合わせることで、攻撃者は施設全体で不正確な計算を生成することを目指していました。

カーネルドライバーfast16.sysはブートスタートファイルシステムコンポーネントとして動作し、ディスクから読み取られるときに実行可能コードをインターセプトして変更します。

SentinelLABSがこれまで文書化されていなかったサイバー破壊を発見したフレームワークで、2005年にさかのぼるコア成分を持ち、fast16として追跡されています。

これはIntel C/C++コンパイラでコンパイルされた実行ファイルを具体的にターゲットにし、パターンマッチングとコード置換用に設定された101個の異なるルールを備えたルール駆動型パッチエンジンを含みます。

戦略的ターゲットと目的

マルウェアは、高度な物理学、暗号、核研究アプリケーションを含む、国家的重要性を持つ超高額の高精度コンピューティングワークロードを攻撃するように設計されました。

内部的には、svcmgmt.exeは3つの異なるペイロードを格納し、設定を処理する暗号化されたLuaバイトコードを含みます。

SentinelOneは3つの潜在的なターゲットソフトウェアスイートを特定しました: LS-DYNA 970(衝突テストと構造解析に使用)、PKPM(中国の構造工学ソフトウェア)、およびMOHID水動力学モデリングプラットフォーム。

分析により、fast16は精度計算ルーチンを破損させることに専念した特殊な浮動小数点ユニット命令を含むことが明らかになりました。

物理的な計算に体系的なエラーを導入することで科学研究プログラムを損なう可能性があり、エンジニアリングされたシステムを低下させたり、壊滅的な被害に貢献したりする可能性があるため、これはマルウェアを典型的なスパイツール以上の戦略的破壊の領域に移動させます。

名前’fast16’は、2017年のNSAの’Territorial Dispute’コンポーネントの悪名高いShadowBrokersリークに表示されます。オペレーターに指示する競合回避署名は次のように述べています: 「fast16 * ここに見るべきものはありません – 続けてください *」。

マルウェアのNSAリーク資料への出現は、LS-DYNAソフトウェアをイランの核兵器開発研究に結びつける公開報告と組み合わせると、fast16がStuxnetの数年前にイランの核プログラムに対して展開された可能性があることを示唆しています。

高度な開発技術

Fast16は2005年には前例のない高度なエンジニアリングを実演します。マルウェアはモジュール性のための組み込みLua 5.0仮想マシンを使用し、Flameの同様の技術を3年先制します。

ほとんどのパターンは通常のx86命令に対応していますが、1つが目立ちます: 精度計算に専念した浮動小数点(FPU)コードのより大きなブロック。

フレームワークには環境認識機能が含まれており、インストール前にセキュリティ製品の存在を確認し、監視された環境での展開を中止します。

伝播のため、fast16はWindows 2000およびXPシステム上のファイル共有のデフォルトまたは弱いパスワードを使用し、カスタムネットワークプロトコルではなく、標準のWindowsサービス制御とファイル共有APIを介して拡散しました。

このワーム型設計により、マルウェアはネットワーク内の複数のシステムに破壊ドライバーを展開でき、破損した計算の独立した検証を防ぐことができました。

この発見は国家が後援するサイバー破壊作戦のタイムラインの再評価を強制し、ソフトウェアを通じて物理的インフラストラクチャを損なうための洗練された能力が以前に文書化されたよりもはるかに早く存在していたことを示しています。

侵害の指標