セキュリティ研究者らは、2005年まで遡るマルウェアを特定しました。このマルウェアは、悪名高いStuxnetキャンペーンの数年前にイランの核計画を破壊するために設計されたものと思われます。
SentinelOneのVitaly KamlukとJuan Andrés Guerrero-Saadeは、ブログ投稿で、彼らの出発点は埋め込みLua VMを備えたマルウェアがFlameやProject Sauronのような国家支援の取り組みより前に存在するかどうかを確認することだったと説明しました。
その後、埋め込みLua 5.0 VMを備え、カーネルドライバ「fast16.sys」を参照するサービスバイナリ「svcmgmt.exe」が見つかりました。
「このカーネルドライバは、ディスクから読み込まれる際に実行可能コードをインターセプトして修正するブート開始ファイルシステムコンポーネントです」とレポートは説明しています。
「このような時代のドライバはWindows 7以降では実行されませんが、当時fast16.sysはストレージスタック内での位置、ファイルシステムI/Oの制御、およびルールベースのコードパッチング機能のおかげで、一般的なルートキットを大きく上回るものでした。」
Stuxnetについてもっと読む:高度なStuxnetマルウェアが18ヶ月近くになっている
Fast16はStuxnetより少なくとも5年前に遡り、その種の最初の作戦として位置づけられるとSentinelOneの研究者らは述べています。Stuxnetは2010年に発見された高度な国家レベルのコンピュータワームで、イランの核計画を破壊するために設計されました。
SentinelOneは、fast16が同時代のワームと異なる理由は、最初に記録されたLuaベースのネットワークワームであること、およびその任務の特異性にあると述べています。
「キャリアは、クラスター弾薬のソフトウェア形態のように機能するように設計され、内部的に「wormlets」と呼ばれる複数の感染可能なペイロードを搭載することができます」とレポートは述べています。
Windows 2000/XPをターゲットに設計され、ファイル共有上のデフォルトまたは弱い管理者パスワードに依存しています。ただし、ターゲット環境が特定のセキュリティソフトウェアを実行していないことを確認した後にのみ起動します。
「このような時代のツールについて、そのレベルの環境認識は注目に値するものです」とレポートは主張しています。
Fast16の帰属と最終目標
SentinelOneは、fast16が2000年代半ばに使用された3つの「高精度エンジニアリングおよびシミュレーションスイート」、つまりLS-DYNA 970、PKPM、およびMOHID流体力学モデリングプラットフォームをターゲットに設計されたと主張しています。
これらは衝突テスト、構造解析、および環境モデリングに使用されており、LS-DYNAはイランによって展開されていたと考えられています。
マルウェア自体は、これらのツールが生成する計算に干渉し、ルーチンを破損させて代替出力を生成するように作成されていました。
「物理世界の計算に小さいが体系的なエラーを導入することで、このフレームワークは科学研究プログラムを損なうか遅延させるか、エンジニアリングされたシステムを時間の経過とともに劣化させるか、あるいは壊滅的な損害をもたらす可能性さえあります」とレポートは主張しています。
「これは、高度なアクターがどのように長期的なインプラント、サボタージュ、およびソフトウェアを通じて物理世界を再形成する国家の能力についてどのように考えているかを理解するための参照ポイントです。」
このマルウェアは、NSAハッキングツールの悪名高いShadow Brokersリークでも言及されており、米国の攻撃作戦に結びつけられています。
翻訳元: https://www.infosecurity-magazine.com/news/fast16-sabotage-malware-winds/
