出典: vectorfusionart via Shutterstock
研究者たちは、長年ナタンズのイラン核遠心分離機に対するStuxnet攻撃を国家が主導するサイバーサボタージュの最初の章と考えてきた。
2010年にStuxnetが公開される少なくとも5年前に、同等の威力を持つサイバー兵器が開発されていたことが判明した。このサイバー兵器は、高精度の数学計算にほぼ検出不可能なエラーを注入し、その結果に依存するシステムとアプリケーションを徐々に損なわせ、サボタージュすることが可能だった。
SentinelOneの研究者たちは、これまで文書化されていなかったマルウェアフレームワークを発見し、fast16として追跡している。彼らによると、これは「先進物理学、暗号、および核研究ワークロードなどの国家的重要性を持つ超高価な高精度コンピューティングワークロード」をサボタージュするために明確に設計されたサイバーツールの最初の例を示している。
「fast16の発見は、サイバー兵器が何を行うことができるか、および国家主導のサイバーサボタージュ作戦がいつ重要なインフラストラクチャへの深刻な脅威となるレベルに成熟したかについての私たちの理解を書き換えている」とSentinelOneの研究者Vitaly Kamlukはダークリーディングへのコメントで述べている。
サイバー兵器の概念を書き換える
Fast16の機能は、エンジニアリングおよび科学ソフトウェアの数学出力を静かに破損させることであり、完全に異なる感染していないシステム上で独立した計算を実行することなく検出することがほぼ不可能な小さな体系的エラーを導入するものだった。
SentinelOneはfast16の配信メカニズムを「クラスター爆弾」に例えており、複数の「wormlets」を投下し、ターゲット環境内の脆弱性を探して悪用することで、メインペイロードをできるだけ多くのマシンに分配することができるものだった。
Fast16はサイバー兵器の歴史における大きな転換点を示している。Kamlukは「20年の歴史を持つにもかかわらず、このような方法で高精度数学計算を損なわせるために特に設計された別のマルウェアはまだ発見されていない」と述べている。
幸運な発見
SentinelOne研究者は、Windowsマルウェアに埋め込まれたLua VMの最初の意味のある使用をトレースしようとしながらfast16を発見した。Luaはスクリプト言語であり、組織はアプリケーションの機能を拡張するために使用する。SentinelOneは、Flame、Flame 2.0、PlexingEagle、およびProject Sauronなどの非常に洗練されたマルウェアフレームワークの著者がLuaスクリプトエンジンを一貫して埋め込み、ツールにモジュール性を追加し、その慣行がどのくらい前にさかのぼるかを確認したいと考えていた。
彼らが発見したのはfast16であり、そのコンポーネントは2005年にさかのぼり、Stuxnetの最初の既知の使用よりもずっと前のものだった。Stuxnetは地政学的な文脈で最初の既知のサイバー兵器の展開と広く見なされている。彼らのfast16の分析により、高精度計算ソフトウェアを対象とした最初のLuaベースのネットワークワームであることが示された。
「fast16」という名前は、ShadowBrokersグループが2016年に国家安全保障局の攻撃的なサイバー兵器に関して流出させた文書に表示される。しかし、SentinelOneはマルウェアをNSAまたは他の団体に帰属させなかった。
注目すべきことに、誰かが10年以上前にマルウェアをVirusTotalにアップロードしており、そこでほぼ検出されないままになっていた。VirusTotal上の1つのエンジンのみがツールを一般的に悪意のあるものとして分類しているが、SentinelOneによれば、それでさえ中程度の信頼度でのみである。このVirusTotalの結果は懸念されているかもしれないが、Kamlukは、fast16が「本当に古いマルウェア」であり、「ほぼ時代遅れの」環境でのみ実行されることに注目した。
「正直なところ、適切な検証なしに他の研究者を誤った仮説に容易に導いてしまう可能性のある誤解を招く誤った基準に囲まれていたため、その痕跡を拾うことができたことは幸運だったと考えている。」
対象ソフトウェアスイート
研究者は、fast16が対象とした可能性のある3つのソフトウェアスイートを特定した: LS-DYNA 970、PKPM、およびMOHID流体力学モデリングプラットフォーム。これらはすべてクラッシュテスト、構造分析、環境モデリングなどのシナリオに使用される。SentinelOneはLS-DYNAをイランが核兵器開発プログラムに関連するコンピューターモデリングで使用していることが報告されているソフトウェアとして特定し、Stuxnetより前にターゲットだった可能性があることを示唆している。
しかし、研究者は著者(最も可能性が高いのは国家行為者)が兵器を展開したかどうか、その意図されたターゲット、または実際の攻撃シナリオでの影響は不確実である。
「地政学的文脈と国家に関しては、マルウェアはどこに展開されることを意図されていたかについて特定の参照がない」とKamlukは述べている。「対象となるソフトウェアはどこでも現れる可能性がある。」
それにもかかわらず、Kamlukはfast16を国家行為者の可能性が高い作品として評価している。「高精度物理プロセスシミュレーションを実行するソフトウェアのパッチは、典型的な開発者の範囲を超えている」と彼は述べている。「特定の主題分野への深い精通が必要であり、微妙でありながら意味のあるサボタージュの変更を作成する必要がある。」
攻撃ベクトルは引き続き関連性がある
ソフトウェアの年齢を考慮すると、fast16の犠牲になった組織があるかどうかを知ることは非常に難しい。したがって、fast16攻撃の可能な結果についてのみ推測することが可能である。
Kamlukは、異なる世代のシステム向けに作成されたことを考慮すると、fast16は最新システムで実行することができないと述べている。マルウェアはユニプロセッサWindows XPシステムでのみ実行され、現在はほぼ時代遅れの環境である。古い研究室でそのようなレガシーシステムが稀に存在する場合でも、最新のセキュリティソフトウェアをインストールすることはしばしば不可能であると彼は指摘している。
「しかし、基礎となる攻撃ベクトルは引き続き高度に関連性がある。金融取引、AIモデルトレーニング、または各種シミュレーションソフトウェアで使用される高精度計算は、今日の同様だがモダナイズされた脅威の対象になる可能性がある。」
SentinelOneは、組織が古いシステムまたはデータアーカイブをチェックするために使用できるYaraルールを公開している。
「fast16発見の真の意義は、この新しく珍しいサイバーサボタージュ攻撃ベクトル自体を特定することにある」とKamlukは述べている。
翻訳元: https://www.darkreading.com/cyber-risk/20-year-old-malware-rewrites-history-of-cyber-sabotage
