Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La suite di malware fast16 è stata scoperta dagli specialisti di SentinelLABS. Era in grado di corrompere silenziosamente calcoli ingegneristici e scientifici già nel 2005, cinque anni prima di Stuxnet. Fast16 era progettato per influenzare in modo occulto i processi fisici tramite calcoli software.
Gli specialisti di SentinelLABS hanno scoperto la suite di malware fast16, in grado di corrompere silenziosamente calcoli ingegneristici e scientifici già nel 2005, cinque anni prima di Stuxnet. Le analisi suggeriscono che il programma non si limitava a rubare dati o a infiltrarsi nel sistema; interferiva con i calcoli in modo che i computer infetti producessero risultati identici ed errati.
fast16 era costituito dal file di servizio svcmgmt.exe e dal driver fast16.sys. Il primo avviava il servizio, lo installava e lo distribuiva nelle reti Windows 2000 e Windows XP. Il secondo operava a livello di kernel e intercettava l’accesso ai file eseguibili sul disco. Quando il driver trovava un programma adatto, ne modificava il codice direttamente in memoria e inseriva le proprie sezioni che influenzavano i calcoli in virgola mobile.
L’obiettivo non erano, a quanto pare, i computer di uso comune, bensì pacchetti software specializzati per l’ingegneria e la ricerca scientifica. Gli esperti hanno confrontato gli schemi individuati con vecchie raccolte di software e hanno trovato corrispondenze con programmi di modellazione di precisione, tra cui LS-DYNA 970, PKPM e la piattaforma idrodinamica MOHID. Tali sistemi vengono utilizzati per calcoli edili, modellazione di incidenti, esplosioni, processi fisici, comportamento dei materiali e ambienti acquatici.
Una caratteristica peculiare di fast16 è che il codice dannoso poteva corrompere non solo un singolo risultato, ma un’intera catena di controlli. svcmgmt.exe si diffondeva nella rete tramite gli strumenti standard di Windows, si copiava su macchine remote e avviava un servizio. Se diversi computer di una singola organizzazione venivano infettati contemporaneamente, una verifica ripetuta dei calcoli su un sistema vicino poteva mostrare lo stesso risultato errato. Questo approccio riduceva le probabilità di rilevare la sostituzione.
Prima dell’installazione, fast16 verificava la presenza di prodotti di sicurezza nel sistema. Nel codice venivano rilevate chiavi di registro associate a soluzioni di Symantec, Trend Micro, F-Secure, McAfee, Kaspersky, Zone Labs, Kerio, Agnitum e altri fornitori. In presenza di tali segnali, l’installazione veniva interrotta. Per la metà degli anni 2000, una tale cautela appare insolita per i tipici worm di rete e ricorda piuttosto un’operazione ben pianificata.
La stringa di debug C:buildydriverfdi386fast16.pdb, trovata in svcmgmt.exe, ha svolto un ruolo chiave nell’indagine.
Essa puntava al driver fast16.sys. Lo stesso nome, fast16, è stato successivamente ritrovato nella fuga di dati di ShadowBrokers , che ha pubblicato componenti associati alla National Security Agency (NSA) statunitense. In uno dei file contenenti note dell’operatore, la frase “Niente da vedere qui – continuate” compariva accanto a fast16.
SentinelLABS non dichiara di aver definito completamente gli obiettivi dell’operazione. Il codice sorgente per il quale sono state scritte le regole di sostituzione non è stato ancora identificato con sufficiente precisione. Tuttavia, lo scopo del driver appare insolitamente chiaro: fast16 è stato progettato per interferire in modo occulto con i calcoli di precisione, non per la sorveglianza di routine.
Questa scoperta cambia la nostra comprensione di come si è evoluto il cybersabotaggio. Fino ad ora, Stuxnet , scoperto nel 2010, era considerato il principale esempio iniziale. fast16 dimostra che strumenti per influenzare in modo occulto i processi fisici tramite calcoli software esistevano già a metà degli anni 2000. Inoltre, il vettore utilizzava un linguaggio Lua integrato, un’architettura modulare e l’intercettazione del file system basata su driver molto prima delle ben note piattaforme Flame e Project Sauron.
I file Fast16 sono rimasti praticamente inosservati nelle raccolte di campioni per anni. Ancora oggi, svcmgmt.exe non viene rilevato dai motori di sicurezza. SentinelLABS ha pubblicato indicatori di compromissione e regole YARA affinché altri ricercatori possano esaminare gli archivi e potenzialmente trovare le parti mancanti dell’operazione.
