Обнаружен новый инструмент государственных кибершпионов - Fast16

Специалисты Symantec подтвердили, что Fast16 был создан для вмешательства в работу программ LS-DYNA и AUTODYN. Эти системы используют для сложного моделирования, например, автомобильных аварий, поведения материалов при ударе, взрывов и других процессов с резкими нагрузками. В случае Fast16 цель была куда уже: программа срабатывала во время моделирования ядерного взрыва и меняла показатели так, чтобы инженеры видели неверные результаты.По данным Symantec, вредоносный код ждал, пока расчет приблизится к ключевому этапу, связанному со сжатием уранового ядра. Когда плотность материала достигала 30 г/см3, Fast16 начинал занижать отдельные значения, включая давление. На графиках такой результат мог выглядеть правдоподобно, но подталкивал инженеров к выводу, что испытание не удалось и нужное состояние не достигнуто.

Вероятной целью атаки была ядерная программа Ирана, пишут в Securitylab. На такой вывод указывают сроки, акцент на уране, характер моделирования и набор программ, которые могли использоваться в Иране в середине 2000-х годов. Специалист по ядерной тематике Дэвид Олбрайт из Института науки и международной безопасности считает, что Fast16 мог сорвать или замедлить работу над расчетами для ядерного оружия.

Fast16 сравнивают со Stuxnet, но подход у вредоносных программ различался. Stuxnet вмешивался в работу центрифуг для обогащения урана и показывал операторам ложные данные, пока оборудование работало неправильно. Fast16 не атаковал физические установки, а подрывал доверие к расчетам. Цель могла заключаться в том, чтобы инженеры тратили время, меняли параметры, спорили о причинах ошибок и снова получали искаженные результаты.

В коде Fast16 нашли поддержку нескольких версий LS-DYNA и AUTODYN. Symantec считает, что авторы добавляли такую поддержку постепенно, возможно, отслеживая, какими версиями пользовалась цель. Если инженеры сталкивались со странными результатами и переходили на другую версию программы, вредоносный код мог адаптироваться и к ней.

Fast16 также распространялся внутри локальной сети, но был рассчитан так, чтобы не выходить за ее пределы. Перед установкой вредоносная программа проверяла наличие 18 защитных продуктов и отказывалась заражать систему, если находила один из них. После установки Fast16 маскировался под системную службу Windows, внедрял драйвер и перехватывал запуск нужных программ.

По оценке Symantec, Fast16 требовал редкого сочетания знаний. Авторы должны были понимать не только Windows и методы скрытной установки, но и внутреннее устройство специализированных расчетных программ, физику взрыва, модели поведения материалов и параметры, которые надо изменить так, чтобы подмена не бросалась в глаза.

Fast16 впервые всплыл после утечек инструментов Агентства национальной безопасности США, опубликованных группой Shadow Brokers в 2017 году. Сам образец позже нашли на VirusTotal, где он долго оставался незамеченным. SentinelOne первой публично разобрала Fast16, а новая работа Symantec подтвердила, что программа действительно была нацелена на LS-DYNA и AUTODYN и могла использоваться против расчетов, связанных с ядерным оружием.