Een nieuwe analyse van de Lua-gebaseerde snel16 Malware heeft bevestigd dat het een cybersabotagetool is die is ontworpen om te knoeien met simulaties van het testen van kernwapens.
Volgens de teams van Symantec en Carbon Black, eigendom van Broadcom, is de pre-Stuxnet-tool ontworpen om uraniumcompressiesimulaties te corrumperen die essentieel zijn voor het ontwerp van kernwapens.
“De hook-engine van Fast16 is selectief geïnteresseerd in explosieve simulaties binnen LS-DYNA en AUTODYN”, aldus het Threat Hunter-team. “De malware controleert de dichtheid van het materiaal dat wordt gesimuleerd en treedt pas in werking als die waarde de 30 g/cm³ overschrijdt, de drempel uranium kan alleen worden bereikt onder de schokcompressie van een implosieapparaat.
De ontwikkeling komt weken nadat SentinelOne een analyse van fast16 presenteerde, waarin hij het beschreef als het eerste sabotageframework waarvan de componenten zich mogelijk al in 2005 ontwikkelden, twee jaar ouder dan de vroegst bekende versie van Stuxnet (ook bekend als Stuxnet 0.5).
Bewijsmateriaal dat door het cyberbeveiligingsbedrijf werd opgegraven, omvatte een verwijzing naar de string ‘fast16’ in een tekstbestand dat in 2017 was gelekt door een anonieme hackgroep genaamd The Shadow Brokers. Het bestand maakte deel uit van een enorme reeks hacktools en exploits die naar verluidt werden gebruikt door de Equation Group, een door de staat gesponsorde dreigingsacteur met vermoedelijke banden met de Amerikaanse National Security Agency (NSA).
In de kern bestaat de industriële sabotage-malware uit een reeks van 101 regels om te knoeien met wiskundige berekeningen die zijn uitgevoerd door bepaalde engineering- en simulatieprogramma’s die destijds gangbaar waren. Hoewel de exacte binaire bestanden die door de malware worden gepatcht onduidelijk zijn, identificeerde SentinelOne drie waarschijnlijke kandidaten: LS-DYNA versie 970, Practical Structural Design and Construction Software (PKPM) en Modelo Hidrodinâmico (MOHID).
De laatste analyse van Symantec heeft nu bevestigd dat LS-DYNA en AUTODYN de twee toepassingen zijn waarop fast16 zich richt, en voegt eraan toe dat deze expliciet zijn ontworpen om simulaties van zeer explosieve ontploffingen te verstoren, vrijwel zeker om sabotage tegen onderzoek naar kernwapens te vergemakkelijken.
“Beide zijn softwaretoepassingen die worden gebruikt om problemen uit de echte wereld te simuleren, zoals de botsbestendigheid van voertuigen, materiaalmodellering en explosieve simulatie”, aldus Symantec en Carbon Black. “De haken die fast16 in het simulatieprogramma plaatst, bestaan uit drie aanvalsstrategieën. Het knoeien wordt alleen geactiveerd tijdens grootschalige tijdelijke ontploffings- en detonatieruns.”
De 101 hook-regels kunnen verder worden onderverdeeld in 9-10 hook-groepen, die elk gericht zijn op verschillende builds van LS-DYNA of AUTODYN, wat erop wijst dat de ontwikkelaars van de malware software-updates bijhielden en in de loop van de tijd ondersteuning voor verschillende versies toevoegden. Dit duidt op een methodische en volgehouden werkwijze.
“Als hook-regelgroepen indien nodig opeenvolgend werden toegevoegd, zien we dat er na een nieuwere versie een hook-groep wordt toegevoegd voor een eerdere versie van de software”, legden de onderzoekers uit.
“Je kunt je voorstellen dat de simulatiegebruiker terugkeerde naar een oudere versie toen hij met de anomalie werd geconfronteerd, voordat die versie ook het doelwit was. Ten tweede vertegenwoordigen de hook-groepen maximaal 10 verschillende versies van simulatiesoftware, wat betekent dat de simulatiegebruiker versies semi-regelmatig bijwerkt.
Fast16 is zo gemaakt dat het geen computers infecteert waarop bepaalde beveiligingsproducten zijn geïnstalleerd. Het verspreidt zich ook automatisch naar andere eindpunten op hetzelfde netwerk, zodat elke machine die wordt gebruikt om de simulaties uit te voeren dezelfde gemanipuleerde uitvoer zal genereren.
De bevindingen geven aan dat strategische industriële sabotage met behulp van malware al twintig jaar geleden werd uitgevoerd door nationale actoren, lang voordat Stuxnet werd gebruikt om uraniumverrijkingscentrifuges in de Iraanse kerncentrale in Natanz te beschadigen door kwaadaardige code in de programmeerbare logische controllers van Siemens te injecteren.
In een gesprek met cybersecurityjournalist Kim Zetter zei Vikram Thakur, technisch directeur van Symantec, dat het niveau van expertise en begrip dat nodig is om dergelijke malware in 2005 te ontwerpen “verbluffend” is. Dat gezegd hebbende, is het niet bekend of er een moderne versie van fast16 in het wild bestaat.
“Die mate van domeinkennis, zoals het begrijpen welke EOS (Equation of State) er toe doet, welke oproepconventies door welke compilers worden geproduceerd en welke simulatieklassen wel of niet de poort zullen openen, is ongebruikelijk in elk tijdperk en was zeer ongebruikelijk in 2005”, aldus Symantec en Carbon Black.
“Het raamwerk behoort tot dezelfde conceptuele lijn als Stuxnet, waarin malware niet alleen werd afgestemd op het product van een leverancier, maar ook op een specifiek fysiek proces dat door dat product wordt gesimuleerd of bestuurd.”
