- 27,441
- 46
- 8 Ноя 2022
Вирус Fast16 притворялся службой Windows и менял законы физики на графиках.
Fast16 выглядит как один из самых необычных примеров цифрового саботажа: вредоносная программа не ломала оборудование и не выводила компьютеры из строя, а тихо подменяла данные в расчетах, от которых могла зависеть судьба ядерной программы.
Специалисты Symantec подтвердили, что Fast16 был создан для вмешательства в работу программ LS-DYNA и AUTODYN . Эти системы используют для сложного моделирования, например, автомобильных аварий, поведения материалов при ударе, взрывов и других процессов с резкими нагрузками. В случае Fast16 цель была куда уже: программа срабатывала во время моделирования ядерного взрыва и меняла показатели так, чтобы инженеры видели неверные результаты.
По данным Symantec, вредоносный код ждал, пока расчет приблизится к ключевому этапу, связанному со сжатием уранового ядра. Когда плотность материала достигала 30 г/см3, Fast16 начинал занижать отдельные значения, включая давление. На графиках такой результат мог выглядеть правдоподобно, но подталкивал инженеров к выводу, что испытание не удалось и нужное состояние не достигнуто.
Вероятной целью атаки была ядерная программа Ирана. На такой вывод указывают сроки, акцент на уране, характер моделирования и набор программ, которые могли использоваться в Иране в середине 2000-х годов. Специалист по ядерной тематике Дэвид Олбрайт из Института науки и международной безопасности считает, что Fast16 мог сорвать или замедлить работу над расчетами для ядерного оружия.
Fast16 сравнивают со Stuxnet, но подход у вредоносных программ различался. Stuxnet вмешивался в работу центрифуг для обогащения урана и показывал операторам ложные данные, пока оборудование работало неправильно. Fast16 не атаковал физические установки, а подрывал доверие к расчетам. Цель могла заключаться в том, чтобы инженеры тратили время, меняли параметры, спорили о причинах ошибок и снова получали искаженные результаты.
В коде Fast16 нашли поддержку нескольких версий LS-DYNA и AUTODYN. Symantec считает, что авторы добавляли такую поддержку постепенно, возможно, отслеживая, какими версиями пользовалась цель. Если инженеры сталкивались со странными результатами и переходили на другую версию программы, вредоносный код мог адаптироваться и к ней.
Fast16 также распространялся внутри локальной сети, но был рассчитан так, чтобы не выходить за ее пределы. Перед установкой вредоносная программа проверяла наличие 18 защитных продуктов и отказывалась заражать систему, если находила один из них. После установки Fast16 маскировался под системную службу Windows, внедрял драйвер и перехватывал запуск нужных программ.
По оценке Symantec, Fast16 требовал редкого сочетания знаний. Авторы должны были понимать не только Windows и методы скрытной установки, но и внутреннее устройство специализированных расчетных программ, физику взрыва, модели поведения материалов и параметры, которые надо изменить так, чтобы подмена не бросалась в глаза.
Fast16 впервые всплыл после утечек инструментов Агентства национальной безопасности США, опубликованных группой Shadow Brokers в 2017 году. Сам образец позже нашли на VirusTotal, где он долго оставался незамеченным. SentinelOne первой публично разобрала Fast16, а новая работа Symantec подтвердила, что программа действительно была нацелена на LS-DYNA и AUTODYN и могла использоваться против расчетов, связанных с ядерным оружием.
Кто именно создал Fast16, официально неизвестно. Но совпадение по времени со Stuxnet и характер цели указывают, что Fast16 мог быть частью более широкой кампании США, Израиля или их союзников по замедлению иранской ядерной программы.
Fast16 выглядит как один из самых необычных примеров цифрового саботажа: вредоносная программа не ломала оборудование и не выводила компьютеры из строя, а тихо подменяла данные в расчетах, от которых могла зависеть судьба ядерной программы.
Специалисты Symantec подтвердили, что Fast16 был создан для вмешательства в работу программ LS-DYNA и AUTODYN . Эти системы используют для сложного моделирования, например, автомобильных аварий, поведения материалов при ударе, взрывов и других процессов с резкими нагрузками. В случае Fast16 цель была куда уже: программа срабатывала во время моделирования ядерного взрыва и меняла показатели так, чтобы инженеры видели неверные результаты.
По данным Symantec, вредоносный код ждал, пока расчет приблизится к ключевому этапу, связанному со сжатием уранового ядра. Когда плотность материала достигала 30 г/см3, Fast16 начинал занижать отдельные значения, включая давление. На графиках такой результат мог выглядеть правдоподобно, но подталкивал инженеров к выводу, что испытание не удалось и нужное состояние не достигнуто.
Вероятной целью атаки была ядерная программа Ирана. На такой вывод указывают сроки, акцент на уране, характер моделирования и набор программ, которые могли использоваться в Иране в середине 2000-х годов. Специалист по ядерной тематике Дэвид Олбрайт из Института науки и международной безопасности считает, что Fast16 мог сорвать или замедлить работу над расчетами для ядерного оружия.
Fast16 сравнивают со Stuxnet, но подход у вредоносных программ различался. Stuxnet вмешивался в работу центрифуг для обогащения урана и показывал операторам ложные данные, пока оборудование работало неправильно. Fast16 не атаковал физические установки, а подрывал доверие к расчетам. Цель могла заключаться в том, чтобы инженеры тратили время, меняли параметры, спорили о причинах ошибок и снова получали искаженные результаты.
В коде Fast16 нашли поддержку нескольких версий LS-DYNA и AUTODYN. Symantec считает, что авторы добавляли такую поддержку постепенно, возможно, отслеживая, какими версиями пользовалась цель. Если инженеры сталкивались со странными результатами и переходили на другую версию программы, вредоносный код мог адаптироваться и к ней.
Fast16 также распространялся внутри локальной сети, но был рассчитан так, чтобы не выходить за ее пределы. Перед установкой вредоносная программа проверяла наличие 18 защитных продуктов и отказывалась заражать систему, если находила один из них. После установки Fast16 маскировался под системную службу Windows, внедрял драйвер и перехватывал запуск нужных программ.
По оценке Symantec, Fast16 требовал редкого сочетания знаний. Авторы должны были понимать не только Windows и методы скрытной установки, но и внутреннее устройство специализированных расчетных программ, физику взрыва, модели поведения материалов и параметры, которые надо изменить так, чтобы подмена не бросалась в глаза.
Fast16 впервые всплыл после утечек инструментов Агентства национальной безопасности США, опубликованных группой Shadow Brokers в 2017 году. Сам образец позже нашли на VirusTotal, где он долго оставался незамеченным. SentinelOne первой публично разобрала Fast16, а новая работа Symantec подтвердила, что программа действительно была нацелена на LS-DYNA и AUTODYN и могла использоваться против расчетов, связанных с ядерным оружием.
Кто именно создал Fast16, официально неизвестно. Но совпадение по времени со Stuxnet и характер цели указывают, что Fast16 мог быть частью более широкой кампании США, Израиля или их союзников по замедлению иранской ядерной программы.
- Источник новости
- www.securitylab.ru
