Новая старая страница истории киберсаботажа
Ещё в середине 2000-х АНБ могла с помощью киберопераций нарушать работу процессов в реальном мире, https://www.wired.com/story/fast16-malware-stuxnet-precursor-iran-nuclear-attack/. Исследователи Хуан Андрес Герреро-Сааде и Виталий Камлюк изучили раритетную вредоносную программу fast16 и пришли к выводу, что она предназначалась для незаметного искажения сложных вычислений в программном обеспечении, которое использовалось в таких областях, как физические исследования, гражданское строительство и криптография. Одной из предполагаемых жертв саботажа мог быть Иран — ещё до известной атаки Stuxnet.
Отправной точкой для исследователей послужила утечка инструментов АНБ/Equation Group, организованная группировкой Shadow Brokers в 2017 году. Один из модулей под названием Territorial Dispute предназначался для проверки присутствия в атакуемых системах вредоносных программ конкурентов. https://static.crysys.hu/publications/files/tedi/ukatemicrysys_territorialdispute.pdf позволил составить перечень того, что именно АНБ искало при проникновении — включая и файлы, которые могли относиться к операциям самого АНБ. Среди последних была загадочная строчка "*** NOTHING TO SEE HERE - CARRY ON ***","fast16".
В 2019 Герреро-Сааде удалось найти на VirusTotal сэмпл, содержавший в себе kernel-драйвер под названием Fast.sys, скомпилированный в 2005 году. До недавнего времени в кругу исследователей, знакомых с находкой, многие предполагали, что это похоже на руткит. Однако в этом году Камлюк изучил файл более пристально (в том числе с применением ИИ) и выяснил, что версия про руткит была неверной.
fast16 мог распространять себя на другие компьютеры внутри сети — при условии, что на них не обнаруживались защитные средства от почти 20 вендоров включая Symantec, TrendMicro, «Лабораторию Касперского», «ИнфоТеКС». На заражённом компьютере вредонос отслеживал запуск определённых приложений в соответствии с прописанными правилами. Если нужная цель попадалась, в её вычисления незаметно вносились искажения. Причём если бы пользователь решил перепроверить на другом заражённом компьютере (например, на том же объекте), то он получил бы точно такой же ошибочный результат.
Какие программы подходили под зашитые в fast16 правила? Исследователи проверили на корпусе софта из периода 2000-х и нашли несколько совпадений. Лучше всего подходят три кандидата: популярная в Китае система автоматизированного проектирования PKPM, опенсорсная система моделирования водных процессов португальской разработки MOHID и программа для моделирования физических процессов, в том числе взрывного воздействия LS-DYNA. Последняя представляла наибольший интерес, поскольку в открытых источниках обнаружились упоминания её использования иранскими учёными — отсюда родилась версия, что fast16 мог использоваться против иранской ядерной программы. Однако жертв могло быть несколько: анализ вредоноса показал следы контроля версий, и изученный сэмпл не был первым продуктом.
Если всё работало примерно так, как описали исследователи SentinelOne, то саботаж мог носить очень скрытный характер и, скорее, не подрывать, а замедлять те или иные проекты. Впрочем, в статье Wired об исследовании отмечается, что последствием мог быть и катастрофический ущерб оборудованию.
О том, что за fast16 стоит АНБ, можно говорить только на основе упоминания этого инструмента в утечке Shadow Brokers. Вопрос Wired спецслужба оставила без ответа.
В любом случае находка показывает, что продвинутые кибероперации, не ограничивающиеся исключительно разведывательными целями, проводились задолго до Stuxnet. История использования государствами киберпространства может скрывать ещё немало эпизодов, о которых мы пока не имеем никакого представления.
Исследование будет презентовано на конференции Black Hat Asia, но уже https://www.sentinelone.com/labs/fast16-mystery-shadowbrokers-reference-reveals-high-precision-software-sabotage-5-years-before-stuxnet/. Он посвящён памяти
https://t.me/cyberguerre.
