Stuxnet je považován za první kybernetickou zbraň, která způsobila fyzické škody v reálném světě. Nový objev ale naznačuje, že podobné nástroje existovaly o roky dříve — jen jsme o nich nevěděli.
Výzkumníci ze společnosti SentinelOne, Vitaly Kamluk a Juan Andrés Guerrero-Saade, zveřejnili analýzu malwaru nazvaného fast16. Soubory, z nichž se skládá, nesou časová razítka z července a srpna roku 2005 — tedy minimálně pět let před tím, než Stuxnet v roce 2010 poškodil íránské centrifugy v jaderném zařízení Natanz. Podle výzkumníků jde o nejstarší dosud zdokumentovaný případ státem sponzorované kybernetické sabotáže zaměřené na fyzické systémy.
Fast16 je napsaný v programovacím jazyce Lua, který je běžně spojovaný spíše s tvorbou her než s malwarem. V tomto případě je ale Lua použita ke konfiguraci a šíření škodlivého kódu — a podle analytiků jde o první malware pro Windows, který do sebe zahrnuje celý interpret jazyka Lua. Skládá se ze tří součástí: hlavního modulu spustitelného jako systémová služba, pomocné knihovny a ovladače jádra s názvem fast16.sys. Celá sestava je navržena tak, aby zůstala co nejnápadněji skrytá a přežila na napadeném systému co nejdéle.
Klíčové je to, co fast16 dělal poté, co se v systému usadil. Necílil na smazání dat ani na špionáž — jeho úkolem bylo záměrně vnášet drobné chyby do výpočtů inženýrského softwaru. Konkrétně se zaměřoval na programy LS-DYNA (simulace nárazů a výbuchů), PKPM a MOHID (modelování hydrodynamiky). Systematické drobné odchylky ve výsledcích simulací mohou vést k tomu, že inženýři postaví nebo navrhnou něco, co nefunguje tak, jak má — aniž by vůbec tušili proč. Írán přitom software LS-DYNA prokazatelně využíval v rámci svého jaderného programu.
Jméno fast16 se poprvé objevilo ve světě mimo stínový svět zpravodajských služeb v roce 2016 až 2017, kdy skupina Shadow Brokers zveřejnila uniklé materiály NSA. Jeden ze souborů obsahoval seznam ovladačů — a fast16.sys byl mezi nimi. Teprve teď, téměř deset let poté, se podařilo malware plně analyzovat. Soubory přitom byly nahrány na VirusTotal již v roce 2016, ale jejich skutečný charakter zůstal přehlédnut.
Objev fast16 nepředstavuje aktuální bezpečnostní hrozbu pro běžné uživatele. Jeho hodnota je historická a analytická — připomíná, že kybernetické operace státních aktérů mají delší a sofistikovanější historii, než se předpokládalo. Kolik podobných nástrojů stále čeká na své odhalení?
Zdroj: The Hacker News