СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26 апреля
#ИБ

fast16: ранний фреймворк киберсаботажа против расчетных систем

Компания SentinelLABS сообщила об обнаружении сложного и ранее не зарегистрированного sabotage framework под названием fast16. По данным исследователей, его основные компоненты датируются 2005 годом, а сама разработка была нацелена на вмешательство в высокоточное software для расчетов путем изменения code in memory и последующей подмены результатов.

Как отмечают авторы отчета, сочетание подобных техник с self-propagating payload позволило бы злоумышленникам вызывать неверные вычисления в масштабах целых отраслей. На момент появления fast16 это выглядело беспрецедентно и, по оценке SentinelLABS, предшествовало нашумевшему Stuxnet примерно на пять лет.

Архитектура fast16

Фреймворк связан с Lua-powered binary svcmgmt.exe, который выполняет роль универсального носителя. Его рабочий режим меняется в зависимости от параметров command-line, что делает компонент гибким и удобным для разных сценариев применения.

Отдельное внимание исследователи уделяют компоненту fast16.sys. Он функционирует как kernel-mode driver и предназначен для перехвата и модификации executable code on disk. Именно этот драйвер, по данным отчета, вносит целенаправленные неточности в вычисления, используемые специализированным ПО в таких областях, как advanced physics и cryptographic research.

Как распространялась payload

Первоначальные выводы SentinelLABS указывают на то, что fast16 использовал функции, характерные для высокозащищенных Unix-сред. Это позволяет исследователям предполагать, что происхождение фреймворка, вероятно, связано с efforts sponsored by the state.

Отдельно подчеркивается использование custom Lua virtual machine, что стало заметным шагом вперед в модульности и extensibility разработки malware. Такой подход соответствует общей тенденции, наблюдаемой у advanced persistent threat actors (APT), которые все чаще строят свои инструменты как гибкие платформы, а не как одиночные вредоносные программы.

Распространение payload в fast16 обеспечивал worm, который использовал возможности Windows Service для атаки на системы со слабой защитой, прежде всего на среды Windows 2000 и XP. Этот ранний self-propagating worm, как отмечают аналитики, демонстрирует стратегическое применение встроенных возможностей Windows для проникновения — в отличие от более распространенных на тот момент user-driven methods распространения malware.

Точечное вмешательство в вычисления

По данным исследования, fast16.sys также выступает как file system driver и демонстрирует высокую степень sophistication благодаря rule-based patching executable files, с особым вниманием к тем, которые были скомпилированы с помощью Intel C/C++ compiler.

Механизм фреймворка реализует targeted floating-point corruption в высокоточных расчетах путем изменения code patterns, связанных с numerical methods. Такое вмешательство позволяет намеренно вносить погрешности, ставящие под угрозу результаты scientific research и engineering practice.

Среди потенциальных целей исследователи называют широко используемые software packages:

  • LS-Dyna
  • PKPM
  • MOHID

Все они имеют значительное применение в технических сферах, критически важных для national security и industrial enterprises.

Почему fast16 важен для оценки киберугроз

Обнаружение fast16, по оценке SentinelLABS, стало поворотным моментом в понимании эволюции государственно спонсируемого cyber sabotage toolset. Исследователи считают, что в этом случае были задействованы глубоко укоренившиеся методы, опередившие современные malware architectures и долгое время недооцененные.

Особую значимость этому фреймворку придает его stealth capabilities, а также связь с утечкой ShadowBrokers. Это, по мнению аналитиков, заставляет иначе взглянуть на landscape of cyber threats и признать, что sabotage государственного уровня уже действовал в середине 2000-х годов.

Поскольку исследователи продолжают изучать полный потенциал и последствия подобных frameworks, случай fast16 подчеркивает постоянную необходимость сохранять бдительность в отношении advanced threats, нацеленных на изменение physical environment через manipulation of software.

Иными словами, fast16 демонстрирует, что cyber sabotage может быть не только инструментом кражи данных или шпионажа, но и средством воздействия на реальные вычислительные процессы, от которых зависят наука, инженерия и критическая промышленность.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: