Fast16: Phần mềm độc hại 21 năm tuổi có thể đã phá hoại chương trình hạt nhân Iran trước cả Stuxnet

Trong lịch sử của các cuộc tấn công mạng do nhà nước tài trợ, các hoạt động phá hoại thường dao động từ việc xóa trắng dữ liệu thô thiển đến Stuxnet huyền thoại—một phần mềm độc hại mà Mỹ và Israel đã triển khai tại Iran vào năm 2007 để làm hỏng các máy ly tâm làm giàu hạt nhân. Tuy nhiên, các nhà nghiên cứu vừa phát hiện ra một chương mới trong lịch sử tiến hóa của kỹ thuật phá hoại mạng: một mẫu mã độc 21 năm tuổi có khả năng can thiệp vào phần mềm nghiên cứu và kỹ thuật để gieo rắc sự hỗn loạn mà không thể bị phát hiện—và nó có thể đã được sử dụng tại Iran, thậm chí trước cả Stuxnet.

Vitaly Kamluk và Juan Andrés Guerrero-Saade, hai nhà nghiên cứu từ công ty an ninh mạng SentinelOne, vào thứ Năm vừa qua đã tiết lộ một bước đột phá trong việc giải mã bí ẩn của một phần mềm độc hại có tên Fast16. Mã này đã gây khó khăn cho giới an ninh mạng kể từ khi sự tồn tại của nó bị rò rỉ trong một vụ lộ dữ liệu của NSA vào năm 2017. Các nhà nghiên cứu của SentinelOne hiện đã thực hiện kỹ thuật ngược (reverse-engineered) mã Fast16 và khẳng định nó có từ năm 2005, rất có thể được tạo ra bởi chính phủ Mỹ hoặc một trong những đồng minh.

Kamluk và Guerrero-Saade đã xác định rằng mã độc Fast16 được thiết kế để thực hiện hình thức phá hoại tinh vi nhất từng được thấy trong một công cụ độc hại thực tế: Bằng cách tự động lan truyền qua mạng và sau đó âm thầm thao túng các quy trình tính toán trong các ứng dụng phần mềm thực hiện tính toán toán học độ chính xác cao và mô phỏng hiện tượng vật lý, Fast16 có thể làm thay đổi kết quả của các chương trình này. Điều này dẫn đến các lỗi từ kết quả nghiên cứu sai lệch cho đến thiệt hại thảm khốc đối với thiết bị trong thế giới thực.

"Nó tập trung vào việc thực hiện những thay đổi nhỏ đối với các phép tính này để chúng dẫn đến thất bại—rất tinh tế, có thể không nhận ra ngay lập tức. Các hệ thống có thể bị hao mòn nhanh hơn, sụp đổ hoặc bị lỗi, và nghiên cứu khoa học có thể đưa ra kết luận sai lệch, gây ra thiệt hại nghiêm trọng," Kamluk cho biết. "Thành thật mà nói, đó là một cơn ác mộng."

Trong quá trình phân tích Fast16, Kamluk và Guerrero-Saade đã tìm ra ba loại phần mềm mô phỏng vật lý tiềm năng mà mã độc này có thể được thiết kế để can thiệp: phần mềm Modelo Hidrodinâmico (MOHID) của Bồ Đào Nha dùng để mô hình hóa hệ thống nước; phần mềm kỹ thuật xây dựng của Trung Quốc gọi là PKPM; và quan trọng nhất, phần mềm mô phỏng vật lý LS-DYNA. Đây là ứng dụng ban đầu được tạo ra bởi các nhà khoa học tại Phòng thí nghiệm Quốc gia Lawrence Livermore của Mỹ, hiện được sử dụng để mô hình hóa mọi thứ từ va chạm giữa chim và máy bay đến độ bền kéo của các thành phần cần cẩu.

Trong số các khả năng đó, Kamluk và Guerrero-Saade chỉ ra bằng chứng cho một lý thuyết cụ thể: LS-DYNA cũng đã được các nhà khoa học Iran sử dụng để thực hiện nghiên cứu có thể đóng góp vào chương trình vũ khí hạt nhân của họ, theo Viện Khoa học và An ninh Quốc tế. Viện này cũng lưu ý rằng phần mềm có thể được sử dụng để mô hình hóa các vấn đề vật lý liên quan đến nghiên cứu vũ khí hạt nhân, chẳng hạn như sự tương tác của kim loại trong vũ khí hạt nhân và tác động của việc tên lửa đạn đạo tái nhập khí quyển Trái Đất lên đầu đạn hạt nhân.

Tất cả những điều đó gợi ý rằng Fast16 có thể đã được sử dụng vào giữa những năm 2000 cụ thể để phá hoại nỗ lực phát triển vũ khí hạt nhân của Iran, có thể là nhiều năm trước khi Stuxnet được triển khai để đạt được kết quả tương tự thông qua một hình thức phá hoại trực tiếp hơn. Điều này được xem là một phần của chương trình chung được thực hiện bởi NSA và các hacker Đơn vị 8200 của Israel được gọi là Olympic Games.

"Không phải là không thể xảy ra khi những gì chúng ta đang nhìn thấy là một tiền thân sớm của Olympic Games. Nó phù hợp với các tiêu chí, đúng không?" Guerrero-Saade nói. "Chúng tôi muốn là những nhà nghiên cứu khách quan, tốt, nhưng điều này thực sự không phải là một sự phóng đại."

Bất kể lý thuyết đó có đúng hay không, phân tích mới về Fast16 đã viết lại lịch sử của các cuộc tấn công mạng do nhà nước tài trợ. Thomas Rid, giám đốc Viện Nghiên cứu An ninh mạng Alperovitch tại Đại học Johns Hopkins, cho biết: "Điều này có nghĩa là các hoạt động phá hoảng lừa đảo đã là một phần trong sách lược mạng từ sớm hơn nhiều so với chúng ta nghĩ, có thể ngay từ đầu. Và nó cũng có vẻ như chúng tinh vi hơn nhiều so với sự hiểu biết của chúng ta."

Bí ẩn "Không có gì để xem ở đây"

Bí ẩn về Fast16 lần đầu tiên được đưa ra ánh sáng vào tháng 4 năm 2017, sau khi nhóm hacker chưa được xác định có tên Shadow Brokers somehow đã lấy được và rò rỉ một bộ sưu tập khổng lồ các công cụ của NSA lên internet mở. Một trong những công cụ đó, được gắn nhãn Territorial Dispute, dường như được thiết kế để giúp các nhân viên NSA đang xâm nhập vào mạng lưới trên toàn thế giới tránh xung đột với các hoạt động hacker khác. Công cụ này bao gồm một danh sách dài các mẫu mã độc, bao gồm cả những mẫu được NSA và các cơ quan "thân thiện" khác sử dụng, cũng như hướng dẫn về khi nào nên "rút lui" để tránh bị phát hiện bởi hoạt động xâm nhập của kẻ thù.

Trong số các mẫu được liệt kê, có một mẫu có nhãn hoàn toàn độc đáo. Đối với phần mềm độc hại được gọi là "fast16", công cụ Territorial Dispute đã告诉 các nhân viên NSA: "KHÔNG CÓ GÌ ĐỂ XEM Ở ĐÂY—TIẾP TỤC". Hướng dẫn kỳ lạ này khiến các nhà nghiên cứu suy đoán trong nhiều năm qua rằng Fast16 có thể là sản phẩm của NSA, một cơ quan hoặc nhà thầu khác trong cộng đồng tình báo Mỹ, hoặc cơ quan tình báo của một đồng minh—và rằng các hacker NSA không nên can thiệp vào nó.

Mặc dù vụ rò rỉ của Shadow Brokers dường như không bao gồm bất kỳ phần mềm thực tế nào được gọi là Fast16, nhưng mọi thứ khác về mã độc này vẫn chưa được biết đến. Chỉ đến năm 2019, Guerrero-Saade mới tìm thấy một mẫu Fast16 ẩn trong kho lưu trữ của VirusTotal, công cụ thuộc sở hữu của Google đóng vai trò là kho lưu trữ mã độc. Tìm kiếm các mẫu mã độc bao gồm trong mã của chúng một động cơ cụ thể để chạy ngôn ngữ lập trình Lua—một đặc điểm đã xuất hiện trước đây trong nhiều phần mềm độc hại tinh vi do nhà nước tài trợ—Guerrero-Saade đã tìm thấy một ứng dụng có vẻ vô hại gọi là svcmgmt.exe.

Sau khi kiểm tra kỹ hơn, Guerrero-Saade phát hiện nó chứa một trình điều khiển nhân (kernel driver)—một đoạn mã được thiết kế để chạy ở mức sâu nhất, có đặc quyền cao nhất của hệ điều hành—gọi là Fast16.sys, dường như đã được biên dịch vào năm 2005.

Mặc dù có phát hiện của Guerrero-Saade, nhưng phải mất thêm bảy năm nữa ai đó mới xác định được Fast16 thực sự làm gì. Trong cộng đồng các nhà nghiên cứu an ninh mạng tương đối nhỏ quan tâm đến các mẫu mã độc 14 năm tuổi, hầu hết đều cho rằng ngay từ cái nhìn đầu tiên, đó là một loại mã độc được gọi là rootkit, có dạng trình điều khiển nhân để ẩn mình tốt hơn trên máy tính, thường là để do thám lén lút.

Chỉ cách đây ba tháng, đồng nghiệp của Guerrero-Saade tại SentinelOne, Kamluk, mới quyết định thử kỹ thuật ngược mã độc Fast16 như một phần của thí nghiệm so sánh kỹ năng của mình với các công cụ AI. Chỉ cách đây hai tuần, ông đã có một phát hiện đáng ngạc nhiên: Fast16 không phải là rootkit. (Năm công cụ AI hàng đầu khác nhau đã nói sai rằng nó là rootkit).

Thay vào đó, Kamluk nhận thấy đó là một đoạn mã tự lan truyền với ý định rất khác. Sử dụng chức năng được gọi là "wormlet" (sâu nhỏ) trong mã, Fast16 được thiết kế để tự sao chép sang các máy tính khác trên mạng thông qua tính năng chia sẻ mạng của Windows. Nó kiểm tra danh sách các ứng dụng bảo mật và nếu không có ứng dụng nào hiện diện, nó sẽ cài đặt trình điều khiển nhân Fast16.sys onto máy tính đích.

Trình điều khiển nhân sau đó đọc mã của các ứng dụng khi chúng được tải vào bộ nhớ của máy tính, giám sát một danh sách dài các mẫu cụ thể—các "quy tắc" cho phép nó xác định khi nào ứng dụng mục tiêu đang chạy. Khi nó phát hiện phần mềm mục tiêu, nó thực hiện mục tiêu rõ ràng của mình: âm thầm thay đổi các phép tính mà phần mềm đang chạy để làm hỏng kết quả một cách không thể nhận biết.

"Thực tế, nó có một tải trọng (payload) rất quan trọng bên trong và hầu như mọi người từng nhìn thấy nó trước đây đều đã bỏ sót," Costin Raiu, một nhà nghiên cứu tại công ty tư vấn bảo mật TLP:Black, người trước đây từng dẫn dắt đội ngũ bao gồm Kamluk và Guerrero-Saade tại công ty bảo mật Nga Kaspersky, cho biết. "Đây được thiết kế để là một sự phá hoảng dài hạn, rất tinh vi mà có lẽ sẽ rất, rất khó để nhận ra."

Tìm kiếm phần mềm đáp ứng các tiêu chí của các "quy tắc" của Fast16 cho một mục tiêu phá hoảng dự định, Kamluk và Guerrero-Saade đã tìm ra ba ứng cử viên: phần mềm MOHID, PKPM và LS-DYNA. Về tính năng "wormlet", họ tin rằng cơ chế lan truyền được thiết kế sao cho khi nạn nhân kiểm tra lại kết quả tính toán hoặc mô phỏng của mình bằng một máy tính khác trong cùng phòng thí nghiệm, máy tính đó cũng sẽ xác nhận kết quả sai, khiến việc lừa dối càng khó phát hiện hoặc hiểu hơn.

Về các hoạt động phá hoảng mạng khác, chỉ có Stuxnet là tương đương với Fast16. Sự phức tạp và tinh vi của mã độc này cũng đặt nó vào tầm cao của các cuộc tấn công mạng do nhà nước tài trợ với mức độ ưu tiên và nguồn lực cao.

Giả thuyết về Iran

Tất cả những điều đó phù hợp với giả thuyết rằng Fast16, giống như Stuxnet, có thể đã nhằm vào việc làm gián đoạn tham vọng phát triển vũ khí hạt nhân của Iran. Raiu lập luận rằng, hơn là một khả năng đơn thuần, việc nhắm vào Iran đại diện cho lời giải thích khả dĩ nhất—một lý thuyết có "độ tin cậy trung bình-cao" rằng Fast16 được "thiết kế như một gói tấn công mạng" nhắm vào dự án hạt nhân AMAD của Iran.

Thực tế, Guerrero-Saade và Kamluk chỉ ra một bài báo được xuất bản bởi Viện Khoa học và An ninh Quốc tế, trong đó thu thập bằng chứng công khai về các nhà khoa học Iran thực hiện nghiên cứu có thể đóng góp vào sự phát triển của vũ khí hạt nhân. Trong một số trường hợp được ghi nhận, nghiên cứu của các nhà khoa học đã sử dụng phần mềm LS-DYNA mà Guerrero-Saade và Kamluk tìm thấy là một mục tiêu tiềm năng của Fast16.

Các nhà nghiên cứu cũng lưu ý rằng Fast16 có thể đã được sử dụng nhiều lần chống lại các mục tiêu khác nhau, thậm chí ở các quốc gia khác. Mã của phần mềm độc hại bao gồm bằng chứng của một hệ thống "kiểm soát phiên bản", cùng với các manh mối cho thấy mẫu mà Guerrero-Saade và Kamluk phân tích không phải là phiên bản đầu tiên hoặc duy nhất của công cụ này.

Bất kể giả thuyết về mục tiêu của nó là gì, Kamluk cho rằng sự tồn tại của một mẫu mã độc 21 năm tuổi có khả năng can thiệp gần như không thể phát hiện vào nghiên cứu và kỹ thuật quan trọng về an toàn đại diện cho một phát hiện gây lo ngại sâu sắc.

"Đối với bất kỳ loại thảm họa hoặc thảm họa nào mà mọi người chết trong một tai nạn, bạn không muốn nuôi dưỡng những nỗi sợ này, nhưng nó tự nhiên xuất hiện: Liệu có yếu tố mạng nào không?" Kamluk nói.

Tuy nhiên, thực tế là Fast16 vẫn không bị phát hiện trong thời gian dài cho thấy nó có thể đã chỉ được sử dụng chống lại một số nhỏ mục tiêu để duy trì tính lén lút, ông Rid cho biết. Điều đó có thể mang lại sự an tâm cho bất kỳ ai cảm thấy bất an trước sự phát hiện ra Fast16 rằng máy tính của họ vẫn có thể tin cậy được—ngoại trừ những người thực sự có thể là mục tiêu của một hoạt động tấn công mạng hiếm gặp và cực kỳ tinh vi do nhà nước tài trợ.