FAST16: Vũ khí mạng phá hoạ có thể ra đời trước Stuxnet tới 5 năm

FAST16 có thể là vũ khí mạng đầu tiên, và những ảnh hưởng của nó vẫn còn tồn tại cho đến ngày nay

Tại hội nghị Black Hat Asia, công ty an ninh mạng SentinelOne đã tiết lộ việc phát hiện ra một phần mềm độc hại có khả năng gây ra lỗi trong các phần mềm mô phỏng kỹ thuật và vật lý. Đây được coi là một hành vi phá hoại có chủ đích, và các bằng chứng cho thấy nó đã được tạo ra nhiều năm trước khi sâu Stuxnet nổi tiếng xuất hiện nhằm phá hủy các thiết bị làm giàu urani của Iran.

Vitaly Kamluk từ SentinelOne đã thảo luận về mã độc này trong bài thuyết trình của mình tại hội nghị. Ông cho biết phát hiện này xuất phát từ sự tò mò về việc liệu các công cụ gián điệp mạng của nhà nước đã biết đến như Flame, Animal Farm và Project Sauron có phải là những thứ đầu tiên trong loại hình của chúng hay không. Cả ba công cụ này đều chia sẻ việc sử dụng ngôn ngữ Lua và máy ảo, nên ông đã đi tìm kiếm các phần mềm tương tự.

Cuộc tìm kiếm đã dẫn đến một mẫu mã độc được tải lên VirusTotal vào năm 2016 có chứa một tham chiếu đến "fast16".

Phân tích của Kamluk cho thấy các kỹ thuật mà các nhà phát triển của mẫu mã này sử dụng không điển hình cho phần mềm độc hại thời kỳ 2016. Các nhà nghiên cứu của SentinelOne cũng nhớ lại rằng bộ sưu tập mã độc ShadowBroker nổi tiếng xuất hiện vào năm 2016 (sau này bị liên kết với Cơ quan An ninh Quốc gia Hoa Kỳ - NSA) cũng chứa một tham chiếu đến fast16.

SentinelOne tin rằng fast16 ra đời vào khoảng năm 2005, dựa trên các manh mối trong mã và thực tế là nó không thể chạy trên bất kỳ hệ điều hành nào mới hơn Windows XP – và ngay cả với XP, nó cũng chỉ chạy trên CPU lõi đơn. Intel bắt đầu xuất xưởng các CPU lõi kép tiêu dùng đầu tiên vào năm 2006.

Các nhà nghiên cứu đã phân tích mẫu này và phát hiện nó cố gắng cài đặt một con sâu (worm) và triển khai một trình điều khiển có tên fast16.sys.

Trình điều khiển này bao gồm một quy trình làm thay đổi kết quả đầu ra của các phép tính dấu chấm động (floating-point) và cũng tìm kiếm các "công cụ tính toán độ chính xác cao trong các lĩnh vực chuyên biệt như kỹ thuật dân dụng, vật lý và mô phỏng quy trình vật lý".

Các nhà nghiên cứu cho rằng fast16 nhắm vào ba bộ phần mềm kỹ thuật và mô phỏng độ chính xác cao được sử dụng vào giữa những năm 2000: "LS-DYNA 970, PKPM và nền tảng mô hình hóa thủy động lực MOHID, tất cả đều được sử dụng cho các kịch bản như thử nghiệm va chạm, phân tích kết cấu và mô hình hóa môi trường".

Được biết, Iran từng sử dụng LS-DYNA trong chương trình vũ khí hạt nhân của họ.

Kamluk giả định rằng mục đích của fast16 là gây ra lỗi trong các phép tính được chạy bởi phần mềm mô phỏng kỹ thuật, có thể dẫn đến các vấn đề trong thế giới thực. Ông khẳng định rằng fast16 là một vũ khí mạng có trước Stuxnet năm năm.

"Bức tranh tổng thể về sự tiến hóa của APT (mối đe dọa tiên tiến liên tục), fast16 đóng vai trò là cầu nối giữa các chương trình phát triển ban đầu phần lớn vô hình và các bộ công cụ dựa trên Lua và LuaJIT được tài liệu hóa rộng rãi hơn sau này," Kamluk viết cùng với đồng nghiệp Juan Andrés Guerrero-Saade từ SentinelOne.

"Nó là một điểm tham chiếu để hiểu cách các tác nhân tiên tiến nghĩ về các mối đe dọa dài hạn, phá hoại, và khả năng của một quốc gia trong việc định hình lại thế giới vật lý thông qua phần mềm. fast16 là báo trước thầm lặng của một hình thức nhà nước mới, thành công trong sự che giấu cho đến ngày hôm nay."

Trong bài thuyết trình, Kamluk cho biết ông đã công bố công việc của mình cho các nhà cung cấp của các ứng dụng kỹ thuật mà fast16 nhắm mục tiêu, bởi vì ông cảm thấy họ có thể muốn kiểm tra kết quả đầu ra của sản phẩm để tìm bằng chứng cho thấy mã độc đã tạo ra các phép tính sai lệch.

"Có lẽ sẽ có nhiều phát hiện hơn trong tương lai?" ông kết luận.

Kamluk đã xúc động dành bài thuyết trình để tưởng nhớ người bạn và đồng nghiệp Sergey Mineev, người mà ông nói đã chịu trách nhiệm tìm ra nhiều APT quan trọng lớn, không tìm kiếm sự chú ý cho ý nghĩa của công việc của mình, và đã qua đời vào tháng trước.