Malware phá hoại Fast16 tiền thân của Stuxnet được liên kết với căng thẳng mạng Mỹ - Iran

SentinelOne vừa phát hiện ra một loại mã độc phá hoại dựa trên ngôn ngữ Lua được tạo ra từ nhiều năm trước khi phần mềm độc hại Stuxnet nổi tiếng xuất hiện. Được đặt tên là Fast16, mã độc này được thiết kế để can thiệp vào các phần mềm tính toán độ chính xác cao.

Tấn công mạng

Fast16 từng được nhắc đến trong vụ rò rỉ công cụ tấn công của Cơ quan An ninh Quốc gia Mỹ (NSA) bởi nhóm ShadowBrokers và đã được sử dụng trong một cuộc tấn công vào năm 2005. SentinelOne đã tìm thấy bằng chứng cho thấy Fast16, giống như Stuxnet, có thể đã được phát triển bởi Hoa Kỳ.

Cấu trúc kỹ thuật của Fast16

Trong quá trình tìm kiếm trường hợp sử dụng đầu tiên của Lua trong malware trên Windows, SentinelLab đã phát hiện ra 'svcmgmt.exe', một tệp nhị phân dịch vụ có nhúng máy ảo Lua 5.0 tham chiếu đến trình điều khiển hạt nhân 'fast16.sys'.

Được thiết kế cho các hệ thống tiền Windows 7, trình điều khiển này sẽ cung cấp quyền kiểm soát over filesystem I/O, đồng thời bao gồm chức năng vá mã dựa trên quy tắc, chỉ hướng tới việc sử dụng do nhà nước tài trợ.

Svcmgmt.exe là thành phần cốt lõi của Fast16, đóng vai trò là mô-đun vận chuyển. Nó chứa ba phần tải (payload): mã Lua xử lý cấu hình, lan truyền và phối hợp; một DLL phụ trợ; và trình điều khiển hạt nhân.

"Bằng cách tách biệt trình bao bọc thực thi tương đối ổn định khỏi các phần tải được mã hóa dành cho nhiệm vụ cụ thể, các nhà phát triển đã tạo ra một khung mô-đun có thể tái sử dụng mà họ có thể thích ứng với các môi trường mục tiêu và mục tiêu hoạt động khác nhau," SentinelLabs nhận định.

Cơ chế lan truyền và ẩn mình

Để lan truyền, Fast16 sử dụng các mật khẩu mặc định hoặc yếu cho chia sẻ tệp trên Windows 2000 và XP, di chuyển giữa các hệ thống thông qua các API tiêu chuẩn. Tuy nhiên, khả năng lan truyền bị điều kiện hóa bởi sự vắng mặt của các khóa nhà cung cấp cụ thể, do đó ngăn chặn việc thực thi trong các môi trường được giám sát.

Đối với công cụ có tuổi đời này, mức độ nhận thức về môi trường là đáng chú ý. Danh sách các sản phẩm có thể không seem toàn diện, nhưng có khả năng phản ánh các sản phẩm mà các nhà khai thác mong đợi có mặt trong mạng mục tiêu của họ.

Trình điều khiển fast16.sys tải tự động cùng với các trình điều khiển thiết bị đĩa, chèn mình lên hệ thống tệp, tắt Windows Prefetcher, giải quyết các API hạt nhân động và gắn mình vào mọi thiết bị hệ thống tệp để định tuyến các gói I/O Request Packets và đường dẫn Fast I/O liên quan thông qua các thiết bị worker này.

Mục tiêu: Phá hoại chiến lược

Trình điều khiển tập trung vào các tệp thực thi được biên dịch bằng trình biên dịch Intel C/C++, sửa đổi tiêu đề PE của chúng để thêm hai phần bổ sung, cho phép vá lỗi rộng rãi nhưng ổn định.

Theo SentinelLabs, các mẫu vá lỗi cho thấy trình điều khiển được thiết kế để chiếm đoạt hoặc ảnh hưởng đến luồng thực thi của các công cụ tính toán độ chính xác được sử dụng trong kỹ thuật dân dụng, vật lý và mô phỏng quy trình vật lý.

Việc can thiệp của Fast16 sẽ dẫn đến việc tạo ra các kết quả đầu ra thay thế, nhằm mục đích phá hoại chiến lược thay vì gián điệp thông thường.

"Bằng cách đưa ra các lỗi nhỏ nhưng có hệ thống vào các tính toán thế giới thực, khung công cụ này có thể làm suy yếu hoặc làm chậm các chương trình nghiên cứu khoa học, làm suy giảm các hệ thống kỹ thuật theo thời gian, hoặc thậm chí góp phần gây ra thiệt hại thảm khốc," SentinelLabs cho biết.

Một thành phần dạng sâu cho phép mối đe dọa lây nhiễm sang các hệ thống khác trên cùng mạng và ngăn chặn việc phát hiện phá hoại bằng cách xác minh tính toán trên một máy khác nhau.

Công ty an ninh mạng đã xác định ba bộ phần mềm kỹ thuật và mô phỏng độ chính xác cao có thể là mục tiêu của Fast16, bao gồm LS-DYNA 970, PKPM và nền tảng mô hình hóa thủy động lực MOHID.

Có bằng chứng cho thấy LS-DYNA đã được Iran sử dụng như một phần trong chương trình phát triển vũ khí hạt nhân của họ. Chương trình hạt nhân của Iran cũng là mục tiêu của phần mềm độc hại Stuxnet do Mỹ và Israel tạo ra.

SentinelLabs lưu ý rằng sự tồn tại của mã độc này cho thấy các khả năng phá hoại mạng cấp nhà nước đã được phát triển và triển khai hoàn toàn vào giữa những năm 2000.

"Trong bức tranh toàn cảnh về sự tiến hóa của APT, fast16 lấp đầy khoảng trống giữa các chương trình phát triển sớm, phần lớn vô hình và các bộ công cụ dựa trên Lua và LuaJIT sau này được tài liệu rộng rãi hơn. Nó là một điểm tham chiếu để hiểu cách các tác nhân tiên tiến nghĩ về các cấy ghép dài hạn, phá hoại và khả năng của một quốc gia trong việc định hình lại thế giới vật lý thông qua phần mềm," công ty kết luận.