Un nuevo análisis del malware fast16 basado en Lua confirma que es una herramienta de interferencia cibernética diseñada para alterar simulaciones de pruebas de armas nucleares.
Los equipos Symantec y Carbon Black, propiedad de Broadcom, dicen que las herramientas anteriores a Stuxnet estaban diseñadas para subvertir las simulaciones de compresión de uranio, que son fundamentales para el diseño de armas nucleares.
«El motor de gancho de Fast16 está interesado selectivamente en la simulación de explosivos dentro de LS-DYNA y AUTODYN», dijo el equipo de Threat Hunter. «El malware comprueba la densidad del material simulado y sólo funciona si su valor supera los 30 g/cm3. El uranio alcanza ese umbral sólo bajo compresión por impacto en un dispositivo de implosión.
Este desarrollo se produce semanas después de que SentinelOne publicara un análisis de fast16, que describe fast16 como un marco de interferencia original cuyos componentes pueden haber sido desarrollados ya en 2005, dos años antes de la primera versión conocida de Stuxnet (también conocida como Stuxnet 0.5).
La evidencia descubierta por la firma de ciberseguridad incluyó una referencia a la cadena «fast16» en un archivo de texto filtrado en 2017 por un grupo de hackers anónimo llamado The Shadow Brokers. El archivo formaba parte de una amplia gama de herramientas de piratería y exploits supuestamente utilizados por Equation Group, un actor de amenazas patrocinado por el estado con presuntos vínculos con la Agencia de Seguridad Nacional (NSA) de EE. UU.
En esencia, este malware que revolucionó la industria contenía un conjunto de 101 reglas para alterar los cálculos matemáticos realizados por ciertos programas de ingeniería y simulación que eran populares en ese momento. Aunque se desconocen los archivos binarios exactos parcheados por este malware, SentinelOne ha identificado tres posibles candidatos: LS-DYNA versión 970, Practical Structural Design and Construction Software (PKPM) y Modelo Hidrodinâmico (MOHID).
El último análisis de Symantec confirma que LS-DYNA y AUTODYN son dos de las aplicaciones a las que apunta fast16, añadiendo que las aplicaciones aparentemente están diseñadas para interferir con la simulación de explosiones de granadas altamente explosivas, y casi con certeza están diseñadas para facilitar el sabotaje contra la investigación de armas nucleares.
«Ambas son aplicaciones de software utilizadas para simular problemas del mundo real, como la seguridad en accidentes de vehículos, el modelado de materiales y la simulación de explosiones», dijeron Symantec y Carbon Black en un comunicado. «Los 16 ganchos de alta velocidad del programa de simulación constan de tres estrategias de ataque: la manipulación sólo es eficaz durante las explosiones temporales a gran escala y las detonaciones.»
Las 101 reglas de gancho se pueden dividir en 9-10 grupos de ganchos, cada uno de los cuales apunta a una compilación diferente de LS-DYNA o AUTODYN, lo que sugiere que los desarrolladores de malware estaban rastreando las actualizaciones de software y agregando soporte para diferentes versiones a lo largo del tiempo. Esto demuestra un funcionamiento sistemático y continuo.
«Si los grupos de reglas de enlace se agregaran secuencialmente según fuera necesario, entonces los grupos de enlaces se habrían agregado a la versión anterior del software después de la nueva versión», explicaron los investigadores.
«Como se puede imaginar, los usuarios de la simulación volverían a una versión anterior cuando se enfrentaran a una anomalía antes de que esa versión también fuera atacada. En segundo lugar, los grupos de ganchos representan hasta 10 versiones diferentes del software de simulación, lo que significa que los usuarios de la simulación actualizan las versiones con cierta frecuencia.
Fast16 está diseñado para no infectar ordenadores que tengan instalados determinados productos de seguridad. También se propaga automáticamente a otros puntos finales en la misma red, por lo que las máquinas utilizadas para ejecutar la simulación producen la misma salida manipulada.
Los hallazgos muestran que el sabotaje industrial estratégico utilizando malware fue llevado a cabo por actores estatales hace dos décadas, mucho antes de que Stuxnet fuera utilizado para dañar las centrífugas de enriquecimiento de uranio en la planta de energía nuclear de Natanz en Irán, inyectando código malicioso en controladores lógicos programables de Siemens.
En una entrevista con el periodista de ciberseguridad Kim Zetter, el director técnico de Symantec, Vikram Thakur, dijo en 2005 que el nivel de experiencia requerido para diseñar dicho malware era «asombroso». Sin embargo, no está claro si realmente existe una versión moderna de fast16.
«Este nivel de conocimiento del dominio, como comprender qué formatos EOS son importantes, qué convenciones de llamada son generadas por qué compiladores y qué clases de simulaciones pasarán o no a través de las puertas, es raro en cualquier época, y era extremadamente raro en 2005», dijeron Symantec y Carbon Black.
«Este marco pertenece a la misma familia conceptual que Stuxnet, y el malware se adapta no sólo al producto de un proveedor, sino también a los procesos físicos específicos que son simulados o controlados por ese producto».
Source link
