Истражувачи открија „fast16“ малвер, постар од Stuxnet, насочен кон инженерски софтвер

Истражувачи за сајбер-безбедност открија нов малвер базиран на Lua, создаден години пред озлогласениот црв Stuxnet, кој имал за цел саботажа на иранската нуклеарна програма преку уништување на центрифуги за збогатување ураниум.

Според нов извештај објавен од SentinelOne, претходно недокументираната рамка за сајбер саботажа датира од 2005 година и првенствено таргетирала софтвер за високопрецизни пресметки со цел да манипулира со резултатите. Таа е означена со кодното име fast16.

„Со комбинирање на овој payload со механизми за саморазмножување, напаѓачите имаат за цел да создадат подеднакво неточни пресметки низ цел објект,“ изјавија истражувачите Виталиј Камлук и Хуан Андрес Гереро-Сааде во деталниот извештај објавен оваа недела.

Се проценува дека fast16 му претходи на Stuxnet – првото познато дигитално оружје дизајнирано за деструктивни операции – за најмалку пет години. Додека Stuxnet најчесто се поврзува со САД и Израел и подоцна послужи како основа за rootkit-от Duqu за кражба на информации, fast16 изгледа дека се појавил многу порано.

Исто така, му претходи и на најраните познати примероци на Flame (познат и како Flamer или Skywiper), друг софистициран малвер откриен во мај 2012 година кој користи Lua виртуелна машина за да ги постигне своите цели. Ова откритие го прави fast16 првиот познат Windows малвер што вградува Lua engine.

SentinelOne соопшти дека го открил малверот откако идентификувал артефакт наречен „svcmgmt.exe“, кој на прв поглед изгледал како обичен сервисен wrapper за конзолен режим. Примерокот има временска ознака на создавање од 30 август 2005 година, според VirusTotal, каде што бил прикачен повеќе од една деценија подоцна, на 8 октомври 2016 година.

Подлабока анализа открила вградена Lua 5.0 виртуелна машина и енкриптиран bytecode контејнер, како и повеќе модули кои директно комуницираат со Windows NT датотечниот систем, регистарот, сервисната контрола и мрежните API-а. Главната логика на малверот се наоѓа во Lua bytecode, додека бинарниот фајл реферира и kernel драјвер („fast16.sys“) преку PDB патека – датотека со датум на создавање 19 јули 2005 – кој е одговорен за пресретнување и измена на извршниот код при читање од диск. Сепак, важно е да се напомене дека овој драјвер не работи на системи со Windows 7 или понови верзии.

Во уште едно значајно откритие што може да укаже на потеклото на алатката, SentinelOne пронашол референца на стрингот „fast16“ во текстуална датотека „drv_list.txt“, која содржи листа на драјвери наменети за напредни перзистентни закани (APT). Оваа датотека, со големина од околу 250KB, била објавена од мистериозна хакерска група пред девет години.

Во 2016 и 2017 година, групата – позната како The Shadow Brokers – објави големи количини податоци наводно украдени од Equation Group, APT група за која се претпоставува дека е поврзана со американската Национална агенција за безбедност (NSA). Овие објави вклучуваа бројни хакерски алатки и експлойти под името „Lost in Translation“. Текстуалната датотека била дел од тие материјали.

„Стрингот во svcmgmt.exe беше клучната форензичка врска во оваа истрага,“ соопшти SentinelOne. „PDB патеката ја поврзува 2017-leak-от на deconfliction потписи користени од NSA оператори со мулти-модуларен Lua-поддржан ‘carrier’ модул компајлиран во 2005 година, и конечно со неговиот скриен payload: kernel драјвер дизајниран за прецизна саботажа.“

„Svcmgmt.exe“ е опишан како „високо адаптивен carrier модул“ кој може да го менува своето однесување во зависност од командните аргументи, овозможувајќи му да работи како Windows сервис или да извршува Lua код. Тој содржи три различни payload-и: Lua bytecode за конфигурација и логика на пропагација и координација, дополнителен ConnotifyDLL („svcmgmt.dll“), и kernel драјверот „fast16.sys“.

Конкретно, дизајниран е да ја парсира конфигурацијата, да се ескалира како сервис, по избор да го распоредува kernel имплантот и да стартува Service Control Manager (SCM) „wormlet“ кој скенира мрежни сервери и се шири на други Windows 2000/XP системи со слаби или default креденцијали.

Важен аспект е дека пропагацијата се активира само кога е рачно форсирана или кога на системот не се детектираат познати безбедносни алатки преку проверка на Windows Registry клучеви. Меѓу алатките што ги проверува се производи од Agnitum, F-Secure, Kaspersky, McAfee, Microsoft, Symantec, Sygate Technologies и Trend Micro.

Присуството на Sygate Technologies е дополнителен индикатор за периодот на развој, бидејќи компанијата беше купена од Symantec (сега дел од Broadcom) во август 2005, а продажбата и поддршката беа прекинати до ноември истата година.

„За алатка од оваа ера, такво ниво на свесност за околината е значајно,“ изјави SentinelOne. „Иако листата не изгледа целосна, веројатно ги одразува производите што операторите очекувале да ги сретнат во целните мрежи и кои би ја загрозиле нивната скриеност.“

ConnotifyDLL се повикува секој пат кога системот воспоставува нова мрежна конекција преку Remote Access Service (RAS) и ги запишува локалните и далечинските имиња на конекцијата во именуван pipe („\.\pipe\p577“).

Сепак, најкритичен е driver-от кој е одговорен за прецизна саботажа, таргетирајќи извршни фајлови компајлирани со Intel C/C++ компајлер, со цел rule-based patching и киднапирање на извршувањето преку злонамерни инјекции на код. Еден од блоковите е способен да ги корумпира математичките пресметки, особено во алатки за градежен инженеринг, физика и симулации на физички процеси.

„Со внесување мали, но систематски грешки во реални физички пресметки, рамката може да поткопа или забави научни истражувања, да деградира инженерски системи со тек на време или дури да придонесе до катастрофални оштетувања,“ објаснува SentinelOne.

„Со одвојување на релативно стабилен execution wrapper од енкриптирани, task-specific payload-и, развивачите создале повторно употреблива, компартментализирана рамка што може да се адаптира на различни таргет средини и оперативни цели, додека надворешниот бинарен ‘carrier’ останува речиси непроменет низ кампањите.“

Врз основа на анализа на 101 правило во patching engine-от и споредба со софтвер од средината на 2000-тите, се проценува дека можни цели биле три високопрецизни инженерски и симулациски пакети: LS-DYNA 970, PKPM и MOHID хидродинамичка моделска платформа.

LS-DYNA, денес дел од Ansys Suite, е софтвер за мултифизички симулации што се користи за тестирање судири, удари и експлозии. Во септември 2024, Institute for Science and International Security објави извештај за можното користење на ваков тип софтвер од страна на Иран во контекст на нуклеарни истражувања, базирано на 157 академски публикации од отворени извори.

Оваа временска линија добива значење бидејќи се поврзува со штетите врз иранската нуклеарна програма по нападот на Stuxnet врз постројката во Натанз во јуни 2010 година. Symantec во 2013 исто така откри претходна верзија на Stuxnet („Stuxnet 0.5“) која била во развој уште од 2005 година.

„Stuxnet 0.5 е најстарата позната анализирана верзија,“ наведоа тогаш. „Таа содржи алтернативна стратегија за напад, со затворање вентили во постројката во Натанз, што би предизвикало сериозна штета на центрифугите и системот за збогатување ураниум.“

Збирно, овие наоди „ја принудуваат на преиспитување“ историската временска линија на развој на кибер-саботажни операции, вели SentinelOne, додавајќи дека укажуваат дека државно поддржани алатки за физичка саботажа биле развиени и користени уште во средината на 2000-тите.

„Во поширока слика на еволуцијата на APT заканите, fast16 ја премостува празнината меѓу раните, речиси невидливи развојни програми и подоцнежните добро документирани Lua/LuaJIT алатки,“ заклучуваат истражувачите. „Тоа е референтна точка за разбирање како напредните актери размислуваат за долгорочни импланти, саботажа и способноста на државите да го обликуваат физичкиот свет преку софтвер. fast16 беше тивок навестувач на нова форма на државно дејствување, успешен во својата скриеност сè до денес.“

Извори:

• The Hacker News – Researchers Uncover Pre-Stuxnet ‘fast16’ Malware Targeting Engineering Software The Hacker News