Обнаружено кибероружие, созданное за пять лет до Stuxnet

Специалисты компании SentinelOne выявили вредоносное программное обеспечение, предназначенное для саботажа инженерных и физических расчетов. По данным экспертов, этот инструмент, получивший название fast16, был создан еще в 2005 году. Это делает его предшественником знаменитого червя Stuxnet, который использовался для вывода из строя иранских центрифуг по обогащению урана.

История открытия и технические особенности

В ходе исследования инструментов кибершпионажа, использующих язык программирования Lua (таких как Flame и Project Sauron), эксперты обнаружили образец кода, загруженный на сервис VirusTotal еще в 2016 году. Анализ показал, что методы, примененные разработчиками, не характерны для вредоносного ПО десятилетней давности. Упоминание fast16 также встречалось в архивах Агентства национальной безопасности США, опубликованных группировкой Shadow Brokers.

Исследователи полагают, что программа появилась около 2005 года. В пользу этой версии говорят следующие технические детали:

• Программа не запускается на операционных системах новее Windows XP.
• Код адаптирован для работы только на одноядерных процессорах (массовый выпуск многоядерных чипов для потребительского рынка начался в 2006 году).
• Архитектура драйвера fast16.sys соответствует стандартам разработки начала 2000-х годов.

Цели саботажа: подмена физических расчетов

Основная функция fast16 заключается в скрытом изменении результатов вычислений с плавающей запятой — математических операций, критически важных для высокоточного моделирования. Вредоносное ПО искало в системе установленные программные комплексы для инженерного анализа и физических симуляций, которые активно использовались в середине 2000-х годов:

• LS-DYNA 970 — система для моделирования краш-тестов и структурного анализа (использовалась в иранской ядерной программе);
• PKPM — программное обеспечение для архитектурного проектирования;
• MOHID — платформа для гидродинамического моделирования окружающей среды.

По мнению экспертов, целью злоумышленников было внесение микроскопических ошибок в расчеты. Это могло привести к реальным авариям или дефектам при строительстве объектов и проектировании сложных механизмов, при этом сам факт вмешательства оставался незамеченным для инженеров.

Значение для сферы кибербезопасности

В обзоре SentinelOne отмечается, что fast16 заполняет пробел в истории развития сложных целевых атак (APT). Этот инструмент демонстрирует, как еще до появления широко задокументированных кибервойн государственные структуры разрабатывали методы воздействия на физический мир через программное обеспечение.

В ходе анализа кода применялись современные языковые модели, которые подтвердили: создатели вируса обладали глубокими знаниями о внутренней структуре целевых инженерных программ. Эксперты уже уведомили разработчиков профильного софта о находке, чтобы те могли проверить корректность результатов, выдаваемых их продуктами в период активности вредоносного ПО. В индустрии полагают, что fast16 может быть лишь одним из множества скрытых инструментов, использовавшихся для промышленного саботажа в прошлом.