Cybred
@cybred
Всегда считалось, что Stuxnet — это первый в истории вредонос для физического саботажа. Но недавнее открытие аналитиков из SentinelOne полностью ломает этот таймлайн.
На прошлой неделе в их блоге вышел детальный разбор гениального вируса fast16, который появился еще в 2005 году. За 5 лет до того, как мир узнал про иранские центрифуги.
Наткнулись случайно
Исследователи копались в старых архивах и наткнулись на подозрительный файл
Отпечатки PDB-путей привели к старой утечке ShadowBrokers из 2017 года. В каталоге АНБ напротив сигнатуры fast16 стояла пометка для своих операторов: «NOTHING TO SEE HERE — CARRY ON».
Техническая начинка
— ядром является низкоуровневый драйвер файловой системы (
— драйвер не трогает обычные пользовательские программы, его целью является код, скомпилированный компилятором Intel C/C++ — именно его использовали в тяжелом инженерном софте для физических симуляций, гидродинамики и ядерного моделирования (например, LS-DYNA)
— когда инженер запускал расчеты, fast16 находил нужные математические функции в оперативной памяти и аккуратно подменял инструкции работы с плавающей запятой.
Как это работало на практике
Софт не падал, интерфейс не вис, а оператор видел абсолютно штатный процесс симуляции. Но цифры на выходе получались едва заметно, ювелирно искаженными.
Для сложного проекта (например, расчет прочности обшивки ракеты или критической массы ядерного заряда) погрешность даже в сотые доли процента означает, что деталь или устройство просто разрушится на этапе реальных испытаний.
Годы работы ученых и миллионы долларов улетали в трубу из-за «ошибок в чертежах», которые на самом деле были результатом работы fast16.
ИМХО
Была бы еще одна страна, которая терроризирует всех ядерной дубиной. Но вместо того, чтобы кого-то бомбить — тихо «подорвали» все ее научные разработки изнутри.
То, что мы узнаем об этом только спустя 20 лет, доказывает: идеальные кибероперации ведутся тихо, незаметно и могут решать любые проблемы без кровопролития.
На прошлой неделе в их блоге вышел детальный разбор гениального вируса fast16, который появился еще в 2005 году. За 5 лет до того, как мир узнал про иранские центрифуги.
Наткнулись случайно
Исследователи копались в старых архивах и наткнулись на подозрительный файл
svcmgmt.exe, внутри которого крутилась кастомная виртуальная машина Lua 5.0. Отпечатки PDB-путей привели к старой утечке ShadowBrokers из 2017 года. В каталоге АНБ напротив сигнатуры fast16 стояла пометка для своих операторов: «NOTHING TO SEE HERE — CARRY ON».
Техническая начинка
— ядром является низкоуровневый драйвер файловой системы (
fast16.sys), который висит в памяти ядра и перехватывает обращения к диску— драйвер не трогает обычные пользовательские программы, его целью является код, скомпилированный компилятором Intel C/C++ — именно его использовали в тяжелом инженерном софте для физических симуляций, гидродинамики и ядерного моделирования (например, LS-DYNA)
— когда инженер запускал расчеты, fast16 находил нужные математические функции в оперативной памяти и аккуратно подменял инструкции работы с плавающей запятой.
Как это работало на практике
Софт не падал, интерфейс не вис, а оператор видел абсолютно штатный процесс симуляции. Но цифры на выходе получались едва заметно, ювелирно искаженными.
Для сложного проекта (например, расчет прочности обшивки ракеты или критической массы ядерного заряда) погрешность даже в сотые доли процента означает, что деталь или устройство просто разрушится на этапе реальных испытаний.
Годы работы ученых и миллионы долларов улетали в трубу из-за «ошибок в чертежах», которые на самом деле были результатом работы fast16.
ИМХО
Была бы еще одна страна, которая терроризирует всех ядерной дубиной. Но вместо того, чтобы кого-то бомбить — тихо «подорвали» все ее научные разработки изнутри.
То, что мы узнаем об этом только спустя 20 лет, доказывает: идеальные кибероперации ведутся тихо, незаметно и могут решать любые проблемы без кровопролития.
SentinelOne
fast16 | Mystery ShadowBrokers Reference Reveals High-Precision Software Sabotage 5 Years Before Stuxnet
A previously unknown 2005 cyber sabotage framework patches high-precision calculation software in memory to silently corrupt results.
153 4.8K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram