- Автор темы
- #1
ИБ-специалисты Symantec и Carbon Black опубликовали анализ вредоноса fast16 и подтвердили главную гипотезу исследователей SentinelOne: малварь создавали для саботажа ядерных исследований. По данным аналитиков, вредонос вмешивался в расчеты, связанные с моделированием имплозии и ударного сжатия урана — ключевыми процессами при разработке ядерного оружия.
Напомним, что впервые о fast16 стало известно в апреле 2026 года. Тогда исследователи из компании SentinelOne сообщили, что обнаружили фреймворк для промышленного саботажа, датированный 2005 годом, то есть появившийся даже раньше Stuxnet. Вредонос незаметно подменял результаты инженерных и научных расчетов, внося в них небольшие, но критичные ошибки.
Теперь специалисты Symantec рассказали о целях вредоноса. По их словам, fast16 был нацелен на два популярных пакета — LS-DYNA и AUTODYN. Эти программы используют для сложных физических симуляций: от краш-тестов автомобилей до моделирования взрывов и поведения материалов под экстремальными нагрузками.
Аналитики выяснили, что малварь активировалась только при определенных условиях. Вредонос проверял плотность материала внутри симуляции и начинал вмешиваться в расчеты лишь тогда, когда значение превышало 30 г/см³. Исследователи отмечают, что такой плотности уран достигает только при ударном сжатии в имплозивных ядерных устройствах.
Эксперты подчеркивают, что fast16 не просто атаковал конкретное ПО, но был создан для вмешательства в определенный физический процесс. По сути, речь идет о той же концепции, что позднее применялась в Stuxnet: малварь адаптировали не под абстрактную систему, а под конкретную промышленную задачу.
По данным исследователей, внутри fast16 удалось обнаружить набор из 101 правила, который использовался для модификации математических вычислений в разных версиях LS-DYNA и AUTODYN. При этом правила были разделены на отдельные группы для различных билдов ПО, что говорит о продолжительности операции. Судя по всему, авторы вредоноса отслеживали обновления инженерного ПО и регулярно адаптировали малварь под новые версии.
Также специалисты отмечают любопытную деталь: поддержку старых версий ПО авторы fast16 иногда добавляли уже после появления правил для более новых билдов. По мнению аналитиков, это может означать, что жертвы пытались откатиться на предыдущие версии программ после появления аномалий в расчетах, но атакующие быстро подстраивались под такие действия.
Как и сообщалось ранее, малварь fast16 могла распространяться по сети жертвы и заражать другие машины под управлением Windows, чтобы все компьютеры, участвующие в симуляциях, показывали одинаково искаженные результаты. При этом вредонос избегал систем, где были установлены продукты «Лаборатории Касперского», Symantec, McAfee и других ИБ-вендоров.
Исследователи напоминают, что связь fast16 с государственными кибероперациями прослеживается через утечку The Shadow Brokers 2017 года. Тогда в опубликованных архивах Equation Group — группировки, которую связывают с АНБ США, — был найден текстовый файл со строкой «fast16».
Технический директор Symantec Викрам Такур (Vikram Thakur) заявил СМИ, что уровень инженерной подготовки авторов fast16 для 2005 года выглядит «ошеломляющим». В частности, разработчики вредоноса разбирались не только в программировании, но и в физике, моделировании взрывов и особенностях работы инженерного ПО.
Напомним, что впервые о fast16 стало известно в апреле 2026 года. Тогда исследователи из компании SentinelOne сообщили, что обнаружили фреймворк для промышленного саботажа, датированный 2005 годом, то есть появившийся даже раньше Stuxnet. Вредонос незаметно подменял результаты инженерных и научных расчетов, внося в них небольшие, но критичные ошибки.
Теперь специалисты Symantec рассказали о целях вредоноса. По их словам, fast16 был нацелен на два популярных пакета — LS-DYNA и AUTODYN. Эти программы используют для сложных физических симуляций: от краш-тестов автомобилей до моделирования взрывов и поведения материалов под экстремальными нагрузками.
Аналитики выяснили, что малварь активировалась только при определенных условиях. Вредонос проверял плотность материала внутри симуляции и начинал вмешиваться в расчеты лишь тогда, когда значение превышало 30 г/см³. Исследователи отмечают, что такой плотности уран достигает только при ударном сжатии в имплозивных ядерных устройствах.
Эксперты подчеркивают, что fast16 не просто атаковал конкретное ПО, но был создан для вмешательства в определенный физический процесс. По сути, речь идет о той же концепции, что позднее применялась в Stuxnet: малварь адаптировали не под абстрактную систему, а под конкретную промышленную задачу.
По данным исследователей, внутри fast16 удалось обнаружить набор из 101 правила, который использовался для модификации математических вычислений в разных версиях LS-DYNA и AUTODYN. При этом правила были разделены на отдельные группы для различных билдов ПО, что говорит о продолжительности операции. Судя по всему, авторы вредоноса отслеживали обновления инженерного ПО и регулярно адаптировали малварь под новые версии.
Также специалисты отмечают любопытную деталь: поддержку старых версий ПО авторы fast16 иногда добавляли уже после появления правил для более новых билдов. По мнению аналитиков, это может означать, что жертвы пытались откатиться на предыдущие версии программ после появления аномалий в расчетах, но атакующие быстро подстраивались под такие действия.
Как и сообщалось ранее, малварь fast16 могла распространяться по сети жертвы и заражать другие машины под управлением Windows, чтобы все компьютеры, участвующие в симуляциях, показывали одинаково искаженные результаты. При этом вредонос избегал систем, где были установлены продукты «Лаборатории Касперского», Symantec, McAfee и других ИБ-вендоров.
Исследователи напоминают, что связь fast16 с государственными кибероперациями прослеживается через утечку The Shadow Brokers 2017 года. Тогда в опубликованных архивах Equation Group — группировки, которую связывают с АНБ США, — был найден текстовый файл со строкой «fast16».
Технический директор Symantec Викрам Такур (Vikram Thakur) заявил СМИ, что уровень инженерной подготовки авторов fast16 для 2005 года выглядит «ошеломляющим». В частности, разработчики вредоноса разбирались не только в программировании, но и в физике, моделировании взрывов и особенностях работы инженерного ПО.