Исследователи лаборатории SentinelLABS (компания SentinelOne) опубликовали отчёт о ранее неизвестном вредоносном фреймворке fast16, ключевые компоненты которого датируются 2005 годом — на пять лет раньше печально известного червя Stuxnet.
Что такое fast16.sys?
fast16.sys — это загрузочный драйвер файловой системы уровня ядра Windows, предназначенный для избирательного перехвата и модификации исполняемого кода непосредственно в памяти при загрузке программ с диска
Несмотря на то, что драйвер несовместим с современными версиями Windows (начиная с 7), для своего времени он представлял собой технологический прорыв, опережая обычные руткиты благодаря:
Позиционированию в стеке хранения данных;
Полному контролю над операциями ввода-вывода файловой системы;
Системе правил для точечной модификации кода
Цель атаки: саботаж высокоточных вычислений
В отличие от большинства вредоносных программ 2000-х, fast16 не был предназначен для кражи данных или шпионажа. Его уникальная задача — намеренное искажение результатов вычислений в специализированном инженерном ПО:
Целевое ПО |
Область применения |
LS-DYNA 970 |
Моделирование ударов, взрывов, краш-тесты |
PKPM |
Расчёт строительных конструкций |
MOHID |
Гидродинамическое моделирование |
Fast16 должен был тихо наблюдать за запуском инженерных приложений и изменять их поведение так, чтобы результат вычислений становился неверным, но выглядел правдоподобно.
Исследователи установили, что драйвер внедряет в целевые программы специальный блок инструкций для сопроцессора (FPU), который систематически искажает арифметические операции с плавающей запятой. Даже минимальные, но воспроизводимые ошибки в расчётах могли привести к:
Замедлению научных исследований;
Деградации инженерных систем;
Катастрофическим сбоям в критической инфраструктуре.
Допустим, у вас есть лаборатория или инженерный центр. Там запускают сложные симуляции: динамику материалов, ударные нагрузки, взрывы, поведение конструкций, гидродинамику. Результаты этих расчётов используются для проектирования, проверки гипотез или принятия решений.
Теперь представим, что вредоносный код не ломает саму программу, не вызывает падение процесса и не оставляет заметных следов. Он просто немного меняет результат. Не случайно, не хаотично, а системно и воспроизводимо.
Инженер запускает расчёт на одной машине — получает неверные данные. Проверяет на другой машине в той же сети — получает тот же результат, потому что вредоносный код распространился и туда. Снаружи всё выглядит как обычная инженерная проблема: ошибка модели, неточные входные данные, баг в версии программы, неправильная методика.
Это роднит Fast16 со Stuxnet. Оба инструмента интересны не самим фактом заражения, а тем, что вредоносный код был привязан к физическому процессу. Stuxnet вмешивался в работу центрифуг и одновременно показывал операторам нормальные значения. Fast16, судя по анализу, должен был вмешиваться в симуляции и подменять доверие к расчётам.
Архитектура: модульность и скрытность
Фреймворк fast16 состоит из нескольких взаимосвязанных компонентов:
svcmgmt.exe — «носитель» с встроенной виртуальной машиной Lua 5.0, управляющий логикой атаки;
fast16.sys — ядро саботажа, драйвер уровня ядра;
svcmgmt.dll — модуль отчётов, передающий данные через именованный канал \\.\pipe\p577.
Особенностью архитектуры является использование скриптового языка Lua для модульности — это позволяло обновлять логику атаки без перекомпиляции основных компонентов. Интересно, что такой подход позже стал стандартом для продвинутых платформ, таких как Flame и Project Sauron, но fast16 опередил их на три года.
Механизм распространения
Fast16 обладал червеобразными возможностями: модуль-носитель мог распространяться по локальной сети через общие ресурсы, используя слабые или стандартные пароли администратора в системах Windows 2000/XP.
Перед установкой вредонос проверял наличие антивирусного ПО по списку из 18 продуктов (включая Symantec, Kaspersky, Zone Labs), что свидетельствует о высоком уровне осведомлённости операторов о целевой среде.
Связь с государственными операциями
Название «fast16» было обнаружено в утечке ShadowBrokers 2017 года, содержащей инструменты АНБ США. В файле drv_list.txt присутствовала пометка:
fast16 *** Nothing to see here – carry on ***
Это указывает на то, что драйвер использовался в рамках официальных киберопераций, вероятно, направленных против иранской ядерной программы до появления Stuxnet.
Актуальность угрозы сегодня
Хотя fast16 технически не может работать на современных системах, его обнаружение имеет фундаментальное значение:
Это первый задокументированный случай использования киберсаботажа против физических расчётов на государственном уровне;
Архитектурные решения фреймворка предвосхитили развитие продвинутых платформ для целевых атак;
-
Обнаружение подчёркивает, что многие «старые» образцы вредоносного ПО могут скрывать критически важные возможности, ранее не оценённые по достоинству.
Индикаторы компрометации (IoC)
Файл |
SHA-256 |
|---|---|
|
|
|
|
|
|
Рекомендация для организаций: при анализе исторических инцидентов или архивов вредоносного ПО стоит обращать внимание на образцы с внедрёнными скриптовыми движками и драйверами уровня ядра — они могут скрывать неочевидные, но критически опасные возможности.