Un malware descoperit după 20 de ani schimbă tot ce știam despre sabotajul cibernetic, cu mult înainte de Stuxnet

Lumea securității cibernetice ar putea avea nevoie de o rescriere serioasă a propriului trecut. Timp de ani de zile, atacul Stuxnet a fost considerat punctul zero al sabotajului digital orchestrat de state. Acum, o descoperire recentă sugerează că povestea este mult mai veche și, poate, mult mai sofisticată decât se credea.

Cercetătorii de la SentinelOne au identificat un framework malware necunoscut până acum, denumit „fast16”, care ar fi fost dezvoltat în jurul anului 2005. Cu alte cuvinte, cu aproximativ cinci ani înainte ca Stuxnet să devină public. Iar diferența nu este doar de timp, ci și de abordare: fast16 nu distruge direct, ci sabotează subtil, scrie Dark Reading.

Un tip de atac aproape invizibil ce se bazează pe erori matematice care pot compromite sisteme critice

Ce face fast16 este, pe scurt, genial și periculos în același timp. Malware-ul nu șterge date, nu blochează sisteme și nu atrage atenția prin comportamente agresive. În schimb, introduce erori minuscule în calcule matematice extrem de precise, folosite în domenii sensibile precum fizica avansată, criptografia sau cercetarea nucleară.

Modificările sunt atât de fine încât devin aproape imposibil de detectat fără verificări independente, realizate pe sisteme complet separate și neinfectate. Practic, rezultatele par valide, dar sunt ușor distorsionate, suficient cât să afecteze decizii sau procese critice în timp.

Mecanismul de propagare este la fel de interesant. Specialiștii compară modul de distribuție al fast16 cu o „muniție cluster”, capabilă să lanseze multiple componente mai mici care se infiltrează în rețea și livrează încărcătura principală către cât mai multe sisteme vulnerabile.

Mai mult, cercetarea arată că fast16 este unul dintre primele exemple de malware care folosește limbajul de scripting Lua pentru a-și extinde funcționalitatea. Această tehnică a devenit ulterior standard în instrumente avansate precum Flame sau Project Sauron.

Descoperirea a fost pur întâmplătoare

Interesant este și modul în care a fost descoperit. Cercetătorii nu căutau neapărat un astfel de malware, ci încercau să urmărească originile utilizării Lua în amenințările informatice. Așa au dat peste fast16, ascuns printre indicii înșelătoare și date greu de interpretat.

Vezi și:

Primul război mondial cibernetic se duce deja fără tancuri, doar cu pixeli și cod. Cum se atacă pe frontul digital China, Rusia, SUA, Iranul și Coreea de Nord

Poliția a închis „First VPN”, serviciul folosit de hackeri în atacuri ransomware și furturi de date

Deși numele apare într-o scurgere de informații asociată grupului Shadow Brokers, nu există dovezi clare care să lege malware-ul de o agenție specifică. Cu toate acestea, complexitatea sa indică aproape sigur implicarea unui actor statal.

Codul a fost încărcat pe platforma VirusTotal în urmă cu mai bine de un deceniu, dar a trecut aproape neobservat. Doar un singur motor de detecție îl marca drept suspect, și chiar și acela fără certitudine ridicată.

Țintele posibile includ software-uri utilizate în simulări complexe, cum ar fi LS-DYNA sau platforme de modelare hidrodinamică. Astfel de aplicații sunt folosite în scenarii precum testele de impact, analiza structurală sau simulările de mediu, dar și în contexte sensibile, inclusiv cercetare nucleară.

Deși fast16 nu mai reprezintă o amenințare directă pentru sistemele moderne, fiind compatibil doar cu medii vechi precum Windows XP pe sisteme single-core, ideea din spatele lui rămâne extrem de actuală. Atacurile care vizează integritatea calculelor, nu doar accesul la date, ar putea deveni următoarea frontieră în războiul cibernetic.

Dacia și filtrul de particule la dieselurile vechi: ce obiceiuri îl înfundă și cum îl poți salva