новая старая страница истории киберсаботажа - cаботаж компьютерного моделирования ядерного оружия
Ещё в середине 2000-х АНБ могла с помощью киберопераций нарушать работу процессов в реальном мире, следует из свежего отчёта SentinelOne. Исследователи Хуан Андрес Герреро-Сааде и Виталий Камлюк изучили раритетную вредоносную программу fast16 и пришли к выводу, что она предназначалась для незаметного искажения сложных вычислений в программном обеспечении, которое использовалось в таких областях, как физические исследования, гражданское строительство и криптография. Одной из предполагаемых жертв саботажа мог быть Иран — ещё до известной атаки Stuxnet.
Отправной точкой для исследователей послужила утечка инструментов АНБ/Equation Group, организованная группировкой Shadow Brokers в 2017 году. Один из модулей под названием Territorial Dispute предназначался для проверки присутствия в атакуемых системах вредоносных программ конкурентов. Анализ этого модуля позволил составить перечень того, что именно АНБ искало при проникновении — включая и файлы, которые могли относиться к операциям самого АНБ. Среди последних была загадочная строчка "*** NOTHING TO SEE HERE - CARRY ON ***","fast16".
В 2019 Герреро-Сааде удалось найти на VirusTotal сэмпл, содержавший в себе kernel-драйвер под названием Fast16.sys, скомпилированный в 2005 году. До недавнего времени в кругу исследователей, знакомых с находкой, многие предполагали, что это похоже на руткит. Однако в этом году Камлюк изучил файл более пристально (в том числе с применением ИИ) и выяснил, что версия про руткит была неверной.
fast16 мог распространять себя на другие компьютеры внутри сети — при условии, что на них не обнаруживались защитные средства от почти 20 вендоров включая Symantec, TrendMicro, «Лабораторию Касперского», «ИнфоТеКС». На заражённом компьютере вредонос отслеживал запуск определённых приложений в соответствии с прописанными правилами. Если нужная цель попадалась, в её вычисления незаметно вносились искажения. Причём если бы пользователь решил перепроверить на другом заражённом компьютере (например, на том же объекте), то он получил бы точно такой же ошибочный результат.
Какие программы подходили под зашитые в fast16 правила? Исследователи проверили на корпусе софта из периода 2000-х и нашли несколько совпадений. Лучше всего подходят три кандидата: популярная в Китае система автоматизированного проектирования PKPM, опенсорсная система моделирования водных процессов португальской разработки MOHID и программа для моделирования физических процессов, в том числе взрывного воздействия LS-DYNA. Последняя представляла наибольший интерес, поскольку в открытых источниках обнаружились упоминания её использования иранскими учёными — отсюда родилась версия, что fast16 мог использоваться против иранской ядерной программы. Однако жертв могло быть несколько: анализ вредоноса показал следы контроля версий, и изученный сэмпл не был первым продуктом.
Если всё работало примерно так, как описали исследователи SentinelOne, то саботаж мог носить очень скрытный характер и, скорее, не подрывать, а замедлять те или иные проекты. Впрочем, в статье Wired об исследовании отмечается, что последствием мог быть и катастрофический ущерб оборудованию.
О том, что за fast16 стоит АНБ, можно говорить только на основе упоминания этого инструмента в утечке Shadow Brokers. Вопрос Wired спецслужба оставила без ответа.
В любом случае находка показывает, что продвинутые кибероперации, не ограничивающиеся исключительно разведывательными целями, проводились задолго до Stuxnet. История использования государствами киберпространства может скрывать ещё немало эпизодов, о которых мы пока не имеем никакого представления.
Исследование будет презентовано на конференции Black Hat Asia, но уже опубликован технический отчёт.
Исследователи Symantec продолжают распутывать историю вредоносной программы fast16 предположительно из арсенала АНБ середины 2000-х вслед за SentinelOne. По их мнению, всё указывает на то, что вредонос был направлен на искажение вычислений, связанных с моделированием ядерных взрывов.
Согласно отчёту Symantec, fast16 мог вмешиваться в работу двух приложений для компьютерного моделирования физических процессов: LS-DYNA и AUTODYN (в отчёте SentinelOne отмечается LS-DYNA и ещё два приложения), на что указывают зашитые в код правила. Также под них могли подпадать и другие аналогичные программы. Всего в код зашито 101 правило, которые, по оценке исследователей, могут быть разбиты на 9-10 групп, каждая для отдельной версии LS-DYNA или AUTODYN — это может указывать на то, что атакующие разрабатывали новые правила с учётом того, что жертва атаки могла ставить обновлённые версии приложений.
Также исследователи выделили три механизма искажения данных.
Механизм A: если входное значение находится в диапазоне между 30 и 65 выходные значения снижались до 10% от их нормальных значений и поддерживались на таком уровне; это действовало за исключением 1-го и 16-го достижения точки запуска этого механизма.
Механизм B: проверяет, какое уравнение состояния (Equation of State, EOS) выбрано в приложении LS-DYNA, 2, 3 или 7. Этим параметрам соответствуют уравнения состояния для моделирования взрывчатых веществ (high explosives): 2 (Jones-Wilkins-Lee, JWL), 3 (Sack Tuesday), 7 (Ignition and Growth of Reaction in High Explosives) (см. пользовательское руководство LS-DYNA). Вредонос искажает выходные значения в том случае, если плотность материала достигает 30 г/см³ — это, отмечают исследователи, свидетельствует, что речь идёт об уране. Искажения выражаются в постепенном снижении выходных значений тензора напряжений вплоть до 1% от нормальных значений при плотности 60 г/см³.
Механизм C: немного другое, но, по-сути, аналогичное искажение (тоже начиная с плотности 30 г/см³) в приложении AUTODYN.
Исследователи Symantec считают, что механизмы B и C указывают на то, что вероятной целью искажений было моделирование ядерного взрыва. Моделируется детонация взрывчатого вещества, ударная волна сжимает делящееся вещество (например, уран) с целью достичь критической массы.
Искажения, судя по анализу, должны были показать испытателям, что у них не получается добиться нужного сжатия и запустить цепную реакцию деления, то есть смоделировать ядерный взрыв.
Помимо анализа воздействия fast16 на вычисления в отчёте также подробнее описано, как вредонос вёл себя внутри сети и заражал новые машины — но не выходил за пределы локальной сети.
В отличие от SentinelOne исследователи Symantec не называют Иран возможной жертвой, но отмечают высокий уровень знаний атакующих и заточенность атак под моделирование очень конкретных физических процессов.
КИБЕРВОЙНА