По данным исследователей из Symantec и Carbon Black (входят в Broadcom), вредоносный фреймворк fast16 на базе Lua был спроектирован для целенаправленного искажения результатов симуляций сжатия урана — процесса, критически важного для проектирования ядерного оружия. Если выводы исследователей верны, речь идёт об одном из самых ранних известных случаев кибернетического саботажа промышленных процессов, предшествующем Stuxnet и переосмысляющем хронологию государственных кибератак на критическую инфраструктуру.

Технический механизм саботажа

Согласно отчёту команды Threat Hunter Team, fast16 избирательно перехватывает вычисления внутри двух инженерных приложений — LS-DYNA и AUTODYN. Оба пакета широко применяются для моделирования реальных физических процессов: от краш-тестов автомобилей до симуляций детонации взрывчатых веществ.

Ключевая особенность вредоноса — высокоселективная активация. Исследователи сообщают, что fast16 проверяет плотность моделируемого материала и срабатывает только при превышении порога в 30 г/см³ — значения, которого уран достигает исключительно при ударном сжатии в имплозивном устройстве. Таким образом, вредонос игнорирует рутинные инженерные расчёты и активируется лишь при полномасштабных симуляциях детонации.

Архитектура fast16 включает 101 правило перехвата (hook rules), организованных в 9–10 групп. Каждая группа нацелена на конкретную сборку LS-DYNA или AUTODYN, что, по оценке исследователей, свидетельствует о методичном сопровождении: разработчики отслеживали обновления целевого ПО и адаптировали вредонос под новые версии.

Исследователи выделяют три стратегии атаки, реализованные через перехватчики:

• Искажение активируется только при полномасштабных переходных расчётах взрыва и детонации
• Вредонос автоматически распространяется на другие узлы в той же сети, обеспечивая идентичные искажённые результаты на любой машине, выполняющей симуляции
• Fast16 избегает заражения компьютеров с определёнными установленными средствами защиты

Примечательна деталь, обнаруженная при анализе последовательности групп правил: по данным исследователей, некоторые группы для более старых версий ПО были добавлены после групп для новых версий. Это может указывать на то, что пользователь симуляционного ПО, столкнувшись с аномалиями, откатывался на предыдущую версию — после чего и она становилась мишенью.

Контекст и атрибуция

Ранее компания SentinelOne описала fast16 как первый известный фреймворк саботажа, компоненты которого, предположительно, могли быть разработаны ещё в 2005 году — за два года до самой ранней известной версии Stuxnet (Stuxnet 0.5). Следует отметить, что эта датировка не подтверждена независимыми первичными источниками и основана на аналитических выводах исследователей.

Среди косвенных свидетельств — упоминание строки «fast16» в текстовом файле, опубликованном хакерской группой The Shadow Brokers в 2017 году. Этот файл входил в массив инструментов, предположительно использовавшихся группировкой Equation Group. Однако первичные источники для этого утверждения в доступных материалах отсутствуют, и к данной связи следует относиться с осторожностью.

Как сообщила журналист Ким Зеттер, технический директор Symantec Викрам Тхакур охарактеризовал уровень экспертизы, необходимый для создания подобного вредоноса в 2005 году, как «поразительный». Исследователи подчёркивают, что для разработки fast16 требовалось глубокое понимание уравнений состояния, соглашений о вызовах, генерируемых конкретными компиляторами, и логики классификации симуляций — знания, редкие в любую эпоху и исключительные для 2005 года.

Оценка воздействия

Symantec и Carbon Black помещают fast16 в одну концептуальную линию со Stuxnet: оба вредоноса были адаптированы не просто к продукту конкретного вендора, а к конкретному физическому процессу, моделируемому или управляемому этим продуктом. Разница в том, что Stuxnet воздействовал на физическое оборудование (центрифуги для обогащения урана в Натанзе через контроллеры Siemens), тогда как fast16 искажал результаты вычислений, потенциально делая невалидными целые циклы исследований.

Последствия такого саботажа особенно коварны: в отличие от деструктивных атак, искажение симуляций может оставаться незамеченным длительное время, подрывая доверие к результатам исследований и приводя к принятию ошибочных конструкторских решений.

При этом, по имеющимся данным, неизвестно, существует ли современная версия fast16.

Рекомендации

Хотя fast16 относится к историческому арсеналу, выявленные принципы его работы актуальны для защиты современных исследовательских и инженерных сред:

• Контроль целостности вычислений: организации, использующие LS-DYNA, AUTODYN и аналогичное симуляционное ПО, должны внедрить механизмы верификации результатов — перекрёстные проверки на изолированных системах с разными сборками
• Сегментация сети: машины для критических симуляций следует изолировать от общей сетевой инфраструктуры, учитывая способность fast16 к автоматическому распространению по сети
• Мониторинг модификаций: контроль целостности исполняемых файлов симуляционного ПО и отслеживание неавторизованных перехватчиков (hooks) в процессах моделирования
• Аудит версий: документирование и контроль всех используемых версий инженерного ПО, поскольку fast16 демонстрирует паттерн адаптации к откатам на предыдущие версии

Анализ fast16 демонстрирует, что стратегический саботаж вычислительных процессов — не теоретическая угроза, а задокументированная практика с двадцатилетней историей. Организациям, работающим с критическими симуляциями в оборонной, ядерной и аэрокосмической отраслях, следует пересмотреть модели угроз с учётом атак на целостность результатов моделирования, а не только на доступность или конфиденциальность данных.