Cybersicherheitsforscher haben ein bisher undokumentiertes Cyber-Sabotage-Framework in Lua entdeckt, das Jahre vor **Stuxnet**, dem berüchtigten Wurm, der das iranische Atomprogramm ins Visier nahm, existierte. Die Malware mit dem Codenamen **fast16** zielte darauf ab, den Betrieb durch Manipulation von Ergebnissen hochpräziser Berechnungssoftware zu stören. Laut einem neuen Bericht von **SentinelOne** stammt dieses Framework aus dem Jahr 2005. "Durch die Kombination dieser Payload mit Mechanismen zur Selbstverbreitung zielen die Angreifer darauf ab, äquivalente ungenaue Berechnungen in einer gesamten Einrichtung zu erzeugen", sagten die Forscher Vitaly Kamluk und Juan Andrés Guerrero-Saade in ihrem Bericht.  ### Ursprünge und Fähigkeiten Fast16 war Stuxnet mindestens fünf Jahre voraus und auch den frühesten bekannten Samples von **Flame** (auch bekannt als Flamer und Skywiper). Diese Entdeckung macht fast16 zur ersten bekannten Windows-Malware, die eine Lua-Engine integriert. Die Entdeckung von SentinelOne stammte von einem Artefakt namens "svcmgmt.exe", das zunächst als generischer Konsolenmodus-Service-Wrapper erschien. VirusTotal gibt an, dass die Datei einen Erstellungszeitstempel vom 30. August 2005 hat und über ein Jahrzehnt später, am 8. Oktober 2016, hochgeladen wurde. Weitere Analysen ergaben eine eingebettete Lua 5.0 virtuelle Maschine, einen verschlüsselten Bytecode-Container und Module, die direkt mit dem Windows NT-Dateisystem, der Registrierung, der Dienststeuerung und den Netzwerk-APIs interagieren. Die Kernlogik des Implantats befindet sich im Lua-Bytecode. Die Binärdatei verweist auch auf einen Kernel-Treiber ("fast16.sys") über einen PDB-Pfad, datiert vom 19. Juli 2005, der ausführbaren Code abfängt und modifiziert, während er von der Festplatte gelesen wird. Der Treiber ist mit Windows 7 und neueren Systemen inkompatibel. ### Verbindung zu The Shadow Brokers SentinelOne entdeckte einen Verweis auf "fast16" in einer Textdatei namens "drv_list.txt", die Treiber auflistete, die bei Advanced Persistent Threat (APT)-Angriffen verwendet wurden. Diese Datei war Teil eines Datensatzes, der 2016 und 2017 von **The Shadow Brokers** geleakt wurde und angeblich von der **Equation Group**, einer APT-Gruppe mit vermuteten Verbindungen zur **National Security Agency (NSA)** der USA, gestohlen wurde. Die Textdatei ist auf GitHub zu finden.  "Der String innerhalb von svcmgmt.exe lieferte den entscheidenden forensischen Link in dieser Untersuchung", erklärte SentinelOne. "Der PDB-Pfad verbindet den Leak von Deconfliction-Signaturen, die von NSA-Betreibern verwendet wurden, mit einem multimodalen Lua-basierten 'Carrier'-Modul, das 2005 kompiliert wurde, und letztendlich mit seiner heimlichen Payload: einem Kernel-Treiber, der für präzise Sabotage entwickelt wurde." ### Technische Details von Fast16 "Svcmgmt.exe" dient als anpassungsfähiges Carrier-Modul, das sein Verhalten basierend auf Kommandozeilenargumenten modifiziert. Es kann als Windows-Dienst fungieren oder Lua-Code ausführen. Das Modul enthält drei Payloads: Lua-Bytecode für Konfiguration, Verbreitung und Koordination; eine Hilfs-ConnotifyDLL ("svcmgmt.dll"); und den Kernel-Treiber "fast16.sys". Das Modul parst die Konfiguration, eskaliert Berechtigungen, setzt das Kernel-Implantat ein und startet einen Service Control Manager (**SCM**)-Wormlet. Dieser Wormlet scannt nach Netzwerksverbindungen und verbreitet die Malware in Windows 2000/XP-Umgebungen mit schwachen Anmeldeinformationen. Die Verbreitung erfolgt nur, wenn sie manuell initiiert wird oder wenn gängige Sicherheitsprodukte fehlen. Fast16 prüft auf Sicherheitstools von Anbietern wie Agnitum, **F-Secure**, **Kaspersky**, **McAfee**, **Microsoft**, **Symantec**, Sygate Technologies und **Trend Micro**, indem es die Windows-Registrierung scannt. Die Präsenz von Sygate Technologies, das im August 2005 von Symantec (jetzt Teil von **Broadcom**) übernommen wurde, deutet weiter auf das Alter des Samples hin. "Für Werkzeuge dieses Alters ist dieses Maß an Umgebungsbewusstsein bemerkenswert", bemerkte SentinelOne. "Obwohl die Liste der Produkte möglicherweise nicht umfassend erscheint, spiegelt sie wahrscheinlich die Produkte wider, die die Betreiber in ihren Zielnetzwerken erwarteten und deren Erkennungstechnologie die Heimlichkeit einer verdeckten Operation gefährden würde." Die ConnotifyDLL wird beim Herstellen neuer Netzwerkverbindungen über den Remote Access Service (**RAS**) aufgerufen und schreibt Namen von Remote- und lokalen Verbindungen in eine benannte Pipe ("\\.\pipe\p577"). ### Präzisionssabotage durch Kernel-Treiber Der Kernel-Treiber ist für die Präzisionssabotage verantwortlich. Er zielt auf ausführbare Dateien ab, die mit dem Intel C/C++-Compiler kompiliert wurden, und führt regelbasierte Patches durch und injiziert bösartigen Code. Dies beinhaltet die Beschädigung mathematischer Berechnungen in Werkzeugen, die im Bauingenieurwesen, in der Physik und bei Simulationen physikalischer Prozesse verwendet werden. "Durch die Einführung kleiner, aber systematischer Fehler in Berechnungen der realen Welt konnte das Framework wissenschaftliche Forschungsprogramme untergraben oder verlangsamen, technische Systeme im Laufe der Zeit verschlechtern oder sogar zu katastrophalen Schäden beitragen", erklärte SentinelOne. "Durch die Trennung eines relativ stabilen Ausführungswrappers von verschlüsselten, aufgabenbezogenen Payloads schufen die Entwickler ein wiederverwendbares, kompartimentiertes Framework, das sie an verschiedene Zielumgebungen und operative Ziele anpassen konnten, während die äußere Carrier-Binärdatei über Kampagnen hinweg weitgehend unverändert blieb." Analysen deuten darauf hin, dass drei hochpräzise Ingenieur- und Simulationssuiten möglicherweise ins Visier genommen wurden: LS-DYNA 970, PKPM und die MOHID hydrodynamische Modellierungsplattform. **LS-DYNA**, jetzt Teil der **Ansys** Suite, ist eine Multi-Physik-Simulationssoftware, die zur Simulation von Abstürzen, Stößen und Explosionen verwendet wird. Im September 2024 veröffentlichte das Institute for Science and International Security (ISIS) einen Bericht, der mögliche Verstöße detailliert beschreibt.