### Fast16: Ein Sabotage-Tool vor Stuxnet Laut **Symantec** und **Carbon Black**, die jetzt beide zu **Broadcom** gehören, wurde die *fast16*-Malware entwickelt, um Simulationen der Uran-Kompression zu korrumpieren. Diese Simulationen sind entscheidend für das Design von Atomwaffen. "Die Hook-Engine von Fast16 interessiert sich selektiv für Simulationen von hochexplosiven Stoffen innerhalb von **LS-DYNA** und **AUTODYN**", sagte das Threat Hunter Team. "Die Malware prüft die Dichte des simulierten Materials und greift nur ein, wenn dieser Wert 30 g/cm³ überschreitet, die Schwelle, die Uran nur unter der Schockkompression einer Implosionsvorrichtung erreichen kann." ### Erste Analyse von SentinelOne Frühere Analysen von **SentinelOne** beschrieben *fast16* als ein wegweisendes Sabotage-Framework. Seine Komponenten könnten bereits 2005 entwickelt worden sein, zwei Jahre vor der frühesten bekannten Version von Stuxnet (auch bekannt als Stuxnet 0.5). Von SentinelOne aufgedeckte Beweise enthielten einen Verweis auf die Zeichenkette "fast16" in einer Textdatei. Diese Datei wurde 2017 von **The Shadow Brokers**, einer anonymen Hacker-Gruppe, geleakt. Die geleakte Datei war Teil eines riesigen Fundus an Hacking-Tools und Exploits, die angeblich von der **Equation Group** verwendet wurden, einem staatlich unterstützten Bedrohungsakteur mit vermuteten Verbindungen zur **National Security Agency (NSA)** der USA. ### Malware-Funktionalität Im Kern verwendet die Malware für industrielle Sabotage 101 Regeln, um mathematische Berechnungen zu manipulieren, die von spezifischen Ingenieur- und Simulationsprogrammen durchgeführt werden, die zu dieser Zeit verbreitet waren. Obwohl die genauen gepatchten Binärdateien unklar bleiben, identifizierte SentinelOne drei wahrscheinliche Kandidaten: LS-DYNA Version 970, Practical Structural Design and Construction Software (**PKPM**) und Modelo Hidrodinâmico (**MOHID**). Die jüngste Analyse von Symantec bestätigt, dass LS-DYNA und AUTODYN tatsächlich von *fast16* ins Visier genommen wurden. Die Malware wurde speziell entwickelt, um Simulationen von Hochexplosiv-Detonationen zu stören und damit die Forschung an Atomwaffen zu sabotieren. "Beide sind Softwareanwendungen, die zur Simulation realer Probleme wie Fahrzeugcrashsicherheit, Materialmodellierung und Explosionssimulationen verwendet werden", erklärten Symantec und Carbon Black. "Die Hooks, die fast16 in das Simulationsprogramm einfügt, bestehen aus drei Angriffsstrategien. Die Manipulation wird nur während vollständiger transienter Spreng- und Detonationsläufe aktiviert." ### Anspruchsvolle Zielauswahl Die 101 Hook-Regeln sind weiter in 9-10 Hook-Gruppen unterteilt, die jeweils auf unterschiedliche Builds von LS-DYNA oder AUTODYN abzielen. Dies deutet darauf hin, dass die Malware-Entwickler Software-Updates verfolgten und im Laufe der Zeit Unterstützung für verschiedene Versionen hinzufügten, was auf eine methodische und anhaltende Operation hindeutet. "Wenn Hook-Gruppen bei Bedarf sequenziell hinzugefügt wurden, sehen wir eine Hook-Gruppe, die für eine frühere Version der Software nach einer neueren Version hinzugefügt wurde", erklärten die Forscher. "Man kann sich vorstellen, dass der Simulationsnutzer bei einer Anomalie zu einer älteren Version zurückkehrte, bevor auch diese Version ins Visier genommen wurde. Zweitens stellen die Hook-Gruppen bis zu 10 verschiedene Versionen von Simulationssoftware dar, was bedeutet, dass der Simulationsnutzer die Versionen semi-häufig aktualisiert." ### Umgehung und Verbreitung *Fast16* ist so konzipiert, dass es keine Computer mit bestimmten installierten Sicherheitsprodukten infiziert. Es verbreitet sich auch automatisch auf andere Endpunkte im selben Netzwerk, um sicherzustellen, dass jede Maschine, auf der die Simulationen ausgeführt werden, die gleichen manipulierten Ausgaben erzeugt. Diese Ergebnisse unterstreichen, dass strategische industrielle Sabotage mittels Malware bereits vor 20 Jahren stattfand und dem Einsatz von Stuxnet zur Beschädigung von Urananreicherungzentrifugen in Irans Natanz-Atomanlage durch bösartigen Code, der in **Siemens** speicherprogrammierbare Steuerungen (SPS) injiziert wurde, vorausging. Im Gespräch mit der Cybersicherheitsjournalistin **Kim Zetter** bezeichnete **Vikram Thakur**, technischer Direktor bei Symantec, die für die Entwicklung einer solchen Malware im Jahr 2005 erforderliche Expertise als "umwerfend". Es ist unbekannt, ob eine moderne Version von *fast16* noch im Umlauf ist. "Dieses Maß an Fachwissen, wie das Verständnis, welche EOS-Formen [Equation of State] wichtig sind, welche Aufrufkonventionen von welchen Compilern erzeugt werden und welche Simulationsklassen das Tor auslösen oder nicht, ist in jeder Ära ungewöhnlich und war 2005 sehr ungewöhnlich", sagten Symantec und Carbon Black. "Das Framework gehört zur gleichen konzeptionellen Linie wie Stuxnet, bei der Malware nicht nur auf das Produkt eines Anbieters zugeschnitten war, sondern auf einen bestimmten physischen Prozess, der von diesem Produkt simuliert oder gesteuert wurde."