### Fast16: Una Herramienta de Sabotaje Previa a Stuxnet Según **Symantec** y **Carbon Black**, ahora parte de **Broadcom**, el malware *fast16* fue diseñado para corromper simulaciones de compresión de uranio. Estas simulaciones son críticas para el diseño de armas nucleares. "El motor de 'hooks' de Fast16 está selectivamente interesado en simulaciones de alto explosivo dentro de **LS-DYNA** y **AUTODYN**", dijo el Threat Hunter Team. "El malware verifica la densidad del material que se está simulando y solo actúa cuando ese valor supera los 30 g/cm³, el umbral que el uranio solo puede alcanzar bajo la compresión de choque de un dispositivo de implosión." ### Análisis Inicial de SentinelOne Un análisis anterior de **SentinelOne** describió *fast16* como un marco de sabotaje pionero. Sus componentes pudieron haber sido desarrollados tan pronto como en 2005, dos años antes de la versión más antigua conocida de Stuxnet (también conocido como Stuxnet 0.5). La evidencia desenterrada por SentinelOne incluyó una referencia a la cadena "fast16" en un archivo de texto. Este archivo fue filtrado en 2017 por **The Shadow Brokers**, un grupo anónimo de hackers. El archivo filtrado formaba parte de un enorme conjunto de herramientas de hacking y exploits presuntamente utilizados por **Equation Group**, un actor de amenazas patrocinado por el estado con presuntos vínculos con la **Agencia de Seguridad Nacional (NSA)** de EE. UU. ### Funcionalidad del Malware En su núcleo, el malware de sabotaje industrial emplea 101 reglas para manipular cálculos matemáticos realizados por programas de ingeniería y simulación específicos prevalentes en ese momento. Si bien los binarios parcheados exactos siguen sin estar claros, SentinelOne identificó tres candidatos probables: LS-DYNA versión 970, Practical Structural Design and Construction Software (**PKPM**) y Modelo Hidrodinâmico (**MOHID**). El análisis reciente de Symantec confirma que LS-DYNA y AUTODYN fueron efectivamente el objetivo de *fast16*. El malware fue diseñado específicamente para interferir con simulaciones de detonaciones de alto explosivo, con el objetivo de sabotear la investigación de armas nucleares. "Ambas son aplicaciones de software utilizadas para simular problemas del mundo real como la resistencia a choques de vehículos, modelado de materiales y simulación de explosivos", declararon Symantec y Carbon Black. "Los 'hooks' que fast16 coloca dentro del programa de simulación consisten en tres estrategias de ataque. La manipulación solo se activa durante ejecuciones transitorias de explosión y detonación a gran escala." ### Segmentación Sofisticada Las 101 reglas de 'hooks' se categorizan además en 9-10 grupos de 'hooks', cada uno dirigido a diferentes compilaciones de LS-DYNA o AUTODYN. Esto sugiere que los desarrolladores del malware rastrearon las actualizaciones de software y agregaron soporte para diferentes versiones con el tiempo, lo que indica una operación metódica y sostenida. "Si los grupos de reglas de 'hooks' se agregaron secuencialmente según fuera necesario, vemos un grupo de 'hooks' agregado para una versión anterior del software después de una versión más nueva", explicaron los investigadores. "Uno puede imaginar que el usuario de simulación volvió a una versión anterior al enfrentarse a la anomalía, antes de que esa versión también fuera atacada. En segundo lugar, los grupos de 'hooks' representan hasta 10 versiones diferentes de software de simulación, lo que significa que el usuario de simulación actualiza las versiones con semi-frecuencia." ### Evasión y Propagación *Fast16* está diseñado para evitar infectar computadoras con productos de seguridad específicos instalados. También se propaga automáticamente a otros puntos finales en la misma red, asegurando que cualquier máquina que ejecute las simulaciones genere las mismas salidas manipuladas. Estos hallazgos resaltan que el sabotaje industrial estratégico utilizando malware ocurrió hace al menos 20 años, precediendo al uso de Stuxnet para dañar las centrifugadoras de enriquecimiento de uranio en la planta nuclear de Natanz en Irán a través de código malicioso inyectado en controladores lógicos programables de **Siemens**. En declaraciones al periodista de ciberseguridad **Kim Zetter**, **Vikram Thakur**, director técnico de Symantec, calificó la experiencia requerida para diseñar dicho malware en 2005 como "asombrosa". Sigue siendo desconocido si existe una versión moderna de *fast16* en la naturaleza. "Ese grado de conocimiento del dominio, como comprender qué formas de EOS [Equation of State] importan, qué convenciones de llamada producen qué compiladores y qué clases de simulación activarán o no la puerta, es inusual en cualquier era y fue muy inusual en 2005", dijeron Symantec y Carbon Black. "El marco pertenece a la misma línea conceptual que Stuxnet, en la que el malware se adaptaba no solo al producto de un proveedor, sino a un proceso físico específico que estaba siendo simulado o controlado por ese producto."