Des chercheurs en cybersécurité ont mis au jour un framework de cyber-sabotage écrit en Lua, jusqu'alors inconnu, qui existait des années avant **Stuxnet**, le ver notoire qui avait ciblé le programme nucléaire iranien. Le malware, dont le nom de code est **fast16**, visait à perturber les opérations en falsifiant les résultats des logiciels de calcul de haute précision. Selon un nouveau rapport de **SentinelOne**, ce framework remonte à 2005. « En combinant cette payload avec des mécanismes d'auto-propagation, les attaquants visent à produire des calculs inexacts équivalents sur l'ensemble d'une installation », ont déclaré les chercheurs Vitaly Kamluk et Juan Andrés Guerrero-Saade dans leur rapport.  ### Origines et Capacités Fast16 précède Stuxnet d'au moins cinq ans et également les premiers échantillons connus de **Flame** (alias Flamer et Skywiper). Cette découverte fait de fast16 le premier malware Windows connu à intégrer un moteur Lua. La découverte de SentinelOne provenait d'un artefact nommé "svcmgmt.exe", apparaissant initialement comme un wrapper de service générique en mode console. VirusTotal indique que le fichier a un horodatage de création du 30 août 2005 et a été téléchargé plus d'une décennie plus tard, le 8 octobre 2016. Une analyse plus approfondie a révélé une machine virtuelle Lua 5.0 intégrée, un conteneur de bytecode chiffré et des modules qui interagissent directement avec le système de fichiers Windows NT, le registre, le contrôle des services et les API réseau. La logique principale de l'implant réside dans le bytecode Lua. Le binaire fait également référence à un pilote noyau ("fast16.sys") via un chemin PDB, daté du 19 juillet 2005, qui intercepte et modifie le code exécutable lorsqu'il est lu depuis le disque. Le pilote est incompatible avec Windows 7 et les systèmes ultérieurs. ### Connexion avec The Shadow Brokers SentinelOne a découvert une référence à "fast16" dans un fichier texte appelé "drv_list.txt", qui répertoriait les pilotes utilisés dans les attaques persistantes avancées (APT). Ce fichier faisait partie d'une masse de données divulguée par **The Shadow Brokers** en 2016 et 2017, prétendument volée au **Equation Group**, un groupe APT suspecté d'être lié à la **National Security Agency (NSA)** américaine. Le fichier texte est disponible sur GitHub.  « La chaîne de caractères à l'intérieur de svcmgmt.exe a fourni le lien médico-légal clé dans cette enquête », a déclaré SentinelOne. « Le chemin PDB relie la fuite de 2017 des signatures de désambiguïsation utilisées par les opérateurs de la NSA à un module "porteur" multimodal basé sur Lua compilé en 2005, et finalement à sa payload furtive : un pilote noyau conçu pour le sabotage de précision. » ### Détails Techniques de Fast16 "Svcmgmt.exe" sert de module porteur adaptable, modifiant son comportement en fonction des arguments de la ligne de commande. Il peut fonctionner comme un service Windows ou exécuter du code Lua. Le module comprend trois payloads : du bytecode Lua pour la configuration, la propagation et la coordination ; une DLL auxiliaire ConnotifyDLL ("svcmgmt.dll") ; et le pilote noyau "fast16.sys". Le module analyse la configuration, élève les privilèges, déploie l'implant noyau et lance un wormlet du gestionnaire de contrôle de service (**SCM**). Ce wormlet scanne les serveurs réseau et propage le malware aux environnements Windows 2000/XP disposant d'identifiants faibles. La propagation ne se produit que lorsqu'elle est initiée manuellement ou en l'absence de produits de sécurité courants. Fast16 vérifie la présence d'outils de sécurité de fournisseurs tels qu'Agnitum, **F-Secure**, **Kaspersky**, **McAfee**, **Microsoft**, **Symantec**, Sygate Technologies et **Trend Micro** en scannant le registre Windows. La présence de Sygate Technologies, acquise par Symantec (désormais partie de **Broadcom**) en août 2005, indique en outre l'ancienneté de l'échantillon. « Pour des outils de cet âge, ce niveau de conscience environnementale est remarquable », a noté SentinelOne. « Bien que la liste des produits ne semble pas exhaustive, elle reflète probablement les produits que les opérateurs s'attendaient à trouver dans leurs réseaux cibles, dont la technologie de détection menacerait la furtivité d'une opération clandestine. » La ConnotifyDLL est appelée lors de l'établissement de nouvelles connexions réseau à l'aide du service d'accès à distance (**RAS**), écrivant les noms de connexion distants et locaux dans un pipe nommé ("\\.\pipe\p577"). ### Sabotage de Précision via un Pilote Noyau Le pilote noyau est responsable du sabotage de précision. Il cible les exécutables compilés avec le compilateur Intel C/C++, effectuant des correctifs basés sur des règles et injectant du code malveillant. Cela inclut la corruption de calculs mathématiques dans des outils utilisés en ingénierie civile, en physique et dans les simulations de processus physiques. « En introduisant des erreurs petites mais systématiques dans les calculs du monde physique, le framework pourrait saper ou ralentir les programmes de recherche scientifique, dégrader les systèmes d'ingénierie au fil du temps, voire contribuer à des dommages catastrophiques », a expliqué SentinelOne. « En séparant un wrapper d'exécution relativement stable des payloads chiffrées et spécifiques à la tâche, les développeurs ont créé un framework réutilisable et compartimenté qu'ils pouvaient adapter à différents environnements cibles et objectifs opérationnels tout en laissant le binaire porteur externe largement inchangé entre les campagnes. » L'analyse suggère que trois suites d'ingénierie et de simulation de haute précision pourraient avoir été ciblées : LS-DYNA 970, PKPM et la plateforme de modélisation hydrodynamique MOHID. **LS-DYNA**, désormais partie de la suite **Ansys**, est un logiciel de simulation multi-physique utilisé pour simuler des crashs, des impacts et des explosions. En septembre 2024, l'Institute for Science and International Security (ISIS) a publié un rapport détaillant de possibles violations.