### Fast16 : Un outil de sabotage pré-Stuxnet Selon **Symantec** et **Carbon Black**, désormais intégrés à **Broadcom**, le malware *fast16* a été conçu pour corrompre les simulations de compression d'uranium. Ces simulations sont cruciales pour la conception d'armes nucléaires. « Le moteur de crochet de Fast16 s'intéresse sélectivement aux simulations de haute explosion dans **LS-DYNA** et **AUTODYN** », a déclaré l'équipe Threat Hunter. « Le malware vérifie la densité du matériau simulé et n'agit que lorsque cette valeur dépasse 30 g/cm³, le seuil que l'uranium ne peut atteindre que sous la compression d'un dispositif d'implosion. » ### Analyse initiale de SentinelOne Une analyse antérieure par **SentinelOne** décrivait *fast16* comme un framework de sabotage pionnier. Ses composants auraient pu être développés dès 2005, précédant ainsi de deux ans la version la plus ancienne connue de Stuxnet (alias Stuxnet 0.5). Des preuves découvertes par SentinelOne incluaient une référence à la chaîne « fast16 » dans un fichier texte. Ce fichier a été divulgué en 2017 par **The Shadow Brokers**, un groupe de hackers anonyme. Le fichier divulgué faisait partie d'une énorme collection d'outils de piratage et d'exploits prétendument utilisés par le **Equation Group**, un acteur étatique suspecté d'être lié à la **National Security Agency (NSA)** américaine. ### Fonctionnalités du malware À la base, le malware de sabotage industriel utilise 101 règles pour manipuler les calculs mathématiques effectués par des programmes d'ingénierie et de simulation spécifiques prévalents à l'époque. Bien que les binaires exacts patchés restent flous, SentinelOne a identifié trois candidats probables : LS-DYNA version 970, Practical Structural Design and Construction Software (**PKPM**) et Modelo Hidrodinâmico (**MOHID**). L'analyse récente de Symantec confirme que LS-DYNA et AUTODYN étaient effectivement ciblés par *fast16*. Le malware a été spécifiquement conçu pour interférer avec les simulations de détonations à haute explosion, dans le but de saboter la recherche sur les armes nucléaires. « Ce sont deux applications logicielles utilisées pour simuler des problèmes du monde réel tels que la sécurité des véhicules en cas de collision, la modélisation de matériaux et la simulation d'explosions », ont déclaré Symantec et Carbon Black. « Les crochets que fast16 place dans le programme de simulation consistent en trois stratégies d'attaque. La falsification ne s'active que lors des simulations complètes de déflagration et de détonation. » ### Ciblage sophistiqué Les 101 règles de crochet sont en outre classées en 9 à 10 groupes de crochets, chacun ciblant différentes versions de LS-DYNA ou AUTODYN. Cela suggère que les développeurs du malware suivaient les mises à jour logicielles et ajoutaient un support pour différentes versions au fil du temps, indiquant une opération méthodique et soutenue. « Si les groupes de règles de crochet étaient ajoutés séquentiellement au besoin, nous constatons qu'un groupe de crochet a été ajouté pour une version antérieure du logiciel après une version plus récente », ont expliqué les chercheurs. « On peut imaginer que l'utilisateur de simulation est revenu à une version plus ancienne face à l'anomalie, avant que cette version ne soit également ciblée. Deuxièmement, les groupes de crochets représentent jusqu'à 10 versions différentes de logiciels de simulation, ce qui signifie que l'utilisateur de simulation met à jour ses versions assez fréquemment. » ### Évasion et propagation *Fast16* est conçu pour éviter d'infecter les ordinateurs sur lesquels des produits de sécurité spécifiques sont installés. Il se propage également automatiquement à d'autres points d'extrémité sur le même réseau, garantissant que toute machine exécutant les simulations génère les mêmes sorties falsifiées. Ces découvertes soulignent que le sabotage industriel stratégique à l'aide de malwares a eu lieu il y a 20 ans, précédant l'utilisation de Stuxnet pour endommager les centrifugeuses d'enrichissement d'uranium à l'usine nucléaire iranienne de Natanz via du code malveillant injecté dans les contrôleurs logiques programmables de **Siemens**. S'adressant à la journaliste en cybersécurité **Kim Zetter**, **Vikram Thakur**, directeur technique chez Symantec, a qualifié l'expertise requise pour concevoir un tel malware en 2005 de « stupéfiante ». On ignore si une version moderne de *fast16* existe dans la nature. « Ce degré de connaissance du domaine, comme la compréhension des formes d'EOS [Equation of State] qui importent, des conventions d'appel produites par quels compilateurs, et des classes de simulation qui déclencheront ou non le déclenchement, est inhabituel à toute époque et était très inhabituel en 2005 », ont déclaré Symantec et Carbon Black. « Le framework appartient à la même lignée conceptuelle que Stuxnet, où le malware était adapté non seulement au produit d'un fournisseur, mais à un processus physique spécifique simulé ou contrôlé par ce produit. »