### Fast16：Stuxnet以前の破壊工作ツール 現在**Broadcom**傘下にある**Symantec**と**Carbon Black**によると、*fast16*マルウェアはウラン圧縮シミュレーションを破損させるように設計されていました。これらのシミュレーションは、核兵器設計において極めて重要です。 「Fast16のフックエンジンは、**LS-DYNA**および**AUTODYN**内の高爆発シミュレーションに選択的に関心を持っています」とThreat Hunter Teamは述べています。「マルウェアは、シミュレートされている材料の密度をチェックし、その値が30 g/cm³を超える場合にのみ動作します。このしきい値は、ウランが内破装置の衝撃圧縮下でのみ到達できる値です。」 ### SentinelOneによる初期分析 **SentinelOne**による以前の分析では、*fast16*は先駆的な破壊工作フレームワークとして説明されていました。そのコンポーネントは、Stuxnetの最も初期の既知バージョン（別名Stuxnet 0.5）よりも2年早い2005年頃に開発された可能性があります。 SentinelOneが明らかにした証拠には、テキストファイル内の「fast16」という文字列への参照が含まれていました。このファイルは、匿名のハッカー集団である**The Shadow Brokers**によって2017年にリークされました。リークされたファイルは、米国**National Security Agency (NSA)**との関連が疑われる国家支援の脅威アクターである**Equation Group**によって使用されたとされる、大規模なハッキングツールとexploitの宝庫の一部でした。 ### マルウェアの機能 その中核において、この産業破壊マルウェアは、当時普及していた特定のエンジニアリングおよびシミュレーションプログラムによって実行される数学的計算を操作するために101個のルールを採用しています。パッチが適用された正確なバイナリは不明なままですが、SentinelOneは3つの可能性のある候補を特定しました：LS-DYNAバージョン970、Practical Structural Design and Construction Software（**PKPM**）、およびModelo Hidrodinâmico（**MOHID**）。 Symantecの最近の分析は、LS-DYNAとAUTODYNが実際に*fast16*の標的であったことを確認しています。このマルウェアは、核兵器研究を妨害することを目的とした、高爆発のシミュレーションに干渉するように特別に設計されていました。 「どちらも、車両の衝突安全性、材料モデリング、爆発シミュレーションなどの現実世界の問題をシミュレートするために使用されるソフトウェアアプリケーションです」とSymantecとCarbon Blackは述べています。「fast16がシミュレーションプログラム内に配置するフックは、3つの攻撃戦略で構成されています。改ざんは、フルスケールの過渡的な爆発および爆破実行中にのみアクティブになります。」 ### 洗練されたターゲティング 101個のフックルールは、さらに9〜10個のフックグループに分類され、それぞれがLS-DYNAまたはAUTODYNの異なるビルドを標的としています。これは、マルウェア開発者がソフトウェアの更新を追跡し、時間の経過とともに異なるバージョンをサポートに追加したことを示唆しており、体系的かつ持続的な運用を示しています。 「フックルールグループが必要に応じて順番に追加された場合、新しいバージョンが登場した後、古いバージョンのソフトウェアのためにフックグループが追加されていることがわかります」と研究者は説明しました。 「シミュレーションユーザーが異常に直面した際に、そのバージョンも標的とされる前に古いバージョンに戻ったと想像できます。第二に、フックグループは最大10種類のシミュレーションソフトウェアバージョンを表しており、シミュレーションユーザーは比較的頻繁にバージョンを更新しています。」 ### 回避と拡散 *Fast16*は、特定のセキュリティ製品がインストールされているコンピューターに感染しないように設計されています。また、同じネットワーク上の他のエンドポイントに自動的に拡散し、シミュレーションを実行しているすべてのマシンが同じ改ざんされた出力を生成することを保証します。 これらの発見は、マルウェアを使用した戦略的な産業破壊工作が、イランのナタンズ核施設にあるウラン濃縮遠心分離機を**Siemens**製プログラマブルロジックコントローラーに注入された悪意のあるコードを介して損傷するためにStuxnetが使用されるよりも20年も前の、遅くとも20年前から発生していたことを強調しています。 サイバーセキュリティジャーナリストの**Kim Zetter**氏に対し、Symantecのテクニカルディレクターである**Vikram Thakur**氏は、2005年にこのようなマルウェアを設計するために必要な専門知識について「驚異的」とコメントしました。*fast16*の現代版が実際に存在するかどうかは不明です。 「EOS [Equation of State]のどの形式が重要か、どのコンパイラがどの呼び出し規約を生成するか、そしてどのクラスのシミュレーションがゲートをトリップするかしないかといった、ドメイン知識のそのレベルは、どの時代においても珍しく、2005年には非常に珍しいものでした」とSymantecとCarbon Blackは述べています。 「このフレームワークは、Stuxnetと同じ概念的な系統に属しており、マルウェアはベンダーの製品だけでなく、その製品によってシミュレートまたは制御されている特定の物理プロセスに合わせて調整されていました。」