Pesquisadores de cibersegurança descobriram um framework de ciber sabotagem anteriormente não documentado escrito em Lua, que existia anos antes do **Stuxnet**, o notório worm que visou o programa nuclear do Irã. O malware, codinome **fast16**, visava interromper operações adulterando os resultados de software de cálculo de alta precisão. De acordo com um novo relatório da **SentinelOne**, este framework remonta a 2005. "Ao combinar este payload com mecanismos de auto-propagação, os atacantes visam produzir cálculos imprecisos equivalentes em toda uma instalação", disseram os pesquisadores Vitaly Kamluk e Juan Andrés Guerrero-Saade em seu relatório.  ### Origens e Capacidades O Fast16 antecede o Stuxnet em pelo menos cinco anos e também precede as amostras conhecidas mais antigas do **Flame** (também conhecido como Flamer e Skywiper). Esta descoberta marca o fast16 como o primeiro malware conhecido para Windows a incorporar um motor Lua. A descoberta da SentinelOne surgiu de um artefato chamado "svcmgmt.exe", que inicialmente aparecia como um wrapper de serviço genérico em modo console. O VirusTotal indica que o arquivo tem um timestamp de criação de 30 de agosto de 2005 e foi carregado mais de uma década depois, em 8 de outubro de 2016. Análises posteriores revelaram uma máquina virtual Lua 5.0 incorporada, um contêiner de bytecode criptografado e módulos que interagem diretamente com o sistema de arquivos do Windows NT, registro, controle de serviço e APIs de rede. A lógica central do implante reside dentro do bytecode Lua. O binário também faz referência a um driver de kernel ("fast16.sys") através de um caminho PDB, datado de 19 de julho de 2005, que intercepta e modifica o código executável à medida que é lido do disco. O driver é incompatível com sistemas Windows 7 e posteriores. ### Conexão com The Shadow Brokers A SentinelOne descobriu uma referência a "fast16" em um arquivo de texto chamado "drv_list.txt", que listava drivers usados em ataques de ameaça persistente avançada (APT). Este arquivo fazia parte de um tesouro de dados vazado pelo **The Shadow Brokers** em 2016 e 2017, supostamente roubado do **Equation Group**, um grupo APT com supostas ligações com a **Agência de Segurança Nacional (NSA)** dos EUA. O arquivo de texto pode ser encontrado no GitHub.  "A string dentro do svcmgmt.exe forneceu o elo forense chave nesta investigação", afirmou a SentinelOne. "O caminho PDB conecta o vazamento de 2017 de assinaturas de desconfusão usadas por operadores da NSA com um módulo 'portador' multimodal alimentado por Lua compilado em 2005, e, finalmente, seu payload furtivo: um driver de kernel projetado para sabotagem de precisão." ### Detalhes Técnicos do Fast16 "Svcmgmt.exe" serve como um módulo portador adaptável, modificando seu comportamento com base em argumentos de linha de comando. Ele pode operar como um serviço do Windows ou executar código Lua. O módulo inclui três payloads: bytecode Lua para configuração, propagação e coordenação; um ConnotifyDLL auxiliar ("svcmgmt.dll"); e o driver de kernel "fast16.sys". O módulo analisa a configuração, escala privilégios, implanta o implante de kernel e inicia um wormlet do Service Control Manager (**SCM**). Este wormlet escaneia servidores de rede e propaga o malware para ambientes Windows 2000/XP com credenciais fracas. A propagação ocorre apenas quando iniciada manualmente ou quando produtos de segurança comuns estão ausentes. O Fast16 verifica ferramentas de segurança de fornecedores como Agnitum, **F-Secure**, **Kaspersky**, **McAfee**, **Microsoft**, **Symantec**, Sygate Technologies e **Trend Micro** escaneando o Registro do Windows. A presença da Sygate Technologies, adquirida pela Symantec (agora parte da **Broadcom**) em agosto de 2005, indica ainda mais a idade da amostra. "Para ferramentas dessa idade, esse nível de consciência ambiental é notável", observou a SentinelOne. "Embora a lista de produtos possa não parecer abrangente, ela provavelmente reflete os produtos que os operadores esperavam encontrar em suas redes-alvo, cuja tecnologia de detecção ameaçaria a furtividade de uma operação secreta." O ConnotifyDLL é invocado ao estabelecer novas conexões de rede usando o Remote Access Service (**RAS**), gravando nomes de conexão remota e local em um named pipe ("\\.\pipe\p577"). ### Sabotagem de Precisão Através de Driver de Kernel O driver de kernel é responsável pela sabotagem de precisão. Ele visa executáveis compilados com o compilador Intel C/C++, realizando patching baseado em regras e injetando código malicioso. Isso inclui corromper cálculos matemáticos em ferramentas usadas em engenharia civil, física e simulações de processos físicos. "Ao introduzir erros pequenos, mas sistemáticos, em cálculos do mundo físico, o framework poderia minar ou desacelerar programas de pesquisa científica, degradar sistemas de engenharia ao longo do tempo ou até mesmo contribuir para danos catastróficos", explicou a SentinelOne. "Ao separar um wrapper de execução relativamente estável de payloads criptografados e específicos da tarefa, os desenvolvedores criaram um framework reutilizável e compartimentado que eles poderiam adaptar a diferentes ambientes-alvo e objetivos operacionais, mantendo o binário portador externo largamente inalterado entre as campanhas." Análises sugerem que três suítes de engenharia e simulação de alta precisão podem ter sido visadas: LS-DYNA 970, PKPM e a plataforma de modelagem hidrodinâmica MOHID. O **LS-DYNA**, agora parte da Suíte **Ansys**, é um software de simulação multifísica usado para simular colisões, impactos e explosões. Em setembro de 2024, o Institute for Science and International Security (ISIS) publicou um relatório detalhando possíveis violações.