Математика больше не точная наука. Следы ведут к секретному коду двадцатилетней давности
Компания SentinelOne на недавней конференции Black Hat Asia представила отчёт о fast16 — вредоносной платформе, предположительно созданной ещё в 2005 году. Авторами работы стали Виталий Камлюк и Хуан Андрес Герреро-Сааде. По их данным, fast16 могла использоваться даже раньше легендарной Stuxnet и была нацелена не на обычный шпионаж, а на скрытое искажение результатов инженерного моделирования.
Киберспециалисты из Antiy изучили выводы SentinelOne и признали высокий технический уровень отчёта, но оспорили часть трактовок. Китайская команда указала, что Stuxnet впервые применяли не в 2010 году, когда червя публично обнаружила VirusBlokAda, а раньше — в ходе операции против иранского ядерного объекта в Натанзе. Поэтому тезис о «сдвиге истории киберсаботажа на пять лет» Antiy считает некорректным.
Главная опасность fast16 связана с драйвером «fast16.sys». После заражения системы модуль проверял окружение и устанавливал драйвер только при отсутствии заметных защитных средств. Затем компонент в ядре Windows отслеживал запуск специализированных инженерных программ и незаметно менял результаты вычислений с плавающей точкой.
В отчёте упомянуты три цели: LS-DYNA, PKPM и MOHID. Эти комплексы применяют для моделирования в ядерной инженерии, строительстве, гидродинамике и управлении водными ресурсами. Малые отклонения в расчётах могли накапливаться и приводить к ошибочным проектным решениям, которые обнаруживались бы спустя месяцы или годы.
Antiy трактует fast16 как пример военной кибероперации, а не разведывательного инструмента. По мнению авторов разбора, платформа ближе к классу операций, где цель состоит в манипуляции данными и физическом эффекте через неверные решения инженеров. Такой подход отличается от Stuxnet: тот напрямую выводил из строя центрифуги, а fast16 мог создавать отложенный ущерб, плохо поддающийся расследованию.
Отдельная часть анализа Antiy посвящена политическому контексту публикации SentinelOne. Компания связывает появление отчёта с напряжённостью вокруг Ирана и считает, что демонстрация возможностей fast16 работает как элемент психологического давления. При этом Antiy признаёт, что сама находка имеет серьёзную техническую ценность и показывает уровень зрелости атакующих, способных годами сохранять скрытность и понимать внутреннюю логику инженерного ПО.