Нашли дедушку «Стакснета». Рассказываем, как АНБ (вероятно) ломало законы физики на ваших компьютерах еще 20 лет назад вирусом fast16

Специалисты SentinelLABS нашли вредоносный набор fast16, который мог незаметно портить результаты инженерных и научных расчётов ещё в 2005 году, за пять лет до Stuxnet. Судя по анализу, программа не просто крала данные или закреплялась в системе, а вмешивалась в вычисления так, чтобы заражённые машины выдавали одинаково неверные результаты.

fast16 состоял из служебного файла svcmgmt.exe и драйвера fast16.sys. Первый запускал службу, устанавливал её и распространял по сетям Windows 2000 и Windows XP. Второй работал на уровне ядра и перехватывал обращения к исполняемым файлам на диске. Когда драйвер находил подходящую программу, он менял её код прямо в памяти и подставлял собственные участки, влияющие на вычисления с плавающей точкой.

Целью, по всей видимости, были не массовые компьютеры, а узкие инженерные и научные пакеты. Специалисты проверили найденные шаблоны на старых коллекциях программ и обнаружили совпадения с ПО для точного моделирования, включая LS-DYNA 970, PKPM и гидродинамическую платформу MOHID. Такие системы применяют для расчётов в строительстве, моделирования аварий, взрывов, физических процессов, поведения материалов и водной среды.

Особенность fast16 в том, что вредоносный код мог портить не один результат, а целую цепочку проверок. svcmgmt.exe распространялся по сети через стандартные средства Windows, копировал себя на удалённые машины и запускал службу. Если несколько компьютеров в одной организации заражались одновременно, повторная проверка расчётов на соседней системе могла показать тот же неверный результат. Такой подход снижал шанс заметить подмену.

Перед установкой fast16 проверял, есть ли в системе защитные продукты. В коде нашли ключи реестра, связанные с решениями Symantec, Trend Micro, F-Secure, McAfee, Kaspersky, Zone Labs, Kerio, Agnitum и других производителей. Если такие признаки присутствовали, установка прекращалась. Для середины 2000-х подобная осторожность выглядит нетипично для обычных сетевых червей и больше похожа на инструмент хорошо подготовленной операции.

Важную роль в расследовании сыграла строка отладочного пути C:\buildy\driver\fd\i386\fast16.pdb, найденная в svcmgmt.exe. Она указала на драйвер fast16.sys. Позже то же имя, fast16, обнаружили в утечке ShadowBrokers, где были опубликованы компоненты, связанные с Агентством национальной безопасности США. В одном из файлов с пометками для операторов рядом с fast16 была фраза: «Nothing to see here – carry on».

SentinelLABS не утверждает, что удалось полностью установить цели операции. Исходные программы, под которые писали правила подмены, пока не найдены с достаточной точностью. Однако назначение драйвера выглядит необычно ясным: fast16 был создан для скрытого вмешательства в точные расчёты, а не для обычной слежки.

Находка меняет представление о том, как развивался киберсаботаж. До сих пор главным ранним примером считался Stuxnet, обнаруженный в 2010 году. fast16 показывает, что инструменты для скрытого воздействия на физические процессы через программные расчёты существовали уже в середине 2000-х. При этом носитель использовал встроенный язык Lua, модульную архитектуру и драйверный перехват файловой системы задолго до известных платформ Flame и Project Sauron.

Файлы fast16 годами лежали в коллекциях образцов почти незамеченными. Даже сейчас svcmgmt.exe почти не определяется защитными движками. SentinelLABS опубликовала индикаторы компрометации и правила YARA, чтобы другие специалисты могли проверить архивы и, возможно, найти недостающие части операции.