Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Практикум "Управление уязвимостями: от теории к практике"

Полный цикл выстраивания процесса управления уязвимостями
Успей записаться

Математика больше не точная наука. Как всего один драйвер заставил промышленные компьютеры годами врать инженерам

leer en español

31657
SentinelOne Antiy fast16 Stuxnet Виталий Камлюк Иран киберсаботаж
Математика больше не точная наука. Как всего один драйвер заставил промышленные компьютеры годами врать инженерам
SentinelOne Antiy fast16 Stuxnet Виталий Камлюк Иран киберсаботаж

Следы ведут к секретному коду двадцатилетней давности.

image

Компания SentinelOne на недавней конференции Black Hat Asia представила отчёт о fast16 — вредоносной платформе, предположительно созданной ещё в 2005 году. Авторами работы стали Виталий Камлюк и Хуан Андрес Герреро-Сааде. По их данным, fast16 могла использоваться даже раньше легендарной Stuxnet и была нацелена не на обычный шпионаж, а на скрытое искажение результатов инженерного моделирования.

Киберспециалисты из Antiy изучили выводы SentinelOne и признали высокий технический уровень отчёта, но оспорили часть трактовок. Китайская команда указала, что Stuxnet впервые применяли не в 2010 году, когда червя публично обнаружила VirusBlokAda, а раньше — в ходе операции против иранского ядерного объекта в Натанзе. Поэтому тезис о «сдвиге истории киберсаботажа на пять лет» Antiy считает некорректным.

Главная опасность fast16 связана с драйвером «fast16.sys». После заражения системы модуль проверял окружение и устанавливал драйвер только при отсутствии заметных защитных средств. Затем компонент в ядре Windows отслеживал запуск специализированных инженерных программ и незаметно менял результаты вычислений с плавающей точкой.

В отчёте упомянуты три цели: LS-DYNA, PKPM и MOHID. Эти комплексы применяют для моделирования в ядерной инженерии, строительстве, гидродинамике и управлении водными ресурсами. Малые отклонения в расчётах могли накапливаться и приводить к ошибочным проектным решениям, которые обнаруживались бы спустя месяцы или годы.

Antiy трактует fast16 как пример военной кибероперации, а не разведывательного инструмента. По мнению авторов разбора, платформа ближе к классу операций, где цель состоит в манипуляции данными и физическом эффекте через неверные решения инженеров. Такой подход отличается от Stuxnet: тот напрямую выводил из строя центрифуги, а fast16 мог создавать отложенный ущерб, плохо поддающийся расследованию.

Отдельная часть анализа Antiy посвящена политическому контексту публикации SentinelOne. Компания связывает появление отчёта с напряжённостью вокруг Ирана и считает, что демонстрация возможностей fast16 работает как элемент психологического давления. При этом Antiy признаёт, что сама находка имеет серьёзную техническую ценность и показывает уровень зрелости атакующих, способных годами сохранять скрытность и понимать внутреннюю логику инженерного ПО.