SentinelOne 的网络安全研究人员发现了一个此前从未被记录过的网络破坏框架,名为 “fast16”,其历史可追溯至 2005 年。
根据 SentinelOne Labs 的报告,该框架旨在有选择性地针对高精度计算软件。该恶意软件通过在内存中对代码进行补丁处理来篡改计算结果,其目的是使整个设施的计算结果产生偏差。
这一发现表明,该破坏行动比臭名昭著的 Stuxnet 攻击至少早了五年。调查还发现,fast16 中使用的嵌入式定制 Lua 虚拟机,其出现时间比已知最早的 Flame 恶意软件样本还要早三年。
研究人员通过对现代攻击模式进行架构调查,识别出了该框架。他们发现了一个 2005 年时期的服务二进制文件 svcmgmt.exe,该文件利用了一个嵌入式的 Lua 5.0 虚拟机以及一个加密的字节码容器。
与 ShadowBrokers 泄密事件的关联
调查揭示了 fast16 框架与臭名昭著的 ShadowBrokers 泄密事件之间存在直接联系。“fast16” 这个名称出现在泄露的美国国家安全局(NSA)“领土争端”(Territorial Dispute)组件中。
SentinelOne 的研究人员在泄露文件中注意到一个特定的规避特征码,其指示操作员:“fast16,这里什么都没有——继续操作”。
研究人员将该二进制文件追踪到了一个名为 fast16.sys 的内核驱动程序。该驱动程序能够针对极其昂贵的高精度计算任务,包括先进物理学、密码学和核科学领域的研究。
通过将攻击载荷与自我传播机制相结合,攻击者可以确保在关键科学数据中制造出持续且不被察觉的错误。这一发现表明,高度复杂的破坏能力在近二十年的时间里一直处于活跃状态。
