Investigadores de ciberseguridad de SentinelOne han descubierto un marco de sabotaje cibernético que no había sido documentado hasta ahora y que se remonta a 2005, conocido como 'fast16'.
Según un informe de SentinelOne Labs, este marco fue diseñado para atacar de forma selectiva software de cálculo de alta precisión. El malware modifica el código directamente en la memoria para alterar los resultados, con el objetivo de producir cálculos erróneos en instalaciones enteras.
El hallazgo revela que esta operación de sabotaje es al menos cinco años anterior al infame ataque Stuxnet. La investigación también determinó que el uso de una máquina virtual Lua personalizada e integrada en fast16 precede en tres años a las primeras muestras conocidas del malware Flame.
Los investigadores identificaron el marco mediante una investigación arquitectónica de los patrones de ataque modernos. Descubrieron un binario de servicio de la época de 2005, svcmgmt.exe, que utilizaba una máquina virtual Lua 5.0 integrada y un contenedor de bytecode cifrado.
Un vínculo con la filtración de ShadowBrokers
La investigación reveló una conexión directa entre el marco fast16 y la famosa filtración de ShadowBrokers. El nombre 'fast16' aparece en los componentes de la NSA denominados 'Territorial Dispute' que fueron filtrados.
Los investigadores de SentinelOne señalaron una firma de evasión específica dentro de la filtración que instruía a los operadores: “fast16Nothing to see here – carry on” (fast16 Nada que ver aquí – continúen).
Los expertos rastrearon el binario hasta un controlador de kernel llamado fast16.sys. Este controlador es capaz de atacar cargas de trabajo de computación de alta precisión y extremadamente costosas, incluyendo investigaciones en física avanzada, criptografía y ciencias nucleares.
Al combinar la carga útil con mecanismos de autopropagación, los atacantes podían garantizar errores consistentes y no detectados en datos científicos críticos. El descubrimiento sugiere que capacidades de sabotaje altamente sofisticadas han estado operativas durante casi dos décadas.
