Pesquisadores da SentinelOne revelaram a existência do Fast16, um malware desenvolvido em Lua que manipulava resultados de simulações físicas e provavelmente foi criado pelos Estados Unidos anos antes do Stuxnet.
Esse vírus de sabotagem, agora conhecido como Fast16, foi projetado para afetar softwares de cálculos de alta precisão, como o LS-DYNA, utilizado em projetos de engenharia civil e processos industriais no Irã.
O malware foi identificado em um ataque que ocorreu em 2005 e está mencionado no vazamento de ferramentas da Agência de Segurança Nacional (NSA) dos Estados Unidos, divulgado pelo grupo ShadowBrokers, o que também expôs parte do arsenal digital norte-americano.
A SentinelLabs estava investigando as primeiras utilizações da linguagem Lua em malwares para Windows quando encontrou um arquivo chamado svcmgmt.exe, um binário de serviço com uma máquina virtual Lua 5.0 embutida, que também referenciava o driver de kernel fast16.sys.
Esse programa se disfarça como um serviço do Windows e contém um interpretador Lua completo. As evidências sugerem que o Fast16 pode ter sido desenvolvido pelos próprios americanos, assim como o Stuxnet.
Vercel confirma invasão após hacker colocar dados à venda por US$ 2 milhões
O Stuxnet, conhecido mundialmente em 2010, se revelou um worm que se replica automaticamente, tendo como alvo as instalações nucleares do Irã.
Um framework modular projetado para perdurar
O componente central do Fast16 é o svcmgmt.exe, atuando como um módulo carregador que, dependendo dos argumentos de linha de comando, pode funcionar como um serviço ou executar código Lua.
Esse binário abrigava três payloads internos: o código Lua, que gerencia a configuração e propagação; uma DLL auxiliar e um driver de kernel.
Separando um wrapper de execução estável de payloads específicos e criptografados, os desenvolvedores criaram um framework reutilizável que se adapta a diferentes ambientes e objetivos operacionais.
Propagação cuidadosa
Para se espalhar, o Fast16 explorava senhas padrão em compartilhamentos de rede no Windows 2000 e XP, utilizando APIs do sistema. No entanto, sua propagação só ocorria na ausência de chaves de registro associadas a ferramentas de segurança específicas, impedindo sua execução em ambientes monitorados.
Esse nível de consciência do ambiente é notável, especialmente para a época, e reflete o que os operadores esperavam encontrar nas redes-alvo.
O driver entre o sistema e os arquivos
O driver fast16.sys se carregava junto com os drivers de dispositivo de disco, posicionando-se acima dos sistemas de arquivos e interceptando os pacotes de requisição de I/O relevantes.
Seu foco eram executáveis compilados com o compilador Intel C/C++, alterando cabeçalhos PE para adicionar seções extras que permitiam um patching extenso.
Vírus criado pelos Estados Unidos é descoberto após 20 anos de sabotagem
Esse mecanismo utilizava um conjunto compacto de regras, permitindo a inspeção apenas dos bytes mais relevantes.
Sabotagem dos cálculos, não espionagem
Os padrões de patching indicam que o driver visava sequestrar fluxos de execução de ferramentas de cálculos de precisão, alterando resultados ao invés de roubar dados.
Através de pequenos erros sistemáticos nos cálculos, o framework poderia causar danos em programas de pesquisa científica e degradar sistemas projetados ao longo do tempo, segundo a análise da SentinelLabs.
Com um componente wormable, o malware se espalharia silenciosamente por outras máquinas na rede, dificultando a detecção das anomalias.
Novo vírus ataca NPM para roubar credenciais e dados de usuários
Três softwares sob vigilância
A SentinelLabs destacou três suítes de engenharia e simulação como alvos potenciais do Fast16: LS-DYNA 970, PKPM e a plataforma MOHID. Os binários específicos ainda não foram identificados.
O LS-DYNA é crucial nesse contexto, pois há indícios de que o software foi utilizado pelo Irã em seu programa de armamento nuclear, o mesmo que o Stuxnet visava desestabilizar.
A ligação perdida entre gerações de malwares estatais
A existência do Fast16 comprova que as capacidades de cibersabotagem estavam plenamente desenvolvidas desde meados dos anos 2000, muito antes do Stuxnet se tornar um marco conhecido.
No cenário da evolução dos APTs, o Fast16 preenche a lacuna entre os primeiros programas invisíveis e os toolkits posteriores baseados em Lua. Ele serve como uma referência para entender como atores avançados concebem implantes de longo prazo e sabotagem através de software, conclui a SentinelLabs.
Manobra histórica! Helicóptero militar dos Estados Unidos pousa sozinho
Acompanhe o TecMania nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.