До того как Stuxnet потряс мир в 2010 году, доказав, что кибероружие способно уничтожать физическую инфраструктуру, существовал другой инструмент, более старый, скрытный и невероятно нацеленный. Исследователи из Sentinel Labs раскопали платформу кибер-саботажа fast16 — и выяснили, что она как минимум на 5 лет старше Stuxnet. Она использовалась для внесения мельчайших, но воспроизводимых ошибок в расчеты для проектирования ядерных реакторов, плотин и других объектов высокой точности. А Агентство национальной безопасности США, под чьей эгидой, судя по всему, был создан этот инструмент, сопроводило его фразой в стиле «ничего интересного — проходите мимо».
Исследователи безопасности Виталий Камлюк и Хуан Андрес Герреро-Сааде сделали открытие, основываясь на архитектурной догадке. Многие высокоуровневые угрозы этого класса были построены на встроенной виртуальной машине Lua. Они решили проверить, нет ли следов более ранних Lua-инструментов.
Файл, который почти никто не заметил
Файл svcmgmt.exe, загруженный на VirusTotal почти 10 лет назад, стал ключом к разгадке. Этот ничем не примечательный файл 2005 года оказался Lua-сервисным бинарником. Он почти не детектируется антивирусами, один движок классифицирует его как «в целом вредоносный», и то с низкой уверенностью.
Как fast16 попадал в системы
Файл-носитель действовал как червь. Он распространялся через Windows-сервисы и API обмена файлами, охотясь на Windows 2000 и Windows XP. Особенно любил стандартные и слабые административные пароли на общих папках.
Маскировка для своего времени: перед развертыванием проверял реестр на наличие инструментов мониторинга от Symantec, TrendMicro, McAfee и других. Если находил — отменял загрузку драйвера.
Что делал fast16
Драйвер искал исполняемые файлы — особенно те, что скомпилированы компилятором Intel C/C++. И вносил изменения в вычисления с плавающей запятой.
| Цель | Метод | Результат |
| Файлы EXE (особенно с компилятором Intel) | Подмена результатов вычислений | Мелкие, но систематические ошибки в физических расчетах |
Инженерные проекты, основанные на этих расчетах, могли выходить из строя быстрее, чем ожидалось, — или даже приводить к катастрофическим разрушениям.
Целевое ПО (три названых пакета)
| Программное обеспечение | Назначение | Где применялось |
| LS-DYNA 970 | Моделирование крашей, взрывов, физики | Ядерные реакторы |
| PKPM | Китайский пакет структурного инжиниринга | Проектирование плотин и масштабной инфраструктуры |
| MOHID | Португальское гидродинамическое моделирование | Экологические и прибрежные проекты |
Связь с АНБ
Название fast16 было найдено в печально известной утечке файлов АНБ, связанных с «территориальным спором». Оно упоминалось в списке «не трогать», предоставленном операторам. Строка гласила: «fast16 Ничего интересного — проходите мимо».
Исследователи трактуют это как указание на то, что fast16 был одним из — если не самым — важным инструментом взлома АНБ.
fast16 и Stuxnet
| Характеристика | fast16 | Stuxnet |
| Приблизительное время создания | 2005 (или раньше) | 2010 |
| Целевая операционная система | Windows 2000 / XP | Windows (позже) |
| Механизм воздействия | Порча вычислений с плавающей запятой | Перезапись кода ПЛК центрифуг |
| Основная цель | Ядерные реакторы, плотины | Иранские центрифуги |
| Принадлежность | Предположительно АНБ | Предположительно США и Израиль |
Есть еще следы чего-то более древнего
В строках файлов fast16 нашли отпечатки систем управления версиями из эпохи холодной войны — Unix-систем 1970–80-х годов. Это окаменевшие следы, буквально «фоссилии» софта, указывающие на то, что корни fast16 уходят еще глубже в историю кибершпионажа.
Stuxnet считался первым кибероружием, разрушающим физисческую инфраструктуру. За пять лет до того, как Stuxnet уничтожил иранские центрифуги, fast16 уже незаметно портил расчеты ядерных реакторов и плотин. АНБ знала о нем, называла «ничего интересного» и просила операторов не трогать.
Самые опасные киберугрозы не те, что убивают системы, а те, что незаметно искажают наши расчеты, пока мы строим мосты, плотины и реакторы.