研究人員揭露比Stuxnet還要早被利用的工控惡意軟體Fast16

資安公司SentinelOne揭露網路攻擊框架Fast16，並指出其核心元件最早在2005年出現，其中的fast16.sys會選擇性攻擊高精度計算軟體，於記憶體裡竄改程式碼，以影響計算結果。值得留意的是，Fast16的有效酬載同樣具備蠕蟲機制，可自我散播，駭客的目標是讓整個設施產生不正確的計算結果，削弱科學研究與工程成果，從而影響工控系統的運作。該公司強調，Fast16比Stuxnet早5年出現，該惡意程式嵌入自製的Lua虛擬機器，比另一個採用這種手法的惡意軟體Flame早了3年，而且，迄今VirusTotal的防毒引擎僅有1個將其視為有害。

針對這項調查的動機，SentinelOne留意到某些駭客團體持續依賴嵌入式指令碼引擎打造模組化工具，並採用嵌入式的Lua虛擬機器打造具延展性的模組化平臺，其中包含Flame、Animal Farm’s Bunny、PlexingEagle、Flame 2.0，以及Project Sauron，因此該公司懷疑有可能有共同的來源基礎，著手進行相關調查。於是，他們找到了Fast16的元件svcmgmt.exe。

此執行檔看起來是Windows 2000與XP時期的通用控制臺服務包裝函式（Wrapper），並內嵌了Lua 5.0虛擬機器，其中包含多個模組，可直接綁定Windows NTFS檔案系統、登錄檔、服務控制，以及網路API。其用途就是載入fast16.sys，此為核心系統層級的驅動程式，儘管已無法在Windows 7以上版本的作業系統運作，然而，此元件具備可套用規則的程式碼修補功能，以及超越檔案系統I/O的控制能力，SentinelOne認為，Fast16已經不只是一般的Rootkit。

駭客鎖定的目標為何？該公司推測，很可能是2000年代中期的高精度工程模擬工具，它們是：LS-DYNA 970、PKPM及MOHID，這些軟體的用途涵蓋碰撞測試、結構分析，以及環境建模。

另一方面，SentinelOne在二進位檔案內部發現早期Unix系統開發文化的痕跡，其中包含了1970至1980年代的Unix原始碼控制系統（Source Code Control System，SCCS）與修訂控制系統（Revision Control System，RCS），由於這在2000年中期的Windows程式碼極為罕見，代表相關工具的作者並非典型的Windows開發人員。由於這些作法源自當時安全性較高的Unix環境，因此該公司推測，Fast16可能與政府機關或軍事單位的計畫有關。