Вредонос Fast16 создали для саботажа ядерных испытаний Ирана в 2005 году
3 мин
37
Специалисты компании Symantec подтвердили, что вредоносная программа Fast16 создавалась для саботажа компьютерных симуляций испытаний ядерного оружия. Вредонос подменял реальные данные симуляций на ложные. Он ждал момента приближения к сверхкритичности, когда должна была начаться цепная реакция ядерного взрыва, и изменял показатели давления внутри уранового ядра. Инженеры видели недостаточное давление для достижения сверхкритичности, хотя реальная ситуация была обратной.
Эксперты предположили, что целью атаки была иранская ядерная программа. На эту гипотезу указывают время появления вредоноса, уровень доступа, необходимый для его создания, а также фокус на уране.
Разработка Fast16 и Stuxnet, который саботировал работу иранских центрифуг для обогащения урана, велась приблизительно в тот же период в 2005 году. Однако первый в итоге появился примерно на год раньше второго. Домены для командных серверов Stuxnet зарегистрировали в ноябре 2005-го, в начале 2006 года в США провели тестовую атаку, а ещё через год запустили его в Иране. Сходство по времени разработки указывает на принадлежность Fast16 и Stuxnet одной кампании, реализованной США и союзниками против иранских ядерных амбиций.
О существовании Fast16 впервые узнал старший технический специалист SentinelOne Хуан Андрес Герреро-Сааде, когда вредонос упомянули в инструменте АНБ (National Security Agency, Агентство национальной безопасности), утёкшем в Сеть в 2017 году. Вредонос был одним из множества средств АНБ, украденных группой Shadow Brokers. В октябре 2017-го образец кода загрузили на сайт VirusTotal, где он оставался незамеченным два года.
Специалисты нашли образец Fast16 в 2019 году. После многолетних попыток расшифровать код они использовали искусственный интеллект для определения его назначения. Код саботировал работу приложений для высокоточных математических расчётов.
В ходе исследования удалось подтвердить, что Fast16 атакует программы LS-DYNA и AUTODYN. LS-DYNA разработали в Национальной лаборатории Лоуренса Ливермора в 1970-х годах. Программу используют для оценки прочности металлов и последствий столкновений, а также для моделирования высокого сжатия для ядерных боеголовок. Обе программы применялись в Иране в период активности Fast16.
Вредонос активируется, только когда программа моделирует детонацию мощных взрывчатых веществ с использованием одной из трёх конкретных моделей. Fast16 отслеживает плотность уранового ядра и, когда значение достигает 30 граммов на кубический сантиметр, подменяет данные на ложные. Инженеры видят заниженные показатели давления и могут решить, что испытываемая конструкция не работает должным образом.
Как отмечают ИБ-специалисты, изменения не показались бы инженерам необычными, если бы вредонос снижал значения всего на 1–5%. Но этого было достаточно, чтобы специалисты посчитали силу недостаточно и сделали вывод о необходимости пересмотреть свои расчёты. В 2005 году компьютеры считались по умолчанию более надёжными, чем сейчас, поэтому инженеры вряд ли могли бы заподозрить саботаж.
