Vírus criado pelos Estados Unidos é descoberto após 20 anos de sabotagem

Pesquisadores da SentinelOne identificaram um vírus de sabotagem baseado em Lua, desenvolvido anos antes do famoso Stuxnet e projetado para manipular softwares de cálculo de alta precisão como o LS-DYNA, usado por instituições iranianas de engenharia civil e processos industriais. 

O malware, batizado de Fast16, foi identificado em um ataque datado de 2005 e aparece referenciado no vazamento de ferramentas ofensivas da Agência de Segurança Nacional dos Estados Unidos (NSA), feito pelo grupo ShadowBrokers. Esse é o mesmo vazamento que expôs parte do arsenal cibernético dos Estados Unidos.

A SentinelLabs estava rastreando os primeiros usos da linguagem Lua em malware para Windows quando encontrou o arquivo svcmgmt.exe. Ele é um binário de serviço com uma máquina virtual Lua 5.0 embutida que referenciava o driver de kernel fast16.sys. 

É basicamente um programa disfarçado de serviço do Windows que carregava dentro de si um interpretador completo da linguagem Lua. Há evidências, segundo a empresa, de que o Fast16 pode ter sido desenvolvido pelos próprios americanos, assim como o Stuxnet.

O Stuxnet é um worm, basicamente um malware que se replica automaticamente entre máquinas, que ficou mundialmente conhecido em 2010 após ser descoberto em ataques contra instalações nucleares iranianas.

Um framework modular pensado para durar

O componente central do Fast16 é o próprio svcmgmt.exe, que funciona como um módulo-carregador. Dependendo dos argumentos de linha de comando, ele pode rodar como serviço, executar código Lua ou interpretar um nome de arquivo para disparar dois comandos distintos.

O binário contém três payloads internos. O primeiro é o código Lua, responsável por configuração, propagação e coordenação. O segundo é uma DLL auxiliar. O terceiro é o driver de kernel.

Ao separar um wrapper de execução relativamente estável de payloads criptografados e específicos para cada tarefa, os desenvolvedores criaram um framework reutilizável e compartimentado, capaz de se adaptar a diferentes ambientes e objetivos operacionais sem alterar o binário externo entre campanhas, segundo a análise da SentinelLabs.

Propagação com cautela

Para se mover entre máquinas, o Fast16 explorava senhas padrão ou fracas em compartilhamentos de rede no Windows 2000 e XP, usando APIs padrão do sistema. Mas a propagação era condicionada à ausência de chaves de registro associadas a fornecedores específicos de segurança, basicamente impedindo que o malware se executasse em ambientes monitorados.

Para uma ferramenta dessa época, esse nível de consciência ambiental é notável, avalia a SentinelLabs. A lista de produtos rastreados provavelmente refletia o que os operadores esperavam encontrar nas redes-alvo, tecnologias cuja presença poderia comprometer o sigilo da operação.

O driver que ficava entre o sistema e os arquivos

O driver fast16.sys carregava automaticamente junto com os drivers de dispositivo de disco. Ele se inseria acima dos sistemas de arquivos, desativava o Windows Prefetcher, resolvia APIs de kernel de forma dinâmica. Depois, se acoplava a todos os dispositivos de sistema de arquivos para interceptar os pacotes de requisição de I/O relevantes.

O foco do driver eram executáveis compilados com o compilador Intel C/C++. Ao interceptá-los, modificava os cabeçalhos PE para adicionar duas seções extras, viabilizando um processo de patching extenso mas estável.

O mecanismo opera com um conjunto compacto de pouco mais de cem regras de correspondência de padrões e uma pequena tabela de despacho. Com isso, inspecionava apenas os bytes com maior probabilidade de relevância, descreve a SentinelLabs.

Sabotagem de cálculos, não espionagem

Os padrões de patching identificados sugerem que o driver foi projetado para sequestrar ou influenciar os fluxos de execução de ferramentas de cálculo de precisão. Essas ferramentas são usadas em engenharia civil, física e simulação de processos físicos. Isso significa que o Fast16 não roubava dados, ele alterava os resultados dos cálculos.

Ao introduzir erros pequenos mas sistemáticos em cálculos do mundo físico, o framework poderia sabotar ou desacelerar programas de pesquisa científica e degradar sistemas engenheirados ao longo do tempo, segundo a SentinelLabs.

Um componente wormable garantia que a infecção se espalhasse para outras máquinas na mesma rede. Isso dificulta a detecção da sabotagem por quem tentasse validar os cálculos em outra máquina.

Três softwares no radar

A SentinelLabs identificou três suítes de engenharia e simulação de alta precisão como alvos potenciais do Fast16. São elas o LS-DYNA 970, o PKPM e a plataforma de modelagem hidrodinâmica MOHID. Os binários específicos visados pelo driver ainda não foram identificados.

O LS-DYNA é relevante nesse contexto porque há evidências de que o software foi usado pelo Irã como parte de seu programa de desenvolvimento de armas nucleares, o mesmo programa que o Stuxnet visava destruir.

O elo perdido entre gerações de malwares governamentais

A existência do Fast16 demonstra que capacidades de cibersabotagem de nível estatal já estavam totalmente desenvolvidas e em uso na metade dos anos 2000. Bem antes de o Stuxnet se tornar o marco público do tema.

No panorama da evolução de APTs, o Fast16 preenche a lacuna entre os primeiros programas de desenvolvimento amplamente invisíveis e os toolkits posteriores baseados em Lua e LuaJIT mais documentados. Ele é um ponto de referência para entender como atores avançados pensam sobre implantes de longo prazo, sabotagem e a capacidade de um Estado de remodelar o mundo físico por meio de software, conclui a SentinelLabs.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.