Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Fast16, il “pre-Stuxnet” nucleare: malware Lua sabota simulazioni critiche alterando calcoli su LS-DYNA e AUTODYN
Fast16 è un malware di sabotaggio industriale basato su Lua, progettato per alterare in modo selettivo i risultati di simulazioni critiche legate alla ricerca nucleare. Le analisi più recenti indicano che questo strumento, sviluppato anni prima della prima ondata nota di Stuxnet, era pensato per compromettere simulazioni di detonazioni ad alto esplosivo e di compressione di materiali, elementi centrali nei modelli di progettazione di un ordigno a implosione.
Il cuore operativo di Fast16 è un motore di hook composto da 101 regole. Queste regole non si limitano a interferire genericamente con un software, ma puntano a modificare calcoli matematici specifici eseguiti da applicazioni di simulazione ingegneristica. Tra i programmi presi di mira emergono LS-DYNA e AUTODYN, strumenti usati per riprodurre eventi fisici complessi come crash test, modellazione dei materiali e simulazioni di esplosioni. Il malware attiva la manomissione solo durante determinate esecuzioni, in particolare durante run transitori completi di blast e detonation, riducendo la probabilità di essere scoperto tramite test rapidi o parziali.
Un dettaglio tecnico significativo riguarda la logica condizionale: Fast16 controlla parametri della simulazione come la densità del materiale e interviene solo oltre una soglia elevata, compatibile con scenari di shock compression tipici di un processo di implosione. In pratica, il sabotaggio è calibrato per colpire esattamente le simulazioni più sensibili, evitando di alterare output non rilevanti.
Le 101 regole risultano organizzate in gruppi distinti, associati a build e versioni differenti dei software target. Questo suggerisce un progetto di lungo periodo, con manutenzione continua e adattamento agli aggiornamenti dei programmi. In alcuni casi, la presenza di hook per versioni più vecchie aggiunte dopo quelle nuove fa pensare a un contesto operativo reale, in cui gli utenti potevano tornare a versioni precedenti per investigare anomalie, trovandole però già compromesse.
Dal punto di vista della propagazione, Fast16 è in grado di diffondersi automaticamente su altri endpoint della stessa rete, così che qualsiasi macchina usata per eseguire le simulazioni produca risultati coerentemente alterati. Inoltre adotta misure di autodifesa, evitando di infettare sistemi dove rileva specifici prodotti di sicurezza, aumentando la furtività dell’operazione e la durata della permanenza.