اكتشاف Malware سميتو 'fast16': نظام تخريب بان قبل Stuxnet وكان كيستهدف برامج الهندسة

المختصر المفيد: باحثين من SentinelOne كشفوا على واحد الـ framework متطور ديال التخريب الإلكتروني سميتو fast16. هاد الفيروس بان هادي كتر من 5 سنين قبل Stuxnet المعروف. هاد الـ malware، اللي كيربطوه بـ Equation Group (اللي عندها علاقة بـ NSA)، كان كيخدم بـ Lua engine من 2005 باش يخترق برامج هندسية دقيقة بحال LS-DYNA ويخسر الحسابات الرياضية ديالها. هاد الاكتشاف كيبين بلي الأسلحة الرقمية اللي كتدمر حوايج فـ "العالم الحقيقي" كانت واجدة وخدامة بزاف قبل ما كاع يسحاب لينا.

---

الاكتشاف: إعادة كتابة تاريخ الأمن المعلوماتي

لأكتر من 10 سنين، كان كيسحاب لينا بلي Stuxnet هو أول سلاح رقمي حقيقي فالعالم اللي تدار باش يدير تدمير مادي. ولكن التقرير الجديد اللي حطوه Vitaly Kamluk و Juan Andrés Guerrero-Saade من SentinelOne قلب كاع الموازين.

الباحثين لقاو fast16، اللي هو نظام تخريب ما كانش معروف من قبل، وفيه "بصمات" (timestamps) كترجع ليوليو وغشت 2005. هادشي كيعني أنه تدار 5 شهور على الأقل قبل أول نسخة ديال Stuxnet (النسخة 0.5)، وسنوات قبل ما يعرف العالم بلي هاد القدرات كاع كاينة.

تحليل تقني: أول Malware خدام بـ Lua

من أهم النقط التقنية اللي فاجئت الباحثين هي أن fast16 هو أول malware كنعرفوه فـ Windows اللي خدم بـ Lua engine مدمج فيه.

• الـ Carrier Module: الفيروس كيخدم بواحد الملف سميتو svcmgmt.exe اللي كيدير الدور ديال "الناقل". فهاد الملف، لقاو باحثين Lua 5.0 virtual machine مدمجة مع واحد الـ Bytecode مشفر.
• المنطق المشفر: باستعمال Lua (لغة برمجة خفيفة كتخدم بزاف فالألعاب)، قدروا المهاجمين يفصلوا الملف التنفيذي (Wrapper) على المنطق ديال العملية (Logic). هادشي خلاهم يقدروا يبدلو فـ malware على حساب البيئة اللي غايستهدفوا بلا ما يبدلو الملف الخارجي (Binary).
• Kernel Driver: التخريب الحقيقي كيطرا بفضل fast16.sys؛ وهو driver ديال kernel تدار باش يدير Patching دقيق بزاف.

ملاحظة للمطورين: هاد الـ kernel driver كيخدم فالمستوى اللي عنده كاع الصلاحيات فـ Windows (اللي كيتسمى Ring 0)، وهادشي كيخليه يقدر يراقب أي حاجة ويدخل وسط الـ system calls ويعدل الملفات وهي كتقرا من Disque dur.

الهدف: تخريب هندسي دقيق

عكس الـ malware "العادي" اللي كيقلب يسرق نمر ديال الكارط بونكير أو المودباسات، fast16 كان عنده هدف خبيث بزاف: تخريب الحسابات الرياضية.

هاد المحرك ديال الـ Patching فيه 101 قاعدة مصاوبة خصيصاً باش يتدخل فالسير ديال البرامج اللي مديورة بـ Intel C/C++ compiler. ومن خلال البحث، بان بلي الأهداف الرئيسية هي برامج ديال المحاكاة والهندسة الدقيقة:

1. LS-DYNA 970: كيخدموه باش يحاكيو حوادث السير، الانفجارات، ولا التصادمات.
2. PKPM: برنامج ديال الهندسة الإنشائية (البني).
3. MOHID: منصة ديال النمذجة الهيدروديناميكية.

بإدخال أخطاء صغيرة ومنظمة فهاد المحاكات، المهاجمين قدروا يخليو أنظمة هندسية تفشل مع الوقت أو يديرو كوارث حقيقية بلا ما يشكوا المهندسين بلي النتائج تم التلاعب بها.

العلاقة مع Equation Group

الرابيط بين fast16 و Equation Group (وهي مجموعة APT معروفة بعلاقتها مع NSA) جا من واحد التسريبات ديال المجموعة الغامضة The Shadow Brokers.

فالتسريبات ديال 2017 اللي تسمى "Lost in Translation"، كان واحد الملف سميتو drv_list.txt فيه ليستة ديال الـ drivers اللي كيخدموهم فعمليات الـ APT. هاد الكلمة "fast16" اللي تلقات فـ svcmgmt.exe هي نفسها اللي كاينة فهاديك الليستة المسربة، وهادشي كيعطي ثقة كبيرة بلي هاد الـ malware ديال 2005 عنده علاقة بالمخابرات الأمريكية.

السياق التاريخي: واش كان المستهدف هو البرنامج النووي الإيراني؟

وخا ما كاينش تأكيد 100% بلي fast16 تخدم فعملية حقيقية، كاين أدلة قوية على الهدف اللي كان باغي يوصل ليه.

واحد التقرير من معهد العلم والأمن الدولي (ISIS) كيشير بلي إيران غالباً خدمات برنامج LS-DYNA (اللي هو هدف لـ fast16) فعمليات النمذجة ديال تطوير الأسلحة النووية. وبما أن الناس اللي وراء fast16 هما نيت اللي خدموا Stuxnet من بعد ضد مفاعل "نطنز"، فمن المرجح بزاف أن fast16 كان بحال تجربة أولية أو مشروع تجريبي كان كيستهدف نفس المصالح البحثية الإيرانية.

الحماية والإرث ديال الفيروس

بسبب القدم ديالو، هاد الـ driver fast16.sys ما بقاش خدام مع Windows 7 والنسخ اللي جات من بعد. ولكن هاد الاكتشاف كيفكرنا بلي الأدوات ديال "الدول" كتبقى عايشة لمدد طويلة.

• الأنظمة القديمة: الشركات اللي باقيين كيخدموا بـ Windows 2000 أو Windows XP راهم فخطر من هاد النوع ديال الـ framework.
• أنظمة الـ EDR الحديثة: هاد الـ malware كان كيقلب فـ Windows Registry على برامج الحماية بحال Kaspersky، McAfee، و Symantec باش يتخبا منهم. برامج الـ EDR ديال دابا مصاوبة باش تعيق بحال هاد التحركات.
• نظافة الـ Credentials: الفيروس كان فيه "wormlet" باش ينتشر فالشبكات اللي فيها مودباسات ضعيفة باستعمال Service Control Manager (SCM).

خلاصة

الاكتشاف ديال fast16 كيبين بلي عصر التخريب الرقمي بدا قبل بزااااف من 2010. هاد الفيروس كيبين مستوى عالي من الذكاء—باستعمال Lua باش يكون modular واستعمال kernel drivers باش يدير patching دقيق—شي اللي ما كانش معروف عند الـ hackers العاديين فداك الوقت. بالنسبة للناس اللي خدامين فـ CyberSecurity فالمغرب، هادشي كينبهنا للأهمية ديال حماية بيئات الهندسة (Engineering) والمخاطر اللي كتجي من البرامج الصناعية القديمة.

المصدر: The Hacker News - Researchers Uncover Pre-Stuxnet ‘fast16’ Malware Targeting Engineering Software