Otkriven fast16 malver stariji od Stuxneta - ciljao je inženjerski softver
SentinelOne je otkrila fast16 - malver iz 2005. baziran na Lua-i, stariji od Stuxneta, namenjen sabotaži inženjerskih proračuna.
Šta se desilo?
Istraživači bezbednosti iz SentinelOne su otkrili sofisticirani malver nazvan fast16, koji datira iz 2005. godine - najmanje pet godina pre nego što je kreiran čuveni Stuxnet. Ovaj Windows malver je baziran na programskom jeziku Lua i posebno je dizajniran da manipuliše rezultatima preciznih inženjerskih proračuna kroz ubacivanje matematičkih grešaka.
Koga pogađa?
Fast16 je prvenstveno ciljao Windows 2000 i XP sisteme sa inženjerskim softverom - posebno alatke za građevinarstvo, fiziku i simulacije fizičkih procesa. Malver je mogao da se širi kroz mrežne servere sa slabim ili podrazumevanim kredencijalima. Iako datira od rane 2000-e, trenutno rizik je smanjen jer kernel drajver ne radi na Windows 7 ili novijim verzijama.
Kako se zaštititi?
- Ažurirajte Windows operativni sistem na verziju 7 ili noviju gde ovaj malver ne može da funkcionira
- Promenite podrazumevane kredencijale na svim mrežnim serverima i sistemima
- Implementirajte snažne lozinke i dve-faktorsku autentifikaciju
- Redovno pratite Windows Registry na prisutnost poznatih sigurnosnih alata
- Primenite principe najmanje privilegije za pristup mrežnim resursima
- Koristite ažurirane antivirus i endpoint protection alate
Tehnički detalji
Malver se sastavlja od tri glavne komponente: Lua bytecode sa konfiguracijom i logikom propagacije, DLL modul (svcmgmt.dll) i kernel drajver (fast16.sys). Datoteka svcmgmt.exe, kompajlirana 30. avgusta 2005, sadrži ugrađenu Lua 5.0 virtuelnu mašinu sa enkriptovanim bytecode kontejnerom. Kernel drajver je kreiran 19. jula 2005. i odgovoran je za presretanje i modifikovanje izvršnog koda tokom čitanja sa diska. Malver može da deluje kao Windows servis ili da izvršava Lua kod, propagira se preko Service Control Manager-a na sisteme sa slabim kredencijalima, i proverava security proizvode (Kaspersky, McAfee, Symantec, F-Secure, Microsoft i druge) pre nego što se aktivira. String "fast16" pronađen je u datoteci drv_list.txt iz 2007, koju je objavila grupa The Shadow Brokers kao deo podataka navodno ukradenih od Equation Group.
Preporuka Sajber Radara
Ovo otkriće pokazuje da su napredne sajberpijunske operacije postojale duže nego što se mislilo, ali zahvaljujući modernizaciji operativnih sistema, rizik je dramatično smanjen. Organizacije sa zastarelim sistemima trebalo bi da odmah planiraju upgrade na novije verzije Windows-a.
