详细内容或原文请订阅后点击阅览
研究人员发现网络破坏恶意软件可能比 Stuxnet 早五年
黑帽亚洲 FAST16 可能是第一个网络武器,其影响今天可能就在我们身边 Infosec 机构 SentinelOne 发现了试图在工程和物理模拟软件中引发错误的恶意软件,因此代表了一种破坏企图,并表明它是在旨在摧毁伊朗铀浓缩离心机的 Stuxnet 蠕虫之前几年创建的。
来源:The Register _恶意软件Black Hat Asia Infosec 机构 SentinelOne 发现了试图在工程和物理模拟软件中引发错误的恶意软件,因此代表了一种破坏企图,并表明该恶意软件是在旨在摧毁伊朗铀浓缩离心机的 Stuxnet 蠕虫病毒之前几年创建的。
该公司的 Vitaly Kamluk 今天在 Black Hat Asia 会议上的一次演讲中讨论了该恶意软件。 SentinelOne 还发布了一篇有关该恶意软件的博客文章。
卡姆鲁克在会议上表示,这一发现是在他想知道“火焰”、“动物农场”和“索伦计划”等已知的民族国家间谍工具是否是此类工具中的第一个之后出现的。三者都共用Lua语言和虚拟机,所以他开始寻找类似的软件。
该搜索导致恶意软件样本于 2016 年上传到 VirusTotal,其中包含对“fast16”的引用。
Kamluk 对样本的分析表明,其开发人员所使用的技术并非 2016 年恶意软件的典型技术。 SentinelOne 研究人员还回顾了 2016 年出现的臭名昭著的 ShadowBroker 恶意软件库,该恶意软件后来与美国国家安全局有关联,其中包含对 fast16 的引用。
SentinelOne 认为 fast16 是在 2005 年左右出现的,根据代码中的线索以及它不能在 Windows XP 以后的任何操作系统上运行的事实——即使如此,也只能在单核 CPU 上运行。英特尔于 2006 年推出了首款多核消费类 CPU。
研究人员分析了该样本,发现它试图安装蠕虫并部署名为 fast16.sys 的驱动程序。
该驱动程序包含一个例程,可以改变浮点计算的输出,并且还会寻找“土木工程、物理和物理过程模拟等专业领域的精密计算工具”。
伊朗被认为在其核武器计划中使用了 LS-DYNA。
“也许还会有更多发现?”他总结道。