fast16.sys: первый в истории инструмент киберсаботажа, созданный за 5 лет до Stuxnet

Вот важная новость с фронта ИИ: unsec 4 минуты назад fast16. sys: первый в истории инструмент киберсаботажа, созданный за 5 лет до Stuxnet Простой 4 мин 6 Информационная безопасность * Ретроспектива fast16. sysИсследователи лаборатории SentinelLABS (компания SentinelOne) опубликовали отчёт о ранее неизвестном вредоносном фреймворке fast16, ключевые компоненты которого датируются 2005 годом — на пять лет раньше печально известного червя Stuxnet.

sys — это загрузочный драйвер файловой системы уровня ядра Windows, предназначенный для избирательного перехвата и модификации исполняемого кода непосредственно в памяти при загрузке программ с диска Несмотря на то, что драйвер несовместим с современными версиями Windows (начиная с 7), для своего времени он представлял собой технологический прорыв, опережая обычные руткиты благодаря:Позиционированию в стеке хранения данных;Полному контролю над операциями ввода-вывода файловой системы;Системе правил для точечной модификации кода Цель атаки: саботаж высокоточных вычисленийВ отличие от большинства вредоносных программ 2000-х, fast16 не был предназначен для кражи данных или шпионажа. Его уникальная задача — намеренное искажение результатов вычислений в специализированном инженерном ПО:Целевое ПООбласть примененияLS-DYNA 970Моделирование ударов, взрывов, краш-тестыPKPMРасчёт строительных конструкцийMOHIDГидродинамическое моделированиеFast16 должен был тихо наблюдать за запуском инженерных приложений и изменять их поведение так, чтобы результат вычислений становился неверным, но выглядел правдоподобно. Исследователи установили, что драйвер внедряет в целевые программы специальный блок инструкций для сопроцессора (FPU), который систематически искажает арифметические операции с плавающей запятой.

Технические детали

Даже минимальные, но воспроизводимые ошибки в расчётах могли привести к:Замедлению научных исследований;Деградации инженерных систем;Катастрофическим сбоям в критической инфраструктуре. Допустим, у вас есть лаборатория или инженерный центр. Там запускают сложные симуляции: динамику материалов, ударные нагрузки, взрывы, поведение конструкций, гидродинамику.

Результаты этих расчётов используются для проектирования, проверки гипотез или принятия решений. Теперь представим, что вредоносный код не ломает саму программу, не вызывает падение процесса и не оставляет заметных следов. Он просто немного меняет результат.

Не случайно, не хаотично, а системно и воспроизводимо. Инженер запускает расчёт на одной машине — получает неверные данные. Проверяет на другой машине в той же сети — получает тот же результат, потому что вредоносный код распространился и туда.

Отраслевые последствия

Снаружи всё выглядит как обычная инженерная проблема: ошибка модели, неточные входные данные, баг в версии программы, неправильная методика. Это роднит Fast16 со Stuxnet. Оба инструмента интересны не самим фактом заражения, а тем, что вредоносный код был привязан к физическому процессу.

Stuxnet вмешивался в работу центрифуг и одновременно показывал операторам нормальные значения.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.