A kutatóknak végre sikerült megfejteniük a Fast16 nevű rejtélyes kódot, amely képes csendben manipulálni számítási és szimulációs szoftvereket. A kódot 2005-ben fejlesztették ki – és valószínűleg az Egyesült Államok vagy egy szövetségese vetette be.
A történelembenAz államilag támogatott hackelések során a szabotázsra irányuló kiberműveletek spektruma a célzott számítógépeken adatokat megsemmisítő nyers „törlő” támadásoktól a legendás Stuxnetig terjedt , egy olyan rosszindulatú programig, amelyet az Egyesült Államok és Izrael vetett be először 2007-ben Iránban, hogy csendben felgyorsítsa a nukleáris dúsító centrifugák forgását, amíg azok önmagukat el nem pusztítják. Most a kutatók egy újabb fejezetet fedeztek fel a kiberszabotázstechnikák évtizedek óta tartó evolúciójában: egy 21 éves rosszindulatú programpéldányt, amely képes kutatási és mérnöki szoftverek manipulálására, hogy észrevétlenül káoszt szítson – amelyet esetleg már a Stuxnet előtt is használtak Iránban.
Vitaly Kamluk és Juan Andrés Guerrero-Saade, a SentinelOne kiberbiztonsági cég két kutatója csütörtökön áttörést jelentett a Fast16 néven ismert rosszindulatú program rejtélyében. Egy olyan kódrészletről van szó, amelynek célja azóta rejtőzködött a kiberbiztonsági világ elől, hogy létezését egy 2017-es NSA-szivárgás során először felfedték. A SentinelOne kutatói most visszafejtették a Fast16 kódot, amely szerintük 2005-re nyúlik vissza, és valószínűleg az Egyesült Államok kormánya vagy annak egyik szövetségese hozta létre.
Kamluk és Guerrero-Saade megállapították, hogy a Fast16 rosszindulatú programot a valaha ismert kártevőeszközök között látott legkeményebb szabotázs végrehajtására tervezték: Azáltal, hogy automatikusan terjed a hálózatokon, majd csendben manipulálja a számítási folyamatokat bizonyos szoftveralkalmazásokban, amelyek nagy pontosságú matematikai számításokat végeznek és fizikai jelenségeket szimulálnak, a Fast16 képes megváltoztatni ezen programok eredményeit, olyan hibákat okozva, amelyek a hibás kutatási eredményektől a valós berendezések katasztrofális károsodásáig terjednek.
„Arra összpontosít, hogy apró módosításokat hajtson végre ezeken a számításokon, hogy azok hibákhoz vezessen – nagyon finomakhoz, talán nem azonnal észrevehetőekhez. A rendszerek gyorsabban elhasználódhatnak, összeomolhatnak vagy összeomolhatnak, és a tudományos kutatások helytelen következtetésekre juthatnak, ami potenciálisan súlyos károkat okozhat” – mondja Kamluk, aki Guerrero-Saade-dal együtt a szingapúri Black Hat Asia kiberbiztonsági konferencián mutatja be Fast16 eredményeit. „Őszintén szólva, ez egy rémálom.”
A Fast16 elemzése során Kamluk és Guerrero-Saade három potenciális fizikai szimulációs szoftvert találtak, amelyek manipulálására a rosszindulatú program alkalmas lehetett: a Modelo Hidrodinâmico (vagy MOHID) szoftvert, amelyet portugál fejlesztők készítettek vízrendszerek modellezésére; a PKPM néven ismert kínai építőmérnöki szoftvert; és talán a legfontosabbat, az LS-DYNA fizikai szimulációs szoftvert, amelyet eredetileg az amerikai Lawrence Livermore Nemzeti Laboratóriumban dolgozó tudósok készítettek, és amelyet ma már madarak és repülőgépek ütközésétől kezdve a darualkatrészek szakítószilárdságának vizsgálatáig használnak.
Mindezen lehetőségek közül Kamluk és Guerrero-Saade egy elméletre mutatnak rá bizonyítékként: az LS-DYNA-t iráni tudósok is használták olyan kutatások elvégzésére, amelyek hozzájárulhattak az iráni nukleáris fegyverprogramhoz, állítja a Tudományos és Nemzetközi Biztonsági Intézet. Az intézet azt is megjegyezte, hogy a szoftver felhasználható a nukleáris fegyverekkel kapcsolatos fizikai problémák modellezésére, például a fémek kölcsönhatására egy nukleáris fegyverben, valamint egy ballisztikus rakéta Föld légkörébe való visszatérésének egy nukleáris robbanófejre gyakorolt hatására.
Mindez arra utal, hogy a Fast16-ot a 2000-es évek közepén kifejezetten Irán nukleáris fegyverek megszerzésére irányuló kísérletének meghiúsítására használták, talán még évekkel azelőtt, hogy a Stuxnetet bevetették volna ugyanezen eredmény elérésére egy közvetlenebb szabotázs formájában, az NSA és az izraeli 8200-as egység hackereinek Olimpiai Játékok néven ismert közös programjának részeként.
„Nem meglepő, hogy amit vizsgálunk, az az olimpiai játékok egy korai elődje. Tökéletesen illik a képbe, ugye?” – mondja Guerrero-Saade. „Jó, objektív kutatók akarunk lenni, de ez tényleg nem túlzás.”
Függetlenül attól, hogy ez az elmélet igaz-e vagy sem, a Fast16 új elemzése átírja az államilag támogatott hackelés történetét – mondja Thomas Rid, a Johns Hopkins Egyetem Alperovitch Kiberbiztonsági Tanulmányok Intézetének igazgatója. „Ez azt jelenti, hogy a megtévesztő szabotázsműveletek sokkal korábban a kiberbiztonsági kézikönyv részét képezték, mint gondoltuk, talán már a kezdetektől fogva” – mondja Rid. „És úgy tűnik, hogy sokkal lopakodóbbak voltak, mint gondoltuk.”
„Nincs itt semmi látnivaló – folytasd!”
A Fast16 rejtélye először 2017 áprilisában került napvilágra, miután a Shadow Brokers néven ismert, még mindig azonosítatlan hackercsoport valahogyan megszerezte és kiszivárogtatta az NSA eszközeinek hatalmas gyűjteményét a nyílt internetre. Az egyik ilyen eszköz, a Territoriális Vita , úgy tűnt, hogy arra szolgál, hogy segítsen a világ minden táján hálózatokba betörni kívánó NSA-üzemeltetőknek elkerülni a más hackertámadásokkal való ütközéseket. Az eszköz, amelyet először Bencsáth Boldizsár magyar kutató elemzett részletesen, egy hosszú listát tartalmazott a rosszindulatú programokról, köztük néhányat, amelyeket az NSA és más „baráti” ügynökségek használtak, valamint utasításokat arra vonatkozóan, hogy mikor kell „visszavonulni”, hogy elkerüljük a támadó behatolási műveletének észlelését.
A felsorolt minták között volt egy teljesen egyedi címkével ellátott. A „fast16” néven ismert rosszindulatú program esetében a Területi Viták Elleni Eszköze azt mondta az NSA operátorainak, hogy „NINCS ITT SEMMI LÁTNIVALÓ – FOLYTASSÁK.” Ez a furcsa utasítás – ahogy a kutatók az azóta eltelt években találgatták – valószínűleg azt jelenti, hogy a Fast16 az NSA, az amerikai hírszerző közösségen belüli egy másik ügynökség vagy vállalkozó, vagy egy szövetséges hírszerző ügynökségének munkája volt – és hogy az NSA hackereinek nem szabadna beavatkozniuk.
Mivel a ShadowBrokers szivárogtatása nem tartalmazott semmilyen Fast16 nevű szoftvert, a kártevővel kapcsolatos minden más ismeretlen maradt. Csak 2019-ben talált Guerrero-Saade egy Fast16-mintát a VirusTotal, a Google tulajdonában lévő, kártevőkód-tárházként szolgáló eszköz archívumában. Miközben olyan kártevőmintákat keresett, amelyek kódjában egy speciális motor volt a Lua programozási nyelv futtatásához – ez a tulajdonság korábban több, rendkívül kifinomult, államilag támogatott kártevőben is megjelent –, Guerrero-Saade egy ártalmatlannak tűnő alkalmazásra, az svcmgmt.exe-re bukkant.
Közelebbről megvizsgálva Guerrero-Saade felfedezte, hogy tartalmaz egy kernel drivert – egy olyan kódrészletet, amelyet az operációs rendszer legmélyebb, legmagasabb jogosultsági szintű futtatására terveztek –, a Fast16.sys-t, amelyet úgy tűnt, hogy 2005-ben fordítottak. (Guerrero-Saade nem volt hajlandó elárulni, hogy ki töltötte fel a kódot a VirusTotalra, mivel a VirusTotal lebeszéli a felhasználókat arról, hogy megpróbálják azonosítani a feltöltőket.)
Guerrero-Saade felfedezése ellenére további hét évbe telt, mire bárki is megállapíthatta, hogy mit is csinált valójában a Fast16. A 14 éves kártevő minták iránt érdeklődő kiberbiztonsági kutatók viszonylag kis közösségén belül a legtöbben első pillantásra azt feltételezték, hogy egyfajta rootkitről van szó, amely egy kernel driver formájában képes jobban elrejteni magát a számítógépen, jellemzően lopakodó kémkedés céljából.
Mindössze három hónappal ezelőtt Guerrero-Saade SentinelOne-nál dolgozó kollégája, Kamluk, úgy döntött, hogy megpróbálja visszafejteni a Fast16 rosszindulatú programot egy kísérlet részeként, amelyben saját képességeit összehasonlította a mesterséges intelligencia eszközeinek képességeivel. Mindössze két héttel ezelőtt meglepő felfedezést tett: a Fast16 nem rootkit . (Öt különböző vezető mesterséges intelligencia eszköz tévesen állította, hogy az.)
Kamluk ehelyett egy önmagát terjesztő kódrészletet látott, egészen más szándékokkal. A kódban „féreg” funkcióként emlegetett funkciót használva a Fast16 úgy van kialakítva, hogy a Windows hálózati megosztási funkcióján keresztül másolja magát a hálózaton lévő más számítógépekre. Ellenőrzi a biztonsági alkalmazások listáját, és ha nincsenek, telepíti a Fast16.sys kernel illesztőprogramot a célgépre.
Ez a kernel-illesztőprogram ezután beolvassa az alkalmazások kódját, amint azok betöltődnek a számítógép memóriájába, és egy hosszú listát figyel a specifikus mintákról – „szabályokról”, amelyek lehetővé teszik számára, hogy azonosítsa, mikor fut egy célalkalmazás. Amikor érzékeli a célszoftvert, végrehajtja látszólagos célját: csendben megváltoztatja a szoftver által futtatott számításokat, hogy észrevétlenül torzítsa az eredményeket.
„Ennek a csomagnak valójában nagyon jelentős hasznos adattartalma volt, és szinte mindenki, aki korábban ránézett, nem vette észre” – mondja Costin Raiu, a TLP:Black biztonsági tanácsadó cég kutatója, aki korábban a Kamluk és Guerrero-Saade részvételével működő, orosz Kaspersky biztonsági cég csapatát vezette, amely a Stuxnet és a kapcsolódó rosszindulatú programok elemzésén dolgozott. „Ez egy hosszú távú, nagyon finom szabotázsakcióra készült, amelyet valószínűleg nagyon-nagyon nehéz lenne észrevenni.”
Kamluk és Guerrero-Saade olyan szoftvereket kerestek, amelyek megfeleltek a Fast16 „szabályainak” a tervezett szabotázs célpontokra vonatkozó kritériumainak, és három jelöltet találtak: a MOHID, a PKPM és az LS-DYNA szoftvereket. Ami a „féreg” funkciót illeti, úgy vélik, hogy a terjedési mechanizmust úgy tervezték, hogy amikor az áldozat kétszeresen ellenőrzi a számítási vagy szimulációs eredményeit egy másik számítógéppel ugyanabban a laboratóriumban, az a gép is megerősítse a hibás eredményt, így a megtévesztést még nehezebb felfedezni vagy megérteni.
Guerrero-Saade szerint más kiberszabotázs-műveletek tekintetében csak a Stuxnet tartozik távolról is a Fast16-hoz hasonló kategóriába. A rosszindulatú program összetettsége és kifinomultsága is a Stuxnet kiemelt fontosságú, nagy erőforrás-igényű, államilag támogatott hackelési tevékenységei közé sorolja. „Kevés olyan forgatókönyv van, ahol ilyen jellegű fejlesztési erőfeszítéseken mennénk keresztül egy titkos művelethez” – mondja Guerrero-Saade. „Valaki elferdített egy paradigmát, hogy lelassítson, megrongáljon vagy megzavarjon egy olyan folyamatot, amelyet kritikus fontosságúnak tartott.”
Az Irán-hipotézis
Mindez összhangban van azzal a hipotézissel, hogy a Fast16, a Stuxnethez hasonlóan, célja Irán nukleáris fegyver építésére irányuló ambícióinak meghiúsítása lehetett. A TLP:Black munkatársa, Raiu azt állítja, hogy a puszta lehetőségen túl Irán célba vétele jelenti a legvalószínűbb magyarázatot – egy „közepes-magas megbízhatóságú” elmélet, miszerint a Fast16-ot „kibercsapás-csomagként tervezték”, amely Irán AMAD nukleáris projektjét vette célba, amelyet Hameini ajatollah rezsimje tervezett nukleáris fegyverek megszerzésére a 2000-es évek elején.
„Ez a kibertámadások egy másik dimenziója, egy másik módja az iráni nukleáris program elleni kiberháborúnak” – mondja Raiu.
Valójában Guerrero-Saade és Kamluk egy, a Tudományos és Nemzetközi Biztonsági Intézet által közzétett tanulmányra hivatkoznak, amely nyilvános bizonyítékokat gyűjtött össze iráni tudósok olyan kutatásairól, amelyek hozzájárulhatnak egy nukleáris fegyver kifejlesztéséhez. Ezen dokumentált esetek közül többben a tudósok kutatása az LS-DYNA szoftvert használta, amelyről Guerrero-Saade és Kamluk megállapította, hogy potenciális Fast16 célpont lehetett.
Az ISIS tanulmánya szerint az LS-DYNA-t két különböző robbanóanyag, a PBXN-110 és az Octol tulajdonságainak összehasonlítására használták, amelyek felhasználhatók egy nukleáris robbanófej elindítására. A tanulmány megjegyzi, hogy az Octol kulcsfontosságú eleme volt az iráni AMAD projektnek. Bár a robbanóanyagok tulajdonságait összehasonlító kutatási tanulmány 2018-ban jelent meg, Guerrero-Saade és Kamluk rámutatnak, hogy az LS-DYNA-t évtizedek óta használják, többek között az AMAD projekt idején is.
A kutatók azt is megjegyzik, hogy a Fast16-ot akár többször is felhasználhatták különböző célpontok ellen, akár különböző országokban is. A rosszindulatú program kódja tartalmaz egy „verziókövető” rendszer bizonyítékait, valamint arra utaló jeleket, hogy a Guerrero-Saade és Kamluk által elemzett minta nem az eszköz első vagy egyetlen verziója volt. A kutatók és Raiu mindannyian rámutatnak – anélkül, hogy bármilyen következtetést levonnának –, hogy Észak-Korea nukleáris fegyverfejlesztési programja is számos megmagyarázhatatlan hibát tapasztalt ugyanebben az időszakban. „Ezzel a fejlesztési szinttel nem csak egyszer futtatták ezt” – mondja Guerrero-Saade.
A kaliforniai Synopsys cég, amely ma az LS-DYNA karbantartását és értékesítését végzi, elutasította a WIRED megkeresését az ügyben. A WIRED a MOHID fejlesztőivel és a PKPM-et fejlesztő Kínai Építéskutató Akadémiával is megkereste a céget, de egyik szervezettől sem kapott választ.
Sem az NSA, sem a Nemzeti Hírszerzési Igazgató Hivatala nem reagált a WIRED megkeresésére.
A célponttal kapcsolatos hipotézisektől eltekintve Kamluk szerint egy 21 éves, biztonságkritikus kutatási és mérnöki munkák szinte észrevehetetlen manipulálására képes kártevőpéldány létezése mélyen nyugtalanító, sőt paranoiát kiváltó felfedezés – ami megkérdőjelezi a bizalmát azokba a számítógépekbe, amelyek a vonatoktól a repülőgépekig mindent biztonságban tartottak.
„Bármilyen katasztrófa vagy csapás esetén, ahol emberek haltak meg balesetben” – mondja Kamluk –, „nem akarjuk táplálni ezeket a félelmeket, de természetesen felmerül: Volt-e kiberbiztonsági szempont?”
Az a tény azonban, hogy a Fast16 ilyen sokáig észrevétlen maradt, arra utal, hogy valószínűleg csak néhány célpont ellen használták lopakodásának fenntartása érdekében – állítja Johns Hopkins Ridje. Ez mindenkinek némi megnyugvást adhat, akit megijesztett a Fast16 felfedezése, hogy számítógépeikben továbbra is megbízhatnak – kivéve azokat, akik valójában egy ritka és rendkívül kifinomult, államilag támogatott hackertámadás célpontjai lehetnek.
Szerinte a Fast16 jogosan kelthet bizalmatlanságot nemcsak a mai számítógépekkel, hanem mindennel szemben is, amit ezek a gépek kiszámítottak, akár évtizedekre visszamenőleg. „Ha valaki egy nagyon értékes hírszerzési célpont, mint például egy nukleáris program egy olyan országban, amelynek erős ellenségei vannak, akkor talán nem bízhat a számítógépeiben” – mondja Rid. „És ami még rosszabb: soha nem is bízhatna bennük.”
Tovább a cikkre: wired.com (Andy Greenberg)
