لوگوی ارتباط افزار افق
لوگوی ارتباط افزار افق
۰۲۱۹۱۳۰۵۹۷۹
۰۹۰۲۶۳۴۹۶۱۶

بدافزار fast16 که نرم افزارهای مهندسی را هدف می گیرد.

بدافزار fast16

فهرست مطالب

محققان امنیت سایبری یک بدافزار جدید که مبتنی بر زبان برنامه‌نویسی Lua کشف کرده‌اند که سال‌ها قبل از کرم معروف استاکس‌نت (Stuxnet) که برنامه هسته‌ای ایران را هدف تخریب قرار داد، ساخته شده است.

طبق گزارش محققان SentinelOne، این چارچوب خرابکارانه سایبری که به سال ۲۰۰۵ بازمی‌گردد، عمدتاً نرم‌افزارهای محاسباتی با دقت بالا (high-precision calculation software) را هدف قرار می‌دهد تا نتایج را دستکاری کند. نام این چارچوب fast16 گذاشته شده است.

fast16 حداقل پنج سال از استاکس‌نت قدیمی‌تر است. این کشف، fast16 را به اولین بدافزار ویندوزی تبدیل می‌کند که یک موتور Lua را در خود جای داده است.

جزئیات فنی بدافزار fast16

محققان این بدافزار را پس از شناسایی یک فایل به نام svcmgmt.exe کشف کردند. این نمونه دارای تاریخ‌ساخت ۳۰ آگوست ۲۰۰۵ است. بررسی عمیق‌تر نشان داد که این فایل شامل یک ماشین مجازی Lua 5.0 توکار، یک محفظه بایت‌کد رمزگذاری شده، و ماژول‌های مختلفی است که به APIهای سیستمی ویندوز متصل می‌شوند. فایل باینری همچنین به یک درایور کرنل به نام fast16.sys اشاره می‌کند که مسئول رهگیری و تغییر کدهای اجرایی هنگام خوانده شدن از دیسک است. این درایور روی سیستم‌های ویندوز ۷ یا جدیدتر اجرا نمی‌شود.

محققان ارجاعی به رشته “fast16” در یک فایل متنی به نام drv_list.txt پیدا کردند که شامل لیستی از درایورهای طراحی شده برای حملات APT بود. این فایل حدود ۹ سال پیش توسط گروه هکری مرموز  (The Shadow Brokers) منتشر شد. این گروه ادعا می‌کرد داده‌های دزدیده شده از گروه Equation (که به آژانس امنیت ملی آمریکا (NSA) مرتبط است را در اختیار دارد.

درایور کرنل بدافزار fast16 مسئول خرابکاری دقیق است. که فایل‌های اجرایی کامپایل شده با کامپایلر++Intel C/C را هدف قرار می‌دهد تا محاسبات ریاضی را خراب کند. این بدافزار به طور خاص ابزارهای مورد استفاده در مهندسی عمران، فیزیک و شبیه‌سازی فرآیندهای فیزیکی را مورد حمله قرار می‌دهد.

بر اساس تحلیل ۱۰۱ قانون تعریف شده در موتور پچینگ بدافزار fast16 و تطبیق آن‌ها با نرم‌افزارهای اواسط دهه ۲۰۰۰، ارزیابی شده است که سه مجموعه مهندسی و شبیه‌سازی با دقت بالا ممکن است هدف بوده‌اند:

  • LS-DYNA 970 (شبیه‌سازی چندفیزیکی برای تصادفات، ضربات و انفجارها)
  • PKPM
  • MOHID (پلتفرم هیدرودینامیک)

به طور کلی بدافزار fast16 نویددهنده خاموش شکلی جدید از سیاست‌مداری بود که در پنهان‌ماندن خود تا به امروز موفق بوده است. نشان می‌دهد ابزارهای خرابکار سایبری علیه اهداف فیزیکی تا اواسط دهه ۲۰۰۰ به طور کامل توسعه و مستقر شده بودند.

0 دیدگاه

دیدگاهتان را بنویسید

جای‌بان آواتار

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 − 1 =

ثبت سفارش آنتی‌ویروس سازمانی و دریافت مشاوره رایگان

سفارش آنتی‌ویروس سازمانی خود را ثبت نمایید. کارشناسان ما در اسرع وقت، درخواست شما را بررسی کرده و برای تکمیل فرآیند با شما تماس خواهند گرفت.

ثبت سفارش