Invece, Kamluk vide che si trattava di un pezzo di codice che si diffondeva automaticamente con intenzioni molto various. Utilizzando quella che nel codice viene definita funzionalità “wormlet”, Fast16 è progettato per copiarsi su altri laptop in rete tramite la funzionalità di condivisione di rete di Home windows. Verifica la presenza di un elenco di applicazioni di sicurezza e, se non ne è presente nessuna, installa il driver del kernel Fast16.sys sul laptop di destinazione.
Il driver del kernel legge quindi il codice delle applicazioni mentre vengono caricate nella memoria del laptop, monitorando un lungo elenco di modelli specifici, “regole” che consentono di identificare quando un’applicazione goal è in esecuzione. Quando rileva il software program di destinazione, raggiunge il suo obiettivo apparente: alterare silenziosamente i calcoli eseguiti dal software program per corromperne impercettibilmente i risultati.
“In realtà aveva un carico utile molto significativo al suo interno, e praticamente tutti quelli che lo guardavano prima se lo erano perso”, cube Costin Raiu, ricercatore presso la società di consulenza sulla sicurezza TLP:Black che in precedenza aveva guidato il workforce che includeva Kamluk e Guerrero-Saade presso la società di sicurezza russa Kaspersky, che ha svolto i primi lavori analizzando Stuxnet e il relativo malware. “Questo è progettato per essere un sabotaggio a lungo termine, molto subdolo, che probabilmente sarebbe molto, molto difficile da notare”.
Cercando un software program che soddisfacesse i criteri delle “regole” di Fast16 per un obiettivo di sabotaggio previsto, Kamluk e Guerrero-Saade hanno trovato i loro tre candidati: il software program MOHID, PKPM e LS-DYNA. Per quanto riguarda la funzione “wormlet”, credono che il meccanismo di diffusione sia stato progettato in modo story che quando una vittima ricontrolla i risultati dei calcoli o della simulazione con un laptop diverso nello stesso laboratorio, anche quella macchina confermerà il risultato errato, rendendo l’inganno ancora più difficile da scoprire o comprendere.
In termini di altre operazioni di cybersabotaggio, solo Stuxnet è lontanamente nella stessa classe di Fast16, sostiene Guerrero-Saade. Anche la complessità e la sofisticatezza del malware lo collocano nel regno di Stuxnet dell’hacking sponsorizzato dallo stato advert alta priorità e advert alte risorse. “Ci sono pochi scenari in cui si affronta questo tipo di sforzo di sviluppo per un’operazione segreta”, afferma Guerrero-Saade. “Qualcuno ha piegato un paradigma per rallentare, danneggiare o ostacolare un processo che considerava di fondamentale importanza”.
L’ipotesi iraniana
Tutto ciò concorda con l’ipotesi che Fast16 potrebbe, come Stuxnet, avere lo scopo di ostacolare le ambizioni dell’Iran di costruire un’arma nucleare. Raiu di TLP:Black sostiene che, al di là di una mera possibilità, prendere di mira l’Iran rappresenta la spiegazione più probabile: una teoria di “confidenza medio-alta” secondo cui Fast16 è stato “progettato come un pacchetto di attacchi informatici” che ha preso di mira il progetto nucleare iraniano AMAD, un piano del regime dell’Ayatollah Khameini per ottenere armi nucleari nei primi anni 2000.
“Questa è un’altra dimensione degli attacchi informatici, un altro modo di condurre questa guerra informatica contro il programma nucleare iraniano”, afferma Raiu.
Guerrero-Saade e Kamluk, infatti, citano un articolo pubblicato dall’Istituto per la scienza e la sicurezza internazionale, che raccoglie show pubbliche di scienziati iraniani che svolgono ricerche che potrebbero contribuire allo sviluppo di un’arma nucleare. In molti di questi casi documentati, la ricerca degli scienziati ha utilizzato il software program LS-DYNA che Guerrero-Saade e Kamluk hanno scoperto essere un potenziale bersaglio Fast16.
