Investigadores documentan un framework de 2005 que alteraba cálculos de alta precisión en memoria. Su arquitectura, que incluye un motor Lua y un driver de kernel, está vinculada a herramientas de la NSA filtradas por ShadowBrokers.
Investigadores de SentinelOne han descubierto y documentado un framework de sabotaje cibernético compilado en 2005, denominado fast16, que precede por al menos cinco años al célebre gusano Stuxnet. Este malware fue diseñado no para robar información, sino para corromper sutilmente los resultados de software de cálculo de alta precisión, una táctica de sabotaje estratégico que se creía iniciada mucho después. La evidencia forense vincula a fast16 con herramientas de la NSA filtradas en 2017 por el grupo ShadowBrokers, reescribiendo una parte significativa de la historia de las operaciones cibernéticas de estado-nación.
La anatomía de fast16 revela una sofisticación inusual para su época. El framework opera en dos partes principales:
svcmgmt.exefast16.sys.El componente svcmgmt.exe actúa como un orquestador que contiene una máquina virtual Lua 5.0 embebida y un contenedor de bytecode cifrado. El informe de SentinelOne detalla que el uso de un motor de scripting como Lua para la modularidad y extensibilidad del implante es una técnica que se adelantó tres años a malware tan avanzado como Flame. Una vez activo, este módulo despliega el driver fast16.sys, un componente de sistema de archivos que se carga en el arranque para interceptar y modificar código ejecutable a medida que se lee del disco, alterando los cálculos directamente en la memoria.
El objetivo de fast16 no era la interrupción evidente, sino la corrupción controlada. Al parchear rutinas de punto flotante en memoria, el malware introducía errores pequeños pero sistemáticos en los resultados. Esta estrategia de sabotaje buscaba degradar programas de investigación científica o sistemas de ingeniería a lo largo del tiempo. Para asegurar la efectividad del engaño, el malware incluía "wormlets" o módulos de propagación para infectar otros sistemas en la misma red.
El objetivo era que múltiples sistemas produjeran los mismos resultados incorrectos, frustrando cualquier intento de verificación cruzada y haciendo que el sabotaje fuera casi indetectable.
La conexión con operaciones de inteligencia de Estados Unidos proviene de la filtración de ShadowBrokers en abril de 2017. Dentro de los documentos, un archivo de texto llamado drv_list.txt contenía una lista de nombres de controladores que los operadores de la NSA debían reconocer en sistemas comprometidos para evitar conflictos con otras operaciones. Junto al nombre "fast16" se encontraba una instrucción única y reveladora: *** Nothing to see here – carry on ***. Esta nota de desconflicto es una fuerte evidencia que vincula el malware de 2005 con el arsenal de la agencia estadounidense.
El análisis de artefactos de compilación dentro del malware sugiere además que sus desarrolladores provenían de una cultura de ingeniería de software más antigua, con raíces en entornos Unix gubernamentales o militares. Comentarios en foros técnicos destacan que el uso de convenciones de control de versiones como SCCS/RCS era extremadamente raro en el desarrollo de malware para Windows en 2005, apuntando a un equipo con décadas de experiencia en computación de alto nivel. Aunque no se han identificado con certeza todos los programas objetivo, los patrones de parcheo sugieren que fast16 apuntaba a software de simulación e ingeniería de alta precisión como LS-DYNA (usado en defensa), PKPM (diseño estructural chino) y MOHID (modelado hidrográfico), todos de vital importancia para proyectos de infraestructura y desarrollo nacional.
FUENTE ORIGINAL
SentinelOne↗CURADO POR
Santiago Torres