Múlt héten pénteken jöttek az első hírek arról a SentinelOne Labs publikációról, ami a cég két kutatója, Vitaly Kamluk és Juan Andrés Guerrero-Saade által Black Hat Asia konferencián tartott előadását követően jelent meg.

A publikációban a SentinelOne-os kollégák által fast16-nek nevezett nevezett malware-rel kapcsolatban összegyűjtött információkat és megfigyeléseket foglalják össze. Olyan emberként, aki már a Stuxnet 2010-es felfedezése utáni elemzéseket is nagyon érdeklődve követtem, ez a mostani felfedezés is kifejezetten érdekes, hiszen a tanulmányban olvasható információk nagyon abba az irányba mutatnak, hogy a Stuxnet esetében használt technikák és eszközök egy jelentős részét már a fast16 fejlesztése során is használták (tesztelték éles körülmények között?) és már ekkor élénken érdeklődtek az iráni nukleáris programhoz kapcsolódó infrastruktúrák és rendszerek iránt (mint amilyen pl. az LS-DYNA, PKPM és MOHID nevű mérnöki, szimulációs és modellező platformok). Ráadásul nem csak felderítési/információszerzési céllal, de a szabotázs már ekkor is elsődleges cél lehetett.

Magyar szemmel nézve kifejezetten fontosnak tartom megemlíteni, hogy a SentinelOne fast16 elemzése fontos hivatkozásként kezeli Dr. Bencsáth Boldizsár és a BME CrySys lab egyik 2018-as tanulmányát, amiben a ShadowBroker APT csoport 2017-ben napvilágot látott eszközeit elemezték. Akik régóta figyelik a CrySys lab munkáját, tudják, hogy Boldiéknak a 2010-es években volt néhány igen komoly (szakmai) sajtóvisszhangot keltő elemzése/publikációja (Flame/Flamer, Duqu), ez a 2018-as elemzés megint egy olyan munkájuk, ami méltán öregbíti Boldi és a labor hírnevét.

A másik érdekesség az elemzésben látható, különböző végponti (F-Secure, Kerio, Agnitum) és hálózati (pl. Black Ice - a Proventia ISS IDS/IPS megoldás korai neve) biztonsági megoldások listája, amikre a fejlesztők felkészítették a fast16-ot, hogy képes legyen elkerülni, hogy ezek a megoldásokkal észlelni lehessen a működését. Egészen nosztalgikus érzés volt némelyik biztonsági termék nevét olvasni...

Ahogy mostanában oly gyakran, Reuben Santamarta ezúttal is egy egészen hosszú írásában foglalkozik a konkrét eset mérnöki szempontú vizsgálatával, érdemes lehet ezt is elolvasni: https://www.linkedin.com/pulse/special-edition-reverse-engineering-fast16-physics-ruben-santamarta-vk8pe/

Ennek az írásnak a legérdekesebb része a végén a konklúzió - mégpedig az, hogy ha 20 éve már képes volt egy APT csoport akár a tervezési/szimulációs fázisokban belezavarni egy majdani folyamatirányító rendszer működésébe, az kb. mindent megváltoztat, amit eddig az ilyen rendszerekről és projektekről gondoltunk.

Az a tény pedig, hogy a fast16 legalább 21 évig észrevétlen tudott maradni, kifejezetten érdekessé teszi. Vajon hány további olyan malware lehet(ett?) odakint, amik évtizedek óta felfedezetlenek? Hány olyan baleset, műszaki hibának gondolt, valójában kibertámadásból eredő incidens történt, aminél fel sem merült senkiben, hogy az bizony egy kibertámadásból ered? És ezek közül vajon hány olyan lehet, amik ipari vagy más kritikus infrastrukturákat vettek célba, épp csak nem tudunk róluk?