Uma nova análise sobre o malware Fast16, baseado em Lua, confirmou que a ferramenta foi projetada para sabotagem cibernética contra simulações de testes de armas nucleares. Segundo equipes da Symantec, da Broadcom, e da Carbon Black, o Fast16 foi desenvolvido para corromper simulações de compressão de urânio, uma etapa considerada central no projeto de armas nucleares.

De acordo com a análise, o mecanismo de hooks do Fast16 tinha interesse seletivo em simulações de alto explosivo executadas em softwares como LS-DYNA e AUTODYN. O malware verificava a densidade do material simulado e só entrava em ação quando esse valor ultrapassava 30 g/cm³, um limite associado à compressão por choque do urânio em um dispositivo de implosão.

A descoberta aprofunda uma investigação apresentada semanas antes pela SentinelOne, que descreveu o Fast16 como possivelmente o primeiro framework de sabotagem cibernética conhecido, com componentes que podem ter sido desenvolvidos ainda em 2005. Isso colocaria a ferramenta cerca de dois anos antes das primeiras versões conhecidas do Stuxnet, malware usado posteriormente contra centrífugas de enriquecimento de urânio no Irã.

O nome “fast16” apareceu em um arquivo de texto vazado em 2017 pelo grupo The Shadow Brokers. O material fazia parte de um grande conjunto de ferramentas e exploits supostamente ligados ao Equation Group, um agente estatal frequentemente associado à Agência de Segurança Nacional dos Estados Unidos, a NSA.

No centro da operação estavam 101 regras capazes de alterar cálculos matemáticos realizados por programas de engenharia e simulação usados na época. Inicialmente, a SentinelOne havia apontado três possíveis alvos: LS-DYNA versão 970, Practical Structural Design and Construction Software, conhecido como PKPM, e Modelo Hidrodinâmico, ou MOHID.

A nova análise da Symantec e da Carbon Black confirmou que LS-DYNA e AUTODYN estavam entre os alvos do Fast16. Ambos são usados para simular problemas físicos do mundo real, incluindo resistência de veículos a colisões, modelagem de materiais e simulações de explosivos. No caso do Fast16, os hooks eram ativados apenas durante execuções completas de explosões transitórias e detonações, sugerindo uma interferência cuidadosamente planejada para alterar resultados sem chamar atenção em testes comuns.

As 101 regras foram organizadas em cerca de 9 a 10 grupos de hooks, cada um voltado a diferentes versões do LS-DYNA ou do AUTODYN. Para os pesquisadores, isso indica que os desenvolvedores acompanhavam atualizações dos softwares e adicionavam suporte a novas versões ao longo do tempo. Em alguns casos, um grupo de hooks para uma versão anterior teria sido adicionado depois de outro voltado a uma versão mais recente, o que sugere que os usuários afetados poderiam ter voltado para versões antigas ao perceberem anomalias nos resultados.

O Fast16 também foi criado para evitar infecção em computadores que tivessem determinados produtos de segurança instalados. Além disso, ele tinha capacidade de se espalhar automaticamente para outros endpoints na mesma rede, garantindo que qualquer máquina usada para executar as simulações produzisse saídas adulteradas de maneira consistente.

Os achados indicam que operações de sabotagem industrial altamente especializadas já eram conduzidas por agentes estatais há cerca de 20 anos, antes mesmo do Stuxnet se tornar conhecido por atacar controladores lógicos programáveis da Siemens na usina nuclear de Natanz, no Irã.

Para Vikram Thakur, diretor técnico da Symantec, o nível de conhecimento necessário para desenvolver um malware desse tipo em 2005 é considerado impressionante. A ferramenta exigia domínio não apenas de engenharia reversa e desenvolvimento de malware, mas também de física aplicada, simulação numérica, explosivos, modelos de estado da matéria e comportamento de softwares científicos específicos.

Ainda não há confirmação sobre a existência de uma versão moderna do Fast16 em circulação. Mesmo assim, os pesquisadores afirmam que o framework pertence à mesma linhagem conceitual do Stuxnet: malware criado não apenas para atacar um produto de determinado fornecedor, mas para interferir em um processo físico específico, seja ele simulado ou controlado por software.

O caso amplia a compreensão sobre a evolução da sabotagem cibernética patrocinada por Estados. Em vez de apenas roubar dados ou interromper sistemas, o Fast16 teria sido desenhado para comprometer a confiança nos resultados de simulações críticas, afetando diretamente pesquisas sensíveis e decisões técnicas relacionadas ao desenvolvimento de armas nucleares.