Las matemáticas pudieron mentir desde 2005: consecuencias del virus fast16 que golpeó a la ciencia
Cuando 2+2=5: no es una broma, es una operación de sabotaje.
Los especialistas de SentinelLABS encontraron el conjunto malicioso fast16, que podría haber alterado silenciosamente los resultados de cálculos de ingeniería y científicos ya en 2005, cinco años antes de Stuxnet. Según el análisis, el programa no solo robaba datos o se afianzaba en el sistema, sino que interfería en los cálculos de modo que las máquinas infectadas devolvían resultados erróneos idénticos.
fast16 constaba del archivo de servicio svcmgmt.exe y del controlador fast16.sys. El primero iniciaba el servicio, lo instalaba y se propagaba por redes Windows 2000 y Windows XP. El segundo operaba a nivel del núcleo y interceptaba accesos a archivos ejecutables en disco. Cuando el controlador encontraba un programa adecuado, modificaba su código directamente en la memoria e insertaba fragmentos propios que afectaban a los cálculos de punto flotante.
Al parecer, el objetivo no eran equipos de uso masivo, sino paquetes especializados de ingeniería y científicos. Los especialistas verificaron las firmas encontradas en colecciones antiguas de programas y hallaron coincidencias con software de simulación precisa, incluidos LS-DYNA 970, PKPM y la plataforma hidrodinámica MOHID. Estos sistemas se emplean para cálculos en construcción, modelado de accidentes, explosiones, procesos físicos, comportamiento de materiales y del medio acuático.
Lo particular de fast16 es que el código malicioso podía corromper no un resultado aislado sino toda una cadena de comprobaciones. svcmgmt.exe se propagaba en la red mediante los mecanismos estándar de Windows, se copiaba en equipos remotos e iniciaba el servicio. Si varios ordenadores de una misma organización se infectaban al mismo tiempo, una verificación posterior en un sistema vecino podía mostrar el mismo resultado erróneo. Ese enfoque reducía la probabilidad de detectar la manipulación.
Antes de la instalación, fast16 comprobaba si había productos de seguridad en el sistema. En el código se localizaron claves del registro relacionadas con soluciones de Symantec, Trend Micro, F-Secure, McAfee, Kaspersky, Zone Labs, Kerio, Agnitum y otros proveedores. Si se detectaban tales indicios, la instalación se detenía. Para mediados de los 2000, esa cautela resulta poco habitual en gusanos de red comunes y se asemeja más a la herramienta de una operación bien preparada.
Una pista importante en la investigación fue la ruta de depuración C:\buildy\driver\fd\i386\fast16.pdb, encontrada en svcmgmt.exe. Indicó el controlador fast16.sys. Más tarde se encontró el mismo nombre, fast16, en la filtración de ShadowBrokers, donde se publicaron componentes vinculados a la Agencia de Seguridad Nacional de Estados Unidos. En uno de los archivos con anotaciones para los operadores, junto a fast16 aparecía la frase: «Nothing to see here – carry on».
SentinelLABS no afirma haber determinado completamente los objetivos de la operación. Los programas originales para los que se escribieron las reglas de sustitución aún no se han encontrado con suficiente precisión. Sin embargo, la finalidad del controlador parece inusualmente clara: fast16 fue creado para intervenir de forma encubierta en cálculos precisos, no para el espionaje habitual.
El hallazgo cambia la percepción de cómo evolucionó el ciber-sabotaje. Hasta ahora el principal ejemplo temprano se consideraba Stuxnet, descubierto en 2010. fast16 muestra que ya a mediados de los 2000 existían herramientas para afectar de forma encubierta procesos físicos a través de cálculos de software. Además, el portador empleaba el lenguaje integrado Lua, una arquitectura modular y la interceptación del sistema de archivos a nivel de controlador mucho antes de las plataformas conocidas Flame y Project Sauron.
Los archivos de fast16 permanecieron durante años en colecciones de muestras casi sin ser detectados. Incluso ahora svcmgmt.exe apenas es identificado por los motores de protección. SentinelLABS publicó indicadores de compromiso y reglas YARA para que otros especialistas puedan revisar sus archivos y, quizá, encontrar las piezas faltantes de la operación.