Pesquisadores da SentinelOne revelaram a existência de um framework de sabotagem industrial, codinome 'fast16', que antecede o notório worm Stuxnet em cinco anos. Datado de 2005, o malware foi projetado para introduzir de forma discreta e sistemática erros em softwares de engenharia e científica de alta precisão, com o objetivo de sabotar processos e distorcer resultados, em vez de realizar espionagem. A apresentação detalhada dessa descoberta foi feita por Vitaly Kamluk e Juan Andrés Guerrero-Saade na conferência Black Hat Asia, onde explicaram como o 'fast16' poderia ter consequências catastróficas ao comprometer cálculos físicos e resultados de simulações.
O ponto de partida para a identificação do 'fast16' foi um artefato chamado svcmgmt.exe, encontrado no VirusTotal. Embora carregado em 2016, sua marca temporal indicava uma criação em agosto de 2005. Inicialmente parecendo um simples wrapper para um serviço do Windows, a análise revelou uma máquina virtual Lua 5.0 embarcada, bytecode criptografado e módulos para interagir com o sistema de arquivos e o registro. Essa arquitetura torna o 'fast16' o primeiro malware conhecido para Windows a incorporar um motor Lua nativo, superando em antiguidade até mesmo o malware Flame (também conhecido como Flamer e Skywiper), que surgiu em 2012. A ligação com operações cibernéticas governamentais é sugerida pela string 'fast16' encontrada em arquivos vazados pelo grupo The Shadow Brokers em 2016-2017, associados às ferramentas do Equation Group, supostamente ligado à NSA.
O núcleo do 'fast16' reside no driver fast16.sys, responsável por interceptar operações de arquivo e modificar arquivos executáveis compilados com o compilador Intel C/C++. Essa modificação visava especificamente distorcer cálculos matemáticos. Para sua propagação, o malware escaneava redes em busca de máquinas rodando Windows 2000 e XP com senhas fracas, mas cessava sua disseminação ao detectar softwares de segurança de empresas como Kaspersky, Symantec e McAfee. Os analistas identificaram três alvos prováveis para o 'fast16': o pacote de simulação multifísica LS-DYNA 970, o sistema de design PKPM e a plataforma de modelagem hidrodinâmica MOHID. Notavelmente, o LS-DYNA foi utilizado pelo Irã em seu programa nuclear, o mesmo programa que posteriormente seria alvo do Stuxnet. A descoberta do 'fast16' reforça a ideia de que ferramentas sofisticadas para ciberataques a infraestruturas físicas já existiam em meados dos anos 2000, muito antes do incidente com as centrífugas iranianas.
