SchwachstellenHackerangriffeCyberkriminalität

Fast16: Die vergessene Sabotage-Malware, die Stuxnet um Jahre vorausging

Fast16: Die vergessene Sabotage-Malware, die Stuxnet um Jahre vorausging
Zusammenfassung

Sicherheitsforscher der Firma SentinelOne haben eine bahnbrechende Entdeckung gemacht: Sie identifizierten Fast16, eine Sabotage-Malware auf Lua-Basis, die bereits Jahre vor dem berüchtigten Stuxnet-Virus entwickelt wurde und 2005 in Angriffen zum Einsatz kam. Die Malware war darauf ausgerichtet, hochpräzise Berechnungssoftware zu manipulieren und verfügte über Selbstverbreitungsmechanismen über Netzwerke. Indizien deuten darauf hin, dass Fast16 wie Stuxnet von den USA entwickelt wurde, was es als Werkzeug staatlich gesponserten Cyber-Sabotage während der US-iranischen Spannungen positioniert. Die Schadsoftware zielt offenbar auf Simulationssoftware ab, die im Ingenieurwesen und der Kernforschung eingesetzt wird – möglicherweise einschließlich des iranischen Atomprogramms. Für deutsche Nutzer und Unternehmen ist diese Entdeckung ein warnendes Beispiel für die Existenz hochentwickelter Cyber-Sabotage-Kapazitäten staatlicher Akteure, die gezielt kritische Infrastrukturen und Forschungseinrichtungen gefährden könnten. Behörden und Organisationen mit sensiblen Berechnungsprozessen sollten ihre Sicherheitsmaßnahmen überprüfen und ihre Systeme auf ähnliche Bedrohungen prüfen, da solche Malware potenziell auch gegen deutsche Ziele eingesetzt werden könnte.

Die Entdeckung von Fast16 öffnet ein Fenster in die frühe Geschichte staatlich gesponserten Cyber-Sabotage. Im Gegensatz zu Stuxnet, das 2010 weltweite Aufmerksamkeit erregte, arbeitete Fast16 im Verborgenen – bis heute unbemerkt geblieben wäre es nicht für den Leak der NSA-Werkzeuge durch die Shadow Brokers.

Die Malware basiert auf Lua, einer Skriptsprache, und nutzte eine innovative, modular aufgebaute Architektur. Das Kernstück war die Datei svcmgmt.exe, ein Service-Binary mit einer eingebetteten Lua-5.0-Virtual-Machine, die den Kernel-Treiber fast16.sys aufzurufen konnte. Dieser Treiber war das eigentliche Werkzeug der Manipulation: Er positionierte sich zwischen den Dateisystemen und konnte gezielt ausführbare Dateien modifizieren, die mit dem Intel-Compiler compiliert worden waren.

Besonders ausgeklügelt war die Zielauswahl. Fast16 konzentrierte sich auf hochpräzise Simulationssoftware wie LS-DYNA 970, PKPM und die MOHID-Hydrodynamik-Plattform – Tools, die in Ingenieurwissenschaften, Physik und Kernforschung eingesetzt werden. Durch subtile Änderungen in den Berechnungsergebnissen konnte die Malware systematische Fehler in wissenschaftliche Modelle einführen, was zu verfälschten Simulationen führte.

Die Worm-Funktionalität ermöglichte es Fast16, sich selbst über schwache Passwörter in Netzwerk-Shares zu verbreiten, während es gleichzeitig überprüfte, ob Sicherheitsprodukte installiert waren – ein bemerkenswertes Merkmal für Malware aus den 2000er-Jahren. Das System verhinderte die Ausführung in Überwachungsumgebungen und reduzierte damit die Entdeckungswahrscheinlichkeit drastisch.

Die Verbindung zum iranischen Nuklearprogramm ist bemerkenswert: LS-DYNA wurde nachweislich vom Iran für seine Kernwaffen-Entwicklung genutzt. Ähnlich wie Stuxnet zielte Fast16 möglicherweise auf dieses Programm ab – nur eben Jahre zuvor und mit völlig anderer Methodik.

Sicherheitsexperten betonen, dass Fast16 einen Wendepunkt in der Cyber-Kriegsführung markiert. Es zeigt, dass staatliche Akteure bereits Mitte der 2000er-Jahre die Fähigkeit besaßen, physische Prozesse durch Software-Sabotage zu manipulieren. Für heutige Organisationen ist dies eine ernüchternde Erkenntnis: Die Bedrohung durch Sabotage-Malware ist älter und etablierter als lange angenommen.

Ähnliche Artikel