Die Cybersicherheitsforscher Vitaly Kamluk und Juan Andrés Guerrero-Saade von SentinelOne präsentierten ihre Erkenntnisse in dieser Woche in einem umfassenden Bericht. Das Schadprogramm fast16 ist mindestens fünf Jahre älter als Stuxnet und gilt damit als Vorläufer des ersten bekannten digitalen Vernichtungswaffe der Welt. Es predatiert auch die Flame-Malware von 2012 und ist das erste Windows-Malware-Sample, das eine eingebettete Lua-Laufzeitumgebung enthält.
Die Entdeckung basiert auf einer eingehenden Analyse einer verdächtig anmutenden Datei namens “svcmgmt.exe”, die nach oberflächlicher Betrachtung nur als generisches Service-Wrapper-Tool wirkte. Eine dateiinterne Zeitstempel deutet auf August 2005 hin. Die tiefere Untersuchung offenbarte jedoch eine raffinierte Architektur: ein eingebettetes Lua 5.0-System, verschlüsselte Bytecode-Container und Module, die direkt in Windows-APIs eingreifen.
Besonders aufschlussreich ist ein Kernel-Treiber namens “fast16.sys” aus Juli 2005. Dieser Treiber war für die eigentliche Sabotage zuständig – er fängte ausführbare Programme ab und modifizierte sie während des Ladens von der Festplatte. Ein kritisches Detail: Der Treiber funktioniert nur auf Windows 2000 und XP, nicht auf Windows 7 oder später.
Die Verbindung zu staatlichen Akteuren wird durch einen entscheidenden Fund hergestellt. Forscher entdeckten eine Referenz zu “fast16” in einer Textdatei namens “drv_list.txt”, die 2016 und 2017 von der Hacker-Gruppe “The Shadow Brokers” veröffentlicht wurde. Diese Gruppe hatte zuvor Daten des Equation Group gestohlen – einer APT-Gruppe mit vermuteten Verbindungen zur NSA. Diese Datei war Teil der “Lost in Translation”-Veröffentlichungen.
Die technische Funktionsweise ist hochspezialisiert. Fast16 war in der Lage, selbst zu propagieren, wenn dies manuell erzwungen wurde oder wenn auf dem System keine Antivirus-Software erkannt wurde. Das Programm überprüfte explizit auf Security-Tools von Agnitum, F-Secure, Kaspersky, McAfee, Microsoft, Symantec, Sygate und Trend Micro. Diese Produktauswahl deutet klar auf die Mitte der 2000er-Jahre hin.
Die Sabotage-Funktion zielte auf Engineering- und Simulationssoftware. Basierend auf 101 definierten Patch-Regeln konnten Forscher wahrscheinliche Ziele identifizieren: LS-DYNA 970, PKPM und die MOHID-Hydrodynamik-Plattform. LS-DYNA, heute Teil der Ansys-Suite, wird für Crash- und Explosionssimulationen verwendet – genau der Typ Software, den Iran bei der Urananreicherung benötigte.
Diese Erkenntnisse sind zeitlich hochrelevant. Ein 2024-Bericht des Institute for Science and International Security dokumentierte, dass Iran LS-DYNA für Kernwaffenentwicklung nutzte. Stuxnet selbst zerstörte 2010 iranische Anreicherungszentrifugen in Natanz – aber fast16 hätte bereits 2005 aktiv sein können.
SentinelOne zieht das Fazit: Fast16 zwingt zu einer Neubewertung der Geschichte von Cyber-Sabotage-Operationen. Es zeigt, dass staatliche Cyberwaffen-Programme bereits vollständig entwickelt waren, als die Welt noch von anderen Sicherheitsbedrohungen abgelenkt war. Fast16 war der stille Vorbote einer neuen Form von Staatsmacht durch Software – erfolgreich in seiner Verstecktheit bis zum heutigen Tag.