MalwareHackerangriffeSchwachstellen

Fast16: Das 20 Jahre alte Malware-Geheimnis, das die Geschichte der Cyber-Sabotage umschreibt

Von CyberDeutsch Redaktion
Fast16: Das 20 Jahre alte Malware-Geheimnis, das die Geschichte der Cyber-Sabotage umschreibt
Zusammenfassung

Forscher haben die Stuxnet-Anschläge auf Irans Atomanlage Natanz lange Zeit als Beginn der staatlich gestützten Cyber-Sabotage betrachtet. Eine aktuelle Entdeckung der Sicherheitsfirma SentinelOne stellt diese Geschichtsschreibung nun in Frage: Das Malware-Framework „fast16" ist mindestens fünf Jahre älter als Stuxnet und stammt aus dem Jahr 2005. Das Besondere an dieser Cyber-Waffe ist ihre bislang beispiellose Funktionsweise – sie manipuliert hochpräzise mathematische Berechnungen durch subtile, kaum nachweisbare Fehler, um Systeme von innen heraus zu sabotieren. Fast16 zielt explizit auf wissenschaftliche und technische Software ab, die für nationale Sicherheit kritisch ist, etwa bei Atom-, Krypto- oder Rüstungsforschung. Die Entdeckung wurde durch eine zufällige Beobachtung möglich: Fast16 war bereits vor über zehn Jahren auf die Malware-Plattform VirusTotal hochgeladen worden, wurde aber kaum erkannt. Für Deutschland und europäische Länder ist diese Entdeckung relevant, da sie zeigt, dass hochentwickelte Cyber-Sabotage-Techniken schon deutlich länger existieren als angenommen. Insbesondere Unternehmen und Forschungseinrichtungen mit hochpräzisen Berechnungssystemen könnten potenzielle Ziele darstellen – die Attacke hinterlässt kaum Spuren und ist schwer zu entdecken.

Die Entdeckung von Fast16 stellt das bisherige Verständnis von Cyber-Sabotage grundlegend in Frage. Vitaly Kamluk, Forscher bei SentinelOne, beschreibt die Malware als gleichwertige Cyberwaffe zu Stuxnet, die durch eine völlig neue Angriffsmethode besticht: Sie injiziert kaum erkennbare Fehler in mathematische Berechnungen, um Systeme graduell zu sabotieren.

Das Besondere an Fast16 ist nicht nur sein Alter, sondern auch seine Funktionsweise. Die Malware arbeitete wie eine “Streumunition”, die multiple “Wormlets” auf Zielmaschinen verteilte. Diese exploitierten Sicherheitslücken, um den Hauptpayload so weit wie möglich auszubreiten. SentinelOne identifizierte drei wahrscheinliche Ziele: LS-DYNA 970, PKPM und die MOHID-Hydro-Modellierungsplattform – alle Software für hochpräzise Simulationen wie Crash-Tests und Strukturanalysen.

Besonders interessant ist der Hinweis auf LS-DYNA: Der Iran soll diese Software für Computersimulationen im Zusammenhang mit seinem Atomwaffenprogramm genutzt haben. Dies deutet darauf hin, dass Fast16 möglicherweise bereits vor Stuxnet auf nuklearwissenschaftliche Systeme abzielte.

Die Entdeckung gelang SentinelOne bei der Suche nach der frühesten Verwendung einer eingebetteten Lua-VM in Windows-Malware. Lua ist eine Skriptsprache, die Angreifer für modulare Malware-Architekturen nutzen. Fast16 war das erste netzwerk-basierte Lua-Worm-Framework, das speziell auf hochpräzise Berechnungssoftware abzielte.

Die Malware wurde vor über einem Jahrzehnt auf VirusTotal hochgeladen, blieb dort aber fast unentdeckt – nur eine Engine erkannte sie als bösartig. Der Name “fast16” tauchte später in Dokumenten auf, die die Shadow Brokers 2016 über NSA-Cyberwaffen veröffentlichten. SentinelOne hat jedoch keine konkrete Zuordnung zu einer Behörde oder Nation vorgenommen.

Eine kritische Einschränkung: Fast16 läuft nur auf Windows XP mit Einzelprozessor-Systemen – eine heute obsolete Umgebung. Kamluk betont jedoch, dass der zugrundeliegende Angriffsvektor hochaktuell bleibt. Hochpräzise Berechnungen in modernen Bereichen wie dem KI-Training oder der Finanzmodellierung könnten Ziele modernisierter Varianten sein. SentinelOne hat Yara-Regeln veröffentlicht, um Organisationen bei der Analyse älterer Systeme und Archive zu unterstützen.

Das Wichtigste an dieser Entdeckung liegt in der Identifikation eines völlig neuartigen Cyber-Sabotage-Vektors – ein Weckruf für Sicherheitsexperten weltweit, ihre Abwehrstrategien neu zu bewerten.

Ähnliche Artikel