ハクソク

世界を動かす技術を、日本語で。

Fast16: スタックスネットの5年前に発生した高精度ソフトウェアサボタージュ

13日前原文(sentinelone.com)

概要

  • SentinelLABSが fast16 という2005年製の未公開サイバー破壊フレームワークを発見
  • fast16.sys は高精度計算ソフトを標的にし、計算結果を改ざん
  • Lua仮想マシンを組み込んだ 初期のWindowsマルウェア としても注目
  • ShadowBrokersリーク でNSAの“Territorial Dispute”にも言及
  • 国家レベルの 高価な計算インフラ破壊 を狙った先駆的攻撃事例

fast16:高精度計算を標的としたサイバー破壊フレームワーク

  • fast16 は2005年に作成された カーネルドライバ およびモジュラー型マルウェア
  • 標的は 物理学・暗号・原子力研究 などの高精度計算ソフトウェア
  • メモリ内コードパッチ で計算結果を改ざん、全施設に誤計算を拡散
  • 自己伝播機能を持ち、 ネットワーク全体への感染 を狙う
  • Stuxnetより 5年以上先行 する先駆的なサボタージュ攻撃
  • Lua仮想マシンの組み込みはFlameより 3年早い実装

svcmgmt.exe:Lua仮想マシン搭載のキャリアモジュール

  • svcmgmt.exe はWindows 2000/XP時代のサービスラッパーに偽装
  • 内部に Lua 5.0仮想マシン および暗号化バイトコードを格納
  • 独自拡張で Unicode対応・組込み暗号・NT APIバインディング を実装
  • 主要ロジックは暗号化Luaバイトコードに委譲、 モジュール性と再利用性 を確保
  • PDBパスにより fast16.sysカーネルドライバ との関連を特定

fast16.sys:ファイルシステム層の精密破壊ドライバ

  • fast16.sys はブート時に自動ロードされる ファイルシステムドライバ
  • NTFS・FAT・MRxSMB など主要ファイルシステムに割り込み
  • 実行ファイル読み込み時に コードを改ざん、破壊活動を実施
  • Windows 7以降では動作不可だが、当時としては 高度なルートキット技術
  • ShadowBrokersリークの drv_list.txt で“友好的”なインプラントとして記載

ワームレット:ネットワーク伝播機構

  • svcmgmt.exe は複数のワームペイロード(wormlet)を格納
  • 標準構成では SCMワームレット がネットワーク共有経由で感染拡大
  • Windows標準の サービス制御・ファイル共有API を利用し拡散
  • 弱い管理者パスワード 環境を標的、カスタムプロトコル不要

環境認識と回避機構

  • インストール前に ok_to_install() ルーチンで環境をチェック

  • 主要な セキュリティ製品のレジストリキー を検出した場合、自己展開を中止

  • 期待される標的ネットワークの 検知回避設計

    • 例:Symantec, Sygate, TrendMicro, Zone Labs, F-Secure, McAfee, Kaspersky など

svcmgmt.dll:最小限の報告チャンネル

  • svcmgmt.dll は内部ストレージに格納されたDLL
  • Windowsの AddConnectNotify() API を利用し、RAS接続時に起動
  • 名前付きパイプ \.\pipe\p577 に接続情報を送信
  • 単独では動作せず、ホストプロセスによる登録が必要

fast16の意義と先進性

  • 国家レベルのサボタージュ を目的とした最初期の事例
  • Lua VMによる暗号化モジュール構造 は後続APTに多大な影響
  • ShadowBrokersリーク によるNSA関連性の示唆
  • 高精度演算インフラ への破壊的リスクを実証した先駆的マルウェア

このfast16事例は、 高価値インフラへの精密サボタージュモジュラー型マルウェア設計 の歴史的重要性を示す。現代サイバー攻撃の分析・防御においても、 初期APTの設計思想 を学ぶ好例。

Hackerたちの意見

提出された記事は、https://www.sentinelone.com/labs/fast16-mystery-shadowbroker... のLLM要約のように見えるね。

投稿したリンクがAIの要約かどうかは分からないけど、どこかで見つけたんだ。でも、確かに君が共有したリンクにはもっと詳しい情報があるね。投稿してくれてありがとう!

LLMの方がもっと良い仕事をすると思う。この記事がひどいって言おうとしたところだったんだけど、著者が何を話しているのか全然分かってない感じがする。元の記事を言い換えようとすれば、説明になるかもね。

君のリンクには書いてないことがたくさん言及されてるから、あのページのLLM要約にはならないと思う。追記:気になる人のために古いリンクを載せておくね、変更されたからね: https://hackingpassion.com/fast16-pre-stuxnet-cyber-sabotage...

これは機械を壊したり、爆発させたりしなかった。数学を壊しただけだ。このLLMスタイルの書き方は、もう終わったね。

これを見つけてくれてありがとう - 元の記事は本当に面白いよ。(@dang - これに再リンクすることを考えてみて?)

https://www.theregister.com/2026/04/24/fast16_sabotage_malwa... これは、著者の一人が行った講演に基づいて、追加の詳細があるみたい。

https://hackingpassion.com/fast16-pre-stuxnet-cyber-sabotage.... から変更されたよ。ありがとう!

ハハ、面白い発見だね。ただ、ソース管理のコメントはちょっと変な感じがする。あの時代にはSCCS(うーん、cvsも似たようなものを使ってたっけ?)がまだあったはずだよ。

そのコメントは、Windowsソフトウェアでは珍しいっていうことに特化してたと思う。開発者たちがUNIXのこともやってたって示唆してるね(そこでSCCS/RCSの使用が一般的だった)。

これが一番好きな部分だった:その種の表記、SCCS/RCSと呼ばれるものは、現代のオフィスで回転式電話を見つけるようなものだ。2005年のWindowsカーネルコードでは、プログラミングのバックグラウンドが数十年前にさかのぼらない限り、誰も使わない — 2006年に働いていた天体物理学の研究室では、まだsvnを使っていて、70年代や80年代のシステムに言及したFortranがたくさんあった。コードは現代の最適化コンパイラのおかげでうまく動いて、90年代にVaxからLinuxに移行したことで、驚くほどスムーズな移行だった。以前に言及したカンファレンスの話を思い出させるな、「やり直すか、なんとかやりくりするか」って感じで、ほとんど機能しているコードを大量に書き直すのは、現代のツールでつなぎ合わせられるなら、努力する価値はないってことを示唆している。

うん、以前はStuxnetみたいなものの政府由来には懐疑的だったけど(今は全然そうじゃない、みんなと同じように完全に納得してる)、こういうメモがその理由だった。人々は2000年代までRCSを使ってたんだよ!RCSはSVNやCVSよりも利点があったし。

2006年にはまだsvnを使ってた もしかしてcvsのことを言いたかったのかな?Subversionは2004年にリリースされて、gitは2005年に登場したよ。

それって、3文字の機関がそれぞれのタイプのマルウェアの分野からリクルートできたってこと?例えば、fast16は科学計算ソフトを作ってた人が実際に書いたかもしれないし、Stunexはシーメンスで働いてた人が書いたかもしれないってこと?

2026年にRを使ってるなら、たぶん70年代や80年代のFortranでコンパイルされたコードをどこかで呼び出してると思うよ。数値計算の基盤になってるからね。

ハハ、俺が働いてた会社は2012年頃までRCSを使ったSCMを使ってたんだ。共有ファイルシェアでRCSをラップして「プロジェクトファイル」を作って、特定のリビジョンのツリーを管理してたんだよ。「MKS」って呼ばれてた。しかも「古い」90年代のバージョンで、Java EEのリライト版じゃなかった。だからファイルの先頭には「$Revision: 1.3 $」みたいな無駄な情報や「ファイルの変更履歴」があったんだけど、新しいファイルはRCSが置き換えるためのタグを入れてなかったりして、めちゃくちゃだった。ソフトウェアの対象デバイスの「ファミリー」は90年代中頃に起源を持ってるけど、当時のコードは機能的には5年も経ってないものばかりだった。エンジニアが数十人しかいなかったのに、定期的に問題が起きて、コミットがぶつかり合って、ツリー全体が壊れたりしてた。面白半分でスクリプトを書いて、全部読み込んで履歴をgitにインポートしたんだ。数年前に遡るだけで、全体が完全に意味不明になってたよ。なんであんなのがまだ使われてたのか全く分からないけど、そのハードウェアファミリーのスタートから使われてたんだろうね。根本的に「ハードウェア」会社だったから、意外と最近まで「ソース管理」を「リモートマシンの共有フォルダ」と考えてたみたいで、「ソフトウェア」のソース管理は優先事項じゃなかったのかも。

科学を妨害することって、文明として最も道徳的に腐敗した行為だと思う。

いや、それはある国が超兵器を開発するのを防いで、WW3や世界的な核壊滅を引き起こすのを避けるためだよ。このコメントはかなり誇張されてると思う。他にも「道徳的に腐敗した」ことはいくつか思いつくよ。

外国の敵の武器開発を監視して妨害するのは、政府の普通の機能だよ。

どれだけの結果が、知られる前に https://en.wikipedia.org/wiki/Pentium_FDIV_bug で弱体化されたんだろうね。

サボタージュされた科学って、査読付きのジャーナルには発表されてなかったよね?(ポルトガルの流体力学モデリングのやつは別だけど、偶然だったり他の用途があったかもしれないし)それに、はっきり言って、発表されてなくて、レビューされてなくて、再現性がないなら「科学」に貢献してるとは思わないよ。

科学者やエンジニアを殺すってどう? [1] [1] https://en.wikipedia.org/wiki/Assassinations_of_Iranian_nucl...

最初に思いついたのは「三体問題」シリーズだね。本を読んだり、ショーを見たりしたら、何を言いたいか分かると思う。

これはすごい発見だね。これらのルールの具体的なターゲットや、結果に対する正確な変更についてすごく興味がある。原子炉に特化したシミュレーション条件でしか効果がないのかな?

へへ、鍵となる動きはワームだね。別のボックスをチェックしても、クリーンなボックスがないから捕まえられないよ。

これを共有してくれてありがとう。最近、精密計算の限界に挑戦してて、これが研究の一部を照らしてくれたよ。主に政府資金で行われた研究の上に成り立っていて、驚くほど利用可能な精密フレームワークが少ないことに気づいたんだ。元の投稿者が言ってたように、国家安全保障の利益が恣意的な精度計算の方法の透明性を妨げているのかもしれないね。

興味がある人のためのダウンロードリンクだよ: https://bazaar.abuse.ch/sample/9a10e1faa86a5d39417cae44da5ad... まずはWindows XPのVMを作るつもり。

誰かもうWindowsサービスファイルを投稿した? あれはローダーだけみたいだね。