In plaats daarvan zag Kamluk dat het een zichzelf voortplantende code was met een heel andere bedoeling. Met behulp van wat de code ‘wormlet’-functionaliteit noemt, is Fast16 ontworpen om zichzelf naar andere computers op het netwerk te kopiëren via de netwerkdeelfunctie van Windows. Het controleert de lijst met beveiligingstoepassingen en als die er niet zijn, installeert het de Fast16.sys-kerneldriver op de doelcomputer.
De kerneldriver leest vervolgens de applicatiecode terwijl deze in het geheugen van de computer wordt geladen en bewaakt daarbij een lange lijst met specifieke patronen (‘regels’) die hem in staat stellen te identificeren wanneer de doelapplicatie actief is. Wanneer het doelsoftware detecteert, dient het zijn eigenlijke doel: het heimelijk wijzigen van de berekeningen die de software uitvoert, tot op het punt dat de resultaten onbewust vertekend worden.
“Er zat eigenlijk een enorme lading in, en bijna iedereen die het eerder had gezien, had het gemist”, zegt Costin Raiu, onderzoeker bij beveiligingsadviesbureau TLP:Black, die eerder leiding gaf aan een team met Kamluk en Guerrero-Saade bij het Russische beveiligingsbedrijf Kaspersky, dat al vroeg onderzoek deed naar Stuxnet en aanverwante malware. “Dit is bedoeld als een zeer subtiele, langdurige sabotage die waarschijnlijk heel, heel moeilijk op te merken zal zijn.”
Tijdens hun zoektocht naar software die voldeed aan de ‘regels’-criteria van Fast16 voor sabotagedoelen, vonden Kamluk en Guerrero-Saade hun drie kandidaten: MOHID-, PKPM- en LS-DYNA-software. Wat de ‘wormlet’-functie betreft, zijn zij van mening dat het verspreidingsmechanisme ervan zo is ontworpen dat wanneer slachtoffers de resultaten van hun berekeningen of simulaties dubbel controleren met een andere computer in hetzelfde laboratorium, de machine ook de verkeerde resultaten zal bevestigen, waardoor de fraude nog moeilijker te ontdekken of te begrijpen is.
Wat betreft andere cybersabotageoperaties valt volgens Guerrero-Saade alleen Stuxnet in dezelfde klasse als Fast16. De complexiteit en verfijning van deze malware plaatst deze ook in het domein van door de staat gesponsorde hacking met hoge prioriteit en veel middelen. “Er zijn verschillende scenario’s waarin je dit soort ontwikkelingsinspanningen doet voor geheime operaties”, zei Guerrero-Saade. “Iemand buigt het paradigma om een proces dat hij of zij als heel belangrijk beschouwt, te vertragen, te beschadigen of te dwarsbomen.”
Iraanse hypothese
Dit alles past in de hypothese dat Fast16, net als Stuxnet, gericht zou kunnen zijn op het ontwrichten van de Iraanse kernwapenambities. Black’s TLP:Raiu betoogt dat Iraanse doelwitten de meest waarschijnlijke verklaring zijn, meer dan een mogelijkheid – een theorie van ‘middelhoog vertrouwen’ dat Fast16 ‘ontworpen was als een cyberaanvalpakket’ gericht op het Iraanse AMAD-nucleaire project, een plan van het regime van Ayatollah Khameini om begin jaren 2000 kernwapens te verwerven.
“Dit is een andere dimensie van cyberaanvallen, een andere manier om cyberoorlog te voeren tegen het nucleaire programma van Iran,” zei Raiu.
Guerrero-Saade en Kamluk verwezen zelfs naar een artikel gepubliceerd door het Institute for Science and International Security, waarin openbaar bewijs werd verzameld over Iraanse wetenschappers die onderzoek deden dat zou kunnen bijdragen aan de ontwikkeling van kernwapens. In sommige gedocumenteerde gevallen werd bij het onderzoek van de wetenschappers gebruik gemaakt van LS-DYNA-software, waarvan Guerrero-Saade en Kamluk zeiden dat deze zich mogelijk op Fast16 zou kunnen richten.
