Em vez disso, Kamluk percebeu que se tratava de um código que se espalhava sozinho e com intenções muito diferentes. Usando o que foi referido no código como funcionalidade “wormlet”, o Fast16 foi projetado para se copiar para outros computadores na rede por meio do recurso de compartilhamento de rede do Windows. Ele verifica uma lista de aplicativos de segurança e, se nenhum estiver presente, instala o driver do kernel Fast16.sys na máquina de destino.
Esse driver do kernel então lê o código dos aplicativos à medida que eles são carregados na memória do computador, monitorando uma longa lista de padrões específicos – “regras” que permitem identificar quando um aplicativo alvo está em execução. Ao detectar o software alvo, ele cumpre seu objetivo aparente: alterar silenciosamente os cálculos que o software está executando para corromper imperceptivelmente seus resultados.
“Na verdade, isso tinha uma carga útil muito significativa, e quase todo mundo que olhou para ele antes não percebeu”, diz Costin Raiu, pesquisador da consultoria de segurança TLP:Black que anteriormente liderou a equipe que incluía Kamluk e Guerrero-Saade na empresa de segurança russa Kaspersky, que fez os primeiros trabalhos de análise do Stuxnet e malware relacionado. “Isso foi projetado para ser uma sabotagem muito sutil e de longo prazo, que provavelmente seria muito, muito difícil de perceber.”
Procurando por software que atendesse aos critérios das “regras” do Fast16 para um alvo de sabotagem pretendido, Kamluk e Guerrero-Saade encontraram seus três candidatos: o software MOHID, PKPM e LS-DYNA. Quanto à funcionalidade “wormlet”, acreditam que o mecanismo de propagação foi concebido de modo a que, quando uma vítima verifica novamente os resultados dos seus cálculos ou simulações com um computador diferente no mesmo laboratório, essa máquina também confirme o resultado errado, tornando o engano ainda mais difícil de descobrir ou compreender.
Em termos de outras operações de sabotagem cibernética, apenas o Stuxnet está remotamente na mesma classe que o Fast16, argumenta Guerrero-Saade. A complexidade e a sofisticação do malware também o colocam no domínio do Stuxnet de hackers patrocinados pelo Estado, de alta prioridade e com muitos recursos. “Existem poucos cenários em que se realiza este tipo de esforço de desenvolvimento para uma operação secreta”, diz Guerrero-Saade. “Alguém quebrou um paradigma para desacelerar, danificar ou interromper um processo que considerava de importância crítica.”
A hipótese do Irã
Tudo isto enquadra-se na hipótese de que o Fast16 poderia, tal como o Stuxnet, ter como objectivo perturbar as ambições do Irão de construir uma arma nuclear. TLP: Raiu de Black argumenta que, para além de uma mera possibilidade, ter como alvo o Irão representa a explicação mais provável – uma teoria de “confiança média-alta” de que o Fast16 foi “concebido como um pacote de ataque cibernético” que tinha como alvo o projecto nuclear AMAD do Irão, um plano do regime do aiatolá Khameini para obter armas nucleares no início dos anos 2000.
“Esta é outra dimensão dos ataques cibernéticos, outra forma de travar esta guerra cibernética contra o programa nuclear do Irão”, diz Raiu.
Na verdade, Guerrero-Saade e Kamluk apontam para um artigo publicado pelo Instituto para a Ciência e Segurança Internacional, que recolheu provas públicas de cientistas iranianos que realizam investigação que poderia contribuir para o desenvolvimento de uma arma nuclear. Em vários desses casos documentados, a investigação dos cientistas utilizou o software LS-DYNA que Guerrero-Saade e Kamluk descobriram ser um alvo potencial do Fast16.
