In plaats daarvan zag Kamluk dat het een zichzelf verspreidend stukje code was met heel andere bedoelingen. Met behulp van wat in de code de ‘wormlet’-functionaliteit wordt genoemd, is Fast16 ontworpen om zichzelf naar andere computers in het netwerk te kopiëren via de netwerkshare-functie van Windows. Het controleert op een lijst met beveiligingstoepassingen en als deze niet aanwezig zijn, installeert het de Fast16.sys-kerneldriver op de doelcomputer.
Dat kernelstuurprogramma leest vervolgens de code van de programma’s terwijl deze in het geheugen van de computer worden geladen, waarbij hij een lange lijst met specifieke patronen controleert: ‘regels’ waarmee het programma kan identificeren wanneer een doelprogramma actief is. Wanneer het de doelsoftware detecteert, voert het zijn schijnbare doel uit: het in stilte wijzigen van de berekeningen die de software uitvoert om de resultaten onmerkbaar te corrumperen.
“Dit had eigenlijk een zeer aanzienlijke lading, en vrijwel iedereen die er eerder naar had gekeken, had het gemist”, zegt Costin Raiu, een onderzoeker bij beveiligingsadviesbureau TLP:Black, die eerder leiding gaf aan het team dat bestond uit Kamluk en Guerrero-Saade bij het Russische beveiligingsbedrijf Kaspersky, dat al vroeg werk deed aan het analyseren van Stuxnet en aanverwante malware. “Dit is bedoeld als een langdurige, zeer subtiele sabotage die waarschijnlijk heel, heel moeilijk op te merken is.”
Op zoek naar software die voldeed aan de criteria van Fast16’s ‘regels’ voor een beoogd sabotagedoel, vonden Kamluk en Guerrero-Saade hun drie kandidaten: de MOHID-, PKPM- en LS-DYNA-software. Wat de ‘wormlet’-functie betreft, geloven zij dat het verspreidingsmechanisme zo is ontworpen dat wanneer een slachtoffer zijn berekenings- of simulatieresultaten dubbel controleert met een andere computer in hetzelfde laboratorium, die machine ook het onjuiste resultaat zal bevestigen, waardoor het bedrog des te moeilijker te ontdekken of te begrijpen is.
Wat andere cybersabotageoperaties betreft, zit alleen Stuxnet in zekere zin in dezelfde klasse als Fast16, betoogt Guerrero-Saade. Ook de complexiteit en verfijning van de malware zorgen ervoor dat deze binnen het domein van Stuxnet valt op het gebied van door de staat gesponsorde hacking met hoge prioriteit en veel middelen. “Er zijn weinig scenario’s waarin je dit soort ontwikkelingsinspanningen doet voor een geheime operatie”, zegt Guerrero-Saade. ‘Iemand heeft een paradigma verbogen om een proces dat hij van cruciaal belang achtte, te vertragen, te beschadigen of af te werpen.’
De Iran-hypothese
Dit alles past in de hypothese dat Fast16, net als Stuxnet, gericht zou kunnen zijn geweest op het verstoren van de Iraanse ambities om een kernwapen te bouwen. TLP:Black’s Raiu betoogt dat het aanvallen op Iran de meest waarschijnlijke verklaring is, afgezien van een loutere mogelijkheid – een theorie van “middelhoog vertrouwen” dat Fast16 “ontworpen was als een cyberaanvalpakket” dat zich richtte op het Iraanse AMAD-nucleaire project, een plan van het regime van Ayatollah Khameini om begin jaren 2000 kernwapens te verkrijgen.
“Dit is een andere dimensie van cyberaanvallen, een andere manier om deze cyberoorlog tegen het Iraanse nucleaire programma te voeren”, zegt Raiu.
Guerrero-Saade en Kamluk wijzen zelfs op een artikel gepubliceerd door het Institute for Science and International Security, waarin openbaar bewijs werd verzameld van Iraanse wetenschappers die onderzoek deden dat zou kunnen bijdragen aan de ontwikkeling van een kernwapen. In verschillende van deze gedocumenteerde gevallen werd bij het onderzoek van de wetenschappers gebruik gemaakt van de LS-DYNA-software waarvan Guerrero-Saade en Kamluk vonden dat deze een potentieel Fast16-doelwit was.
