Uma empresa de segurança confirmou recentemente que um malware “Fast16”, descoberto há muitos anos, mas que só recentemente foi totalmente analisado, foi usado para interferir secretamente em testes de simulação de explosão de armas nucleares. O objectivo não era destruir directamente as armas, mas sim adulterar os dados dos testes para induzir os engenheiros a pensar que o teste nuclear falhou, retardando assim o avanço do programa nuclear.

De acordo com a última análise da equipe de caça a ameaças da empresa de segurança Symantec, o "Fast16" tem como alvo pelo menos dois softwares de simulação de alta precisão - LS-DYNA e AUTODYN, substituindo secretamente dados de teste importantes quando são usados ​​para simular os processos físicos de altos explosivos e ogivas nucleares. O código malicioso entrará em ação quando a simulação estiver próxima do estado “supercrítico” e adulterará silenciosamente os valores exibidos na frente dos engenheiros, fazendo-os acreditar erroneamente que a pressão central não é suficiente para desencadear uma reação nuclear em cadeia.

Especialistas nucleares salientaram que, a julgar pelos detalhes do código e pelo seu período ativo, o alvo do "Fast16" é quase certamente o programa inicial de armas nucleares do Irão. David Albright, fundador do Instituto para a Ciência e Segurança Internacional, um grupo de reflexão dos EUA, disse que embora fosse teoricamente possível visar outros países envolvidos na investigação e desenvolvimento de armas nucleares na altura, o momento, o acesso necessário para o desenvolvimento e o foco nos materiais de urânio apontavam todos os esforços de armas nucleares do Irão como o alvo mais provável. Ele enfatizou: “Não podemos excluir completamente países como a Coreia do Norte ou a Síria, mas quando todos os factores-chave são somados, o programa de armas nucleares do Irão ainda é o alvo mais convincente”.

Comparado com o conhecido "Stuxnet", o "Fast16" não é anterior, mas outra "arma digital" que apareceu aproximadamente ao mesmo tempo. O código para "Fast16" foi compilado em 30 de agosto de 2005, e as evidências sugerem que o Stuxnet começou a ser desenvolvido na mesma época, embora o último não tenha sido "descartado" nos sistemas de centrífugas do Irã até 2007. O "Stuxnet" minou silenciosamente as capacidades de enriquecimento de urânio do Irã, manipulando a operação de centrífugas e falsificando dados de monitoramento; "Fast16" trabalhou em outra frente - não destruiu equipamentos físicos, mas fez com que a equipe de projeto de armas nucleares perdesse o conhecimento preciso dos resultados da simulação.

Os investigadores observaram que o Fast16 teve como alvo uma fase crítica no processo de compressão altamente explosivo: quando a densidade do núcleo de urânio na simulação atingiu cerca de 30 gramas por centímetro cúbico – logo abaixo do limite de densidade em que o urânio comprimido começaria a liquefazer – o malware começou a interceptar e a adulterar os dados. Os parâmetros físicos reais são substituídos por valores falsos alguns pontos percentuais inferiores. As flutuações parecem normais no gráfico, mas são suficientes para que os engenheiros tirem a conclusão errada de que “a pressão é insuficiente e o projeto falhou”. Isso obrigará a equipe a ajustar constantemente os cálculos, aumentar a carga explosiva ou modificar o projeto estrutural, desperdiçando tempo e recursos em intermináveis ​​“caça aos bugs” e disputas internas.

A equipe da Symantec também descobriu que o "Fast16" oferece excelente adaptação a múltiplas versões do LS-DYNA e que esses suportes não aumentam linearmente na ordem dos lançamentos de software, mas são "aumentados" para compensar isso. Isso significa que o invasor provavelmente continuará a obter informações sobre quando a equipe de engenharia alvo mudou para qual versão do software de simulação e atualizará o código malicioso de acordo para garantir que, independentemente de como o alvo seja atualizado ou revertido, os resultados da simulação continuarão a ser manipulados. Ao mesmo tempo, o malware também se propagará lateralmente dentro da rede interna, fazendo com que qualquer terminal usado para executar a simulação produza os mesmos dados adulterados, reduzindo ainda mais a probabilidade de a vítima suspeitar que o sistema foi comprometido.

A existência do “Fast16” foi notada pela primeira vez por pesquisadores de segurança por meio de um documento de ferramenta vazado da Agência de Segurança Nacional dos EUA (NSA) em 2017. Essas ferramentas foram roubadas pelo misterioso grupo de hackers “Shadow Brokers” e lançadas em lotes. O “Fast16” mencionado no documento é descrito como uma capacidade de ataque que é realmente colocada em uso, e não como uma prova de conceito que permanece em laboratório. Embora nenhuma amostra real tenha vazado na época, uma amostra “Fast16” foi carregada na plataforma de detecção de malware VirusTotal em outubro de 2017 e permaneceu despercebida pelos próximos dois anos. Não foi até que o pesquisador do SentinelOne, Juan Andres Guerrero-Saade, descobriu esta amostra em 2019 e se uniu ao pesquisador independente Vitaly Kamluk para usar inteligência artificial para desmantelar suas funções, e sua essência para cálculos de simulação de alta precisão foi inicialmente revelada.

Na altura, a equipa do SentinelOne especulou que o “Fast16” foi provavelmente concebido para perturbar o software de computação utilizado para simular detonações nucleares e listou o LS‑DYNA como um dos alvos mais prováveis ​​porque a informação pública revelou que o Irão tinha utilizado o software na investigação de detonações. Agora, a análise técnica mais recente da Symantec confirma isso e confirma ainda que o AUTODYN também está dentro do alcance do ataque. Ambos os softwares são ferramentas comumente usadas na indústria e nos círculos de pesquisa científica. Eles podem ser usados ​​para estudar uma série de cenários físicos de alta pressão, como resistência do metal, impacto de colisão, aeroespacial e segurança de veículos. Eles também são adequados para simular o comportamento de ogivas nucleares sob compressão altamente explosiva.

Para compreender o funcionamento do “Fast16”, precisamos de regressar ao contexto histórico do programa nuclear do Irão. Em 2002, o grupo de oposição exilado do Irão, o Conselho Nacional de Resistência, realizou uma conferência de imprensa em Washington, revelando que o Irão estava a avançar secretamente no seu programa de armas nucleares. Muitas instalações que não tinham sido comunicadas à Agência Internacional de Energia Atómica (AIEA) foram expostas. Em 2003, uma inspecção local da AIEA concluiu que as actividades nucleares do Irão excediam em muito o que era obrigado a divulgar ao abrigo do Tratado de Não Proliferação de Armas Nucleares e que havia sinais suspeitos de utilização militar. Sob pressão internacional, o Irão concordou em suspender temporariamente algumas actividades nucleares em 2004 e iniciar negociações com a União Europeia; contudo, no Verão de 2005, as negociações fracassaram e o Irão anunciou o reinício das actividades de enriquecimento e promoveu a instalação e operação de centrifugadoras nas instalações de Natanz.

Os investigadores de segurança inferem que foi entre 2003 e 2005 que as agências de inteligência determinaram que o Irão ainda continuava a investigação relacionada com armas nucleares, especialmente no "Projecto Amad" (Projecto Amad), que utilizou simulações de computador para compensar as limitações da escala limitada de testes de explosão ao vivo. Albright destacou que a comunidade de inteligência dos EUA emitiu uma avaliação em 2007 de que o Irão suspendeu o seu programa de armas nucleares em 2003, mas as agências de inteligência em países como Israel e Alemanha há muito acreditam que o Irão retomou o trabalho relacionado de uma forma mais secreta e com financiamento reduzido em 2005. Nesta fase, as experiências físicas são limitadas e o estatuto da simulação por computador é elevado, o que também significa que a destruição precisa do software de simulação se tornará um caminho de ataque muito rentável.

"Fast16" foi projetado como uma ferramenta de "destruição suave" muito secreta. Ele não infecta precipitadamente todos os hosts alvo. Em vez disso, primeiro verifica se 18 produtos de segurança específicos estão instalados no sistema. Assim que esse software de proteção for encontrado, ele será encerrado automaticamente para reduzir o risco de ser capturado e analisado. Depois de entrar furtivamente no ambiente de simulação, ele não aciona ativamente nenhuma anomalia óbvia. Em vez disso, ele começa a funcionar quando detecta que a simulação de alto explosivo foi iniciada e usa um modelo matemático específico. Simulações de explosões nucleares podem usar uma variedade de modelos matemáticos diferentes. A diferença está na descrição de variáveis ​​como pressão, volume, densidade e sua interação sob condições extremas. O “Fast16” só intervém na adulteração quando detecta que três dos modelos específicos estão habilitados para garantir a precisão e eficácia do ataque.

Em termos de projeto de armas nucleares, acredita-se que o Irã tenha conduzido testes de componentes altamente explosivos para dispositivos de implosão esféricos: altos explosivos são revestidos uniformemente na parte externa de um núcleo esférico de urânio, e ondas de choque são geradas através da ignição, empurrando "pedaços voadores" de metal para dentro para atingir o núcleo de urânio como um martelo, fazendo com que ele entre em um estado de alta pressão e alta temperatura. Neste estado, os nêutrons liberados do núcleo do urânio colidem frequentemente com outros núcleos atômicos, desencadeando uma reação de fissão em cadeia, conseguindo assim uma explosão nuclear. Os engenheiros ajustam constantemente o layout do explosivo, o tempo de detonação e os parâmetros do material por meio de simulação para encontrar a solução ideal para atingir o estado “supercrítico”, e o “Fast16” altera os números que lêem durante esse processo crítico.

A análise de Albright acredita que se o malware reduzir apenas ligeiramente o valor real em 1% a 5%, as alterações da curva no gráfico parecerão completamente normais a olho nu, mas é suficiente para mudar o julgamento do engenheiro sobre os resultados. Eles podem pensar que o impacto é insuficiente, a compressão não é suficiente ou o projeto é falho, então ajustam repetidamente o modelo e a configuração da carga, e cada simulação executada levará a conclusões manipuladas e errôneas. Nesse caso, o objetivo do ataque não é fazer com que uma determinada explosão “fora de controle”, mas continuar a atrapalhar o ritmo de desenvolvimento, consumir a confiança da equipe, criar atritos internos e dúvidas sobre o plano de design, desacelerando assim o processo geral de desenvolvimento de armas nucleares.

O pesquisador da Symantec, Vikram Thakur, apontou que "Fast16" pode parecer tecnicamente simples, mas é um dos "muito poucos ataques de elite" porque exige que o invasor não apenas seja proficiente nos mecanismos internos do software alvo, mas também tenha uma compreensão profunda dos processos físicos nucleares, propriedades dos materiais e como alcançar o efeito enganoso desejado com alterações mínimas. Ele acredita que a criação de um malware de “ataque e defesa à integridade de dados” baseado em conhecimento de engenharia de precisão em 2005 é “raro em qualquer época e ainda mais inimaginável na época”.

Apesar disso, Thakur enfatizou que o Stuxnet ainda é um dos códigos maliciosos mais avançados já vistos em termos de complexidade. O que os dois têm em comum é que ambos concentram os seus ataques no “nível dos dados”: adulterando a saída de dados do sistema em vez de danificar diretamente o hardware, permitindo que a vítima se perca nas informações erradas. Ao mesmo tempo, os invasores devem romper ambientes de segurança altamente isolados e fisicamente isolados, compreender com precisão como esses ambientes operam e implementar modificações extremamente sofisticadas sem serem descobertos.

O Stuxnet não foi descoberto até se espalhar para sistemas fora de Natanz e causar um travamento. Ficou adormecido por cerca de três anos. Depois de ter sido exposto, o impacto no programa nuclear do Irão não se limitou aos danos físicos, mas incluiu também a destruição da confiança em todo o sistema de engenharia: desde então, os engenheiros iranianos mantiveram um elevado grau de suspeita de qualquer falha. Mesmo o envelhecimento normal do equipamento ou erros acidentais podem ser suspeitos de serem resultado de sabotagem externa. A Symantec acredita que os factos revelados pelo "Fast16" também exercerão pressão psicológica sobre o projecto nuclear do Irão: lembra aos decisores e ao pessoal técnico que mesmo os dados escondidos em software de simulação informática podem não ser fiáveis.

Os investigadores geralmente acreditam que o “Fast16” e o “Stuxnet” são provavelmente parte de uma operação maior e multifacetada lançada pelo Ocidente contra o programa nuclear do Irão. Ao longo das últimas duas décadas, os Estados Unidos e os seus aliados continuaram a utilizar diferentes métodos, que vão desde ataques cibernéticos a ataques direccionados, para tentar atrasar ou impedir o Irão de adquirir capacidades de armas nucleares. Os tradicionais “ataques cinéticos” não destruíram completamente a infra-estrutura nuclear do Irão, e a recém-divulgada história “Fast16” acrescenta um novo capítulo a este jogo de longo prazo: mostra como, além da pressão militar tradicional, através da destruição digital que parece suave mas que na verdade penetra profundamente no núcleo, o calendário e as fichas políticas do projecto nuclear podem ser alterados sem desencadear uma explosão em grande escala.

Numa altura em que os Estados Unidos e Israel ainda estão a tentar limitar o programa nuclear do Irão através de pressão e negociações, a exposição de "Fast16" é vista como um aviso: para os decisores políticos e engenheiros nucleares do Irão, a chamada "fronteira de segurança" está a tornar-se cada vez mais confusa, e qualquer ligação - mesmo software de simulação aparentemente neutro e fiável em laboratório - pode tornar-se um ponto de entrada para sabotadores digitais.