En cambio, Kamluk se dio cuenta de que se trataba de un código que se propagaba solo y que tenía intenciones muy diferentes. Utilizando lo que en el código se denomina funcionalidad “wormlet”, Fast16 fue diseñado para copiarse a otras computadoras en la red a través de la función de compartir red de Windows. Comprueba una lista de aplicaciones de seguridad y, si no hay ninguna, instala el controlador del kernel Fast16.sys en la máquina de destino.
Luego, este controlador del kernel lee el código de la aplicación a medida que se carga en la memoria de la computadora, monitoreando una larga lista de patrones específicos: “reglas” que le permiten identificar cuándo se está ejecutando una aplicación de destino. Al detectar el software objetivo, logra su objetivo aparente: alterar silenciosamente los cálculos que realiza el software para corromper imperceptiblemente sus resultados.
“Esto en realidad tenía una carga útil muy significativa, y casi todos los que lo vieron antes no lo notaron”, dice Costin Raiu, investigador de la consultora de seguridad TLP:Black, quien anteriormente dirigió el equipo que incluía a Kamluk y Guerrero-Saade en la firma de seguridad rusa Kaspersky, que realizó los primeros trabajos analizando Stuxnet y el malware relacionado. “Esto fue diseñado para ser un sabotaje muy sutil y de largo plazo que probablemente sería muy, muy difícil de notar”.
Al buscar software que cumpliera con los criterios de “reglas” Fast16 para un objetivo de sabotaje previsto, Kamluk y Guerrero-Saade encontraron sus tres candidatos: software MOHID, PKPM y LS-DYNA. En cuanto a la funcionalidad “wormlet”, creen que el mecanismo de propagación fue diseñado para que cuando una víctima vuelva a verificar los resultados de sus cálculos o simulaciones con una computadora diferente en el mismo laboratorio, esa máquina también confirme el resultado erróneo, haciendo aún más difícil descubrir o comprender el engaño.
En términos de otras operaciones de cibersabotaje, sólo Stuxnet está remotamente en la misma clase que Fast16, sostiene Guerrero-Saade. La complejidad y sofisticación del malware también lo ubican en el dominio Stuxnet de piratas informáticos patrocinados por el estado de alta prioridad y recursos. “Hay pocos escenarios en los que se lleve a cabo este tipo de esfuerzo de desarrollo para una operación encubierta”, dice Guerrero-Saade. “Alguien rompió un paradigma para ralentizar, dañar o detener un proceso que consideraba de importancia crítica”.
La hipótesis de Irán
Todo esto encaja en la hipótesis de que Fast16 podría, al igual que Stuxnet, intentar desbaratar las ambiciones de Irán de construir un arma nuclear. TLP: Raiu de Black sostiene que, más allá de una mera posibilidad, apuntar a Irán representa la explicación más probable: una teoría de “confianza media-alta” de que Fast16 fue “diseñado como un paquete de ciberataque” dirigido al proyecto nuclear AMAD de Irán, un plan del régimen del ayatolá Jameini para obtener armas nucleares a principios de la década de 2000.
“Ésta es otra dimensión de los ciberataques, otra forma de librar esta ciberguerra contra el programa nuclear de Irán”, afirma Raiu.
De hecho, Guerrero-Saade y Kamluk señalan un artículo publicado por el Instituto para la Ciencia y la Seguridad Internacional, que recopiló evidencia pública de científicos iraníes que llevaban a cabo investigaciones que podrían contribuir al desarrollo de un arma nuclear. En varios de estos casos documentados, la investigación de los científicos utilizó el software LS-DYNA que Guerrero-Saade y Kamluk descubrieron que era un objetivo potencial de Fast16.
