2005년, 정밀 계산 시스템을 파괴하는 사이버 공격의 등장
2005년에 개발된 fast16은 정밀 계산 소프트웨어를 대상으로 메모리 패치(Memory Patching)를 통해 결과를 조작하는 사이버 공격 프레임워크임.
Lua 가상 머신(Lua Virtual Machine)을 활용하여 모듈성을 확보하고, 자체 전파 메커니즘을 통해 시스템 전반에 걸쳐 부정확한 계산 결과를 생성함.
ShadowBrokers 유출 자료에서 fast16 관련 정보를 확인할 수 있으며, 당시에는 드물었던 정부 및 군사 관련 환경(Government and Military Environments)에서 사용된 것으로 추정됨.
댓글에서는 공격의 정밀 계산 대상(Precision Calculation Targets)과 결과 조작 방식(Result Manipulation)에 대한 궁금증과 함께, 과학 연구에 대한 사이버 공격의 도덕적 문제(Moral Corruption)를 지적함.
fast16의 기술적 특징: Lua 기반의 모듈형 아키텍처
fast16은 Lua 가상 머신(Lua VM)을 내장하여 모듈성을 확보하고, C/C++로 작성된 핵심 기능을 확장했다. 특히, svcmgmt.exe는 다양한 명령줄 인수에 따라 여러 동작 모드를 지원하며, 암호화된 Lua 바이트코드를 통해 구성, 전파, 커널 드라이버(fast16.sys)를 제어한다. 이러한 모듈형 설계(Modular Design)는 공격자가 특정 환경과 목표에 맞게 프레임워크를 유연하게 조정할 수 있도록 해준다.
정밀 계산 시스템을 겨냥한 공격: FPU 코드 조작
fast16.sys는 실행 파일의 코드를 메모리에서 수정하는 방식으로 작동하며, 특히 Intel C/C++ 컴파일러(Intel C/C++ Compiler)로 컴파일된 실행 파일을 대상으로 한다. 이 드라이버는 101개의 규칙을 사용하여 코드 패치를 수행하며, 그 중 FPU(Floating Point Unit) 코드 블록을 조작하여 수치 계산 결과(Numerical Results)를 변경한다. 이러한 방식은 일반적인 악성코드와 달리, 특정 과학 연구 및 엔지니어링 분야의 정밀 계산 결과를 의도적으로 왜곡하는 정밀 공격(Precision Attack)을 가능하게 한다.
ShadowBrokers 유출 자료와의 연관성
fast16은 2017년 ShadowBrokers 유출 자료에서 'fast16'이라는 이름으로 발견되었으며, 이는 NSA(National Security Agency)가 사용한 deconfliction signature와 연관되어 있다. svcmgmt.exe 내의 PDB 경로를 통해 2005년에 컴파일된 멀티 모달 캐리어 모듈과 정밀 공격을 위한 커널 드라이버(Kernel Driver)의 연관성을 확인할 수 있다. 이러한 연관성은 fast16이 단순한 악성코드를 넘어, 국가적 차원의 사이버 공격 도구(Cyber Attack Tool)로 개발되었음을 시사한다.
SCCS/RCS 기반의 코드: 오래된 개발 환경의 흔적
fast16 바이너리 내에서 발견된 @(#)par.h $Revision: 1.3$와 같은 SCCS/RCS(Source Code Control System/Revision Control System) 마커는 1970~80년대의 오래된 Unix 환경에서 사용되던 소스 코드 관리 시스템의 흔적이다. 이러한 특징은 fast16 개발자들이 윈도우즈(Windows) 환경에 익숙하지 않은, 정부 또는 군사 관련 환경에서 오랫동안 일해 온 엔지니어임을 나타낸다. 이는 fast16이 장기간에 걸쳐 개발된(Long-term Development), 고도의 기술력을 갖춘 공격 프레임워크임을 뒷받침한다.
