隐秘战争：利用网络武器破坏精密计算，欲锁死对手国家科技上限

前情回顾·隐秘的网络战线

• 美军在“午夜之锤行动”中使用网络武器干扰伊朗防空系统

• 伊朗最高领袖之死幕后：首都摄像头、通信、基站长年被深度渗透控制

• 美军动用网络战和情报等能力支持抓捕马杜罗的军事行动

• 美国监听世界的秘密武器暴露？保密多年的无线电加密代码存在后门

安全内参4月28日消息，长期以来，研究人员一直认为，针对伊朗纳坦兹核设施离心机的震网（Stuxnet）攻击，是首个国家支持的网络破坏行动。

事实表明，在Stuxnet于2010年被公开之前至少5年，就已经有人开发出一种同样强大的网络武器。该武器能够在高精度数学计算过程中注入几乎难以察觉的错误，从而逐步削弱并破坏依赖这些计算结果的系统和应用。

发现这一此前未被记录的恶意软件框架（追踪代号为fast16）的SentinelOne研究人员表示，这是迄今为止最早专门用于破坏“具有国家重要性的高成本高精度计算工作负载”的网络工具实例，例如先进物理、密码学和核研究等领域。

SentinelOne研究员Vitaly Kamluk表示：“fast16的发现改写了我们对网络武器能力的认知，也改变了我们对国家级网络破坏行动何时发展到足以对关键基础设施构成严重威胁的理解。”

重新定义网络武器

fast16通过引入微小的系统性误差，悄然篡改工程和科学软件的数学输出。这些误差几乎无法被发现，除非在完全独立且未受感染的系统上重新进行计算验证。

SentinelOne将fast16的传播机制比作“集束弹药”。它能够释放多个“蠕虫子体”，随后通过查找并利用目标环境中的漏洞，将主要载荷分发到尽可能多的机器上。

Kamluk表示，fast16标志着网络武器发展史上的一个重要转折点。“尽管它已有20年历史，我们至今仍未发现另一种专门以这种方式破坏高精度数学计算的恶意软件。”

大海捞毒针：一次偶然的发现

SentinelOne研究人员在追踪Windows恶意软件中嵌入Lua虚拟机的最早有效案例时，偶然发现了fast16。Lua是一种脚本语言，通常用于扩展应用程序功能。SentinelOne此前观察到，诸如Flame、Flame 2.0、PlexingEagle和Project Sauron等高度复杂的恶意软件框架，其作者持续在工具中嵌入Lua脚本引擎以增强模块化能力，因此希望追溯这一做法的起源。

他们最终发现了fast16，其部分组件可追溯至2005年，远早于已知最早的Stuxnet使用时间。Stuxnet被广泛认为是在地缘政治背景下首次部署的网络武器。对fast16的分析表明，它是首个基于Lua、针对高精度计算软件的网络蠕虫。

“fast16”这一名称曾出现在ShadowBrokers组织于2016年泄露的有关美国国家安全局进攻性网络武器的文件中。不过，SentinelOne并未将该恶意软件归因于美国国家安全局或任何其他实体。

值得注意的是，十多年前曾有人将该恶意软件上传至VirusTotal，但它几乎一直未被检测出来。SentinelOne表示，在VirusTotal上仅有一个引擎将其判定为恶意，即便如此，其判断置信度也只是中等。尽管这一情况看起来令人担忧，Kamluk指出，fast16“确实是一种较为古老的恶意软件”，只能在“如今基本已被淘汰的环境”中运行。

他表示：“坦率地说，我们认为能够捕捉到这一线索本身就相当幸运，因为其周围充斥着误导性的虚假线索。如果缺乏充分验证，很容易让其他研究人员得出错误结论。”

攻击目标瞄准三类计算软件

研究人员确认，fast16很可能针对三种软件套件：LS-DYNA 970、PKPM以及MOHID水动力建模平台。这些软件广泛应用于碰撞测试、结构分析和环境建模等场景。SentinelOne指出，有报道称伊朗曾在与核武器开发相关的计算机建模中使用LS-DYNA，这表明它可能在Stuxnet出现之前就已成为攻击目标。

然而，研究人员仍不清楚这些很可能属于国家行为体的开发者是否真正部署过该武器，其预期目标是什么，或在实际攻击中会产生何种影响。

Kamluk表示：“从地缘政治和国家层面来看，该恶意软件并未明确其部署地点。目标软件可能出现在任何地区。”

尽管如此，Kamluk仍评估fast16极有可能出自国家级行为体之手。“对执行高精度物理过程模拟的软件进行篡改，已超出普通开发人员的能力范围。这需要对特定领域具备深入理解，才能实现既细微又具有实际破坏效果的改动。”

年份古早但仍具备破坏能力的攻击武器

鉴于该软件年代久远，很难确定是否有组织曾成为fast16的受害者，目前只能对其潜在影响进行推测。

Kamluk表示，由于针对的是不同代际的系统，fast16无法在现代系统上运行。该恶意软件仅适用于单处理器的Windows XP系统，而这种环境如今已基本被淘汰。他还指出，即便在少数仍使用此类遗留系统的旧实验室中，通常也无法部署现代安全软件。

“不过，其底层攻击向量依然具有很强的现实意义。无论是金融交易、AI模型训练，还是各类仿真软件，高精度计算仍可能成为类似但经过现代化改造的威胁的目标。”

SentinelOne已发布规则，供组织用于检测旧系统或数据档案。

Kamluk表示：“发现fast16的真正意义在于识别出这种新颖且不同寻常的网络破坏攻击向量本身。”

参考资料：https://www.darkreading.com/cyber-risk/20-year-old-malware-rewrites-history-of-cyber-sabotage

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。