首次揭秘：网络武器如何篡改核试验数据，破坏核武器研制

图：万拓（Vantor）卫星图像显示，伊朗塔莱甘二号地点在近几个月遭受轰炸后的受损情况。该地点位于帕尔钦军事综合体内，与伊朗2004年前的核武器项目“阿马德计划”有关。

来源：科学与国际安全研究所（ISIS）

前情回顾·隐秘的网络战线

• 隐秘战争：利用网络武器破坏精密计算，欲锁死对手国家科技上限

• 伊朗最高领袖之死幕后：首都摄像头、通信、基站长年被深度渗透控制

• 美军在“午夜之锤行动”中使用网络武器干扰伊朗防空系统

• 美军动用网络战和情报等能力支持抓捕马杜罗的军事行动

安全内参5月20日消息，研究人员证实，一种多年前已被发现、但直到最近才完成分析的特殊恶意软件，其设计目的在于破坏核武器测试模拟，以削弱测试效果并拖慢核计划进展。最早发现该代码的安全公司SentinelOne此前仅提出相关推测，而赛门铁克研究人员的最新报告则证实了这一判断。

这种名为Fast16的恶意代码，被设计用于破坏至少两种专用软件程序。2005年前后，这些程序被广泛用于模拟武器爆炸。根据赛门铁克技术总监维克拉姆·塔库尔（Vikram Thakur）以及赛门铁克安全技术与响应部门研究员埃里克·钱（Eric Chien）的说法，Fast16会悄悄替换模拟软件生成的合法数据，以伪造数据取而代之，并将其提供给监控模拟测试的工程师。

具体而言，它会等待模拟过程接近“超临界”阶段，也就是引发核爆炸链式反应即将开始之时，然后篡改与铀核心内部压力相关的数据，让工程师误以为压力不足以达到超临界状态，而真实数据实际上并非如此。

其目的似乎是诱导工程师认为测试结果没有实际那么成功，从而制造混乱，并拖慢Fast16所针对核计划的进展。

伊朗核项目被认为是攻击目标

核问题专家表示，根据代码中的细节以及其活跃时期，他们确信该恶意软件的目标是伊朗核武器项目。

物理学家、科学与国际安全研究所创始人兼主席戴维·奥尔布赖特（David Albright）向外媒Zero Day表示：“虽然我们不能排除2000年代初其他从事核武器研究的目标国家，例如朝鲜，或者可能还有叙利亚，但时间点、开发这种恶意软件所需的访问权限，以及它对铀相关数据的关注，都表明目标是伊朗核武器计划。”

该代码的运作方式与Stuxnet极为相似。Stuxnet是一种由美国和以色列开发的病毒，旨在破坏伊朗用于浓缩铀气体的离心机。它同样会向操作员提供虚假数据，使其误以为离心机运行正常，而实际情况并非如此。

Fast16仅比Stuxnet早约一年。根据代码中的证据，Fast16开发于2005年；而相关迹象表明，Stuxnet也在同一时期进入开发阶段，只是直到2007年才被投放到伊朗系统中。还有证据显示，Fast16很可能同样由美国、以色列或其盟友开发。

尽管Stuxnet是在Fast16出现两年后才被正式投放，但用于作为命令与控制服务器、与Stuxnet通信的域名，早在2005年11月便已注册。2006年初，美国还曾利用Stuxnet进行一次破坏性测试，以验证其概念可行性。测试结果随后提交给时任总统乔治·布什，在确认其能够成功后，他批准了这一秘密破坏行动。2006年5月，Stuxnet开发者更新了代码；2007年秋季，一名荷兰内线秘密将其植入伊朗系统。

这一系列情况表明，如果Fast16确实在2005年针对伊朗，且幕后操作者是美国或以色列，那么它实际上并不早于Stuxnet，而是与其同期存在。两者都属于美国及其盟友为拖慢并破坏伊朗核计划而展开的多管齐下的行动。

Stuxnet会提高离心机内部压力，使其失控旋转，同时向操作员提供虚假数据，让他们误以为离心机运行正常。Fast16则采用另一种方式，它向操作员提供关于核弹头测试的虚假数据，让工程师误以为测试异常，而实际上测试可能完全正常。

所有这些都表明，Fast16的故事，是西方长达20年阻止或破坏伊朗核计划行动中的最新篇章。

图：截至2025年6月12日，伊朗已知或被认为与核计划相关的一系列设施。红色标记为主要核设施。地图：托马斯·高尔金（Thomas Gaulkin）/Datawrapper。来源：核威胁倡议协会

Fast16是如何被发现的

目前尚不清楚Fast16的受害者是否曾在其系统中发现过该代码，但它的存在最早是在2017年在线泄露的一款美国国家安全局工具中，引起了SentinelOne研究与创新高级技术研究员胡安·安德烈斯·格雷罗-萨德（Juan Andres Guerrero-Saade）的注意。

该工具只是“影子经纪人”组织窃取并泄露的大量NSA工具中的一部分。Fast16代码本身并未直接出现在泄露内容中，但它在某款工具中的提及背景暗示，其可能由NSA或其盟友开发。它出现在此次泄露事件中，也进一步支持了一种观点：Fast16并非只是从未实际部署的概念验证代码，而是真正被投放到现实系统中的恶意软件。至于它究竟在何时被用于感染系统，目前仍不得而知。不过，2017年10月，有人将该代码样本上传至Virus Total网站，此后沉寂两年未被注意到。

Virus Total是一个供安全公司和网络攻击受害者上传可疑文件的平台，系统会调用多个杀毒引擎检测文件是否具有恶意。鉴于“影子经纪人”当时掌握大量NSA工具并威胁公开发布，其中某人很可能将该样本上传至Virus Total。

尽管可能还存在更早版本的代码，但这是研究人员迄今发现的唯一版本。

上个月，格雷罗-萨德与代表SentinelOne工作的独立安全研究员维塔利·卡姆卢克（Vitaly Kamluk）宣布，格雷罗-萨德早在2019年便已发现Fast16样本。在多年尝试却始终无法破解其功能后，他们决定借助AI分析其设计目的，并对结果感到震惊。他们表示，该代码会破坏用于执行高精度数学计算的软件应用程序，并推断其目标很可能是用于高精度物理属性模拟的软件。

这一系列情况表明，如果Fast16确实在2005年针对伊朗，且幕后操作者是美国或以色列，那么它实际上并不早于Stuxnet，而是与其同期存在。两者都属于美国及其盟友为拖慢并破坏伊朗核计划而展开的多管齐下的行动。

尽管格雷罗-萨德和卡姆卢克并不清楚Fast16具体针对哪种模拟软件，也不了解其试图破坏何种测试，但他们推测，它最有可能针对用于模拟核武器爆炸的软件。他们提出了三种可能的目标软件：常用于水系统建模的Modelo Hidrodinâmico、中国开发的PKPM，以及美国开发的LS-DYNA。由于已知伊朗曾使用LS-DYNA从事爆炸物研究，因此SentinelOne研究人员认为，这最可能是Fast16的目标。

如今，赛门铁克威胁狩猎团队上周发布的新分析证实，LS-DYNA确实是Fast16针对的软件之一，而该恶意代码的目的正是破坏利用该软件进行的核爆炸模拟测试。值得一提的是，该团队当年也曾参与破解Stuxnet。赛门铁克今天公布的研究成果，详细解释了Fast16如何干扰这些测试。与此同时，奥尔布赖特及其在科学与国际安全研究所的同事，也在今天发布了关于Fast16所针对核武器测试阶段的分析。

根据塔库尔和钱的说法，Fast16至少针对两种软件模拟程序——LS-DYNA和AUTODYN。它可能还针对第三种程序，但赛门铁克研究人员无法从代码中确认其身份。

图：伊朗视频展示核内爆系统的模拟爆炸。这正是Fast16所针对的同类模拟测试。以色列情报机构获取了一批来自伊朗的档案文件。在2018年的一次展示中，以色列总理利用这段视频及其他从伊朗获取的文件，试图证明伊朗从未放弃其核武器计划。

LS-DYNA于20世纪70年代在美国劳伦斯利弗莫尔国家实验室开发，并于20世纪80年代实现商业化。它被用于评估金属强度、碰撞冲击等物理现象，包括车辆和飞机撞击等场景。同时，它也被用于模拟核弹头所需的高压缩状态。AUTODYN则是由Ansys分发的一款类似软件，而Ansys如今也拥有LS-DYNA。根据多篇学术论文，两款程序在Fast16活跃时期都曾在伊朗使用。奥尔布赖特表示，它们都可用于模拟类似现象。

尽管这些程序能够用于多种模拟任务，但Fast16的关注点极其明确：它只会在程序模拟高爆炸药爆炸时介入。Fast16会识别当前使用的软件，并仅在确认程序正在模拟高爆炸药爆炸且采用特定模型时才启动。

核爆炸可以通过工程师和物理学家多年来开发的多种数学模型进行模拟。这些模型在压力、体积、密度以及各种相互作用状态方面各不相同。LS-DYNA和AUTODYN允许用户为特定模拟选择模型，而Fast16只有在使用其中三种特定模型之一时才会介入。

在解释Fast16具体行为之前，有必要先了解它被投放时的背景。

图：伊朗纳坦兹设施。该地建有两座大型地下大厅，可容纳5万台离心机用于浓缩铀气体，也是近期轰炸目标之一。来源：科学与国际安全研究所

伊朗核计划

2002年8月，伊朗反对派组织“全国抵抗委员会”在华盛顿特区召开新闻发布会，披露伊朗存在非法核武器计划，并涉及多个秘密设施。据信，这些信息来自长期追踪该计划的西方情报机构。

负责监督全球核计划的联合国机构国际原子能机构，随后要求进入这些地点。2003年2月，国际原子能机构首次获准进入相关设施。检查人员认定，伊朗并未按照《核不扩散条约》的要求，向国际原子能机构全面披露其核计划，而且该计划的发展程度远超外界预期。检查人员还怀疑，伊朗不仅是在为核电站浓缩铀，正如伊朗一直声称的那样，同时也在推进核武器计划。尽管检查人员发现了一些小规模核武器项目的迹象，但他们当时并不了解其完整规模，也未意识到伊朗实际上正在推进一个更大型的核武器项目，即代号“阿马德计划”的项目。这一点直到后来才逐渐浮出水面。

美国及其他国家随后向伊朗施压，要求其暂停核计划，直到国际原子能机构收集到更多信息，以确认该计划的发展程度，以及伊朗距离建成完整浓缩设施并获得制造核弹所需的足够浓缩铀还有多远。

2004年11月，伊朗同意在与欧盟谈判期间暂停相关活动。但到了2005年8月初，谈判陷入僵局，伊朗宣布退出暂停协议，并表示将继续推进核计划，包括首次在纳坦兹设施中进行铀气浓缩。

根据代码中的证据，到这一时期，Fast16实际上已经开发了一段时间，而Stuxnet计划也在同步推进。根据代码时间戳，Fast16于2005年8月30日完成编译。

奥尔布赖特指出，在2003年至2005年Fast16开发期间，情报机构相信伊朗仍拥有活跃的核武器计划，而相关模拟团队正在进行核爆炸建模工作。美国后来于2007年发布的一项情报评估称，伊朗在2003年已停止核计划中的武器部分。但以色列和德国情报机构长期坚持认为，虽然这一判断部分属实，但伊朗在2005年重新启动了相关项目。

奥尔布赖特认为，该计划确实重新启动了，但形式已发生明显变化。项目大部分资金被转移至其他领域，而核武器研究则以更小规模继续推进。他认为，研究工作仍在继续，只是不再进行动能测试，而是依赖计算机模拟，例如通过LS-DYNA和AUTODYN进行模拟。在缺乏其他核爆炸测试手段的情况下，这类软件模拟显得尤为关键，也因此成为情报机构的理想目标。

根据以色列于2018年获取的伊朗文件，在2003年项目暂停前，伊朗核武器计划已经因为设计缺陷和科学知识不足而遭遇困难。奥尔布赖特表示，这些问题很可能“持续到了Fast16活跃时期”。

图：伊朗前总统艾哈迈迪内贾德于2008年参观纳坦兹工厂离心机。艾哈迈迪内贾德于2005年至2013年担任伊朗总统。来源：伊朗总统办公室

Fast16的运作方式

SentinelOne此前已经描述过Fast16在首次感染系统时的部分行为。它会检查系统中是否安装了18种不同安全产品，如果发现其中任何一种，就不会感染该计算机。它还会自动传播至同一网络中的其他计算机，以确保所有运行模拟的设备都会产生相同的被篡改结果。Fast16还支持8至10个不同版本的LS-DYNA，因此无论目标计算机使用哪个版本，它都能实施破坏。

赛门铁克研究人员随后又发现了一些新细节。根据塔库尔的说法，这些针对不同版本的支持代码并非一次性加入，也不是随着LS-DYNA版本更新而依次添加。相反，它们似乎是无规律地逐步增加的。这表明，开发者可能是在长期监控目标工程师所使用的软件版本，并据此持续扩展支持范围。这意味着一种可能性：在Fast16操纵测试结果期间，工程师可能误以为问题出在软件本身，因此尝试切换LS-DYNA的新旧版本，以观察结果是否有所改善。

一旦恶意软件确认正确的模拟软件正在运行，它就会等待符合特定参数的高精度爆炸测试开始。测试启动后，Fast16会继续等待，直到模拟进入某个关键阶段。

当时，伊朗正在开发并测试用于球形内爆核武器的高爆炸药组件。这类武器的工作原理是：高爆炸药包裹在球形铀核心外围并被引爆。爆炸产生的冲击波会推动一种被称为“飞片”的金属结构，以极大力量撞击铀核心。这一过程会将铀核心压缩至高压高温状态，导致中子从铀中逸出。在高压条件下，这些中子会撞击原子核，引发裂变并释放更多中子。这些中子再继续撞击其他铀原子核，形成链式反应，最终产生核爆炸。

为了测试这种爆炸过程，伊朗利用模拟软件来确定需要多少炸药以及多大压力，才能达到触发链式反应的“超临界”状态。

模拟软件会通过数据流和图形记录这一极其快速的过程，使工程师能够进行研究并测试不同模型。通过大量模拟，工程师能够观察压力、密度和温度等变量在压缩过程中的变化情况。而Fast16正是在这一环节发挥作用。根据赛门铁克和奥尔布赖特的说法，该恶意软件会监控铀核心密度。当密度达到每立方厘米30克，也就是略低于压缩铀开始液化的临界点时，Fast16便会开始替换核心密度相关的真实数据，再将伪造结果显示到工程师监控的图表上。

它会利用虚假数据，让压力等指标看起来低于实际水平。工程师因此可能得出错误结论，认为设计失败，即铀核心未能达到超临界状态。

奥尔布赖特表示，如果恶意软件仅将真实数值下调1%至5%，图表上的变化对工程师而言未必显得异常，但仍足以让他们相信，施加在核心上的力量不足以达到超临界状态。工程师可能因此认为，需要重新调整数学计算，或者施加更强的爆炸力来压缩铀核心。然而，这一切努力都将徒劳无功，因为他们试图解决的问题本身并不存在。

但如果他们进一步增加炸药用量，或调整其他变量以提高压缩程度，反而可能引发新的问题。更糟的是，无论他们重复多少次模拟，依然无法得到理想结果。

奥尔布赖特表示：“我们认为，这可能具有极强的破坏性。其结果将是浪费时间和资源，并打击整个项目的士气。”

他们很可能不会第一时间怀疑计算机或软件遭到篡改。如今，在Stuxnet事件之后，人们或许会自然联想到网络攻击。但塔库尔指出，在2005年，计算机仍普遍被视为可靠和值得信任的工具。而且，由于Fast16会传播至内部网络中的其他计算机，即便工程师尝试使用不同设备，也仍会得到相同结果。

奥尔布赖特高度怀疑，这些错误计算最终会真正进入实际系统并导致意外爆炸。他认为，更可能出现的情况是：工程师意识到结果存在异常，却始终无法找出原因，从而陷入长期挫败。

这种情况可能削弱他们对设计方案的信心，并在团队内部制造紧张和冲突，因为他们一直在试图修复一个根本不存在的问题。最终，这种挫败感可能导致核武器研发计划出现重大延误。

所有这些都表明，其目标并不是破坏一枚已经制造完成的核弹，而是阻止它被制造出来，或者至少拖延足够长时间，以迫使伊朗重新回到谈判桌。

事实上，这也是Stuxnet的目标。该恶意软件并不是为了通过一次性灾难性破坏摧毁伊朗所有离心机，而是试图长期、渐进地造成损害，同时让工程师无法准确定位问题。所有这些，都是为了拖慢铀浓缩计划，为外交谈判争取时间。

图：卫星图像显示，伊朗帕尔钦综合体中的Shahid Boroujerdi地点近期遭轰炸后的破坏情况。Pleiades 2026，Airbus DS分发。来源：科学与国际安全研究所

Fast16与Stuxnet：独一无二的存在

尽管Fast16看起来是一种相对简单的恶意软件，但赛门铁克研究人员表示，它属于“极其特殊的级别”。因为开发它不仅需要深入理解目标软件和核物理过程，还必须准确掌握被测试材料的特性，以及实现预期效果所需的数据变化幅度。

塔库尔表示：“开发这种恶意软件所需的专业水平，以及后续执行过程中投入的人力资源，都极其惊人。”

他说，无论放在哪个时代，要完成这样的项目都需要非凡的知识和技术能力，而它竟然在2005年就已开发完成，“令人难以置信”。

尽管如此，Stuxnet仍是塔库尔及其同事所见过最先进的恶意软件。但在概念层面，Stuxnet与Fast16高度相似，因为两者都属于对数据完整性的攻击。此外，在这两种攻击中，攻击者都必须进入极难接触、物理隔离且高度安全的环境；他们必须精准了解环境运行机制；还必须实施高度精确的数据篡改，同时确保整个过程不被发现。

Stuxnet曾潜伏三年未被发现。直到它开始传播到纳坦兹之外的系统，并导致那些设备崩溃，人们才意识到它的存在。

然而，即便在被发现后，它仍以另一种方式持续破坏伊朗核计划：削弱工程师对计算机与设备的信任。它让人们开始怀疑，每一次设备故障背后，是否都存在人为破坏。Fast16同样如此。

这一特殊恶意代码的新发现，出现在一个极其关键的时刻。美国和以色列仍在试图消除伊朗核计划，只是这一次采用了不同方式。

迄今为止，针对伊朗的动能攻击尚未彻底摧毁该计划。但随着美国和以色列继续向伊朗施压，要求其达成协议，以终止或至少长期暂停相关计划，Fast16的披露再次提醒伊朗决策者和核工程师：核计划中的任何部分都无法摆脱数字破坏的威胁，没有任何地方是真正安全的。

参考资料：bleepingcomputer.com

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。