工業破壞的先驅 Fast16
在網路安全歷史中,Stuxnet 通常被視為第一個能夠對物理世界造成實質破壞的惡意軟體。然而,根據 Symantec 與 Carbon Black 等安全團隊的最新分析,早在 Stuxnet 出現前兩年,就已經存在一種名為 Fast16 的高度複雜工具。這款惡意軟體並非為了竊取資料,而是專門設計用來操縱核武器設計中至關重要的鈾壓縮模擬計算,將其導向錯誤的結果,從而實現對核武研發的隱蔽破壞。
針對模擬軟體的精準打擊
Fast16 的目標並非一般的作業系統,而是特定的工程模擬軟體,主要是 LS-DYNA 與 AUTODYN。這兩款軟體在工業界被廣泛用於模擬車輛碰撞、材料建模以及高能爆炸等物理現象。
對於初學者來說,可以將其想像成一種極其高級的 Hook 攔截技術。Hook 是一種技術手段,允許惡意程式攔截軟體在執行過程中的特定函數呼叫,並在不改變原程式碼的情況下,修改傳入或傳出的數據。Fast16 內建了 101 條攔截規則,這些規則能精準地辨識模擬過程中的數學計算。
最令人驚訝的是其觸發條件。Fast16 會監控模擬材料的密度,只有當密度超過 30 g/cm³ 時才會啟動操縱。在物理學上,這個數值是鈾在內爆裝置的衝擊壓縮下才能達到的閾值。這意味著惡意軟體能夠區分一般的物理模擬與真正的核武設計模擬,僅在關鍵的核武模擬運行時才篡改結果,讓研究人員在不知情的情況下得到錯誤的數據。
系統化的維護與擴散策略
分析顯示,Fast16 並非一次性的攻擊工具,而是一個經過長期維護的框架。研究人員發現其攔截規則被分為 9 到 10 個群組,每個群組對應不同版本的模擬軟體。
這種設計揭示了攻擊者的兩種策略。首先,他們持續追蹤目標軟體的更新版本並同步更新攻擊代碼。其次,當使用者發現模擬結果異常而將軟體版本降級時,Fast16 依然擁有針對舊版本的攔截規則,確保破壞能持續生效。
在傳播與生存方面,Fast16 具有自動在同網路端點擴散的能力,確保所有執行模擬的機器產出的結果一致,避免因單機數據差異而引起懷疑。同時,它具備環境感知能力,若偵測到電腦安裝了特定的安全產品,則不會進行感染,以降低被安全專家發現的風險。
技術門檻與國家級背景
開發 Fast16 所需的知識遠超一般的程式開發。開發者必須精通 EOS(Equation of State,狀態方程式,用於描述物質在極端壓力與溫度下的物理狀態)、不同編譯器產生的呼叫約定(Calling Conventions),以及深厚的核物理領域知識。在 2005 年就能將這些專業知識轉化為自動化破壞工具,其技術水準令人震驚。
根據證據,Fast16 出現在 2017 年由 The Shadow Brokers 洩露的資料中,這些工具被認為與 Equation Group 有關,而該組織被懷疑與美國國家安全局(NSA)有深厚聯繫。
從 Fast16 到 Stuxnet,我們可以看到一種攻擊邏輯的演進:從操縱模擬軟體中的物理過程(數位世界的虛擬破壞),演進到操縱 PLC(Programmable Logic Controller,可程式化邏輯控制器,用於控制工業設備的硬體),直接破壞物理設備(現實世界的實體破壞)。這證明了國家級攻擊者在二十年前就已經將網路武器化,將其作為干預他國戰略研發的手段。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。