研究人员破解2005年恶意软件Fast16或曾用于干扰伊朗核计划
网络安全公司SentinelOne的研究人员Vitaly Kamluk和Juan Andrés Guerrero-Saade于2026年4月23日宣布,成功破解一款名为Fast16的恶意软件。该软件最早可追溯至2005年,具备在不被察觉的情况下篡改高精度计算与物理模拟软件结果的能力,可能被用于针对伊朗核计划的隐秘破坏行动。
Fast16通过Windows网络共享功能在局域网内自动传播,安装内核驱动Fast16.sys后,监控特定软件运行并篡改其计算过程。研究人员发现,其目标软件包括葡萄牙开发的水系统模拟软件MOHID、中国建筑科学研究院开发的PKPM,以及美国劳伦斯利弗莫尔国家实验室原研发的LS-DYNA。LS-DYNA被用于模拟核武器材料交互及弹道导弹再入大气层对核弹头的影响,伊朗科学家亦曾使用该软件进行相关研究。
该恶意软件的发现改写了国家支持网络攻击的历史。约翰霍普金斯大学网络安全研究所主任Thomas Rid指出,此类隐秘破坏行动可能早在2007年Stuxnet之前就已存在,且比此前认知更为隐蔽。Fast16的“版本控制”系统表明其可能被多次部署,目标不限于伊朗,或也曾用于其他核项目。
Fast16最初在2017年影子经纪人(Shadow Brokers)泄露的NSA工具中被提及,但其具体功能长期未知。2019年,Guerrero-Saade在VirusTotal中发现样本,2023年Kamluk通过逆向工程揭示其真实用途。AI工具曾误判其为根kits,实则为具有“蠕虫”功能的隐秘破坏软件。
研究人员强调,Fast16的复杂性仅与Stuxnet相媲美,属于高优先级、高资源投入的国家支持黑客行动。尽管NSA、ODNI等机构未回应置评请求,但其存在引发对关键基础设施计算安全的广泛担忧。Rid提醒,若为高价值目标(如核项目),可能无法再信任其计算机系统的历史计算结果。
Synopsys(现LS-DYNA维护方)、MOHID及PKPM开发者均未回应媒体置评请求。
编辑点评
Fast16的发现标志着国家支持网络攻击的演变进入新阶段,其首次揭示了‘隐秘篡改’而非‘直接破坏’的高级攻击模式。与Stuxnet物理破坏离心机不同,Fast16通过微调计算结果导致长期系统性失效,可能使目标国家在多年后仍无法识别攻击根源。这种‘认知战’级网络武器对全球安全体系构成深远挑战,尤其对核能、航空航天、基础设施等依赖高精度模拟的领域。
从地缘政治角度看,若Fast16确为针对伊朗AMAD计划的早期行动,这表明美国及其盟友早在2005年就已部署定向网络攻击,将网络战前置至‘研发阶段’,而非等待物理设施建成。这种战略预判与技术投入,凸显其对核扩散威胁的高度警惕,也反映了美伊长期对抗的技术化、隐蔽化趋势。
其‘版本控制’机制和多目标设计暗示该工具可能被重复使用于其他潜在对手,如朝鲜核计划中出现的多次‘意外失败’或与此类软件相关。未来,全球核能及高技术工业领域可能面临更普遍的‘信任危机’,各国需建立独立验证机制以抵御此类隐秘攻击。该事件也凸显当前网络安全监测体系的局限性,对国际法与网络空间治理提出新的挑战。