文章总结： SentinelOne研究人员破解了2005年创建的Fast16恶意软件，其可通过蠕虫式传播篡改MOHID、PKPM和LS-DYNA等工程软件的计算结果，可能导致科研错误或设备故障。证据表明该工具可能早于震网病毒用于破坏伊朗核项目，揭示了国家支持的网络破坏行动历史早于预期。 综合评分： 87 文章分类： 恶意软件,漏洞分析,威胁情报,网络安全,红队

或改写历史，早于震网的Fast16曝光：21年前美国打造的“计算破坏者”浮出水面，中国一建筑工程软件竟是其打击目标

原创

网空闲话 网空闲话

网空闲话plus

2026年4月24日 08:15 北京

在小说阅读器读本章

去阅读

2026年4月23日，安全媒体WIRED报道了一项重大发现：网络安全公司SentinelOne的研究人员维塔利·卡姆柳克和胡安·安德烈斯·格雷罗-萨德成功破解了名为Fast16的神秘恶意软件。该恶意软件可追溯至2005年，约21年前，很可能由美国政府或其盟友创建。其目的极为隐蔽——通过网络自动传播，之后悄然篡改某些高精度数学计算和物理模拟软件的结果，导致从科研错误到现实设备灾难性损坏的各类故障。

Fast16的谜团始于2017年“影子经纪人”泄露的NSA工具集，其中一条针对“fast16”的指令写着“这里没什么可看的——继续执行”，暗示该恶意软件属于NSA或盟友，不应干扰。2019年，格雷罗-萨德在VirusTotal上找到了一个名为svcmgmt.exe的样本，内含编译于2005年的内核驱动Fast16.sys。直到三个月前，卡姆柳克才开始逆向工程，最终发现Fast16并非之前认为的rootkit，而是一种利用“蠕虫小工具”自我复制、在内存中劫持目标软件计算过程的破坏性武器。

研究人员确定了三种可能被针对的软件：葡萄牙的MOHID水系统建模软件、中国的PKPM建筑工程软件，以及最关键的LS-DYNA物理模拟软件。LS-DYNA由曾任职于美国劳伦斯利弗莫尔国家实验室的科学家开发，被伊朗科学家用于核武器相关研究，如炸药特性和弹头再入大气层模拟。据此，研究人员提出高置信度假说：Fast16可能早在2000年代中期就被用于破坏伊朗的AMAD核项目，甚至早于著名的震网病毒，是NSA与以色列联合开展的“奥运会”计划的前身。

专家指出，Fast16的发现改写了国家支持黑客攻击的历史，证明欺骗性破坏行动远比此前认知出现得更早、更隐蔽。该恶意软件的存在也引发对关键基础设施计算结果的深刻信任危机——对于高价值目标而言，可能数十年来计算机得出的结论都不可信。

以下为报道原文，有兴趣都可细精读。

连线记者安迪·格林伯格，2026年4月23日 下午6:00

最新破解的破坏性恶意软件可能曾瞄准伊朗核计划——且早于震网

研究人员终于破解了Fast16，这是一种能够悄无声息地篡改计算和模拟软件的神秘代码。它创建于2005年——很可能由美国或其盟友部署。

在国家支持的黑客攻击史上，以破坏为目标的网络行动范围广泛——从摧毁目标计算机数据的粗糙“擦除”攻击，到传奇的震网（Stuxnet）病毒。美国和以色列于2007年在伊朗首次部署震网，用以悄然加速核浓缩离心机的旋转，直至其自我毁灭。如今，研究人员发现了这一数十年网络破坏技术演进中的新篇章：一个21年历史、能够篡改研究和工程软件以不可察觉地制造混乱的恶意软件样本——它可能在震网之前就被用于伊朗。

网络安全公司SentinelOne的两名研究人员维塔利·卡姆柳克（Vitaly Kamluk）和胡安·安德烈斯·格雷罗-萨德（Juan Andrés Guerrero-Saade）周四宣布，他们在名为Fast16的恶意软件谜团中取得突破。自2017年NSA泄露事件首次揭示其存在以来，该代码的目的一直困扰着网络安全界。SentinelOne研究人员现已对Fast16代码进行了逆向工程，他们称该代码可追溯到2005年，很可能由美国政府或其一个盟友创建。

卡姆柳克和格雷罗-萨德确定，Fast16恶意软件旨在执行野外恶意软件工具中有史以来最隐蔽的破坏形式：通过网络自动传播，然后悄然操纵某些执行高精度数学计算和模拟物理现象的软件应用程序中的计算过程。Fast16可以改变这些程序的结果，导致从错误的研究成果到现实世界设备的灾难性损坏等一系列故障。

“它专注于对这些计算进行微小改动，从而导致故障——非常隐蔽、可能不会立即显现的故障。系统可能加速磨损、崩溃或宕机，科研可能得出错误结论，可能造成严重伤害，”卡姆柳克说。他和格雷罗-萨德将在新加坡举行的黑帽亚洲网络安全会议上展示他们的Fast16研究结果。“老实说，这是一场噩梦。”

在对Fast16的分析中，卡姆柳克和格雷罗-萨德发现了该恶意软件可能被设计篡改的三类物理模拟软件：由葡萄牙开发人员为水系统建模创建的Modelo Hidrodinâmico（简称MOHID）软件；中国建筑工程软件PKPM；以及最值得注意的物理模拟软件LS-DYNA——这是一款最初由曾在美国劳伦斯利弗莫尔国家实验室工作的科学家创建的应用程序，现用于模拟从鸟类与飞机碰撞到起重机部件抗拉强度等各种场景。

在这些可能性中，卡姆柳克和格雷罗-萨德指出证据特别指向一个理论：根据科学与国际安全研究所（ISIS）的信息，伊朗科学家也曾使用LS-DYNA进行可能有助于其核武器计划的研究。该研究所还指出，该软件可用于模拟与核武器研究相关的物理问题，例如核武器中金属的相互作用以及弹道导弹再入大气层对核弹头的影响。

所有这些都表明，Fast16可能在2000年代中期被专门用于颠覆伊朗获得核武器的企图——甚至可能在震网以更直接的破坏形式实现同一目标之前数年，作为NSA与以色列8200部队黑客联合开展的“奥运会”计划的一部分。

“我们正在研究的很可能就是奥运会计划的一个早期前身。这很符合，对吧？”格雷罗-萨德说。“我们想成为优秀、客观的研究人员，但这真的并不牵强。”

无论这一理论是否成立，约翰·霍普金斯大学阿尔佩罗维奇网络安全研究所所长托马斯·里德（Thomas Rid）表示，对Fast16的新分析改写了国家支持的黑客历史。“这意味着欺骗性破坏行动从比我们想象的早得多的时期——可能从一开始——就已成为网络行动手册的一部分，”里德说。“而且它们看起来比我们之前理解的要隐蔽得多。”

“这里没什么可看的——继续执行”

Fast16的谜团首次浮出水面是在2017年4月，当时一个身份不明的黑客组织“影子经纪人”（Shadow Brokers）不知以何种方式获取并将大量NSA工具泄露到公开互联网上。其中一个名为“领土争端”（Territorial Dispute）的工具，似乎旨在帮助正在入侵全球网络的NSA操作员避免与其他黑客行动发生冲突。该工具由匈牙利研究员博尔迪扎尔·本克萨特（Boldizsár Bencsáth）首次深入分析，其中包含一长串恶意软件样本，包括一些被NSA和其他“友好”机构使用的样本，以及关于何时“撤退”以避免被对手入侵行动发现的指令。

在所列样本中，有一个带有完全独特标签的样本。对于被称为“fast16”的恶意软件，“领土争端”工具告诉NSA操作员：“这里没什么可看的——继续执行”。此后的几年里，研究人员推测，这一奇怪的指令很可能意味着Fast16是NSA、美国情报界的另一个机构或承包商、或者某个盟友情报机构的作品——NSA黑客不应干扰它。

然而，由于影子经纪人的泄露似乎并未包含任何实际名为Fast16的软件，关于该恶意软件的其他一切都是未知的。直到2019年，格雷罗-萨德才在VirusTotal（谷歌旗下的恶意软件代码库）的存档中找到了一个Fast16样本。在搜索代码中包含一个用于运行Lua编程语言的特定引擎（此前曾在多个高度复杂的国家支持恶意软件中出现过的特征）的恶意软件样本时，格雷罗-萨德发现了一个看似无害的应用程序，名为svcmgmt.exe。

经过更仔细的检查，格雷罗-萨德发现它包含一个内核驱动程序——一种设计用于操作系统最深、最高特权级别运行的代码——名为Fast16.sys，其编译时间似乎为2005年（格雷罗-萨德拒绝透露谁上传了该代码，因为VirusTotal不鼓励用户试图识别上传者）。

然而，尽管格雷罗-萨德有所发现，但仍花了七年时间才有人确定Fast16实际做了什么。在相对较小的、对14年历史的恶意软件样本感兴趣的网络安全研究者群体中，大多数人乍一看认为它是一种被称为rootkit的恶意软件，以内核驱动程序的形式更好地隐藏于计算机中，通常用于隐蔽的间谍活动。

直到三个月前，格雷罗-萨德在SentinelOne的同事卡姆柳克才决定尝试对Fast16恶意软件进行逆向工程，作为一项将自己技能与AI工具进行比较的实验的一部分。就在两周前，他有了一个令人惊讶的发现：Fast16不是rootkit（五种不同的顶级AI工具都错误地认为它是）。

相反，卡姆柳克看到它是一个具有完全不同意图的自我传播代码。利用代码中被称为“蠕虫小工具”（wormlet）的功能，Fast16被设计为通过Windows网络共享功能将自身复制到网络上的其他计算机。它检查一系列安全应用程序，如果没有发现，则在目标机器上安装Fast16.sys内核驱动程序。

然后，该内核驱动程序在应用程序加载到计算机内存时读取其代码，监控一长串特定模式——“规则”，使其能够识别目标应用程序何时运行。当检测到目标软件时，它执行其明显的目标：悄无声息地篡改软件正在运行的计算，以难以察觉的方式破坏其结果。

“这实际上内部有一个非常重要的有效载荷，以前看过它的人几乎都错过了，”安全咨询公司TLP:Black的研究员科斯廷·拉伊乌（Costin Raiu）说。他曾领导包括卡姆柳克和格雷罗-萨德在内的卡巴斯基团队，该团队早期分析了震网及相关恶意软件。“这是设计用于长期、非常隐蔽的破坏，很可能非常非常难以察觉。”

通过搜索符合Fast16“规则”以确定预期破坏目标的软件，卡姆柳克和格雷罗-萨德找到了三个候选：MOHID、PKPM和LS-DYNA软件。至于“蠕虫小工具”功能，他们认为传播机制的设计是为了：当受害者用同一实验室的另一台计算机复核他们的计算或模拟结果时，那台机器也会确认错误的结果，从而使欺骗更加难以发现或理解。

格雷罗-萨德认为，在其他网络破坏行动中，只有震网勉强与Fast16属于同一级别。该恶意软件的复杂性和精密度也将其置于震网所在的高优先级、高资源国家支持的黑客领域。“很少有需要付出这种开发努力来实施秘密行动的场景，”格雷罗-萨德说。“有人颠覆了一种范式，以减缓、破坏或扰乱他们视为至关重要的某个过程。”

伊朗假说

所有这些都与以下假说吻合：Fast16可能像震网一样，旨在破坏伊朗建造核武器的野心。TLP:Black的拉伊乌认为，这不仅仅是一种可能性，瞄准伊朗是最合理的解释——一个“中高置信度”的理论，即Fast16是“设计为网络打击包”，目标是伊朗的AMAD核项目——这是阿亚图拉·哈梅内伊政权在2000年代初获取核武器的计划。

“这是网络攻击的另一个维度，是对伊朗核计划发动网络战的另一种方式，”拉伊乌说。

事实上，格雷罗-萨德和卡姆柳克引用了一篇由科学与国际安全研究所（ISIS）发表的论文，该论文收集了伊朗科学家进行可能有助于核武器开发研究的公开证据。在这些有记录的几个案例中，科学家们的研究使用了格雷罗-萨德和卡姆柳克发现的潜在Fast16目标软件LS-DYNA。

ISIS的论文指出，一项研究使用LS-DYNA比较了两种不同炸药PBXN-110和Octol的特性，这两种炸药可用于触发核弹头。论文指出，Octol是伊朗AMAD项目的关键组成部分。虽然那篇比较炸药特性的研究论文发表于2018年，但格雷罗-萨德和卡姆柳克指出，LS-DYNA已使用数十年，包括在AMAD项目期间。

研究人员还指出，Fast16很可能被多次用于不同目标，甚至在不同国家。该恶意软件的代码中包含一个“版本控制系统”的证据，以及格雷罗-萨德和卡姆柳克分析的样本不是该工具的第一个或唯一版本的线索。他们和拉伊乌都指出——没有下任何结论——在相同时期，朝鲜的核武器开发计划也经历了无数次无法解释的失败。“以这种开发水平，他们不是为了只运行一次而制造它的，”格雷罗-萨德说。

总部位于加利福尼亚、目前维护和销售LS-DYNA的Synopsys公司拒绝回应WIRED的置评请求。WIRED还联系了MOHID的开发者和开发PKPM的中国建筑科学研究院，但均未收到回复。

NSA和国家情报总监办公室均未回应WIRED的置评请求。

卡姆柳克表示，尽管关于其目标的理论尚存争议，但一个21年历史、能够以几乎不可察觉的方式篡改安全关键研究和工程的恶意软件样本的存在，是一个令人深感不安甚至引发偏执的发现——这让他对自己对计算机的信任产生了质疑，而这些计算机曾保障了从火车到飞机的一切安全。

“对于任何造成人员死亡的灾难或事故，”卡姆柳克说，“你不想滋生这些恐惧，但它自然会出现：是否存在网络角度？”

然而，约翰·霍普金斯大学的里德表示，Fast16长期未被发现这一事实表明它可能只针对少数目标以保持隐蔽性。他说，这应该能为任何因发现Fast16而感到不安的人提供一些安慰，让他们相信自己的计算机仍然可信——除了那些可能确实是罕见且高度复杂的国家支持黑客行动目标的人。

对于那少数潜在受害者，他说，Fast16理应引发不信任——不仅对今天的计算机，而且对这些机器计算过的所有东西，可能追溯到几十年前。“如果你是一个高价值情报目标，比如一个拥有强大对手的国家的核计划，那么你可能无法信任你的计算机，”里德说。“更糟糕的是：你永远无法信任它们。”

原文链接:https://www.wired.com/story/fast16-malware-stuxnet-precursor-iran-nuclear-attack/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《或改写历史，早于震网的Fast16曝光：21年前美国打造的“计算破坏者”浮出水面，中国一建筑工程软件竟是其打击目标》