資安界近期揭露一款追溯至 2005 年的國家級惡意程式「Fast16」,打破許多人對早期電腦病毒的認知。這款程式最早是在 2017 年駭客組織「影子掮客」(Shadow Brokers)洩露的美國國安局(NSA)內部清單中曝光,隨後樣本被上傳至 VirusTotal 卻沉寂多年,直到近期才透過 AI 技術解析出其真實目的。根據全球網路與企業資訊安全公司 Symantec 的最新分析,這款工具的唯一使命,就是神不知鬼不覺地搞砸核武測試的工程模擬。
與那些會讓電腦當機、設備停擺的粗暴手法不同,Fast16 悄悄鎖定工程界常用的 LS-DYNA 與 AUTODYN 這兩套平時能用來模擬車禍碰撞、材料受力的軟體,同時也是核爆高壓壓縮模擬的關鍵工具。這些模擬軟體之所以成為首選目標,是因為情報顯示當時伊朗已暫停核武的實體爆炸測試,全面轉向依賴電腦模擬,讓這類軟體成為阻斷核武計畫的高價值手段。
《Zero Day》報導,Fast16 就像潛伏在系統深處的幽靈,會把模擬軟體內的數據偷偷換成「假資料」,直接餵給螢幕前的工程師。美國 AI 資安公司 SentinelOne 更進一步指出,Fast16 整個攻擊的核心元件是名為 fast16.sys 的檔案系統驅動程式,能在系統讀取特定執行檔的瞬間,極度精準地在記憶體中竄改與修補資料。
Fast16 鎖定核武模擬,只在爆炸與鈾壓縮條件下啟動
Symantec 分析,Fast16 會像狙擊手一樣,緊盯 LS-DYNA 與 AUTODYN 兩套軟體裡的炸藥模擬,而且一定會在進行完整規模的爆炸測試時才會下手。為了確保不抓錯目標,Fast16 會偷偷檢查系統正在模擬的材料密度,並等到數值飆破 30 g/cm³ 時才會正式啟動竄改機制。Symantec 解釋,這個密度數值其實就是個「專屬暗號」,因為只有製造核彈的「鈾」,在內爆裝置的極度高壓壓縮下,才有可能達到這麼高的門檻。更嚴謹的是,Fast16 會精準辨識目標檔案的編譯環境,只有在讀取到含有特定標頭字串、確認是使用 Intel C/C++ 編譯器建立的執行檔時,才會著手進行修改。
在 LS-DYNA 的攻擊機制中,Fast16 會先確認狀態方程式(Equation of State,EOS)是否為 2(Jones-Wilkins-Lee)、3(Sack Tuesday)或 7(Ignition and Growth of Reaction in High Explosives),這些模型都與高性能炸藥模擬密切相關。另一方面,在 AUTODYN 的攻擊機制中,Fast16 則會檢查理想氣體(3)、JWL(5)、Lee-Tarver(11)等狀態方程式數值,並在記憶體中出現特定字串「$Loading co」後,才依不同軟體版本降低壓力等輸出值。
竄改實驗數據,讓成功模擬看起來像失敗
當模擬進入關鍵階段,Fast16 會等到模擬接近超臨界狀態,也就是可能引發核爆鏈式反應的階段,再改變鈾核心內部壓力相關資料。例如,Fast16 針對 LS-DYNA 的機制 B 會在材料密度達到 30 g/cm³ 後,把柯西應力張量輸出值,也就是 sig_xx、sig_yy、sig_zz,逐步降低到真實值的 1%。這種竄改並非直接劫持執行流程,而是透過注入複雜的浮點運算單元(FPU)指令,巧妙地對內部陣列進行數值微調。
這些假資料會讓壓力看起來低於實際狀況,工程師可能因此誤判設計未能讓鈾核心達到超臨界狀態,進而放慢研究進度。《Zero Day》引述核武專家 David Albright 的看法指出,這種錯誤結果可能讓工程師浪費時間、資源,並降低整個計畫的士氣。
Symantec 也補充,Fast16 不一定會讓使用者完全看不出異常,雖然數值對一般人而言看似合理,但單一輸出值被竄改可能導致模型回饋與相依數值出現不一致的現象,進一步混淆專家的判斷。為確保攻擊穩定性,Fast16 在系統安裝前甚至會主動避開 18 種常見的資安防護軟體,並透過 Windows 服務與檔案分享功能在目標內網橫向擴散,且被設計為絕不對外連線,這代表即使工程師懷疑電腦故障而換一台機器測試,依然會得到同樣的錯誤結果。
從 Fast16 到 Stuxnet,國家級網攻開始瞄準「資料完整性」
要理解 Fast16 的歷史定位,我們必須先提到資安史上最著名的數位武器之一「Stuxnet」。Stuxnet 是由美國與以色列共同開發的電腦病毒,曾經成功滲透並破壞伊朗用來濃縮鈾的實體離心機。
《Zero Day》報導,Fast16 的開發時間並沒有比 Stuxnet 早太多,兩者其實是在 2005 年左右同時醞釀的產物,這也暗示 Fast16 與 Stuxnet 很有可能並肩作戰,同屬於美國與其盟友為了拖延伊朗核武野心、迫使他們重返談判桌而發動的「多路線破壞行動(multi-pronged campaign)」。
雖然這兩種國家級武器的終極目標一致,但攻擊手法卻截然不同:Stuxnet 的策略是「破壞硬體並粉飾太平」,它會暗中增加離心機的壓力使其失控損壞,同時卻餵給系統操作員假的「正常」數據,讓他們以為機器運作順利;Fast16 則採取完全相反的心理戰,它是「竄改軟體來製造失敗」,專門餵給工程師錯誤的核武模擬結果,讓他們誤以為原本可能達標的測試「不成功」,藉此打擊士氣並浪費龐大的研發資源。
Symantec 團隊進一步分析,Fast16 與 Stuxnet 其實屬於同一個「概念譜系(conceptual lineage)」。這兩起事件標誌著網攻手法的重大進化:這類惡意程式不再只是單純針對某個軟體或硬體尋找漏洞,而是針對「特定的物理流程」或「物理過程的模擬」進行高度客製化的精準破壞。它們的核心都是要破壞「資料的完整性(integrity of data)」,並證明攻擊者有能力深入理解並精準竄改那些難以進入的實體隔離(air-gapped)高安全性環境。
Fast16 的關鍵啟示在於,國家級網攻已不只是讓系統停擺,而是開始攻擊人類判斷真相的依據。當工程師眼前的模擬結果、壓力數據與測試結論都可能被悄悄竄改,Fast16 也提醒我們:在高度依賴模擬與自動化決策的時代,最危險的攻擊,已經不是讓機器無預警停機,而是讓人相信錯誤答案。
*本文開放合作夥伴轉載,資料來源:SECURITY.COM、ZERO DAY、SentinelOne Lab,圖片來源:Unsplash
