研究人員揭露比Stuxnet早五年的fast16惡意程式，曾鎖定工程模擬軟體精準破壞

資安業者 SentinelOne 發布深度報告，揭露一款此前從未公開記錄的網路破壞框架，其歷史可追溯至 2005 年，時間比廣為人知的 Stuxnet 蠕蟲至少早了五年。這套被命名為 fast16 的惡意程式主要鎖定高精度工程計算軟體，透過竄改運算結果達到破壞目的，並被認為是迄今已知最早將 Lua 虛擬機器嵌入 Windows 惡意程式的案例。

從一個神祕字串開始

SentinelOne 研究人員在調查過程中，起初發現一個名為 svcmgmt.exe 的可執行檔。該檔案乍看只是一般的 Windows 服務包裝程式，但深入分析後發現，其內部嵌入 Lua 5.0 虛擬機器與加密的位元組碼容器，並直接綁定 Windows NT 檔案系統、登錄檔、服務控制與網路 API。樣本的檔案建立時間戳記為 2005 年 8 月 30 日，直到十餘年後的 2016 年 10 月才被上傳至 VirusTotal。

關鍵突破點來自程式內部的一段 PDB 路徑字串，其中明確指向核心驅動程式 fast16.sys，其建立日期為 2005 年 7 月 19 日。研究人員隨後在 2017 年「影子掮客 (Shadow Brokers)」洩露的資料中，找到一份名為 drv_list.txt 的文字檔，內文同樣出現「fast16」字串。影子掮客宣稱，資料來源與美國國家安全局 (NSA) 有關的駭客團體「方程式組織 (Equation Group)」。這條法證鏈將 2005 年編譯的惡意程式，與 NSA 行動人員的去衝突簽章直接連結。

模組化架構，三層酬載各司其職

fast16 的整體架構展現出高度工程化的設計思維。svcmgmt.exe 作為「高度可調適的載體模組（carrier module）」，可依命令列參數切換行為模式：既能以 Windows 服務運行，也能直接執行 Lua 程式碼。整套框架包含三個彼此獨立的酬載。

第一層為 Lua 位元組碼，負責處理組態設定、傳播邏輯與協調控制。第二層是輔助元件 svcmgmt.dll（即 ConnotifyDLL），每當系統透過遠端存取服務（Remote Access Service，RAS）建立新的網路連線時就會被呼叫，並將遠端與本機連線名稱寫入具名管道\\\\.\\pipe\\p577，以追蹤網路活動。

第三層也是破壞力最強的核心：fast16.sys 核心驅動程式，專門攔截並修改從磁碟讀取的可執行碼，對特定工程軟體進行精準的程式碼注射。值得注意的是，該驅動程式在 Windows 7 之後的系統上無法運作，進一步佐證其開發時間落在 2000 年代中期。

鎖定工程模擬軟體，竄改物理計算結果

fast16 核心驅動程式針對以 Intel C/C++ 編譯器產生的可執行檔，進行規則式修補，劫持執行流程並注入惡意程式碼區塊，專門破壞數學運算。SentinelOne 分析修補引擎內建的 101 條規則後，推測其可能鎖定三款攻擊目標：LS-DYNA 970（多物理場模擬軟體，現為 Ansys 旗下產品）、PKPM（結構工程設計軟體），以及 MOHID 流體動力學模型平台。這些軟體廣泛應用於土木工程、物理研究與物理流程模擬。

研究人員指出，透過在物理世界的計算中引入細微但系統性的誤差，該框架得以破壞科學研究進程，使工程系統逐步劣化，甚至在特定情境下引發災難性後果。「將攻擊者對計算結果的竄改散布至整個設施」，正是其自我傳播機制存在的意義。

環境感知與自我保護機制

fast16 的傳播行為設計得相當謹慎，服務控制管理員（Service Control Manager，SCM）蠕蟲模組會掃描網路伺服器，並嘗試以弱密碼或預設憑證向其他 Windows 2000/XP 環境傳播；但只有在手動強制觸發，或確認系統未安裝特定資安產品時，傳播才會啟動。

程式也會主動掃描 Windows 登錄檔，檢查是否存在 Agnitum、F-Secure、卡巴斯基、McAfee、微軟、賽門鐵克、Sygate Technologies 及趨勢科技等廠商的資安產品。Sygate Technologies 的出現本身就是一個時代標記，該公司於 2005 年 8 月被賽門鐵克收購，同年 11 月即停止產品銷售與支援，與樣本的建立時間高度吻合。

重新評估網路破壞行動的歷史時間線

fast16 的出現具有多重意義，在惡意程式技術史上，它被視為已知最早將 Lua 引擎嵌入 Windows 惡意程式的案例，其時間點早於 2012 年才被揭露的 Flame（又名 Flamer、Skywiper）；後者同樣採用 Lua 虛擬機器。

在地緣政治脈絡上，LS-DYNA 曾被伊朗用於核武相關的電腦模擬，而 Stuxnet 則於 2010 年攻擊伊朗納坦茲（Natanz）鈾濃縮設施；賽門鐵克於 2013 年的研究亦指出，Stuxnet 0.5 早在 2005 年便已開始開發。

SentinelOne 認為，fast16 填補了早期隱形開發計畫與後來廣泛記錄的 Lua 與 LuaJIT 工具套件之間的空白。研究人員總結指出，fast16 是理解先進威脅行為者如何思考長期植入程式、破壞行動，以及一個國家如何透過軟體重塑物理世界能力的參考基準點。

這項發現也迫使資安社群重新檢視國家級網路破壞行動的歷史脈絡：針對實體目標的精密網路武器，可能早在 2000 年代中期便已完成開發並投入部署。

本文轉載自 TheHackerNews。