fast16惡意程式被指專攻核武模擬運算

外媒報導，一款以 Lua 撰寫代號 fast16 的惡意程式 ，主要用於工業級網路破壞的工具，日前被用來竄改核武器相關的測試模擬結果。研究團隊指出，fast16 被設計用來干擾關鍵的鈾壓縮模擬運算，進而影響核武設計所需的核心計算。

Broadcom 旗下 Symantec 與 Carbon Black 的研究人員說明，fast16 的「hook」引擎會鎖定特定工程與模擬軟體中的高爆炸藥模擬流程，並特別關注 LS-DYNA 與 AUTODYN 兩套軟體。研究人員指出，惡意程式會檢查被模擬材料的密度，只有在數值超過 30 g/cm³ 時才會啟動竄改機制，而該門檻被描述為只有在內爆裝置的衝擊壓縮條件下，鈾才可能達到的數值。

在此之前，資安業者 SentinelOne 也曾公布 fast16 的分析，並將其描述為一種可能早在 2005 年就已開發的破壞框架，時間點比已知最早的 Stuxnet（又稱 Stuxnet 0.5）早約兩年。SentinelOne 的研究線索還包括 2017 年匿名駭客組織 The Shadow Brokers 外洩的一份文字檔，其中出現「fast16」字串，該外洩資料據稱與 Equation Group使用的工具與漏洞有關。Equation Group曾被指與美國國家安全局(NSA)相關的國家級威脅行為者。

研究人員指出，fast16 的核心是 101 條規則，用於竄改當時常見的工程與模擬程式所進行的數學計算。雖然目前仍不清楚其實際修補的確切二進位檔案為何，但 SentinelOne 曾提出三個可能目標，包括 LS-DYNA 970 版、Practical Structural Design and Construction Software（PKPM）以及 Modelo Hidrodinâmico（MOHID）。

Symantec 的最新分析則確認，LS-DYNA 與 AUTODYN 是 fast16 主要鎖定的兩個應用程式，並認為其設計目的是干擾高爆炸藥引爆相關模擬，幾乎可確定是為了對核武研究造成破壞。研究人員說明，這些軟體可用於模擬車輛撞擊安全、材料建模與爆炸模擬等真實世界問題，而 fast16 植入在模擬程式內的 hooks 包含三種攻擊策略，且只有在進行完整尺度的瞬態爆炸與引爆運算時才會啟動。

此外，這 101 條 hook 規則可再分成 9 到 10 個 hook 群組，分別對應不同版本的 LS-DYNA 或 AUTODYN。研究人員認為，這顯示開發者長期追蹤軟體更新並逐步加入對新版本的支援，呈現出有系統且持續性的作業方式。研究人員也提到，從群組加入的順序來看，甚至出現先支援新版本、後補上舊版本的情況，推測使用者可能在發現異常後回退到舊版軟體，而該版本隨後也被納入攻擊範圍；同時，最多涵蓋約 10 個版本也意味著目標環境可能會以相對固定頻率更新軟體。

在傳播與規避方面，fast16 會避免感染安裝特定資安產品的電腦，並可自動擴散到同一網路內其他端點，確保任何用來執行模擬的機器都會產生同樣被竄改的輸出結果。

研究指出，這起案例顯示國家級行為者針對關鍵產業進行策略性網路破壞的行動，早在約 20 年前就可能已經出現，時間點甚至早於 Stuxnet 透過西門子可程式邏輯控制器（PLC）惡意程式碼，破壞伊朗 Natanz 核設施鈾濃縮離心機的事件。Symantec 技術總監 Vikram Thakur 被外媒受訪時表示，2005 年就能設計出這類工具所需的專業與對領域知識的理解程度「令人難以置信」，但目前仍不清楚是否存在現代版本的 fast16 已實際流傳。研究人員也強調，這類工具需要掌握EOS（Equation of State）、不同編譯器產生的呼叫慣例，以及哪些模擬類型會觸發或不會觸發竄改機制等知識。

本文轉載自 TheHackerNews。