一款名为 Fast16 的神秘恶意软件被破解,揭示了一段比“震网”(Stuxnet)病毒更早的网络战历史。该软件诞生于 2005 年,据信由美国或其盟友开发,其设计目的并非直接破坏,而是通过悄无声息地篡改高精度计算和仿真软件的数据,导致科研结果和工程设备出现难以察觉的致命错误。主要证据指向其目标是伊朗的核计划,通过污染关键物理模拟软件(如 LS-DYNA)的计算结果来实施破坏。这一发现表明,高度隐蔽且具有欺骗性的国家级网络破坏行动,比我们以往所知的开始得更早,也更具颠覆性。
一种前所未见的隐秘破坏
Fast16 恶意软件代表了一种极为微妙的破坏形式。它并非简单地删除数据或损毁硬件,而是专注于对复杂的计算过程进行微调,以引入难以被立即察觉的错误。
“它专注于对这些计算进行微小改动,从而导致失败——这些失败非常微妙,可能不会立即显现。系统可能会磨损得更快、崩溃或垮塌,科学研究可能得出错误的结论,从而可能造成严重伤害。说实话,这简直是个噩梦。”
- 自我传播: 该软件具备“蠕虫”功能,能通过网络共享在局域网内自动复制,确保一个实验室内的多台计算机都得出同样错误的计算结果,使欺骗性更难被识破。
- 隐蔽篡改: 它在操作系统的最底层(内核层)运行,监控特定应用程序的加载。一旦目标软件运行,它便会在内存中实时修改其计算过程,从而污染最终结果。
- 潜在目标软件: 研究人员发现其可能针对多种物理仿真软件,包括:
- MOHID:用于水利系统建模。
- PKPM:中国的建筑工程软件。
- LS-DYNA:一款功能强大的物理模拟软件,用于从飞机碰撞到核武器物理过程的各类建模,被认为是 最关键的目标。
“没什么可看的——继续”:一个长达多年的谜团
Fast16 的存在最早于 2017 年因“影子经纪人”泄露的美国国家安全局(NSA)文件而曝光。在一份用于协调不同黑客行动的工具列表中,针对 Fast16 的指令显得尤为奇怪:
“NOTHING TO SEE HERE—CARRY ON”(此处无事——请继续)
这条指令强烈暗示,Fast16 属于 NSA 或其盟友的“友好”工具,己方人员在行动中遇到它时应予以忽略,不要干涉。尽管其名称被泄露,但其实际代码直到 2019 年才被研究人员在病毒库中发现,而其真实功能直到最近才被完全破解。
主要假说:针对伊朗核计划的早期攻击
所有线索都指向一个核心假说:Fast16 是一种比“震网”更早用于阻碍伊朗核武器计划的网络武器。
- 目标软件的重合: 根据公开资料,伊朗科学家在进行可能与核武器开发相关的研究时,恰好使用了 LS-DYNA 软件。例如,用它来模拟不同炸药在核弹头引爆过程中的性能。
- 行动的逻辑: 对一个国家级的核项目进行破坏,值得投入巨大的开发资源来制造如此复杂的工具。这与“奥运会计划”(“震网”病毒所属的行动代号)的战略目标完全吻合。
- 可能存在多个目标: Fast16 的代码中包含版本控制的痕迹,表明它可能存在多个版本,并被用于针对不同国家的不同目标。研究人员指出,在同一时期,朝鲜的核武器项目也经历了多次原因不明的失败。
颠覆认知:网络战历史被改写
Fast16 的发现彻底改写了国家级网络攻击的历史。它证明了具有欺骗性的破坏行动不仅存在,而且其出现的时间远比人们想象的要早,手段也更为隐蔽。
“这意味着,具有欺骗性的破坏行动很早就成为网络战术手册的一部分,可能从一开始就是。而且,它们似乎比我们理解的要隐蔽得多。”
这一发现带来了深远的不安。它动摇了我们对计算机计算结果的基本信任。对于那些处于地缘政治竞争中心的国家级项目而言,这尤其令人警醒。
如果连基础的物理模拟和工程计算都可能被暗中操纵,那么信任从何谈起?正如一位研究人员所说:
“如果你是一个像核计划那样的高价值情报目标,并且拥有强大的对手,那么你可能无法信任你的计算机。更糟糕的是:你可能永远都无法信任它们。”