一个 20 年前出现的恶意软件 Fast16，正被安全研究人员重新拆开。最新分析显示，它可能专门针对 LS-DYNA、AUTODYN 等仿真软件，在高爆和核武器相关模拟中悄悄篡改计算结果。

资深安全记者 Kim Zetter 报道称，Symantec/Broadcom 研究人员最新确认，Fast16 并不是普通的工程软件破坏工具，而是一段专门破坏核武器爆炸模拟结果的恶意代码。

它的目标不是让电脑宕机，也不是偷走文件，而是在工程师看不到的地方替换模拟结果，让他们以为测试失败了。

这让 Fast16 被拿来和 Stuxnet 相提并论。Stuxnet 是 2010 年曝光的工业控制恶意软件，曾被用于攻击伊朗 Natanz 核设施的离心机。

不同的是，Stuxnet 攻击现实设备，Fast16 攻击的可能是模拟结果本身。

根据 Zero Day 报道，Fast16 至少针对两款专业仿真软件：LS-DYNA 和 AUTODYN。

两者都可用于爆炸、碰撞、金属强度和高压压缩等物理过程模拟。

LS-DYNA 起源于 Lawrence Livermore National Laboratory，后来商业化。

AUTODYN 则由 Ansys 分发，Ansys 现在也拥有 LS-DYNA。

SentinelOne 今年 4 月披露，Fast16 的核心组件可追溯到 2005 年，并且会在 Windows 2000 / XP 时代的系统中，以较高隐蔽性拦截、修改软件代码。其驱动 fast16.sys 是一个 boot-start 文件系统组件，会在可执行代码从磁盘读取时进行拦截和修改。

Symantec 研究人员的发现，让此前 SentinelOne 的推测变得更具体。

更早之前，Fast16 只是一个谜。它的名字曾出现在 2017 年 Shadow Brokers 泄露的 NSA 工具材料中，但当时外界并不知道它到底做什么。

SentinelOne 研究人员后来在 VirusTotal 中发现样本，并在多年分析后判断，这是一套用来破坏高精度计算软件的框架。

新分析将答案指向了核武器爆炸模拟。

Zero Day 报道称，Fast16 会等到模拟接近“超临界”阶段，也就是核爆链式反应即将开始的关键节点，再篡改与铀核心压力有关的数据。

它监控铀核心密度，当数值达到每立方厘米 30 克附近时，就开始将真实数据替换成虚假数据，让工程师看到的图表显示压力不足，仿佛模拟无法达到预期效果。

这不是直接炸毁设备，而是制造“错误判断”。

核扩散专家 David Albright 认为，如果 Fast16 将关键数值压低 1% 到 5%，工程师未必会觉得图表异常，但可能会误以为设计、计算公式或爆炸压力存在问题。这样一来，团队可能不断调整方案、增加爆炸物或更改参数，却始终得不到想要的结果。

这种攻击比普通破坏更难发现。

系统没有崩溃，软件还能运行，图表也看起来像正常输出。真正被污染的是研发判断本身。

Fast16 的另一个特点，是会在同一网络内传播。

Zero Day 报道称，它会检查系统中是否存在 18 种安全产品，如果发现相关工具，就不会感染这台机器；如果成功进入目标网络，它会自动传播到其他机器，确保不同电脑跑出的模拟结果都被一致篡改。

即便工程师怀疑某台电脑或某个版本的软件有问题，换一台机器、换一个版本，仍然可能得到同样被污染的结果。

在 2005 年前后，工程师更可能怀疑公式、材料参数或软件 bug，而不是怀疑仿真软件被国家级恶意代码动过手脚。

目标是谁，目前仍不能写死，但伊朗是最被看重的方向。

David Albright 对 Zero Day 表示，虽然不能排除朝鲜、叙利亚等其他早期从事核武器研究的国家，但从时间、所需访问能力以及代码对铀相关模拟的关注来看，伊朗核武器项目是最合理的目标。

这也解释了 Fast16 和 Stuxnet 的关系。

外界最初容易将 Fast16 称为“早于 Stuxnet 的网络武器”，因为 SentinelOne 发现的 Fast16 样本编译时间在 2005 年，而 Stuxnet 直到 2010 年才公开曝光。

但 Kim Zetter 的新报道提醒，这种说法需要更谨慎，Stuxnet 虽然公开曝光较晚，但其准备工作也可以追溯到 2005 年左右，并在 2007 年前后进入伊朗系统。因此，Fast16 更准确的定位，可能不是 Stuxnet 的“前传”，而是与 Stuxnet 同期存在的另一条破坏线。

两者的攻击方式不同，但目的相似：拖慢伊朗核计划。

2008 年，伊朗前总统 Mahmoud Ahmadinejad 在 Natanz 工厂参观离心机。Ahmadinejad 于 2005 年至 2013 年担任伊朗总统。

Stuxnet 攻击的是离心机，通过改变转速破坏铀浓缩设备，同时向操作员返回“看似正常”的数据。

Fast16 则反过来，不是让设备坏掉后伪装正常，而是让可能成功的核爆模拟看起来“不成功”。一个攻击现实设备，一个攻击计算模型；一个制造硬件损耗，一个制造研发误判。

这也是 Fast16 最值得警惕的地方。

过去提到网络攻击改变物理世界，人们最常想到的是电网、管道、工厂和离心机。

但 Fast16 显示，攻击者并不一定需要直接控制物理设备。只要能污染核心科研软件、工程软件和仿真平台，就能影响真实世界里的设计、测试和决策。

对今天的工业软件、科研计算、国防仿真和 AI 辅助工程来说，这个案例仍然有现实意义。现代研发越来越依赖模拟、模型和自动化计算，如果计算链条被污染，受害者看到的可能不是“系统被攻击”的证据，而是一串看似合理的失败结果。

Fast16 可怕的不是它让机器停止运行，而是它让人继续相信机器。

云头条声明：如以上内容有误或侵犯到你公司、机构、单位或个人权益，请联系我们说明理由，我们会配合，无条件删除处理。