研究人员发现或比震网病毒早五年的网络破坏恶意软件

黑帽亚洲大会 信息安全机构SentinelOne发现了一种恶意软件，该软件试图在工程与物理仿真软件中诱发计算错误，具有明显的蓄意破坏性质。研究人员认为，这款恶意软件的出现时间，可能比旨在摧毁伊朗铀浓缩离心机的震网（Stuxnet）蠕虫病毒早了整整五年。

SentinelOne公司的研究员维塔利·卡姆卢克在今天举行的黑帽亚洲大会上就此次发现作了专题演讲，公司也同步发布了相关博客文章。

卡姆卢克在大会上表示，此次发现源于他的一个疑问：Flame、Animal Farm、Project Sauron等已知的国家级网络间谍工具，是否真的是同类工具中最早出现的？由于这三款工具都使用了Lua语言和虚拟机，他由此展开搜寻，寻找类似的软件样本。

这次搜寻最终指向了2016年上传至VirusTotal平台的一个恶意软件样本，其中包含对"fast16"的引用。

卡姆卢克对该样本的分析显示，其开发者所采用的技术并不符合2016年前后恶意软件的典型特征。SentinelOne的研究人员还注意到，2016年曝光的臭名昭著的"影子经纪人"（ShadowBroker）恶意软件库（该库后来被证实与美国国家安全局有关）中，同样包含对fast16的引用。

SentinelOne根据代码中的线索，以及该软件无法在Windows XP以上系统运行、甚至只能运行于单核CPU这一特点，推断fast16大约诞生于2005年前后。值得注意的是，英特尔直到2006年才推出首款面向消费者的多核处理器。

研究人员在分析该样本时发现，fast16会尝试安装一个蠕虫程序，并部署一个名为fast16.sys的驱动程序。

该驱动程序内含一段用于篡改浮点计算结果的例程，并会主动搜寻"土木工程、物理学及物理过程仿真等专业领域中的高精度计算工具"。

研究人员认为，fast16的攻击目标是2000年代中期广泛使用的三款高精度工程仿真套件，分别为：LS-DYNA 970、PKPM，以及MOHID水动力建模平台，三者均应用于碰撞测试、结构分析和环境建模等场景。

其中，LS-DYNA据悉曾被伊朗用于其核武器研发项目。

卡姆卢克推断，fast16的目的是在工程仿真软件运行的计算过程中蓄意制造错误，进而可能引发现实世界中的实际问题。他明确断言，fast16是一种比震网病毒早五年面世的网络武器。

"从高级持续性威胁（APT）演进的宏观视角来看，fast16填补了早期几乎不为人知的开发阶段与后来基于Lua及LuaJIT工具包的更广泛记录阶段之间的历史空白，"卡姆卢克与SentinelOne同事胡安·安德烈斯·格雷罗-萨阿德联合撰文指出。

"fast16是理解高级攻击者如何思考长期植入、蓄意破坏，以及国家通过软件改变物理世界之能力的重要参照。fast16是一种新型国家治理手段的无声先兆，直至今日才终于浮出水面。"

卡姆卢克在演讲中还表示，他已将相关研究结果披露给fast16所针对的工程应用软件的厂商，因为他认为这些厂商可能需要核查其产品的计算输出结果，以排查恶意软件是否曾导致计算错误。

"或许还有更多发现等待我们去揭开？"他在演讲最后如此说道。

卡姆卢克还在演讲中含泪将此次研究成果献给挚友兼同事谢尔盖·米涅耶夫。他表示，米涅耶夫生前发现了大量极具重要意义的APT攻击案例，却从不刻意寻求外界的认可，不幸于今年三月辞世。

Q&A

Q1：fast16恶意软件是什么？它的主要攻击目标是什么？

A：fast16是一款被认为诞生于2005年前后的恶意软件，由SentinelOne研究人员在2016年上传至VirusTotal的样本中发现。它会部署一个名为fast16.sys的驱动程序，通过篡改浮点计算结果，蓄意干扰工程与物理仿真软件的计算过程。其攻击目标包括LS-DYNA 970、PKPM和MOHID水动力建模平台，这些软件被广泛应用于碰撞测试、结构分析和环境建模等领域。

Q2：fast16和震网病毒有什么关系？

A：研究人员认为fast16比震网病毒早出现约五年。两者都属于具有蓄意破坏性质的网络武器，但震网主要针对伊朗铀浓缩离心机的物理设备，而fast16则通过篡改工程仿真软件的浮点计算结果来制造错误，属于更隐蔽的软件层面破坏手段。SentinelOne认为fast16填补了APT工具演进史上的一段重要历史空白。

Q3：SentinelOne是如何发现fast16恶意软件的？

A：SentinelOne研究员卡姆卢克在研究Flame、Animal Farm、Project Sauron等已知国家级间谍工具时，注意到这些工具均使用了Lua语言和虚拟机，由此展开相关搜索。最终在VirusTotal平台上找到了一个2016年上传的样本，并在此后的代码分析中发现该软件早在2005年前后便已存在，且与美国国家安全局相关的"影子经纪人"恶意软件库中同样包含对fast16的引用。