安全研究员发现 2005 年网络破坏框架 Fast16，比 Stuxnet 早五年

📰 正文

SentinelOne 实验室近日公布了一项重大网络安全发现：一个名为 Fast16 的网络破坏框架，其核心组件可追溯至 2005 年，比著名的 Stuxnet 震网病毒至少早了五年。这是已知最早的针对高精度计算软件进行定向篡改的攻击行动。

关键发现

Fast16 框架专门针对高精度计算软件，通过在内存中修补代码来篡改计算结果。结合自我传播机制，攻击者能够在整个设施范围内产生同等不准确的计算结果。这一 2005 年的攻击被视为针对国家级别重要的高精度计算工作负载——包括高级物理、密码学和核研究——进行破坏的先驱。

技术细节

研究人员发现，Fast16 嵌入了一个定制的 Lua 虚拟机，这一设计比最早的 Flame 恶意软件样本早了三年。Lua 是一种轻量级脚本语言，天然擅长扩展 C/C++ 功能。对于高端恶意软件框架而言，这种能力至关重要——可以避免为已感染机器添加功能时重新编译整个植入组件。

追踪过程始于一个架构假设。研究人员注意到，某些顶级威胁行为者一贯依赖嵌入式脚本引擎来实现模块化功能。通过搜索 2000 年代中期的恶意软件样本库中具有特定指纹特征的代码，他们发现了一个名为 svcmgmt.exe 的服务包装器二进制文件。

深入分析揭示了其中嵌入的 Lua 5.0 虚拟机，以及由服务入口点解密的加密字节码容器。该攻击者扩展了 Lua 环境，包含了文件操作、注册表访问、网络通信和进程管理等本地模块。

历史意义

“Fast16” 这一名称在臭名昭著的 ShadowBrokers 泄露的美国国家安全局"领土争端"组件中被提及。其中一条规避签名指示操作员：“fast16 *** 这里没什么可看的——继续前进 ***"。这一发现表明，该框架与美国情报机构的网络行动存在某种关联。

当代启示

尽管 Fast16 发现于近二十年前，但其在当前环境下具有重要的警示意义。随着 AI 驱动的高精度计算在科学研究、工业设计和国家安全领域扮演越来越关键的角色，针对此类计算基础设施的定向破坏攻击构成了前所未有的威胁。

SentinelOne 的研究人员指出，类似 Fast16 的攻击范式可能在今天以新的形式复活，特别是针对 AI 训练、量子计算和先进材料模拟等前沿领域的计算基础设施。

来源：SentinelOne 实验室报告