Исследователи из компании SentinelOne расшифровали вирус Fast16, созданный еще в 2005 году и, вероятно, разработанный США или Израилем для скрытого саботажа иранской ядерной программы. Образец вредоносного кода долгое время оставался загадкой после утечки данных АНБ через группу Shadow Brokers в 2017 году, где он фигурировал с пометкой: «Ничего интересного, не трогать». Только сейчас стало понятно — это не шпионский инструмент, а полноценное средство диверсии нового типа.
Что такое Fast16
Fast16 — вредоносное программное обеспечение, которое годами оставалось нерасшифрованным. В отличие от известного вируса Stuxnet, который физически выводил из строя оборудование, Fast16 был рассчитан на долгую и незаметную работу внутри вражеской сети.
Основная цель вируса — не сломать, а исказить. Он вмешивался в научные расчеты, подменяя результаты на уровне памяти, что приводило к накоплению минимальных ошибок и, как следствие, к неправильным выводам или сбоям в сложных системах.
Как работал вирус
Механика работы Fast16 была достаточно изысканной для своего времени:
- Распространение — через сетевые ресурсы Windows, без участия пользователя.
- Закрепление — на уровне ядра операционной системы, что обеспечивало скрытность.
- Отслеживание — вирус мониторил запуск конкретных научных и инженерных программ.
- Вмешательство — подмена результатов вычислений непосредственно в памяти.
Речь шла не о грубых ошибках, а о минимальных отклонениях, которые накапливались и приводили к ускоренному износу систем или некорректной работе механизмов.
читать по теме
Самый опасный саботаж — тот, который не заметен. Когда расчеты кажутся верными, но результат ведет к провалу — это работа настоящего цифрового диверсанта.
persik.by
Почему вирус не заметили сразу
В 2017 году, после утечки данных АНБ через группу Shadow Brokers, файл с вирусом фигурировал с пометкой:
«Ничего интересного, не трогать».
Эксперты предполагали, что это очередной шпионский инструмент — один из многих в утечке. Только детальный анализ, проведенный SentinelOne, показал истинное назначение кода.
Особенность Fast16 заключалась в том, что он не крал данные и не выводил системы из строя явно. Его эффект был отложенным и трудным для диагностики — именно поэтому вирус мог оставаться незамеченным годами.
Механизм самораспространения
Вирус имел встроенный механизм распространения, который позволял ему заражать несколько машин в одной лаборатории или общей сети.
- Локальная сеть — вирус перемещался между компьютерами без внешнего вмешательства.
- Перекрестная проверка — попытка перепроверить расчеты на другом компьютере только подтверждала уже искаженные данные.
- Эффект доверия — когда несколько независимых источников выдают одинаковый результат, ему верят — даже если результат ложный.
Это делало обнаружение вируса крайне сложным: даже если ученые подозревали ошибку, повторные расчеты на зараженных машинах лишь усиливали уверенность в неверных данных.
Fast16 и Stuxnet: в чем разница
Оба вируса нацелены на саботаж, но подходы различаются:
- Stuxnet — физическое воздействие: выводил из строя центрифуги, вызывая видимые поломки.
- Fast16 — логическое воздействие: искажал расчеты, приводя к незаметным, но критическим ошибкам.
- Обнаружение — Stuxnet был замечен относительно быстро, Fast16 оставался в тени более 15 лет.
Fast16 представляет новый класс кибероружия — не для разрушения, а для незаметного подрыва доверия к данным и процессам.
Что это значит для кибербезопасности
Расшифровка Fast16 — важное напоминание о том, что угрозы эволюционируют:
- Скрытность — современные атаки могут годами оставаться незамеченными.
- Целевое воздействие — вредоносный код может быть настроен на конкретные программы и процессы.
- Проверка данных — даже «независимые» расчеты могут быть скомпрометированы, если система заражена.
Для организаций, работающих с критически важными расчетами, это повод пересмотреть подходы к защите не только периметра сети, но и целостности вычислительных процессов.
