2026-05-19 05:30:05 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Fast16恶意软件被证实旨在破坏核武器试验模拟软件LS-DYNA和AUTODYN的运行，通过篡改超临界阶段数据向工程师提供虚假结果，使其误判试验失败。该软件与Stuxnet同期开发，可能由美以联合制造，目标指向伊朗核计划。研究揭示了国家背景网络攻击的新维度，即通过数据欺骗而非直接破坏延缓核进展。 综合评分： 75 文章分类： 恶意软件,漏洞分析,威胁情报,红队,政策法规

cover_image

专家证实，Fast16恶意软件曾破坏核武器试验，很可能发生在伊朗【机翻】

zeroday zeroday

安天垂直响应平台

2026年5月18日 21:30 河北

在小说阅读器读本章

去阅读

点击上方”蓝字”

关注我们吧！

按语：2026年4月23日，美国网安企业SentinelOne发布《fast16 | Mystery Shadow Brokers Reference Reveals High-Precision Software Sabotage 5 Years Before Stuxnet》研究报告，分析解密了一款名为Fast16的高级网络武器（恶意代码），判断其机理是干扰科学仿真计算软件运行，导致结果错误，提出相关时间比震网时间早5年，改变了震网是首例网络攻击影响物理世界运行的原有认识。2026年4月26日，安天CERT发布分析报告《展示网空能力肌肉的”精神战”——对SentinelOne曝光fast16的综合分析》，对Fast16和SentinelOne曝光动机分别做出研判，肯定了报告的专业性，同时判断SentinelOne作为美国情报机构的旋转门企业，此时发布报告，是为了配合美军方和情报机构对中东国家进行“精神”战的效果。为便于读者更进一步了解Fast16技术原理、研发背景及美以针对伊朗核计划的行动布局，安天选编机翻了zeroday的这篇报道。原报道链接为：https://www.zetter-zeroday.com/experts-confirm-the-fast16-malware-was-sabotaging-nuclear-weapons-tests-likely-in-iran/

Fast16病毒并非早于Stuxnet病毒出现，而是与之同时期。它的目的也不是篡改核武器，而只是向工程师提供关于核试验的虚假数据，以欺骗他们相信试验失败。

图表1Vantor卫星图像显示了伊朗塔莱甘2号基地近几个月来遭受炸弹袭击造成的破坏。该基地位于帕尔钦军事基地内，与伊朗2004年之前的核武器计划——阿马德计划有关。图片：由科学与国际安全研究所提供

1.概述

研究人员证实，多年前发现但直到最近才进行分析的一款非凡恶意软件，其设计目的是破坏核武器试验模拟，从而削弱试验效果并延缓核计划的进展。这份来自安全公司赛门铁克研究人员的新报告，证实了此前发现该恶意软件的公司SentinelOne对该代码的推测。

这段名为Fast16的恶意代码旨在破坏至少两款在2005年活跃时期常用于模拟武器爆炸的专用软件。据赛门铁克技术总监VikramThakur和赛门铁克安全技术与响应部门研究员EricChien称，该恶意代码巧妙地替换了模拟软件生成的合法数据，并将其替换为虚假数据，然后将这些数据提供给监控这些模拟测试的工程师。具体来说，它会等到模拟接近“超临界”点（即引发核爆炸的链式反应开始点）时，篡改与铀芯内部压力相关的数据，向工程师表明压力不足以达到超临界状态，即使真实数据显示并非如此。

这似乎是为了欺骗工程师，让他们相信测试不如实际那么成功，从而制造混乱，减缓Fast16所针对的核计划的进展。

核专家表示，根据密码中包含的细节及其生效时期，他们确信目标是伊朗的核武器计划。

“虽然我们不能排除其他在21世纪初从事核武器研发的国家，例如朝鲜或叙利亚，但时机、创建恶意软件所需的访问权限以及对铀的关注都表明，伊朗的核武器研发才是目标，”物理学家、科学与国际安全研究所创始人兼总裁大卫·奥尔布赖特告诉ZeroDay。

这段代码的运行方式与Stuxnet病毒非常相似。Stuxnet病毒是由美国和以色列联合开发的，旨在破坏伊朗用于浓缩铀的离心机。Stuxnet病毒也向操作人员提供虚假数据，诱使他们误以为离心机运行正常，而实际上并非如此。

Fast16的出现时间仅比Stuxnet早一年左右。根据代码证据，Fast16的代码开发于2005年，而Stuxnet也在同一时期处于开发阶段，尽管后者直到2007年才在伊朗的系统上发动攻击。有证据表明，Fast16很可能也是由美国、以色列或其他盟友开发的。

“虽然我们不能排除其他在21世纪初从事核武器研发的国家，例如朝鲜或叙利亚，但时机、（创建恶意软件所需的）访问权限以及对铀的关注都表明，伊朗的核武器研发项目才是攻击目标。”——戴维·奥尔布赖特

尽管Stuxnet病毒在Fast16事件两年后才正式发布，但用于与Stuxnet通信的命令与控制服务器域名早在2005年11月就已注册，为Stuxnet的到来做准备；2006年初，美国进行了一次Stuxnet破坏测试，验证了其概念可行性。测试结果呈报给当时的总统乔治·布什，布什在确认测试可行后，授权了这项秘密破坏行动。2006年5月，Stuxnet的开发者对其代码进行了更新，2007年秋季的某个时候，一名荷兰间谍将其秘密安装在了伊朗的计算机上。

所有这些都表明，如果Fast16确实在2005年以伊朗为目标，并且如果美国或以色列是其幕后黑手，那么它实际上并非早于Stuxnet，而是与Stuxnet同时发生，并且它们共同构成了美国及其盟友为颠覆和减缓伊朗核野心而采取的多管齐下行动的一部分。

“震网”病毒提高了离心机内部的压力，导致离心机失控旋转，同时向操作人员提供虚假数据，让他们误以为离心机运行正常。“快16”病毒则采取了不同的策略，向操作人员提供关于核弹头试验的虚假数据，使工程师们相信试验存在问题，而实际上试验可能一切正常。

这一切都表明，Fast16的故事是西方二十年来阻止或摧毁伊朗核计划的运动中的一个新篇章。

图表2截至2025年6月12日，伊朗境内已知或被认为属于核计划的设施。红色标记的地点为主要核设施。地图：Thomas Gaulkin/Datawrapper。来源：核威胁倡议组织

2.Fast16是如何被发现的

目前尚不清楚Fast16的受害者是否在其系统中发现了这段代码，但它的存在最早引起了SentinelOne公司高级技术研究员Juan Andres Guerrero-Saade的注意。2017年，一款泄露到网上的NSA工具中提到了Fast16 。这款工具只是被一个名为“影子经纪人”（Shadow Brokers）的神秘组织窃取的一批NSA工具之一。Fast16代码本身并未包含在泄露的文件中，但它在其中一款工具中被提及的语境暗示它是由NSA或其盟友创建的。Fast16在此次泄露事件中被提及这一事实也支持了这样一种观点：Fast16并非从未在实际环境中使用的概念验证代码，而是实际上已被释放到系统中。至于它何时被释放感染系统，目前尚不清楚。但在2017年10月，有人将一段代码样本上传到了一个名为Virus Total的网站，这段代码在那里静静地躺了两年之久，无人察觉。 Virus Total 被安全公司和网络攻击受害者用来上传可疑文件，这些文件会由多个反病毒引擎进行扫描，以确定其是否恶意。鉴于“影子经纪人”组织当时掌握了大量 NSA 工具，并威胁要将其公开，该组织中的某人很可能将文件上传到了 Virus Total 网站。

虽然可能存在更早版本的代码，但这是研究人员迄今为止发现的唯一版本。

上个月，格雷罗-萨德和代表SentinelOne工作的独立安全研究员维塔利·卡姆卢克宣布，格雷罗-萨德在2019年发现了Fast16样本。在多年尝试破解代码未果后，他和卡姆卢克决定利用人工智能来确定其设计目的，结果令他们大吃一惊。他们表示，该代码会破坏用于执行高精度数学计算的软件应用程序，并推断其目标很可能是用于进行高精度物理特性模拟测试的软件。

尽管格雷罗-萨德和卡姆卢克并不清楚Fast16的目标是哪款模拟软件，也不清楚它试图干扰哪些测试，但他们推测，Fast16最有可能的目标是用于模拟核武器爆炸的软件。他们提出了三个可能的攻击目标：Modelo Hidrodinâmico（一种常用于模拟水系统的软件）、中国开发的PKPM软件以及美国开发的LS-DYNA软件。众所周知，伊朗曾使用LS-DYNA进行爆炸物研究，这使得SentinelOne的研究人员认为LS-DYNA很可能是Fast16的目标。

本周，赛门铁克威胁猎手团队（该团队多年前也曾负责破解Stuxnet病毒）的研究人员发布了一项新的分析，证实LS-DYNA确实是Fast16攻击的目标软件之一，并且该代码旨在破坏利用LS-DYNA软件进行的核爆炸模拟测试。该团队今天发布了他们的研究成果，详细介绍了Fast16如何破坏此类测试。科学与国际安全研究所的奥尔布赖特及其同事今天也发布了他们对Fast16攻击目标——核武器测试阶段——的分析。

据赛门铁克公司的Thakur和Chien称，Fast16至少针对两款软件仿真程序——LS-DYNA和AUTODYN。它可能还针对另一款程序，但赛门铁克的研究人员无法从代码中识别出是哪一款。

LS-DYNA于20世纪70年代在劳伦斯·利弗莫尔国家实验室开发，并在80年代成为商业产品。它用于评估物理现象，例如金属强度和碰撞冲击，包括车辆和飞机碰撞等。此外，它还用于模拟核弹头所需的高压缩类型。AUTODYN是Ansys公司发布的类似软件，该公司目前拥有LS-DYNA。Albright表示，这两个程序用于模拟相同类型的问题，并且根据多篇学术出版物，在Fast16活跃时期，伊朗都在使用这两个程序。

尽管这些程序可以用于各种类型的模拟，但Fast16的关注点非常明确，它只对模拟高爆炸药爆炸的程序感兴趣。Fast16会判断正在使用的软件，并且只有在确定程序正在模拟高爆炸药爆炸并使用特定模型时才会介入。

核爆炸可以通过工程师和物理学家多年来开发的多种不同的数学模型进行模拟。这些模型的区别在于模拟的压力、体积和密度水平，以及这些要素相互作用产生的各种变化状态。LS-DYNA和AUTODYN程序允许用户为特定模拟选择所需的模型，而Fast16仅在使用了三个特定模型之一时才会启动。

在深入了解Fast16的功能之前，了解它发布的背景非常重要。

图表3伊朗纳坦兹核设施内建有两个大型地下大厅，可容纳5万台离心机，用于浓缩铀气。该设施是近期轰炸的目标之一。图片：由科学与国际安全研究所提供

3.伊朗核计划

2002年8月，伊朗异见组织“全国抵抗委员会”在华盛顿特区举行新闻发布会，披露伊朗拥有非法核武器计划，该计划涉及遍布全国多处地点的秘密设施。据信，他们是从一直在追踪该计划的西方情报机构那里获得这一信息的。

国际原子能机构（IAEA）是负责监督全球核计划的联合国机构，它要求进入相关地点进行核查。2003年2月，IAEA首次获准进入这些地点。IAEA核查人员认定，伊朗并未按照其签署的《不扩散核武器条约》的要求，向IAEA全面披露其核计划，而且该计划的进展远超他们的预期。核查人员还怀疑，伊朗并非像其所声称的那样，仅仅在为核电站浓缩铀，而是拥有核武器计划。尽管核查人员在访问期间发现了一些迹象表明伊朗存在小型核武器计划，但他们并不了解该计划的规模，也忽略了伊朗实际上正在进行一项代号为“阿马德计划”的大规模核武器研发项目。这一点直到后来才被揭露。

美国和其他国家向伊朗施压，要求其暂停核计划，直到国际原子能机构能够收集到更多相关信息，以确定该计划的进展程度，以及伊朗距离拥有一个设备齐全的浓缩铀大厅和制造核弹所需的足够浓缩铀还有多远。

2004年11月，伊朗同意暂停核计划，同时与欧盟进行谈判。但2005年8月初，谈判陷入僵局，伊朗宣布退出暂停协议。伊朗还宣布将继续推进其核计划，包括在纳坦兹核设施首次进行铀浓缩。

根据代码中的证据，此时Fast16代码已经开发了一段时间，Stuxnet的开发计划也已启动。Fast16代码中包含的时间戳显示，该代码于8月30日编译完成。

奥尔布赖特指出，在2003年至2005年Fast16研发期间，情报机构认为伊朗拥有活跃的核武器计划，并且有模拟团队在进行核爆炸建模。美国情报机构后来在2007年的一份评估报告中声称，伊朗已于2003年停止了其核计划的武器部分，但以色列和德国的情报机构长期以来一直坚称，尽管这一说法属实，但伊朗在2005年重启了该计划。

奥尔布赖特认为该项目得以重启，但形式已大不相同。项目资金大部分被挪作他用，项目规模也大幅缩减。他认为研究仍在继续，但不再进行动能试验，而只是进行计算机模拟，例如使用LS-DYNA和AUTODYN软件程序进行的模拟。由于缺乏其他核武器爆炸试验手段，软件模拟显得尤为重要；但也正因如此，它们成为了情报机构重点关注的目标。

根据以色列2018年获得的伊朗文件，伊朗的核武器计划在2003年停止之前就已经遇到了问题，原因是设计缺陷和科学知识不足。奥尔布赖特表示，这些问题很可能“一直持续到[Fast16]项目开展期间”。

图表42008年，伊朗前总统马哈茂德·艾哈迈迪内贾德参观纳坦兹离心机厂。艾哈迈迪内贾德于2005年至2013年担任伊朗总统。图片由伊朗总统办公室提供。

4.Fast16工作中

SentinelOne 在其研究中已经描述了 Fast16 首次感染系统时的一些操作。它会检测系统中是否存在 18 种不同的安全产品，如果检测到其中任何一种，就不会感染计算机。它还会自动传播到同一网络上的其他计算机，因此任何用于运行模拟的计算机都会产生相同的篡改结果。Fast16 还支持 8 到 10 个不同版本的 LS-DYNA 软件，因此无论计算机使用的是哪个版本，Fast16 都能对其进行篡改。

赛门铁克的研究人员补充了一些新的细节。据Thakur称，这些不同版本的代码并非与LS-DYNA软件的新版本同步或按顺序添加，而是似乎以非顺序的方式添加，这表明开发人员会根据目标工程师当时使用的版本，随着时间的推移逐步添加对不同版本的支持。这提示他们，每当工程师切换使用的仿真软件版本时，他们可能都会收到相关信息。他们认为，由于Fast16会操纵测试结果，工程师可能误以为是软件本身的问题，于是切换到旧版本或新版本的LS-DYNA程序，以观察结果是否有所改善。

一旦恶意软件确定正在运行正确的模拟软件，它就会等待高精度爆炸测试（需符合各种参数要求）开始运行的信号。测试开始后，Fast16 会等待爆炸模拟进入特定阶段。

当时，伊朗正在研发和测试球形内爆核武器的高爆炸药组件。这种武器的工作原理是：将高爆炸药包裹在球形铀芯周围并引爆。爆炸产生的冲击波会推动一块金属“飞片”以巨大的力量撞击铀芯，如同锤子一般。撞击会将铀芯压缩到高压高温状态，导致中子从铀中泄漏出来。在这种高压状态下，这些中子与原子核碰撞，导致原子核分裂并释放出更多中子。这些中子又会以链式反应的方式撞击其他铀核，最终引发核爆炸。

为了测试此类爆炸，伊朗使用模拟软件来确定需要多少炸药和多大的压力才能达到“超临界”状态，从而引发连锁反应。

仿真软件通过数据流和图表捕捉这一极其快速的过程，使工程师能够对其进行研究并运行不同的模型。通过使用不同的模型运行大量仿真，工程师可以观察压力、密度和温度等变量如何随着压缩的进行而变化。Fast16 正是为此而生的。

据赛门铁克和奥尔布赖特公司称，该恶意软件会监控铀堆芯的密度。当密度值达到每立方厘米30克时——略低于压缩铀开始液化的密度——Fast16就会开始篡改堆芯密度的真实数据，甚至在工程师监控的图表显示之前就将其替换为虚假数据，例如压力低于预期值。工程师可能会因此得出结论：他们的设计失败了——铀堆芯未能达到超临界状态。

奥尔布赖特表示，如果恶意软件只是将正确数值降低了1%到5%，那么图表上的变化对工程师来说可能不会显得异常。但这仍然会让他们相信，施加在堆芯上的力不足以达到超临界状态。工程师们可能会认为他们需要修改数学计算，或者施加更大的爆炸力来压缩铀堆芯——所有这些努力都徒劳无功，无法达到他们想要的结果。

但奥尔布赖特表示，如果他们加入炸药来对核心施加更大的力，或者改变其他变量来增加压缩力，这可能会造成更多问题。而且，无论他们进行多少次模拟，都无法得到预期的结果。

“我们认为这可能会造成很大的干扰，”奥尔布赖特说。“其后果是浪费时间、资源，并降低整个项目的士气。”

他们当时很可能不会想到电脑或软件已被篡改。如今，在Stuxnet病毒暴发之后，人们或许会对此有所怀疑。但Thakur指出，在2005年，人们仍然普遍认为电脑是值得信赖的。而且由于Fast16病毒通过内部网络传播到其他电脑，即使他们尝试使用不同的电脑，结果也一样。

奥尔布赖特非常怀疑错误的计算结果会进入实际系统，导致意外爆炸。他认为，工程师们只会注意到计算结果不理想，并因反复尝试解决问题却屡屡失败而感到沮丧。这可能会削弱他们对自身设计的信心，并可能导致团队成员之间产生紧张和冲突，因为他们试图解决一个根本不存在的问题。这种挫败感可能会导致核弹制造计划的重大延误。

所有这些都表明，他们的目标不是破坏已经制造完成的炸弹，而是阻止炸弹被制造出来——至少要阻止足够长的时间，让伊朗重回谈判桌。

事实上，Stuxnet 的目标也正是如此。这段恶意代码并非旨在造成一次性的灾难性破坏，摧毁伊朗的所有离心机；它的目标是随着时间的推移造成渐进式破坏，使工程师无法准确找出问题所在——所有这些都是为了减缓伊朗的浓缩铀计划，从而争取时间让伊朗重返谈判桌。

图表5卫星图像显示了伊朗帕尔钦综合设施的一部分——沙希德·博鲁杰尔迪监狱近期遭受的轰炸破坏。图像来自 Pleiades 2026，由空中客车防务与航天公司提供。图片由科学与国际安全研究所提供。

5.Fast16和Stuxnet简直是天作之合

虽然Fast16 是一种看似简单的恶意软件，但赛门铁克的研究人员表示，它属于“独一无二的级别”，因为它需要对目标软件和核过程有深入的专业知识和理解，还需要了解被测试的材料以及实现预期效果所需的精确数据更改。

“创作它所需的专业技能水平，以及执行它所需的人力投入，都是巨大的，”塔库尔说。

他说，在任何时代，要做到这一点所需的知识和技能都是不寻常的，但它是在2005 年开发的，这“令人难以置信”。

尽管如此，Stuxnet 仍然是 Thakur 和他的同事们见过的最先进的恶意软件。但 Stuxnet 和 Fast16 在概念框架上存在共通之处，即两种攻击都涉及破坏数据完整性。此外，在这两种情况下，攻击者都需要入侵难以访问、物理隔离且安全的系统环境；他们必须完全了解该环境的运作方式；并且必须进行精确的更改才能达到目的。他们还必须在不被发现的情况下完成这一切。

有关Fast16 的披露提醒伊朗决策者和核工程师，该计划中的任何内容都无法逃脱数字破坏的威胁。

Stuxnet病毒在长达三年的时间里一直未被发现。直到它开始扩散到纳坦兹以外的系统，并导致这些系统崩溃后，才被发现。

然而，即便在被发现之后，它仍然以另一种方式持续破坏着伊朗的核计划：它动摇了伊朗工程师对核计划中所用计算机和设备的信心。这使得他们怀疑，一旦出现故障，就可能是人为破坏所致。Fast16 也面临着同样的问题。

关于这段非凡密码的新发现正值一个重要的时刻——美国和以色列继续努力消除伊朗的核计划，但这一次他们使用了不同的手段。

迄今为止，对伊朗的动能打击尚未能彻底摧毁该计划。但随着美国和以色列继续向伊朗施压，要求其达成协议以终止——或至少暂停——该计划多年，Fast16导弹的曝光提醒伊朗决策者和核工程师，该计划中的任何环节都可能被摧毁，也无法免受数字破坏。

参考链接

[1]Fast16: Pre-Stuxnet Sabotage Tool Was Built to Subvert Nuclear Weapons Simulations

https://www.sentinelone.com/labs/fast16-mystery-shadowbrokers-reference-reveals-high-precision-software-sabotage-5-years-before-stuxnet/

[2]安天：展示网空能力肌肉的”精神战”——对SentinelOne曝光fast16的综合分析

https://mp.weixin.qq.com/s/URFUTvDsb0NSDXEh_SZ_LA

[3]zeroday：Experts Confirm the Fast16 Malware Was Sabotaging Nuclear Weapons Tests, Likely in Iran

https://www.zetter-zeroday.com/experts-confirm-the-fast16-malware-was-sabotaging-nuclear-weapons-tests-likely-in-iran/

[4]security：Fast16: Pre-Stuxnet Sabotage Tool Was Built to Subvert Nuclear Weapons Simulations

https://www.security.com/threat-intelligence/fast16-nuclear-sabotage

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天垂直响应平台 zeroday zeroday《专家证实，Fast16恶意软件曾破坏核武器试验，很可能发生在伊朗【机翻】》