كشف باحثون في الأمن السيبراني عن برمجية خبيثة جديدة تحمل اسم fast16، تعود إلى عام 2005، أي قبل خمس سنوات من ظهور دودة Stuxnet الشهيرة التي استهدفت برنامج إيران النووي. هذا الاكتشاف، الذي نشرته شركة SentinelOne، يسلط الضوء على إطار تخريبي غير موثق سابقاً، صُمم خصيصاً للتلاعب بنتائج البرمجيات الحسابية الدقيقة، ما يجعله أول برمجية خبيثة لنظام ويندوز تتضمن محرك Lua مدمجاً.
تفاصيل تقنية تكشف عن قدرات متقدمة
التحقيق أظهر أن العينة المسماة svcmgmt.exe، والتي بدت في البداية مجرد أداة خدمة عادية، تحتوي على محرك Lua 5.0 افتراضي وحاوية مشفرة للبايت كود، إضافة إلى وحدات ترتبط مباشرة بواجهات نظام ويندوز NT. كما تم العثور على ملف تعريف برنامج (PDB) يشير إلى برنامج تشغيل باسم fast16.sys يعود تاريخ إنشائه إلى يوليو 2005، وهو المسؤول عن اعتراض وتعديل التعليمات التنفيذية أثناء قراءتها من القرص.
هذا البرنامج قادر على إدخال أخطاء منهجية في الحسابات الرياضية، مستهدفاً أدوات مستخدمة في الهندسة المدنية والفيزياء والمحاكاة العلمية، مثل LS-DYNA 970 وPKPM ومنصة MOHID للنمذجة الهيدروديناميكية.
ارتباطات مع تسريبات “Shadow Brokers”
أحد الأدلة المهمة كان وجود سلسلة نصية باسم “fast16” داخل ملف drv_list.txt، الذي ظهر ضمن تسريبات مجموعة Shadow Brokers في عامي 2016 و2017. هذه المجموعة نشرت أدوات يُعتقد أنها مسروقة من مجموعة Equation Group المرتبطة بوكالة الأمن القومي الأميركية (NSA). الربط بين هذه التسريبات والبرمجية المكتشفة يعزز فرضية أن fast16 كان جزءاً من ترسانة تخريبية متقدمة جرى تطويرها في منتصف العقد الأول من الألفية.
أهداف تخريبية مرتبطة بالبرامج النووية
البرمجية صُممت لتكون “حاملة متعددة الأوضاع”، قادرة على تغيير سلوكها وفقاً للأوامر، وتشمل ثلاثة مكونات رئيسية: بايت كود Lua لمعالجة الإعدادات والانتشار، مكتبة ديناميكية svcmgmt.dll، وبرنامج التشغيل fast16.sys.
الانتشار كان يستهدف بيئات ويندوز 2000 وXP ذات كلمات مرور ضعيفة، مع قدرة على تفادي منتجات أمنية شهيرة مثل Kaspersky وMcAfee وSymantec. هذه المؤشرات الزمنية، إلى جانب استهداف البرمجيات الهندسية، تعزز فرضية أن البرمجية كانت موجهة نحو برامج حساسة ربما استُخدمت في مشاريع نووية، خصوصاً أن تقارير سابقة أكدت استخدام إيران لبرمجيات مثل LS-DYNA في أبحاثها النووية.
