Специалисты Symantec и Carbon Black уточнили назначение FAST16 — старого вредоноса, который исследователи SentinelOne подробно разобрали весной 2026 года. Новая работа подтверждает: это был не обычный шпионский инструмент и не вирус для разрушения файлов. FAST16 создавался для тихой подмены результатов инженерных расчётов, связанных с моделированием взрывов, ударных нагрузок и сжатия плотных материалов.
Главная цель FAST16 — специализированное программное обеспечение LS-DYNA и AUTODYN. Эти пакеты используют для сложных физических симуляций: краш-тестов, ударов, взрывов, поведения материалов под экстремальными нагрузками и гидродинамических процессов. В гражданской инженерии это нормальные инструменты для дорогих или опасных экспериментов, которые проще просчитать на компьютере. В военной физике они подходят для моделирования процессов, похожих на имплозию — сжатие центрального ядра под действием взрывной волны.
FAST16 действовал точечно. Он не портил все расчёты подряд, а ждал конкретных условий внутри симуляции. Исследователи указывают, что вредонос начинал вмешиваться, когда плотность материала превышала 30 г/см³. В отчёте Institute for Science and International Security это значение связывается с ударным сжатием урана: обычная плотность урана около 19 г/см³, а переход к 30 г/см³ важен для моделирования имплозивных ядерных устройств.
Это делает FAST16 необычным даже по меркам сложного малвар. Он не ломал систему сразу и не показывал оператору ошибку. Его задача была другой: незаметно изменить числа так, чтобы расчёт выглядел правдоподобно, но вёл инженеров к неверным выводам. Если такая подмена попадала в серию проверок, команда могла потерять месяцы на поиск «ошибки модели», материалов или геометрии, не подозревая, что проблема сидит в памяти зараженной машины.
SentinelOne первой публично связала FAST16 с промышленным саботажем. Исследователи нашли Lua-компонент svcmgmt.exe и драйвер ядра fast16.sys, который перехватывал работу целевых программ и менял вычисления на лету. В раннем анализе SentinelOne называла три возможные цели: LS-DYNA 970, китайский инженерный пакет PKPM и гидродинамическую платформу MOHID. Позднее анализ Symantec и Carbon Black сузил фокус до LS-DYNA и AUTODYN как ключевых целей для сценария ядерных симуляций.
Внутри FAST16 нашли 101 правило для модификации математических операций в разных версиях целевого ПО. Набор правил был разбит на группы под разные сборки. Такая структура выглядит как долгосрочная операция: авторы отслеживали версии инженерных программ и адаптировали вредонос под изменения в коде. Xakep отмечает странную деталь: поддержка старых версий в некоторых случаях появлялась после правил для новых билдов. Это может означать, что жертвы пробовали откатываться на прежние версии ПО после странных результатов, а атакующие подстраивались под этот манёвр.
Ещё одна сильная часть FAST16 — распространение внутри сети. SentinelOne описывает механизм, который позволял заражать другие машины в той же среде. Смысл понятен: если инженер перепроверит расчет на соседнем компьютере, зараженная сеть снова выдаст согласованный, но неправильный результат. Такая атака бьет не по файлу и не по серверу, а по доверию к вычислительной лаборатории.
Вредонос датируется примерно 2005 годом. Stuxnet стал публично известен только в 2010-м, а его ранние версии исследователи обычно относят к более позднему периоду. FAST16 показывает, что идея точного цифрового саботажа инженерных процессов существовала раньше. Разница в цели тоже заметна: Stuxnet вмешивался в управление промышленным оборудованием, FAST16 бил по математической модели до физического эксперимента.
След FAST16 всплыл через утечку The Shadow Brokers 2017 года. В опубликованных материалах, связанных с Equation Group, была строка fast16. SentinelOne использовала эту зацепку для поиска и анализа компонента, который раньше не имел публичного объяснения. Атрибуция остаётся осторожной: исследователи говорят о признаках государственной операции, но прямого публичного доказательства автора нет.
Версия о возможной цели тоже не закрыта на сто процентов. Institute for Science and International Security считает Иран правдоподобным кандидатом: по времени, интересу к урановым расчётам и по известному использованию LS-DYNA и AUTODYN в стране в тот период. В отчете также указано, что другие варианты — например КНДР или Сирия — полностью исключить нельзя.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
