اكتشف خبراء تيكبامين برمجية "fast16" الخبيثة التي سبقت فايروس ستوكسنت الشهير بخمس سنوات، حيث استهدفت الأنظمة الهندسية بدقة عالية لتعطيل البرامج.
في اكتشاف تقني مثير، كشف باحثون أمنيون عن إطار عمل للتخريب السيبراني غير موثق سابقاً يعود تاريخه إلى عام 2005. هذه البرمجية التي تحمل الاسم الكودي fast16، تم تصميمها لاستهداف برامج الحسابات الهندسية عالية الدقة، مما يجعلها واحدة من أقدم الأسلحة الرقمية المعروفة حتى الآن.
ما هي برمجية fast16 وكيف هددت الأنظمة الهندسية؟
تعتبر fast16 برمجية فريدة من نوعها لأنها سبقت فايروس "ستوكسنت" (Stuxnet) - الذي دمر أجهزة الطرد المركزي الإيرانية - بنحو خمس سنوات. ووفقاً لتقارير تيكبامين، فإن الهدف الأساسي لهذه الأداة كان التلاعب بالنتائج الحسابية داخل المنشآت الحساسة، مما يؤدي إلى نتائج كارثية دون إثارة الشبهات بشكل مباشر.
أبرز المواصفات التقنية لبرمجية fast16 الخبيثة:
- لغة البرمجة: تعتمد بشكل أساسي على محرك Lua 5.0 الافتراضي.
- نظام التشغيل المستهدف: صممت للعمل على أنظمة ويندوز القديمة (Windows NT).
- آلية الانتشار: تمتلك آليات انتشار ذاتي لضمان تزوير الحسابات عبر المنشأة بالكامل.
- التخفي: تندمج مباشرة مع ملفات النظام، السجل (Registry)، وواجهات برمجة تطبيقات الشبكة.
لماذا تعتبر fast16 نقطة تحول في تاريخ الأمن الرقمي؟
يمثل اكتشاف fast16 مفاجأة كبرى لمجتمع الأمن الرقمي، فهي أول سلالة معروفة من برمجيات ويندوز الخبيثة التي تدمج محرك Lua بداخلها. هذا المستوى من التعقيد في عام 2005 يشير إلى أن الجهات المطورة تمتلك قدرات تقنية تضاهي الدول، وهو ما يفسر فعاليتها الكبيرة في ذلك الوقت.
تعتمد البرمجية على ملف تعريف يحمل الاسم "fast16.sys"، وهو المسؤول عن اعتراض وتعديل الأكواد البرمجية أثناء قراءتها من القرص الصلب. هذا التلاعب المباشر يسمح للمهاجمين بتغيير سلوك البرامج الهندسية دون الحاجة لتغيير الملفات الأصلية بشكل دائم، مما يجعل كشفها أمراً غاية في الصعوبة.
علاقة برمجية fast16 بمجموعة Equation Group الغامضة
تشير التحقيقات التقنية التي تابعها فريق تيكبامين إلى وجود روابط محتملة بين هذه البرمجية ومجموعة الاختراق المتقدمة المعروفة باسم "Equation Group". تم العثور على إشارات لاسم "fast16" في قوائم برامج تشغيل مسربة تعود لهذه المجموعة، والتي يعتقد على نطاق واسع أنها مرتبطة بوكالات استخبارات دولية.
كيف تم الكشف عن هذا السلاح السيبراني القديم؟
- تحديد ملف غامض باسم "svcmgmt.exe" يعود تاريخ إنشائه إلى أغسطس 2005.
- تحليل البصمة الرقمية التي كشفت عن وجود محرك Lua مشفر داخل الملف الثنائي.
- ربط البيانات المسربة من مجموعة "The Shadow Brokers" في عامي 2016 و2017 بالاكتشاف الجديد.
هل تشكل برمجية fast16 تهديداً على أنظمة ويندوز الحديثة؟
رغم الخطورة التاريخية لهذه البرمجية، إلا أن الخبر الجيد هو أنها لا تستطيع العمل على الأنظمة الحديثة. فملف التعريف الخاص بها (التعريف البرمجي) غير متوافق مع نظام ويندوز 7 أو الإصدارات التي تلته. ومع ذلك، فإن دراسة مثل هذه البرمجيات تساعد الخبراء في تيكبامين على فهم تطور الأسلحة الرقمية وكيفية التصدي للهجمات المشابهة في المستقبل.
في الختام، تظل fast16 شاهداً على حقبة بدأت فيها الحرب السيبرانية تأخذ شكلاً أكثر تنظيماً واحترافية، حيث لم يعد الهدف مجرد سرقة البيانات، بل التخريب المادي والتقني للمنشآت الحيوية عبر التلاعب بالبيانات الحسابية الدقيقة.
