惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Microsoft Azure Blog
Microsoft Azure Blog
Google Online Security Blog
Google Online Security Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Simon Willison's Weblog
Simon Willison's Weblog
T
Threat Research - Cisco Blogs
C
CXSECURITY Database RSS Feed - CXSecurity.com
L
Lohrmann on Cybersecurity
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Forbes - Security
Forbes - Security
P
Palo Alto Networks Blog
Schneier on Security
Schneier on Security
S
Schneier on Security
T
Tor Project blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
WordPress大学
WordPress大学
The Hacker News
The Hacker News
Hacker News - Newest:
Hacker News - Newest: "LLM"
罗磊的独立博客
Application and Cybersecurity Blog
Application and Cybersecurity Blog
F
Fortinet All Blogs
博客园 - 三生石上(FineUI控件)
小众软件
小众软件
C
Check Point Blog
Stack Overflow Blog
Stack Overflow Blog
Blog — PlanetScale
Blog — PlanetScale
雷峰网
雷峰网
S
Security @ Cisco Blogs
PCI Perspectives
PCI Perspectives
Spread Privacy
Spread Privacy
W
WeLiveSecurity
SecWiki News
SecWiki News
A
About on SuperTechFans
H
Help Net Security
博客园 - 司徒正美
Recent Commits to openclaw:main
Recent Commits to openclaw:main
爱范儿
爱范儿
S
Securelist
M
MIT News - Artificial intelligence
云风的 BLOG
云风的 BLOG
月光博客
月光博客
Jina AI
Jina AI
博客园 - 叶小钗
Vercel News
Vercel News
阮一峰的网络日志
阮一峰的网络日志
Recent Announcements
Recent Announcements
S
Secure Thoughts
The Cloudflare Blog
美团技术团队
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
fast16.sys: первый в истории инструмент киберсаботажа, созданный за 5 лет до Stuxnet
.unsec · 2026-06-20 · via Все публикации подряд на Хабре

Простой

4 мин

6

fast16.sys

fast16.sys

Исследователи лаборатории SentinelLABS (компания SentinelOne) опубликовали отчёт о ранее неизвестном вредоносном фреймворке fast16, ключевые компоненты которого датируются 2005 годом — на пять лет раньше печально известного червя Stuxnet.

Что такое fast16.sys?

fast16.sys — это загрузочный драйвер файловой системы уровня ядра Windows, предназначенный для избирательного перехвата и модификации исполняемого кода непосредственно в памяти при загрузке программ с диска

Несмотря на то, что драйвер несовместим с современными версиями Windows (начиная с 7), для своего времени он представлял собой технологический прорыв, опережая обычные руткиты благодаря:

  • Позиционированию в стеке хранения данных;

  • Полному контролю над операциями ввода-вывода файловой системы;

  • Системе правил для точечной модификации кода

Цель атаки: саботаж высокоточных вычислений

В отличие от большинства вредоносных программ 2000-х, fast16 не был предназначен для кражи данных или шпионажа. Его уникальная задача — намеренное искажение результатов вычислений в специализированном инженерном ПО:

Целевое ПО

Область применения

LS-DYNA 970

Моделирование ударов, взрывов, краш-тесты

PKPM

Расчёт строительных конструкций

MOHID

Гидродинамическое моделирование

Fast16 должен был тихо наблюдать за запуском инженерных приложений и изменять их поведение так, чтобы результат вычислений становился неверным, но выглядел правдоподобно.

Исследователи установили, что драйвер внедряет в целевые программы специальный блок инструкций для сопроцессора (FPU), который систематически искажает арифметические операции с плавающей запятой. Даже минимальные, но воспроизводимые ошибки в расчётах могли привести к:

  • Замедлению научных исследований;

  • Деградации инженерных систем;

  • Катастрофическим сбоям в критической инфраструктуре.

Допустим, у вас есть лаборатория или инженерный центр. Там запускают сложные симуляции: динамику материалов, ударные нагрузки, взрывы, поведение конструкций, гидродинамику. Результаты этих расчётов используются для проектирования, проверки гипотез или принятия решений.

Теперь представим, что вредоносный код не ломает саму программу, не вызывает падение процесса и не оставляет заметных следов. Он просто немного меняет результат. Не случайно, не хаотично, а системно и воспроизводимо.

Инженер запускает расчёт на одной машине — получает неверные данные. Проверяет на другой машине в той же сети — получает тот же результат, потому что вредоносный код распространился и туда. Снаружи всё выглядит как обычная инженерная проблема: ошибка модели, неточные входные данные, баг в версии программы, неправильная методика.

Это роднит Fast16 со Stuxnet. Оба инструмента интересны не самим фактом заражения, а тем, что вредоносный код был привязан к физическому процессу. Stuxnet вмешивался в работу центрифуг и одновременно показывал операторам нормальные значения. Fast16, судя по анализу, должен был вмешиваться в симуляции и подменять доверие к расчётам.

Архитектура: модульность и скрытность

Фреймворк fast16 состоит из нескольких взаимосвязанных компонентов:

  1. svcmgmt.exe — «носитель» с встроенной виртуальной машиной Lua 5.0, управляющий логикой атаки;

  2. fast16.sys — ядро саботажа, драйвер уровня ядра;

  3. svcmgmt.dll — модуль отчётов, передающий данные через именованный канал \\.\pipe\p577.

Особенностью архитектуры является использование скриптового языка Lua для модульности — это позволяло обновлять логику атаки без перекомпиляции основных компонентов. Интересно, что такой подход позже стал стандартом для продвинутых платформ, таких как Flame и Project Sauron, но fast16 опередил их на три года.

Механизм распространения

Fast16 обладал червеобразными возможностями: модуль-носитель мог распространяться по локальной сети через общие ресурсы, используя слабые или стандартные пароли администратора в системах Windows 2000/XP.

Перед установкой вредонос проверял наличие антивирусного ПО по списку из 18 продуктов (включая Symantec, Kaspersky, Zone Labs), что свидетельствует о высоком уровне осведомлённости операторов о целевой среде.

Связь с государственными операциями

Название «fast16» было обнаружено в утечке ShadowBrokers 2017 года, содержащей инструменты АНБ США. В файле drv_list.txt присутствовала пометка:

fast16 *** Nothing to see here – carry on ***

Это указывает на то, что драйвер использовался в рамках официальных киберопераций, вероятно, направленных против иранской ядерной программы до появления Stuxnet.

Актуальность угрозы сегодня

Хотя fast16 технически не может работать на современных системах, его обнаружение имеет фундаментальное значение:

  • Это первый задокументированный случай использования киберсаботажа против физических расчётов на государственном уровне;

  • Архитектурные решения фреймворка предвосхитили развитие продвинутых платформ для целевых атак;

  • Обнаружение подчёркивает, что многие «старые» образцы вредоносного ПО могут скрывать критически важные возможности, ранее не оценённые по достоинству.

    Индикаторы компрометации (IoC)

Файл

SHA-256

fast16.sys

07c69fc33271cf5a2ce03ac1fed7a3b16357aec093c5bf9ef61fbfa4348d0529

svcmgmt.exe

9a10e1faa86a5d39417cae44da5adf38824dfb9a16432e34df766aa1dc9e3525

svcmgmt.dll

8fcb4d3d4df61719ee3da98241393779290e0efcd88a49e363e2a2dfbc04dae9

Рекомендация для организаций: при анализе исторических инцидентов или архивов вредоносного ПО стоит обращать внимание на образцы с внедрёнными скриптовыми движками и драйверами уровня ядра — они могут скрывать неочевидные, но критически опасные возможности.