Netcrook Logo
👤 AGONY
🗓️ 25 Apr 2026   🌍 Middle-East

تخريب صامت: كشف البرمجية الخبيثة المنسية التي اخترقت عالم الهندسة قبل ستكسنت

سلاح سيبراني كُشف عنه حديثًا، “fast16”، يفضح تخريبًا رقميًا مدعومًا من دول استهدف برمجيات هندسية قبل سنوات من دودة ستكسنت سيئة الصيت.

في العالم المعتم للتجسس السيبراني، كثيرًا ما يُعاد كتابة التاريخ مع كل اكتشاف جديد. هذا الأسبوع، عثر باحثو الأمن السيبراني على أثرٍ رقمي يجبرنا على إعادة التفكير جذريًا في توقيت البداية الحقيقية للتخريب السيبراني المدعوم من الدول. فقبل هجوم ستكسنت الشهير على البرنامج النووي الإيراني بوقت طويل، كانت برمجية خبيثة متخفية تُعرف باسم “fast16” تستهدف بالفعل قلب التقدم العلمي: برمجيات الهندسة المسؤولة عن الحسابات الحرجة.

انكشفت القصة بعدما عثر باحثو SentinelOne على ملف يبدو عاديًا يحمل اسم “svcmgmt.exe”. لكنه لم يكن بريئًا؛ إذ احتوى هذا الأثر على آلة افتراضية لـLua مُشفَّرة وبرنامج تشغيل للنواة، وكل ذلك يشير إلى غاية أشد خبثًا من مجرد التجسس: التخريب. هذه البرمجية، التي أُطلق عليها اسم fast16، تسبق حتى أقدم نسخ ستكسنت، ويبدو أنها أول برمجية خبيثة على Windows تدمج محرك Lua - وهو بيئة سكربتات استُخدمت لاحقًا في تهديدات متقدمة أخرى.

بنية fast16 متقنة على نحو يبعث على القشعريرة. فهي تتضمن “حاملًا” معياريًا يمكنه العمل كخدمة Windows، وتنفيذ شيفرة Lua مخصصة، ونشر برنامج تشغيل نواة يُدعى “fast16.sys”. ومهمة هذا المشغّل؟ اعتراض الشيفرة التنفيذية والعبث بها، عبر إدخال أخطاء رياضية دقيقة في تطبيقات هندسية. الهدف: تقويض البحث العلمي، وإضعاف الأنظمة المعقدة تدريجيًا، أو زرع بذور فشل كارثي - كل ذلك مع البقاء غير مرئي لمعظم أدوات الأمن في ذلك الزمن.

تتبّع الباحثون بصمات fast16 عبر مسار من الملفات المُسرَّبة، بما في ذلك قائمة بمشغّلات كانت تُستخدم سابقًا من قِبل مجموعات التهديدات المتقدمة المستمرة (APT) ذات صلات مشتبه بها بالاستخبارات الأمريكية. كما أن وعي البرمجية ببيئتها - إذ تتحقق من وجود منتجات أمنية من مزودين مثل Kaspersky وMcAfee وSymantec - يوحي باستهداف مدروس لشبكات ضعيفة، ولا سيما تلك التي تعمل على أنظمة Windows قديمة. وكان انتشارها انتقائيًا، فلا تنتشر إلا عند غياب برامج الحماية أو عند تفعيلها يدويًا.

يشير التحليل التقني إلى أهداف محتملة: أدوات هندسية بارزة مثل LS-DYNA وPKPM ومنصة النمذجة MOHID. هذه ليست مجرد برامج عادية - بل تُستخدم في الهندسة المدنية، ومحاكاة الفيزياء، والهيدروديناميكا، وكلها حاسمة للبنية التحتية، ولا سيما للأبحاث النووية. وتزداد دلالة هذا الكشف بالنظر إلى أن البرنامج النووي الإيراني، الذي استُهدف لاحقًا على نحو مشهور بواسطة ستكسنت، كان يعتمد على مثل هذه البرمجيات في عملياته.

ومن خلال حقن أخطاء صغيرة لكنها منهجية في الحسابات، أظهر صانعو fast16 فهمًا مرعبًا: أحيانًا يكون التخريب الأكثر فاعلية غير مرئي، ينهش الثقة والموثوقية حتى تنهار الأنظمة بطرق غير متوقعة. ووجودها يردم الفجوة بين العمليات السيبرانية المبكرة السرية والحملات الأكثر علنية وتدميرًا التي تلتها.

ومع انقشاع الغبار الرقمي، تقف fast16 شاهدًا صامتًا على طول أمد سباق التسلح السيبراني. إن إعادة اكتشافها تتحدى افتراضاتنا حول أصول التخريب السيبراني وتقدم تحذيرًا صارخًا: إن الأدوات القادرة على إعادة تشكيل العالم المادي عبر البرمجيات كانت معنا منذ زمن أطول - وهي أكثر تطورًا - مما تخيلنا.

WIKICROOK

  • Lua: Lua هي لغة برمجة خفيفة وسهلة الدمج تُستخدم لإنشاء أدوات وسكربتات سريعة وفعّالة، خصوصًا في الأمن السيبراني وتطوير البرمجيات.
  • برنامج تشغيل النواة: برنامج تشغيل النواة هو برنامج أساسي يتيح التفاعل المباشر بين نظام التشغيل والعتاد، ويدير وظائف محورية على مستوى منخفض.
  • APT (التهديد المتقدم المستمر): التهديد المتقدم المستمر (APT) هو هجوم سيبراني طويل الأمد وموجّه تنفذه مجموعات ماهرة، غالبًا بدعم دول، بهدف سرقة البيانات أو تعطيل العمليات.
  • Bytecode: البايت كود هو شيفرة وسيطة مضغوطة تُنفَّذ بواسطة آلات افتراضية، ما يجعل البرمجيات قابلة للنقل لكنه يصعّب على البشر وأدوات الأمن تحليلها.
  • مسار PDB: يشير مسار PDB إلى ملفات التصحيح في البرمجيات المُجمَّعة، وقد يكشف تفاصيل تطوير حساسة. وهو مهم لكل من المهاجمين والمدافعين في الأمن السيبراني.
fast16 cyber sabotage malware
AGONY AGONY
Elite Offensive Security Commander
← Back to news