وبدلاً من ذلك، رأى كاملوك أنها عبارة عن جزء من التعليمات البرمجية ينتشر ذاتيًا وله نوايا مختلفة تمامًا. باستخدام ما تمت الإشارة إليه في الكود بوظيفة “wormlet”، تم تصميم Fast16 لنسخ نفسه إلى أجهزة كمبيوتر أخرى على الشبكة عبر ميزة مشاركة الشبكة الخاصة بنظام Windows. فهو يتحقق من وجود قائمة بتطبيقات الأمان، وفي حالة عدم وجودها، يقوم بتثبيت برنامج تشغيل Fast16.sys kernel على الجهاز المستهدف.
يقوم برنامج تشغيل kernel بعد ذلك بقراءة كود التطبيقات أثناء تحميلها في ذاكرة الكمبيوتر، ومراقبة قائمة طويلة من الأنماط المحددة – “القواعد” التي تسمح له بتحديد وقت تشغيل التطبيق المستهدف. عندما يكتشف البرنامج المستهدف، فإنه ينفذ هدفه الواضح: تغيير الحسابات التي يجريها البرنامج بصمت لإفساد نتائجه بشكل غير محسوس.
يقول كوستن رايو، الباحث في شركة الاستشارات الأمنية TLP:Black، الذي قاد سابقًا الفريق الذي ضم Kamluk وGuerrero-Saade في شركة الأمن الروسية Kaspersky، التي قامت بعمل مبكر في تحليل Stuxnet والبرامج الضارة ذات الصلة: “كان هذا في الواقع يحتوي على حمولة كبيرة جدًا بداخله، وقد فاته كل من نظر إليه من قبل تقريبًا”. “تم تصميم هذا ليكون بمثابة تخريب طويل الأمد ودقيق للغاية والذي ربما يكون من الصعب للغاية ملاحظته.”
أثناء البحث عن البرامج التي تفي بمعايير “قواعد” Fast16 لهدف تخريبي مقصود، وجد Kamluk وGuerrero-Saade مرشحيهم الثلاثة: برامج MOHID، وPKPM، وLS-DYNA. أما بالنسبة لميزة “الدودة”، فيعتقدون أن آلية الانتشار تم تصميمها بحيث أنه عندما يقوم الضحية بالتحقق مرة أخرى من حساباته أو نتائج المحاكاة باستخدام جهاز كمبيوتر مختلف في نفس المختبر، فإن هذا الجهاز أيضا سيؤكد النتيجة الخاطئة، مما يجعل اكتشاف الخداع أو فهمه أكثر صعوبة.
وفيما يتعلق بعمليات التخريب السيبراني الأخرى، فإن فيروس Stuxnet هو الوحيد الذي يقع عن بعد في نفس فئة Fast16، كما يقول غيريرو-سادي. كما أن التعقيد والتعقيد الذي تتسم به البرمجيات الخبيثة يضعها في عالم “ستكسنت” للقرصنة ذات الأولوية العالية والموارد العالية التي ترعاها الدولة. يقول غيريرو-سادي: “هناك عدد قليل من السيناريوهات التي تمر فيها بهذا النوع من جهود التطوير لعملية سرية”. “شخص ما طوّر نموذجًا من أجل إبطاء أو إتلاف أو التخلص من عملية اعتبرها ذات أهمية حاسمة.”
فرضية إيران
وكل هذا يتناسب مع الفرضية القائلة بأن Fast16، مثل فيروس ستوكسنت، ربما كان يهدف إلى تعطيل طموحات إيران في بناء سلاح نووي. TLP: يرى بلاك رايو أن استهداف إيران، بعيدًا عن مجرد احتمال، يمثل التفسير الأكثر ترجيحًا – وهي نظرية “ثقة متوسطة إلى عالية” مفادها أن Fast16 “تم تصميمه كحزمة هجمات إلكترونية” استهدفت مشروع AMAD النووي الإيراني، وهي خطة وضعها نظام آية الله خامنئي للحصول على أسلحة نووية في أوائل العقد الأول من القرن الحادي والعشرين.
يقول رايو: “هذا بُعد آخر للهجمات الإلكترونية، وطريقة أخرى لشن هذه الحرب الإلكترونية ضد البرنامج النووي الإيراني”.
في الواقع، يشير غيريرو سعادة وكاملوك إلى ورقة بحثية نشرها معهد العلوم والأمن الدولي، والتي جمعت أدلة عامة على قيام علماء إيرانيين بإجراء أبحاث يمكن أن تساهم في تطوير سلاح نووي. وفي العديد من تلك الحالات الموثقة، استخدم بحث العلماء برنامج LS-DYNA الذي وجد غيريرو-سادي وكاملوك أنه هدف محتمل لـ Fast16.
