SentinelOne araştırmacıları, siber güvenlik tarihini değiştirecek bir keşfe imza attı. 2005 yılına dayanan "fast16" adlı framework, Stuxnet’ten yıllar önce mühendislik yazılımlarını hedef alarak fiziksel sabotaj yapmak için tasarlanmış. NSA bağlantılı olduğu düşünülen bu yazılım, matematiksel hesaplamaları sessizce bozarak nükleer ve sivil projeleri sabote etmeyi amaçlıyordu.

Siber güvenlik dünyası, bugüne kadar "dijital silahların miladı" kabul edilen Stuxnet’ten çok daha eskiye dayanan bir keşifle çalkalanıyor. SentinelOne araştırmacıları, 2005 yılına dayanan ve fiziksel dünyayı hedef alan gelişmiş bir sabotaj çerçevesini gün yüzüne çıkardı: fast16.

Bu keşif, devlet destekli siber operasyonların (APT), sanılandan çok daha erken bir tarihte tam kapasiteyle sahaya sürüldüğünü kanıtlıyor.

Kronolojik Devrim: 2005’ten Gelen Sessiz Suikastçı

Araştırmacılar Vitaly Kamluk ve Juan Andrés Guerrero-Saade tarafından yayınlanan rapora göre, fast16 framework'ü ilk olarak 30 Ağustos 2005 tarihinde derlenmiş. Bu tarih, İran’ın nükleer programını hedef alan meşhur Stuxnet saldırısından tam 5 yıl öncesine denk geliyor.

  • Geliştirici: Analizler, yazılımın kod yapısı ve kullanılan araçların, ABD Ulusal Güvenlik Ajansı (NSA) ile bağlantılı olduğu düşünülen Equation Group’a ait olduğunu işaret ediyor.
  • Hedef: Hassas mühendislik hesaplamaları, fizik simülasyonları ve kritik altyapı projeleri.

Teknik Derinlik: fast16 Nasıl Çalışıyor?

fast16, modern siber silahların kullandığı birçok tekniği daha o yıllarda bünyesinde barındırıyordu. İşte öne çıkan teknik detaylar:

1. Gömülü Lua Motoru (İlk Kez)

fast16, Windows tabanlı bir zararlı yazılım içinde Lua 5.0 sanal makinesini barındıran tarihteki ilk örneklerden biri.

Terim Notu: Lua; esnekliği ve hızı nedeniyle tercih edilen bir betik dilidir. Zararlı yazılımda kullanımı, saldırgana ana binary (çalıştırılabilir) dosyayı değiştirmeden, sadece şifreli bytecode'ları güncelleyerek saldırı yöntemini değiştirme yeteneği verir.

2. Kernel Seviyesinde Müdahale (fast16.sys)

Yazılımın kalbi olan fast16.sys adlı kernel sürücüsü, 19 Temmuz 2005 tarihli bir zaman damgasına sahip. Bu sürücü, diskten okunan verileri anlık olarak "yamalayarak" (patching) yazılımların çalışma mantığını değiştiriyor.

3. Hassas Sabotaj Mekanizması

Geleneksel zararlılar veri çalarken veya sistemi kilitlerken, fast16 fiziksel sonuçları hedefliyor. Özellikle Intel C/C++ derleyicisiyle yazılmış yazılımları tespit ederek matematiksel hesaplamalara küçük ama sistematik hatalar enjekte ediyor. Bu; köprülerin çökmesine, nükleer reaktörlerin yanlış ısı değerleri üretmesine veya savunma sistemlerinin başarısız olmasına neden olabilecek "sessiz" bir yöntemdir.

Kritik Hedefler: LS-DYNA, PKPM ve MOHID

Araştırmada, fast16'nın hedef aldığı 101 farklı kural analiz edildiğinde, o dönem kullanılan üç büyük yazılım paketiyle eşleştiği görüldü:

Yazılım Kullanım Alanı
LS-DYNA 970 Çarpışma, patlama ve fiziksel darbe simülasyonları (Nükleer modelleme dahil).
PKPM İnşaat mühendisliği ve yapı analizi yazılımı.
MOHID Hidrodinamik modelleme ve su kaynakları yönetimi.

Adli Kanıt: Shadow Brokers Sızıntısı

SentinelOne’ın en çarpıcı bulgusu, 2017 yılında The Shadow Brokers tarafından sızdırılan "Lost in Translation" adlı veri seti ile kuruldu. Sızıntıdaki drv_list.txt dosyasında "fast16" isminin doğrudan yer alması, bu aracın NSA operatörleri tarafından aktif olarak kullanılan bir "siber cephanelik" parçası olduğunu tescilledi.

SiberOdak Analizi
"fast16’nın keşfi, siber güvenliğin sadece bir savunma disiplini değil, devlet politikalarının merkezinde yer alan ve fiziksel dünyayı şekillendirme gücüne sahip bir enstrüman olduğunu kanıtlıyor."

20 yıl önce bile bu denli olgunlaşmış bir framework'ün varlığı, siber savaş tarihini yeniden okumamızı gerektiriyor. Stuxnet bu yolculuğun bir başlangıcı değil; fast16 ile temelleri atılan, yıllarca süren gizli bir doktrinin en çok ses getiren final aşamasıydı.

Siber dünyadaki en derin gelişmeleri takip etmek için bizi takipte kalın.