Broadcom bünyesindeki Symantec Tehdit Avcısı Ekibi, ilk olarak Nisan 2026’da SentinelOne araştırmacıları tarafından kamuoyuna açıklanan fast16 adlı sabotaj framework’ünün hedeflerini doğruladı ve aracın asıl amacının nükleer silah araştırmalarına yönelik stratejik bir sabotaj olduğunu belirledi.
En eski bileşenleri 2005 dolaylarına, yani Stuxnet’in faaliyete geçmesinden yaklaşık iki yıl öncesine, uzanan fast16, yüksek patlayıcı detonasyon simülasyonlarını kurcalamak üzere tasarlanmış son derece niş bir kötü amaçlı yazılım olarak öne çıkıyor.
Symantec’in analizi, SentinelOne’ın ilk bulgularının üzerine inşa ediliyor. SentinelOne’a göre çerçeve üç ana bileşenden oluşuyor: Erken bir Lua 5.0 sanal makinesini gömülü olarak barındıran bir hizmet ikili dosyası (service binary), diskten okunan yürütülebilir kodu tam okuma anında yakalayıp yamalayan bir önyükleme başlangıçlı dosya sistemi sürücüsü ve dar biçimde tanımlanmış tek bir hedef uygulamanın içindeki çok spesifik komut dizilerini yeniden yazan kural tabanlı bir “kanca motoru” (hook engine).
Kolay Erişim
Hedef yazılımlar: LS-DYNA ve AUTODYN
Symantec, kanca motorunu incelemesinin ardından hedef alınan uygulamaları doğruladı: LS-DYNA ve AUTODYN. Her ikisi de araç çarpışma dayanıklılığı, malzeme modelleme ve patlayıcı simülasyonu gibi gerçek dünya problemlerini modellemekte kullanılan yazılımlar.
Sürücü bir kez kuruldu mu, erişilen tüm dosyaları izlemek üzere bir çekirdek (kernel) seviyesi dosya sistemi filtresi oluşturuyor. Önce EXPLORER.EXE’nin başlatılmasını bekliyor; ardından Intel derleyicisiyle derlenmiş .EXE uzantılı dosyaları, PE başlığındaki “Intel” dizesini eşleştirerek hedef alıyor. Böyle bir dosya belleğe okunduğunda, kanca motoru eşleşen opcode dizilerini anında yamalıyor.
Motorun içinde 101 bayt örüntüsü kuralından oluşan bir tablo bulunuyor. Her kural, diskten okunan belirli bir komut dizisini yakaladığında devreye giriyor; ya mutlak bir adresi ele geçiriyor ya da enjekte edilmiş bir .xdata bölümündeki kötü amaçlı koda bir kanca yerleştiriyor. Örneğin 46 ve 47 numaralı kurallar, çok spesifik bir x87 kayan nokta dizisini, sonucu çağırıcının tek hassasiyetli çıktı değişkenine kaydedip diziden yeniden yükleyen ve global sabitlerle çarpan bir diziyi, yakalayıp enjekte edilmiş bir işleyiciye uzak çağrı (far-call) yapacak şekilde yeniden yazıyor.
Symantec’e göre bu örüntüler, dönemin her Intel-Fortran derlenmiş tek hassasiyetli çözücüsüyle eşleşmiyor; yalnızca LS-DYNA ve AUTODYN’in belirli sürümlerinde bulunuyor. Dahası, 101 kural 9-10 ayrı “kanca grubuna” bölünebiliyor ve her grup bu yazılımların farklı bir derlemesine (build) karşılık geliyor. Bu da saldırganların hedef kuruluşların yazılım güncellemelerini yıllar boyunca takip ettiği, sürdürülebilir bir operasyonun varlığına işaret ediyor.
Üç sabotaj mekanizması: A, B ve C
fast16’nın simülasyon programının içine yerleştirdiği kancalar üç farklı saldırı stratejisi izliyor. Symantec bunları Mekanizma A, B ve C olarak adlandırıyor; üçü de yüksek basınçlı şok davranışı simülasyonlarını hedefliyor.
Mekanizma A, kancanın ulaşıldığı ilk ve 16’ncı seferde kontrolü doğrudan geri veriyor. Diğer durumlarda ise simülasyon giriş değeri 30 ile 65 arasındaysa, çıktı değerlerini normalin yüzde 10’una düşürüyor ve bu seviyede tutmaya devam ediyor.
Mekanizma B, LS-DYNA için tasarlanmış. Önce Durum Denklemi (Equation of State – EOS) seçiminin 2 (Jones-Wilkins-Lee), 3 (Sack Tuesday) ya da 7 (Ignition and Growth of Reaction in High Explosives) olup olmadığını kontrol ediyor. EOS, bir malzemenin hacmi veya yoğunluğu sıkıştırıldığında ya da genleştirildiğinde basıncının nasıl değiştiğini belirleyen matematiksel bir model; bu üç model özel olarak yüksek patlayıcıları modellemekte kullanılıyor. Koşul sağlanırsa, kurcalama rutini ancak simülasyonun belirli nitelikleri başlangıç değerinin beş katına ulaştığında başlıyor. Bu noktadan sonra, malzemenin yoğunluğu 30 g/cm³’e ulaşırsa Cauchy gerilme tensörü çıktı değerleri (sig_xx, sig_yy, sig_zz) gerçek değerinin yüzde 1’ine indiriliyor.
Ancak bu indirgeme ani değil. Kod, yüzde 1’e “doğal” görünecek şekilde ulaşmak için, yoğunluk 60 g/cm³’e vardığında bu seviyeye inecek eğimi hesaplıyor yani simülasyonun 60 g/cm³’e fiilen ulaşması gerekmiyor, bu değer yalnızca eğim hesabı için kullanılıyor. Symantec’e göre kullanılan değerler hedef alınan malzemenin uranyum olduğunu, Cauchy gerilme tensörü değerlerinin ise malzemenin sıkıştırılabilirliğini belirleyen termodinamik basıncını temsil ettiğini gösteriyor. Testlerde, 33 g/cm³’e sıkıştırma modellendiğinde sonuç gerçekte olandan daha fazla sıkışma oluyor.
Aslında bu şekilde simülasyonu kullanan araştırmacıların yaptıkları deneylerde sürekli yanlış sonuç bulmaları sağlanıyor.
Mekanizma C ise AUTODYN için tasarlanmış ve EOS değerlerinden 3 (Ideal Gas), 5 (JWL) ve 11 (Lee-Tarver) olanları kontrol ediyor. Bu mekanizma, simülasyonun belirli bir niteliği başlangıç değerinin beş katına çıkmadıkça ve bellekte AUTODYN’e özgü “$Loading co” dizesi bulunmadıkça devreye girmiyor. Yazılım sürümüne bağlı olarak basınç gibi bir çıktı değerini farklı oranlarda ölçekliyor. İndirim, uranyum yoğunluğu 30 g/cm³’lik sıkıştırmaya ulaştığında başlıyor ve farklı bitiş yoğunluklarına göre ölçekleniyor:
| Başlangıç Yoğunluğu | Bitiş Yoğunluğu | İndirilen Değer (gerçeğin %’si) |
|---|---|---|
| 30 g/cm³ | 60 g/cm³ | %42 |
| 30 g/cm³ | 40 g/cm³ | %10 |
| 30 g/cm³ | 47 g/cm³ | %10 |
| 30 g/cm³ | 48 g/cm³ | %8 |
Mekanizmaların yalnızca 30 g/cm³ eşiğinde harekete geçmesi tesadüf değil: Bu yoğunluk değerine uranyum ancak bir içe patlama (implosion) düzeneğinin şok sıkıştırması altında ulaşabiliyor.
Neden nükleer detonasyon simülasyonları?
Mekanizmaların hedefi, fizik açısından net bir mantığa oturuyor. Normal koşullarda uranyumdan sızan nötronlar başka bir çekirdeğe çarpmadan kaçar; ancak uranyum sıkıştırıldığında bu nötronların başka bir uranyum çekirdeğine çarpma olasılığı artar. Çekirdeğin parçalanması (fisyon) daha fazla nötron salar, bu da ardışık çarpışmalarla patlayıcı bir zincirleme reaksiyon başlatır. Nükleer silahlarda, uranyum çekirdeğinin etrafına yerleştirilen yüksek patlayıcılar bir basınç dalgası oluşturarak uranyumu sıkıştırır ve patlamayı tetikler.
Bir uranyum çekirdeğinin nükleer silah içindeki performansı simüle edilirken, malzemenin süperkritikliğe, nötronların devreye girip nükleer patlamayı başlatacağı eşiğe, ulaşacak kadar sıkışıp sıkışmayacağı hesaplanır. fast16’nın seçtiği EOS modelleri, malzeme modelleri ve ölçekleme katsayıları, tam olarak bu senaryoyla örtüşüyor. Mekanizma B ve C, önce bir yüksek patlayıcı simülasyonunun varlığını şart koşuyor, ardından uranyumun basınç simülasyonunu kurcalıyor.
Tespit edildi mi?
Simülasyon kullanıcılarının bu manipülasyonlara nasıl tepki verdiği belirsiz. Symantec’e göre çıktı değerleri ve grafikler bir acemiye makul görünebilir; ancak bir uzmanın gözünden tutarsızlıklar kaçmayabilir. Yalnızca tekil çıktı değerlerinin değiştirilmesi, modelde beklenmedik geri beslemelere ve bağımlı değerlerde tutarsızlıklara yol açabiliyor.
İki dolaylı kanıt, etkinin yer yer fark edilir biçimde yazılımı işlevsizleştirmek olduğunu destekliyor. Birincisi, kancaların sıralı eklendiği varsayılırsa, daha yeni bir sürümün ardından eski bir sürüm için yeni bir kanca grubunun eklendiği görülüyor, bu da kullanıcının anomaliyle karşılaştığında eski bir sürüme geri döndüğünü, sonra o sürümün de hedef alındığını düşündürüyor. İkincisi, kanca gruplarının 10 farklı yazılım sürümünü kapsaması, kullanıcının sürümleri sık sık güncellediğini gösteriyor. Sonuçların gerçekte ulaşılmamışken süperkritiklik göstermesi, ulaşılmışken başarısızlık göstermesi ya da basit istatistiksel anomaliler üretmesi fark etmeksizin, fast16’nın bir nükleer silahın başarıyla inşasını geciktirmiş ve sekteye uğratmış olması kuvvetle muhtemel.
Bulaşma ve kalıcılık
fast16, bir hedef ağın içinde kurulup yayılmak; ancak o ağın dışına çıkmamak üzere tasarlanmış. svcmgmt.exe adlı başlangıç dosyası, komut satırı argümanlarıyla beş ayrı mod sunuyor ve yazılımın asıl davranışını, ana bilgisayar operasyonlarından uzak hizmet kontrolüne kadar 13 kütüphaneye yayılmış bir Lua kodu sağlıyor.
Kurulumdan önce yazılım, tek örnek çalıştığından emin olmak için bir mutex’i kontrol ediyor ve 18 ayrı uç nokta güvenlik kayıt defteri anahtarını tarıyor; bunlardan herhangi biri varsa yayılmayı reddediyor. Kurulum aşamasında kendisini %windir%\system32\svcmgmt.exe konumuna kopyalıyor, dosyanın zaman damgalarını services.exe‘den klonlayarak gizleniyor ve kendisini SvcMgmt hizmeti olarak kaydediyor. Ardından fast16.sys çekirdek sürücüsünü sistem sürücüleri klasörüne bırakıyor, zaman damgalarını beep.sys ile eşleştiriyor ve bir sonraki önyüklemede SCSI sınıfı filtre sürücüsü olarak yüklenecek şekilde kayıt defterini yapılandırıyor.
Kalıcılık için fast16, Windows’un Image File Execution Options (IFEO) mekanizmasını istismar ediyor: Kendi yolunu hedef bir uygulamanın Debugger değerine yazarak, Windows’un o uygulama yerine fast16’yı başlatmasını sağlıyor. Çalıştığında ilgili kayıt anahtarını siliyor, orijinal uygulamayı başlatıyor, kalıcılığı korumak için anahtarı yeniden ekliyor ve kendisini normal yürütme için yeniden çalıştırıyor — kullanıcı çalışan bir uygulama görürken, ele geçirme sessizce yeniden kuruluyor.
Yayılmak için ise svcmgmt.dll‘yi çıkarıp bir MPR (Multiple Provider Router) ağ sağlayıcısı bildirim alıcısı olarak kaydediyor ve bu sayede WNetAddConnection çağıran her sürece yükleniyor, yeni paylaşım bağlantılarını \\.\pipe\p577 adlı boru üzerinden rapor ediyor. Paralel olarak tüm alanları, sunucuları ve paylaşımları numaralandırarak uzak ana bilgisayarları keşfediyor; her adayı yerel ağ aralıklarına (10.x.x.x, 172.16.x.x, 192.168.x.x) karşı kontrol ediyor. Uygun makinelerde, oturum açmış kullanıcının kimliğine bürünerek kendisini uzak admin$ paylaşımına kopyalıyor ve yürütmeyi başlatmak için uzak bir SvcMgmt hizmeti oluşturuyor.
Stuxnet’le aynı soydan
Symantec, fast16’yı kavramsal olarak Stuxnet’le aynı soya bağlıyor: Kötü amaçlı yazılımın yalnızca bir üreticinin ürününe değil, o ürün tarafından simüle edilen ya da kontrol edilen belirli bir fiziksel sürece uyarlanması. Aracın gösterdiği alan bilgisi düzeyi, hangi EOS biçimlerinin önemli olduğunu, hangi derleyicilerin hangi çağrı kurallarını ürettiğini ve hangi simülasyon sınıflarının tetikleyici kapıyı açıp açmayacağını bilmek, herhangi bir dönemde sıra dışı, 2005’te ise olağanüstüydü.
Savunma önerileri
Symantec, fast16’nın güncel bir sürümünün var olup olmadığının bilinmediğini, ancak benzer sabotaj yetenekli tehditlerden endişe duyan kuruluşların düzenli olarak uç noktalarında yüklü sürücüleri envantere alması ve imzasız ya da tanıdık olmayanları işaretlemesi gerektiğini öneriyor. Onaylanmamış yürütülebilir dosyaların ve DLL’lerin çalışmasını engellemek için sıkı yapılandırılmış uygulama denetimi (application control) dağıtılmalı; bu, saldırganların özel araçlarını sisteme bırakıp yan yükleme yapma fırsatını baştan ortadan kaldırıyor.
Bu haber, Broadcom bünyesindeki Symantec Tehdit Avcısı Ekibi’nin (Threat Hunter Team) 16 Mayıs 2026 tarihli analizinden derlenmiştir.
