इसके बजाय, कमलुक ने देखा कि यह बहुत अलग इरादों के साथ कोड का एक स्व-प्रसारित टुकड़ा था। कोड के भीतर “वर्मलेट” कार्यक्षमता के रूप में संदर्भित किए गए का उपयोग करते हुए, फास्ट16 को विंडोज़ के नेटवर्क शेयर फीचर के माध्यम से नेटवर्क पर अन्य कंप्यूटरों पर खुद को कॉपी करने के लिए डिज़ाइन किया गया है। यह सुरक्षा अनुप्रयोगों की सूची की जाँच करता है, और यदि कोई मौजूद नहीं है, तो लक्ष्य मशीन पर Fast16.sys कर्नेल ड्राइवर स्थापित करता है।
वह कर्नेल ड्राइवर तब अनुप्रयोगों के कोड को पढ़ता है जब वे कंप्यूटर की मेमोरी में लोड होते हैं, विशिष्ट पैटर्न की एक लंबी सूची की निगरानी करते हैं – “नियम” जो इसे पहचानने की अनुमति देते हैं कि कोई लक्ष्य एप्लिकेशन कब चल रहा है। जब यह लक्ष्य सॉफ़्टवेयर का पता लगाता है, तो यह अपने स्पष्ट लक्ष्य को पूरा करता है: सॉफ़्टवेयर द्वारा चल रही गणनाओं को चुपचाप बदलकर उसके परिणामों को स्पष्ट रूप से भ्रष्ट कर देता है।
सिक्योरिटी कंसल्टेंसी टीएलपी:ब्लैक के एक शोधकर्ता कॉस्टिन रायु कहते हैं, “वास्तव में इसके अंदर एक बहुत ही महत्वपूर्ण पेलोड था, और लगभग हर कोई जिसने इसे पहले देखा था, वह इसे देखने से चूक गया था।” जो पहले उस टीम का नेतृत्व कर चुके थे जिसमें रूसी सुरक्षा फर्म कैस्परस्की में कामलुक और ग्युरेरो-साडे शामिल थे, जिन्होंने स्टक्सनेट और संबंधित मैलवेयर का विश्लेषण करने के लिए शुरुआती काम किया था। “यह एक दीर्घकालिक, बहुत ही सूक्ष्म तोड़फोड़ के लिए डिज़ाइन किया गया है जिसे नोटिस करना शायद बहुत, बहुत मुश्किल होगा।”
संभावित तोड़फोड़ लक्ष्य के लिए फास्ट16 के “नियमों” के मानदंडों को पूरा करने वाले सॉफ़्टवेयर की खोज करते हुए, कामलुक और ग्युरेरो-साडे को अपने तीन उम्मीदवार मिले: MOHID, PKPM, और LS-DYNA सॉफ़्टवेयर। जहां तक ”वर्मलेट” सुविधा का सवाल है, उनका मानना है कि प्रसार तंत्र को इस तरह से डिजाइन किया गया था कि जब कोई पीड़ित एक ही प्रयोगशाला में एक अलग कंप्यूटर के साथ अपनी गणना या सिमुलेशन परिणामों की दोबारा जांच करता है, तो वह मशीन भी गलत परिणाम की पुष्टि करेगी, जिससे धोखे को खोजना या समझना और भी मुश्किल हो जाएगा।
ग्युरेरो-साडे का तर्क है कि अन्य साइबर तोड़फोड़ अभियानों के संदर्भ में, केवल स्टक्सनेट ही फास्ट16 के समान वर्ग में है। मैलवेयर की जटिलता और परिष्कार भी इसे स्टक्सनेट के उच्च-प्राथमिकता, उच्च-संसाधन राज्य-प्रायोजित हैकिंग के दायरे में रखती है। ग्युरेरो-साडे कहते हैं, “ऐसे कुछ परिदृश्य हैं जहां आप गुप्त ऑपरेशन के लिए इस तरह के विकास प्रयास से गुजरते हैं।” “किसी ने उस प्रक्रिया को धीमा करने या क्षति पहुंचाने या उसे ख़त्म करने के लिए प्रतिमान को मोड़ दिया, जिसे वे अत्यंत महत्वपूर्ण मानते थे।”
ईरान परिकल्पना
यह सब इस परिकल्पना पर फिट बैठता है कि फास्ट16, स्टक्सनेट की तरह, परमाणु हथियार बनाने की ईरान की महत्वाकांक्षाओं को बाधित करने के उद्देश्य से हो सकता है। टीएलपी: ब्लैक के रायु का तर्क है कि, एक मात्र संभावना से परे, ईरान को लक्षित करना सबसे संभावित स्पष्टीकरण का प्रतिनिधित्व करता है – एक “मध्यम-उच्च आत्मविश्वास” सिद्धांत कि फास्ट 16 को “साइबर स्ट्राइक पैकेज के रूप में डिजाइन किया गया था” जिसने ईरान के एएमएडी परमाणु परियोजना को लक्षित किया, जो 2000 के दशक की शुरुआत में परमाणु हथियार प्राप्त करने के लिए अयातुल्ला खमैनी के शासन की एक योजना थी।
रायु कहते हैं, “यह साइबर हमले का एक और आयाम है, ईरान के परमाणु कार्यक्रम के खिलाफ इस साइबर युद्ध को छेड़ने का एक और तरीका है।”
वास्तव में, ग्युरेरो-साडे और कमलुक इंस्टीट्यूट फॉर साइंस एंड इंटरनेशनल सिक्योरिटी द्वारा प्रकाशित एक पेपर की ओर इशारा करते हैं, जिसमें ईरानी वैज्ञानिकों द्वारा अनुसंधान करने के सार्वजनिक साक्ष्य एकत्र किए गए थे जो परमाणु हथियार के विकास में योगदान दे सकते हैं। उन प्रलेखित मामलों में से कई में, वैज्ञानिकों के शोध में एलएस-डीवाईएनए सॉफ़्टवेयर का उपयोग किया गया था जिसे ग्युरेरो-साडे और कामलुक ने संभावित फास्ट16 लक्ष्य पाया था।
