นักวิจัยด้านความปลอดภัยจาก SentinelOne ค้นพบมัลแวร์ Lua ตัวใหม่ที่ถูกสร้างขึ้นก่อน Stuxnet อันโด่งดังถึง 5 ปี โดยมัลแวร์นี้มีชื่อรหัสว่า ‘fast16’ และถูกออกแบบมาเพื่อโจมตีซอฟต์แวร์คำนวณความแม่นยำสูงของโครงการนิวเคลียร์อิหร่าน โดยการปลอมแปลงผลลัพธ์ให้ผิดเพี้ยน

มัลแวร์ fast16 ฝังตัว Lua virtual machine และ bytecode ที่เข้ารหัสไว้ในไฟล์ ‘svcmgmt.exe’ ซึ่งมี timestamp ตั้งแต่ปี 2005 นอกจากนี้ยังมี kernel driver ที่ชื่อ ‘fast16.sys’ สำหรับดักจับและแก้ไขโค้ดที่อ่านจากดิสก์ การค้นพบนี้ชี้ให้เห็นว่า fast16 เป็นมัลแวร์ Windows ตัวแรกที่ใช้ Lua engine และอาจเชื่อมโยงกับ Equation Group ซึ่งเป็นกลุ่ม APT ที่ต้องสงสัยว่าเกี่ยวข้องกับ NSA

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• Lua – ภาษาสคริปต์ที่ใช้สำหรับฝังในแอปพลิเคชัน
• bytecode – โค้ดที่ถูกคอมไพล์เป็นรูปแบบที่เครื่องอ่านได้
• kernel driver – ไดรเวอร์ที่ทำงานในระดับเคอร์เนลของระบบปฏิบัติการ
• APT – กลุ่มภัยคุกคามขั้นสูงที่ดำเนินการโจมตีแบบต่อเนื่อง