Un grupo de ciberespionaje usa una puerta trasera contra Microsoft SQL Server
El grupo de ciberespionaje Winnti tiene como objetivo a Microsoft SQL Server usando una puerta trasera.
ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto una nueva herramienta de puerta trasera o backdoor denominada “Skip 2.0” por sus creadores, el conocido grupo de ciberespionaje Winnti, y que tiene como objetivo atacar los sistemas de gestión de base de datos de Microsoft SQL Server en sus versiones 11 y 12. Los atacantes pueden conectarse a cualquier cuenta de SQL mediante una contraseña especial sin que se registre el acceso en ningún log.
Gracias a la puerta trasera abierta por Winnti, los delincuentes pueden copiar, modificar o borrar cualquier contenido de una base de datos sin ser descubiertos. Entre las acciones que podrían llevar a cabo se encuentra, por ejemplo, la posibilidad de manipular los monedas propias utilizadas en algunos videojuegos para conseguir ganancias financieras, tal y como ya han hecho en el pasado.
“Esta puerta trasera permite a los atacantes no solo acceder al SQL Server de la víctima a través de una contraseña especial, si no también evitar su detección gracias a los múltiples mecanismos que utilizan para anular el registro de logs y eventos con dicha contraseña”, explica Mathieu Tartare, investigador de ESET. “Hemos analizado Skip 2.0 en diferentes versiones de SQL Server y hemos comprobado cómo solo se puede acceder usando esta contraseña especial en las versiones 11 y 12 que, aunque no se traten de las versiones más modernas, son las más utilizadas”.
ESET ha observado similitudes entre Skip 2.0 y otras herramientas conocidas utilizadas en el pasado por el grupo de ciberespionaje Winnti, como el launcher VMProtected, su empaquetador de binarios personalizado, un inyector Inner-Loader que usa el mismo procedimiento de anclaje en proceso legítimos.
ESET lleva vigilando las actividades de Winnti desde hace tiempo. El grupo está activo desde 2012 y ha sido responsable de ataques de alto nivel aprovechando la cadena de suministro en la industria del software y los videojuegos.