“Back to the roots” lautet möglicherweise die Devise der Hackergruppe Winnti. Mit ihrer neuen Backdoor “skip-2.0” greift sie gezielt Microsoft SQL-Server an, die in der Gaming-Branche eingesetzt werden.
Die Cyberkriminellen, die sich in der Vergangenheit vor allem durch hochprofessionelle Spionage-Angriffe auf Unternehmen einen zweifelhaften Ruf erworben haben, starteten 2012 mit Supply-Chain-Angriffen gegen die Videospiel- und Softwareindustrie. Eines der bekanntesten Opfer war die Firma Gameforge. Die Winnti-Gruppe erschlich sich mit einer namensgleichen Schadsoftware Zugriff auf die Datenbanken des Unternehmens und somit der Spiele. So konnten sie beispielsweise die virtuellen Kontostände bei Computerspielen nach oben treiben und letztlich Geld mit ihren Manipulationen verdienen.
Ob diese Intention auch im aktuellen Fall mit der Backdoor “skip-2.0” gegeben ist, scheint noch unklar. Fest steht, dass Angreifer mit skip-2.0 einen permanenten offenen Zugang zu Microsoft-SQL-Servern herstellen können und unentdeckt bleiben – selbst in den Logfiles der Server ist dies nicht nachvollziehbar. Das Einsatzspektrum ist dann umfangreich: Winnti könnte heimlich Datenbankinhalte kopieren, ändern oder löschen. Der Verdacht liegt nahe, dass sie damit finanzielle Vorteile erzielen möchten. Denkbar wäre hier vor allem das Manipulieren oder sogar das Abschöpfen von In-Game-Währungen.
“Diese Backdoor ermöglicht es dem Angreifer, nicht nur durch die Verwendung eines speziellen Passworts dauerhaft Zugriff auf MSSQL-Server des Opfers zu erlangen. Sondern sie bleiben auch dank der vielfältigen Mechanismen zur Veröffentlichung von Protokollen und Ereignissen, die bei Verwendung dieses Passworts deaktiviert werden, unentdeckt”, erklärt Mathieu Tartare, ESET-Forscher, der die Winnti-Gruppe untersucht. “Wir haben skip-2.0 mit mehreren MSSQL-Server-Versionen getestet und festgestellt, dass wir uns nur mit MSSQL-Server 11 und 12 mit dem speziellen Passwort erfolgreich anmelden konnten. Auch wenn diese Versionen nicht die neuesten sind, sind es die häufigsten”, ergänzt Tartare.
ESET-Forscher verfolgen seit einiger Zeit die Aktivitäten der Winnti-Gruppe. Diese ist seit mindestens 2012 aktiv und wird für hochkarätige Supply-Chain-Angriffe gegen die Videospiel- und Softwareindustrie verantwortlich gemacht.
Weitere Informationen:
Der Blog-Post “Winnti Group’s skip-2.0: a Microsoft SQL Server backdoor” bietet technische Details, die weitere Funktionalitäten dieser Backdoor sowie Ähnlichkeiten mit dem bekannten Arsenal der Winnti-Gruppe beschreiben – insbesondere mit den Backdoors PortReuse und ShadowPad: https://www.welivesecurity.com/deutsch/2019/10/29/winntis-skip-2-0-microsoft-sql-server-backdoor/
www.eset.com/de