Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Hackergruppe

"Back to the roots" lautet möglicherweise die Devise der Hackergruppe Winnti. Mit ihrer neuen Backdoor "skip-2.0" greift sie gezielt Microsoft SQL-Server an, die in der Gaming-Branche eingesetzt werden.

Die Cyberkriminellen, die sich in der Vergangenheit vor allem durch hochprofessionelle Spionage-Angriffe auf Unternehmen einen zweifelhaften Ruf erworben haben, starteten 2012 mit Supply-Chain-Angriffen gegen die Videospiel- und Softwareindustrie. Eines der bekanntesten Opfer war die Firma Gameforge. Die Winnti-Gruppe erschlich sich mit einer namensgleichen Schadsoftware Zugriff auf die Datenbanken des Unternehmens und somit der Spiele. So konnten sie beispielsweise die virtuellen Kontostände bei Computerspielen nach oben treiben und letztlich Geld mit ihren Manipulationen verdienen.

Ob diese Intention auch im aktuellen Fall mit der Backdoor "skip-2.0" gegeben ist, scheint noch unklar. Fest steht, dass Angreifer mit skip-2.0 einen permanenten offenen Zugang zu Microsoft-SQL-Servern herstellen können und unentdeckt bleiben - selbst in den Logfiles der Server ist dies nicht nachvollziehbar. Das Einsatzspektrum ist dann umfangreich: Winnti könnte heimlich Datenbankinhalte kopieren, ändern oder löschen. Der Verdacht liegt nahe, dass sie damit finanzielle Vorteile erzielen möchten. Denkbar wäre hier vor allem das Manipulieren oder sogar das Abschöpfen von In-Game-Währungen.

"Diese Backdoor ermöglicht es dem Angreifer, nicht nur durch die Verwendung eines speziellen Passworts dauerhaft Zugriff auf MSSQL-Server des Opfers zu erlangen. Sondern sie bleiben auch dank der vielfältigen Mechanismen zur Veröffentlichung von Protokollen und Ereignissen, die bei Verwendung dieses Passworts deaktiviert werden, unentdeckt", erklärt Mathieu Tartare, ESET-Forscher, der die Winnti-Gruppe untersucht. "Wir haben skip-2.0 mit mehreren MSSQL-Server-Versionen getestet und festgestellt, dass wir uns nur mit MSSQL-Server 11 und 12 mit dem speziellen Passwort erfolgreich anmelden konnten. Auch wenn diese Versionen nicht die neuesten sind, sind es die häufigsten", ergänzt Tartare.

ESET-Forscher verfolgen seit einiger Zeit die Aktivitäten der Winnti-Gruppe. Diese ist seit mindestens 2012 aktiv und wird für hochkarätige Supply-Chain-Angriffe gegen die Videospiel- und Softwareindustrie verantwortlich gemacht.

Weitere Informationen:

Der Blog-Post "Winnti Group's skip-2.0: a Microsoft SQL Server backdoor" bietet technische Details, die weitere Funktionalitäten dieser Backdoor sowie Ähnlichkeiten mit dem bekannten Arsenal der Winnti-Gruppe beschreiben - insbesondere mit den Backdoors PortReuse und ShadowPad: https://www.welivesecurity.com/deutsch/2019/10/29/winntis-skip-2-0-microsoft-sql-server-backdoor/

www.eset.com/de
 

Neuste Artikel

Puzzle

Demant launcht EPOS

Sennheiser Communications A/S, das Joint Venture zwischen Demant A/S und der Sennheiser Electronic GmbH & Co. KG, hatte bereits angekündigt, dass es sich in einer neuen Konstellation weiterentwickeln wird. Im Jahr 2020 endet nun das Joint-Venture.
Strategiegipfel IT Management

Die IT als Technology Innovator

Über den Weg zur digitalen IT-Organisation und wie digitale Technologien die Struktur, die Rollen und das Verständnis der IT im Unternehmen verändern, spricht CIO Sinanudin Omerhodzic, Chief Information Officer bei der Paul Hartmann AG auf dem Strategiegipfel…
Field Service Management

Field Service Management: Flexibilität als oberstes Gebot

Field Service Management-Lösungen bieten für Unternehmen viele Vorteile – von erhöhter Produktivität bis hin zu mehr Effizienz. Die Implementierung solcher Lösungen ist allerdings auch mit Herausforderungen an Management und Belegschaft verbunden.
Puzzle Hand

FireEye übernimmt Cloudvisory

FireEye, Inc. (NASDAQ: FEYE), übernimmt Cloudvisory. Mit der Akquisition, die das Unternehmen am 17. Januar 2020 abgeschlossen hat, erweitert FireEye seine Plattform Helix um Sicherheitsfunktionen für Cloud-Workloads und bietet künftig eine integrierte…
Passwort vergessen

Vergessene Passwörter kosten Firmen viel Geld

Unternehmen würden massiv IT-Kosten sparen, wenn sie komplett auf Passwörter verzichteten. Andere Formen der Authentifizierung wie beispielsweise biometrische Scans sind wesentlich kosteneffizienter und auch sicherer als gewöhnliche Passworteingaben. Das…
Firmenübernahme

Hitachi Vantara plant die Übernahme von Waterline Data

Hitachi Vantara, eine hundertprozentige Tochtergesellschaft der Hitachi, Ltd., gab seine Absicht bekannt, das Geschäft der im Privatbesitz befindlichen Waterline Data, Inc. zu übernehmen.

Anzeige

GRID LIST
Phishing

Spear-Phishing auf dem Vormarsch

Aktuelle Phishingwellen beweisen es – die Cyberkriminellen sind kreativ. Nun muss man…
Trojaner

Die Emotet-Angriffswelle hält Deutschland weiter in Atem

Stadtverwaltungen, Kliniken und Universitäten hatten in letzter Zeit vermehrt mit…
Telnet

Telnet Leak: 500.000 Anmeldedaten sind öffentlich

Vor wenigen Tagen hat ein Hacker eine Liste mit Telnet-Anmeldedaten für mehr als 500.000…
Ransomware

Remote Access VPNs rücken ins Visier von Ransomware-Angriffen

Die Security-Analysten des Zscaler-ThreatlabZ-Teams analysieren die Vorgehensweise des…
Malware

Malware – eine Erfolgsgeschichte

2020: Regelrechte Malware-Kampagnen versetzen Unternehmen aller Branchen und Größen in…
Hacker

3 Hacker, die Geschichte schrieben

Immer neue Cyberattacken halten uns Tag für Tag auf Trab. Bei der Analyse der Angriffe…