Anzeige

Hackergruppe

"Back to the roots" lautet möglicherweise die Devise der Hackergruppe Winnti. Mit ihrer neuen Backdoor "skip-2.0" greift sie gezielt Microsoft SQL-Server an, die in der Gaming-Branche eingesetzt werden.

Die Cyberkriminellen, die sich in der Vergangenheit vor allem durch hochprofessionelle Spionage-Angriffe auf Unternehmen einen zweifelhaften Ruf erworben haben, starteten 2012 mit Supply-Chain-Angriffen gegen die Videospiel- und Softwareindustrie. Eines der bekanntesten Opfer war die Firma Gameforge. Die Winnti-Gruppe erschlich sich mit einer namensgleichen Schadsoftware Zugriff auf die Datenbanken des Unternehmens und somit der Spiele. So konnten sie beispielsweise die virtuellen Kontostände bei Computerspielen nach oben treiben und letztlich Geld mit ihren Manipulationen verdienen.

Ob diese Intention auch im aktuellen Fall mit der Backdoor "skip-2.0" gegeben ist, scheint noch unklar. Fest steht, dass Angreifer mit skip-2.0 einen permanenten offenen Zugang zu Microsoft-SQL-Servern herstellen können und unentdeckt bleiben - selbst in den Logfiles der Server ist dies nicht nachvollziehbar. Das Einsatzspektrum ist dann umfangreich: Winnti könnte heimlich Datenbankinhalte kopieren, ändern oder löschen. Der Verdacht liegt nahe, dass sie damit finanzielle Vorteile erzielen möchten. Denkbar wäre hier vor allem das Manipulieren oder sogar das Abschöpfen von In-Game-Währungen.

"Diese Backdoor ermöglicht es dem Angreifer, nicht nur durch die Verwendung eines speziellen Passworts dauerhaft Zugriff auf MSSQL-Server des Opfers zu erlangen. Sondern sie bleiben auch dank der vielfältigen Mechanismen zur Veröffentlichung von Protokollen und Ereignissen, die bei Verwendung dieses Passworts deaktiviert werden, unentdeckt", erklärt Mathieu Tartare, ESET-Forscher, der die Winnti-Gruppe untersucht. "Wir haben skip-2.0 mit mehreren MSSQL-Server-Versionen getestet und festgestellt, dass wir uns nur mit MSSQL-Server 11 und 12 mit dem speziellen Passwort erfolgreich anmelden konnten. Auch wenn diese Versionen nicht die neuesten sind, sind es die häufigsten", ergänzt Tartare.

ESET-Forscher verfolgen seit einiger Zeit die Aktivitäten der Winnti-Gruppe. Diese ist seit mindestens 2012 aktiv und wird für hochkarätige Supply-Chain-Angriffe gegen die Videospiel- und Softwareindustrie verantwortlich gemacht.

Weitere Informationen:

Der Blog-Post "Winnti Group's skip-2.0: a Microsoft SQL Server backdoor" bietet technische Details, die weitere Funktionalitäten dieser Backdoor sowie Ähnlichkeiten mit dem bekannten Arsenal der Winnti-Gruppe beschreiben - insbesondere mit den Backdoors PortReuse und ShadowPad: https://www.welivesecurity.com/deutsch/2019/10/29/winntis-skip-2-0-microsoft-sql-server-backdoor/

www.eset.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.
Hacker

Identitätsbetrug: Darauf müssen sich Unternehmen 2021 vorbereiten

Zum Jahresbeginn prognostizieren die Security-Experten von ForgeRock und Onfido weitere Zunahmen von Betrugsversuchen im Internet. Vor allem Deepfakes werden zunehmend raffinierter. Unternehmen müssen daher zukünftig auf alternative Überprüfungsmethoden von…
Hacker

Ende von DarkMarket: So reagiert das Dark Web

Mit dem Aus von DarkMarket ist den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyberkriminalität gelungen. Im Dark Web selbst hat die Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen…
Hacker

5 Sicherheitsrisiken, die uns dieses Jahr erwarten

Das Jahr 2020 hat Geschichte geschrieben: Die globale Covid-19-Pandemie hat so ziemlich alle Lebensbereiche auf den Kopf gestellt – inklusive die Welt der Cyber-Kriminalität.
COVID-19-Impfstoff

Cyberangriffe auf die Supply Chain für COVID-19-Impfstoffe

Warum sind Cyberkriminelle daran interessiert, die COVID-19-Impfstoff-Lieferkette zu unterbrechen? Was haben wir bereits an COVID-19-bezogenen Cyberangriffen gesehen?
Hacker

Digitaler Service des US-Militärs lädt Hacker ein Schwachstellen zu entdecken

Der Defense Digital Service (DDS) und Hackerone, Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker, gaben den Start ihres elften Bug-Bounty-Programms bekannt. Zudem ist es das dritte Bug-Bounty-Programm mit dem U.S.…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!