Anzeige

Hackergruppe

"Back to the roots" lautet möglicherweise die Devise der Hackergruppe Winnti. Mit ihrer neuen Backdoor "skip-2.0" greift sie gezielt Microsoft SQL-Server an, die in der Gaming-Branche eingesetzt werden.

Die Cyberkriminellen, die sich in der Vergangenheit vor allem durch hochprofessionelle Spionage-Angriffe auf Unternehmen einen zweifelhaften Ruf erworben haben, starteten 2012 mit Supply-Chain-Angriffen gegen die Videospiel- und Softwareindustrie. Eines der bekanntesten Opfer war die Firma Gameforge. Die Winnti-Gruppe erschlich sich mit einer namensgleichen Schadsoftware Zugriff auf die Datenbanken des Unternehmens und somit der Spiele. So konnten sie beispielsweise die virtuellen Kontostände bei Computerspielen nach oben treiben und letztlich Geld mit ihren Manipulationen verdienen.

Ob diese Intention auch im aktuellen Fall mit der Backdoor "skip-2.0" gegeben ist, scheint noch unklar. Fest steht, dass Angreifer mit skip-2.0 einen permanenten offenen Zugang zu Microsoft-SQL-Servern herstellen können und unentdeckt bleiben - selbst in den Logfiles der Server ist dies nicht nachvollziehbar. Das Einsatzspektrum ist dann umfangreich: Winnti könnte heimlich Datenbankinhalte kopieren, ändern oder löschen. Der Verdacht liegt nahe, dass sie damit finanzielle Vorteile erzielen möchten. Denkbar wäre hier vor allem das Manipulieren oder sogar das Abschöpfen von In-Game-Währungen.

"Diese Backdoor ermöglicht es dem Angreifer, nicht nur durch die Verwendung eines speziellen Passworts dauerhaft Zugriff auf MSSQL-Server des Opfers zu erlangen. Sondern sie bleiben auch dank der vielfältigen Mechanismen zur Veröffentlichung von Protokollen und Ereignissen, die bei Verwendung dieses Passworts deaktiviert werden, unentdeckt", erklärt Mathieu Tartare, ESET-Forscher, der die Winnti-Gruppe untersucht. "Wir haben skip-2.0 mit mehreren MSSQL-Server-Versionen getestet und festgestellt, dass wir uns nur mit MSSQL-Server 11 und 12 mit dem speziellen Passwort erfolgreich anmelden konnten. Auch wenn diese Versionen nicht die neuesten sind, sind es die häufigsten", ergänzt Tartare.

ESET-Forscher verfolgen seit einiger Zeit die Aktivitäten der Winnti-Gruppe. Diese ist seit mindestens 2012 aktiv und wird für hochkarätige Supply-Chain-Angriffe gegen die Videospiel- und Softwareindustrie verantwortlich gemacht.

Weitere Informationen:

Der Blog-Post "Winnti Group's skip-2.0: a Microsoft SQL Server backdoor" bietet technische Details, die weitere Funktionalitäten dieser Backdoor sowie Ähnlichkeiten mit dem bekannten Arsenal der Winnti-Gruppe beschreiben - insbesondere mit den Backdoors PortReuse und ShadowPad: https://www.welivesecurity.com/deutsch/2019/10/29/winntis-skip-2-0-microsoft-sql-server-backdoor/

www.eset.com/de
 


Weitere Artikel

Passwortmanagement

Passwörter öffnen Hackern Tür und Tor

Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.
Phishing

Wachsende Gefahr durch OAuth-Attacken

Mit den bereits vor einigen Jahren eingeführten Applikationen auf Basis von Open Authorization (OAuth) konnten die großen Cloud-Plattformen wie Microsoft 365 und Google Workspace ihren Funktionsumfang vergrößern und gleichzeitig ihre Benutzeroberflächen…
Backdoor

Chinesische APT-Backdoor richtet sich gegen den russischen Verteidigungssektor

Das Cybereason Nocturnus Team untersucht in seinem Bericht die jüngsten Entwicklungen beim RoyalRoad Weaponizer, auch bekannt als 8.t Dropper / RTF Exploit Builder. Im Laufe der Jahre ist dieses Tool Bestandteil der Arsenale verschiedener chinesischer…
Hacker

Wenn Hacker Supply-Chains attackieren droht das Logistik-Chaos

Hackerangriffe bedrohen die globalen Lieferketten, wie eine Analyse der Logistikbranche der Sicherheitsforscher von BlueVoyant zeigt. In der Industrie könnten solche Attacken zu Chaos führen.
Hacker

Häufigste Cyber-Angriffe: Denial of Service und Passwort-Login

Denial-of-Service- (DoS) und Passwort-Login-Attacken wie Brute-Force- und Credential-Stuffing-Angriffe sind auf dem Vormarsch.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.