ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto una nueva herramienta de puerta trasera o backdoor denominada “Skip 2.0” por sus creadores, el conocido grupo de ciberespionaje Winnti, y que tiene como objetivo atacar los sistemas de gestión de base de datos de Microsoft SQL Server en sus versiones 11 y 12. Los atacantes pueden conectarse a cualquier cuenta de SQL mediante una contraseña especial sin que se registre el acceso en ningún log.
Gracias a la puerta trasera abierta por Winnti, los delincuentes pueden copiar, modificar o borrar cualquier contenido de una base de datos sin ser descubiertos. Entre las acciones que podrían llevar a cabo se encuentra, por ejemplo, la posibilidad de manipular los monedas propias utilizadas en algunos videojuegos para conseguir ganancias financieras, tal y como ya han hecho en el pasado.
“Esta puerta trasera permite a los atacantes no solo acceder al SQL Server de la víctima a través de una contraseña especial, si no también evitar su detección gracias a los múltiples mecanismos que utilizan para anular el registro de logs y eventos con dicha contraseña”, explica Mathieu Tartare, investigador de ESET. “Hemos analizado Skip 2.0 en diferentes versiones de SQL Server y hemos comprobado cómo solo se puede acceder usando esta contraseña especial en las versiones 11 y 12 que, aunque no se traten de las versiones más modernas, son las más utilizadas”.
ESET ha observado similitudes entre Skip 2.0 y otras herramientas conocidas utilizadas en el pasado por el grupo de ciberespionaje Winnti, como el launcher VMProtected, su empaquetador de binarios personalizado, un inyector Inner-Loader que usa el mismo procedimiento de anclaje en proceso legítimos.
ESET lleva vigilando las actividades de Winnti desde hace tiempo. El grupo está activo desde 2012 y ha sido responsable de ataques de alto nivel aprovechando la cadena de suministro en la industria del software y los videojuegos. Para conocer con más detalle las actividades de este grupo, ESET ha publicado un informe sobre las actividades de este grupo para entender su forma de operar, el arsenal del que dispone y sobre la puerta trasera PortReuse, que no había sido documentada hasta ahora.
Para más información sobre esta investigación, se puede leer el post “Una puerta trasera a Microsoft SQL Server” en el blog de ESET.
