Η ομάδα ερευνητών της ESET ανέλυσε ένα δείγμα από ένα νέο backdoor, που οι δημιουργοί του έχουν ονομάσει skip-2.0. Όπως πρόσφατα ανακαλύφθηκε, το backdoor προστέθηκε στο οπλοστάσιο της περιβόητης ομάδας κυβερνοκατασκοπείας Winnti. Συγκεκριμένα, το skip-2.0 επιτίθεται στο MSSQL Server 11 και 12, επιτρέποντας στους εισβολείς να συνδεθούν σε οποιονδήποτε λογαριασμό MSSQL με έναν ειδικό κωδικό πρόσβασης, κρύβοντας αυτόματα αυτές τις συνδέσεις από τα αρχεία καταγραφής. Ένα τέτοιο backdoor θα μπορούσε να επιτρέψει σε έναν εισβολέα να αντιγράψει, να τροποποιήσει ή να διαγράψει περιεχόμενο από τις βάσεις δεδομένων. Αυτή η δυνατότητα θα μπορούσε να χρησιμοποιηθεί, για παράδειγμα, για την κατάχρηση νομισμάτων σε παιχνίδια με στόχο το οικονομικό όφελος. Είναι γνωστό ότι στο παρελθόν, οι κυβερνοεγκληματίες της ομάδας Winnti είχαν εμπλακεί σε κακόβουλες ενέργειες σχετικές με βάσεις δεδομένων νομισμάτων σε παιχνίδια.
«Το συγκεκριμένο backdoor επιτρέπει στον εισβολέα να παραμείνει ανθεκτικό μέσα στο MSSQL server του θύματος μέσω της χρήσης ενός ειδικού κωδικού πρόσβασης, και, παράλληλα, αόρατο, χάρη στους μηχανισμούς multiple log και event publishing, που απενεργοποιούνται όταν χρησιμοποιείται αυτός ο κωδικός πρόσβασης», εξηγεί ο ερευνητής της ESET Mathieu Tartare, που συμμετείχε στις έρευνες για την ομάδα Winnti. «Δοκιμάσαμε το skip-2.0 σε πολλές εκδόσεις του MSSQL Server και διαπιστώσαμε ότι μπορούσαμε να συνδεθούμε με επιτυχία χρησιμοποιώντας τον ειδικό κωδικό πρόσβασης μόνο με τους MSSQL Server 11 και 12. Παρόλο που οι MSSQL Server 11 και 12 δεν είναι οι πιο πρόσφατες εκδόσεις, είναι οι πιο συνηθισμένες», προσθέτει ο Tartare.
Η ESET έχει παρατηρήσει πολλές ομοιότητες μεταξύ του skip-2.0 και άλλων γνωστών εργαλείων από το οπλοστάσιο της ομάδας Winnti, όπως ένα launcher VMPprotected, το custom packer του και ένα Inner-Loader injector που χρησιμοποιούν την ίδια διαδικασία hooking. «Λόγω αυτού συμπεραίνουμε ότι το skip-2.0 ανήκει επίσης σε αυτή την εργαλειοθήκη», λέει ο Tartare.
Οι ερευνητές της ESET παρακολουθούσαν για αρκετό καιρό τις δραστηριότητες της Winnti. Η ομάδα δραστηριοποιείται τουλάχιστον από το 2012 και της καταλογίζονται οι υψηλού προφίλ επιθέσεις «supply-chain» κατά της βιομηχανίας βιντεοπαιχνιδιών και λογισμικού. Η ESET δημοσίευσε πρόσφατα σχετικό white paper με περισσότερες πληροφορίες για το οπλοστάσιο της ομάδας Winnti και παρουσιάζει για πρώτη φορά ένα backdoor που ονομάζεται PortReuse.
Περισσότερες τεχνικές λεπτομέρειες βρίσκονται στο άρθρο «Winnti Group’s skip-2.0: a Microsoft SQL Server backdoor» σχετικά με τις λειτουργίες αυτού του backdoor, καθώς και τις ομοιότητες με το γνωστό οπλοστάσιο της ομάδας Winnti – ειδικότερα με τα backdoor PortReuse και ShadowPad.
Όλες οι τελευταίες εξελίξεις και οι έρευνες βρίσκονται στο λογαριασμό της ομάδας ερευνητών της ESET στο Twitter.