Κινέζοι διαδικτυακοί κατάσκοποι έχουν αναπτύξει ένα malware που αλλάζει τις βάσεις δεδομένων του Microsoft SQL Server (MSSQL) και δημιουργεί έναν μηχανισμό backdoor που επιτρέπει στους hackers να συνδεθούν σε οποιοδήποτε λογαριασμό χρησιμοποιώντας έναν “μαγικό κωδικό πρόσβασης”.
Επιπλέον, ως ένα έξτρα πλεονέκτημα, το backdoor κρύβει τις ενέργειες του χρήστη μέσα στα αρχεία καταγραφής σύνδεσης της βάσης δεδομένων κάθε φορά που χρησιμοποιείται ο “μαγικός κωδικός πρόσβασης”, βοηθώντας τους hackers να παραμείνουν κρυφοί ακόμα και όταν οι διαχειριστές ενδέχεται να υποψιάζονται ότι κάτι πάει λάθος.
Ύστερα από άρθρο που δημοσιεύτηκε σήμερα, η ESET δήλωσε ότι οι hackers χρησιμοποίησαν το backdoor ως εργαλείο για “μετά τη μόλυνση”, αφού έκαναν αλλαγές στα δίκτυα μέσω άλλων μεθόδων.
Η ESET δήλωσε ότι το backdoor, με την ονομασία “skip-2.0”, τροποποίησε λειτουργίες MSSQL που χειρίζονται τον έλεγχο ταυτότητας. Η ιδέα είναι να δημιουργηθεί ένας “μαγικός κωδικός πρόσβασης”. Εάν εισάγεται ο “μαγικός κωδικός πρόσβασης” μέσα σε οποιαδήποτε περίοδο ελέγχου ταυτότητας χρήστη, ο χρήστης αποκτά αυτόματα πρόσβαση, ενώ οι κανονικές λειτουργίες καταγραφής και ελέγχου αποτρέπονται από την εκτέλεση, δημιουργώντας αποτελεσματικά μια ενέργεια “φάντασμα” μέσα στο server. Σύμφωνα με την ESET, το skip-2.0 λειτουργεί μόνο με servers MSSQL v12 και v11.
Το backdoor έχει συνδεθεί με το “Winnti Group”, ένα γενικό όνομα που χρησιμοποιεί η ESET για να περιγράψει κινέζικους “state-sponsored hackers”.
Η ESET δήλωσε ότι ο κώδικας skip-2.0 περιείχε ενδείξεις που το συνέδεσαν και με άλλα Winnti hacking tools, όπως το BackReuse και το backdoor ShadowPad.
Το PortReuse είναι έναs backdoor server IIS που ανακάλυψε η ESET στα παραβιασμένα δίκτυα προμηθευτών υλικού και λογισμικού σε όλη τη Νότια Ασία νωρίτερα αυτό το έτος.
Το ShadowPad είναι ένα Windows backdoor trojan που πρωτοεμφανίστηκε σε εφαρμογές που κατασκευάστηκαν από τη νοτιοκορεατική εταιρεία λογισμικού, NetSarang, αφού οι Κινέζοι hackers παραβίασαν την υποδομή της στα μέσα του 2017.
Ωστόσο, οι ειδικοί της ESET σημειώνουν ότι το skip-2.0 μπορεί να είναι ένα από τα πιο ισχυρά εργαλεία στο “οπλοστάσιο” του Winnti.
