Descubierto un backdoor diseñado para atacar Microsoft SQL Server

Investigadores de ESET han descubierto una nueva herramienta de puerta trasera o backdoor denominada Skip 2.0 que tiene como objetivo atacar los sistemas de gestión de base de datos de Microsoft SQL Server en sus versiones 11 y 12.

La puerta trasera, desarrollada por el conocido grupo de ciberespionaje Winnti, permite conectarse a cualquier cuenta de SQL mediante una contraseña especial, sin que se registre el acceso en ningún log. Una vez dentro los delincuentes pueden copiar, modificar o borrar cualquier contenido de una base de datos sin ser descubiertos, así como manipular las monedas propias utilizadas en algunos videojuegos para conseguir ganancias financieras, tal y como ya han hecho en el pasado.

Mathieu Tartare, investigador de ESET, explica que “esta puerta trasera permite a los atacantes no solo acceder al SQL Server de la víctima a través de una contraseña especial, si no también evitar su detección gracias a los múltiples mecanismos que utilizan para anular el registro de logs y eventos con dicha contraseña. Hemos analizado Skip 2.0 en diferentes versiones de SQL Server y hemos comprobado cómo solo se puede acceder usando esta contraseña especial en las versiones 11 y 12, que, aunque no se traten de las versiones más modernas, son las más utilizadas”.

ESET lleva vigilando las actividades de Winnti desde hace tiempo. El grupo está activo desde 2012 y ha sido responsable de ataques de alto nivel aprovechando la cadena de suministro en la industria del software y los videojuegos. La compañía ha observado similitudes entre Skip 2.0 y otras herramientas utilizadas en el pasado por el grupo de ciberespionaje, como el launcher VMProtected, su empaquetador de binarios personalizado, un inyector Inner-Loader que usa el mismo procedimiento de anclaje en proceso legítimos.