Hackergruppe Winnti attackiert Microsoft SQL-Server für Gamer

Nächste PM

Jena, 30. Oktober 2019 – „Back to the roots“ lautet möglicherweise die Devise der Hackergruppe Winnti. Mit ihrer neuen Backdoor „skip-2.0“ greift sie gezielt Microsoft SQL-Server an, die in der Gaming-Branche eingesetzt werden. Die Cyberkriminellen, die sich in der Vergangenheit vor allem durch hochprofessionelle Spionage-Angriffe auf Unternehmen einen zweifelhaften Ruf erworben haben, starteten 2012 mit Supply-Chain-Angriffen gegen die Videospiel- und Softwareindustrie. Eines der bekanntesten Opfer war die Firma Gameforge. Die Winnti-Gruppe erschlich sich mit einer namensgleichen Schadsoftware Zugriff auf die Datenbanken des Unternehmens und somit der Spiele. So konnten sie beispielsweise die virtuellen Kontostände bei Computerspielen nach oben treiben und letztlich Geld mit ihren Manipulationen verdienen.

Ob diese Intention auch im aktuellen Fall mit der Backdoor „skip-2.0“ gegeben ist, scheint noch unklar. Fest steht, dass Angreifer mit skip-2.0 einen permanenten offenen Zugang zu Microsoft-SQL-Servern herstellen können und unentdeckt bleiben – selbst in den Logfiles der Server ist dies nicht nachvollziehbar. Das Einsatzspektrum ist dann umfangreich: Winnti könnte heimlich Datenbankinhalte kopieren, ändern oder löschen. Der Verdacht liegt nahe, dass sie damit finanzielle Vorteile erzielen möchten. Denkbar wäre hier vor allem das Manipulieren oder sogar das Abschöpfen von In-Game-Währungen.

"Diese Backdoor ermöglicht es dem Angreifer, nicht nur durch die Verwendung eines speziellen Passworts dauerhaft Zugriff auf MSSQL-Server des Opfers zu erlangen. Sondern sie bleiben auch dank der vielfältigen Mechanismen zur Veröffentlichung von Protokollen und Ereignissen, die bei Verwendung dieses Passworts deaktiviert werden, unentdeckt", erklärt Mathieu Tartare, ESET-Forscher, der die Winnti-Gruppe untersucht. "Wir haben skip-2.0 mit mehreren MSSQL Server Versionen getestet und festgestellt, dass wir uns nur mit MSSQL Server 11 und 12 mit dem speziellen Passwort erfolgreich anmelden konnten. Auch wenn diese Versionen nicht die neuesten sind, sind es die häufigsten", ergänzt Tartare.

ESET-Forscher verfolgen seit einiger Zeit die Aktivitäten der Winnti-Gruppe. Diese ist seit mindestens 2012 aktiv und wird für hochkarätige Supply-Chain-Angriffe gegen die Videospiel- und Softwareindustrie verantwortlich gemacht.

Der Blog-Post "Winnti Group's skip-2.0: a Microsoft SQL Server backdoor" bietet technische Details, die weitere Funktionalitäten dieser Backdoor sowie Ähnlichkeiten mit dem bekannten Arsenal der Winnti-Gruppe beschreiben - insbesondere mit den Backdoors PortReuse und ShadowPad:

https://www.welivesecurity.com/deutsch/2019/10/29/winntis-skip-2-0-microsoft-sql-server-backdoor/

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.