Las actividades de los grupos de hackers patrocinados por gobiernos pueden tener consecuencias desastrosas. Un grupo de expertos en forense digital de la firma ESET ha revelado la existencia de un nuevo malware desarrollado por Winnti, grupo de hacking respaldado por el gobierno de China, con el propósito de ganar persistencia en un sistema Microsoft SQL Server objetivo.
Identificado como skip-2.0, este malware es capaz de bloquear servidores Microsoft SQL (MSSQL) versiones 11 y 12; posteriormente, los hackers se conectan a cualquier cuenta en el servidor usando una “palabra mágica”, ocultando esta actividad de cualquier registro.
Mathieu Tartare, experto en forense digital de ESET, menciona: “Este backdoor permite a los actores de amenazas obtener persistencia en el servidor de la víctima, además de esquivar la detección, pues muchos de los mecanismos de registro de actividad en el sistema son inhabilitados usando esta contraseña especial”.
En realidad, Winnti es un nombre genérico que la comunidad de la ciberseguridad usa para referirse a al menos cinco grupos de hackers diferentes patrocinados por China. Estos actores de amenazas usan un conjunto de herramientas similares desde hace ocho años, cuando un grupo de expertos de la firma Kaspersky Lab detectó un troyano identificado como Winnti presente en algunos servidores de videojuegos en línea.
Los expertos en forense digital de ESET también mencionaron que el malware skip-2.0 guarda algunas similitudes con PortReuse y ShadowPad, dos backdoors usados anteriormente por Winnti. En anteriores campañas de ciberataques, estos backdoors fueron usados para atacar los servidores de una importante compañía fabricante de software y hardware para móviles.
Modo de ataque de skip-2.0
Cuando la carga maliciosa es entregada en el servidor MSSQL comprometido, el backdoor comienza la inyección del código malicioso en el proceso sqlserv.exe mediante sqllang.dll, lo que involucra algunas funciones usadas para registrar una autenticación. De este modo, el malware esquiva el mecanismo de autenticación del servidor MSSQL, permitiendo que los actores de amenazas inicien sesión sin importar que la contraseña de la cuenta ingresada no sea la correcta.
“El enlace de esta función se encarga de verificar si la contraseña proporcionada por el usuario coincide con la “palabra mágica” del hacker; en ese caso, no se llamará a la función original y el enlace devolverá un valor de ‘0’, permitiendo la conexión sin necesidad de usar la contraseña real”, agregan los expertos.
Los expertos de ESET probaron el ataque en diversas versiones del servidor, encontrando que sólo funciona exitosamente en las versiones 11 y 12. Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS), aunque estas versiones de servidor MSSQL fueron lanzadas hace casi 6 años, su uso sigue siendo muy común, por lo que un gran número de administradores podrían encontrarse expuestos a una infección.
En conclusión, el informe de ESET considera que debido a sus características y a las ventajas que propociona, los hackers de Winnti podrían comenzar campañas de infección a gran escala usando este malware. La única desventaja de este nuevo ataque es que se requieren privilegios de administrador para concretarse, por lo que los hackers aún deben idear una primera etapa de ataque antes de usar skip-2.0.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad