ESET ontdekt stiekeme Chinese backdoor voor Microsoft SQL Server

Onderzoekers van securitybedrijf ESET hebben malware ontdekt die Microsoft SQL Server (MSSQL)-databases manipuleert om hackers vanaf elk account toegang te geven via een ‘magisch wachtwoord’. De Winnti Group, een door de Chinese staat gesponsorde hackersgroep, zou achter de backdoor zitten.

Iedere keer als het magisch wachtwoord wordt gebruikt, verbergt de skip-2.0-backdoor de gebruikerssessies in de verbindingslogboeken van de database. De hackers kunnen hierdoor onopgemerkt blijven, zelfs wanneer beheerders vermoeden dat er iets mis is, zo schrijft ZDNet.

Als het magische wachtwoord wordt ingevoerd, krijgt de gebruiker automatisch toegang, terwijl normale logboek- en auditfuncties worden verhinderd. Er wordt op deze manier als het ware een spooksessie in de server gecreëerd. Hackers van de Winnti Group zouden de backdoor gebruiken als een post-infectietool, nadat ze netwerken eerst via andere methoden hebben aangetast. 

Winnti Group

De skip-2.0-code bevat volgens onderzoekers van ESET aanwijzingen die de malware aan andere hacktools van Winnti koppelen, zoals de eerder ontdekte backdoor PortReuse. Deze zogeheten IIS-backdoor werd eerder dit jaar aangetroffen op aangetaste netwerken van hardware- en softwareleveranciers in Zuid-Azië.

Daarnaast linkt de code ook naar een andere backdoor van de Winnti Group, genaamd ShadowPad, een Windows-trojan die voor het eerst werd gezien in apps vervaardigd door de Zuid-Koreaanse softwaremaker NetSarang. Dat gebeurde nadat Chinese hackers medio 2017 de infrastructuur van NetSarang wisten te doorbreken.

MSSQL v12- en v11-servers

De malware richt zich alleen op MSSQL v12- en v11-servers. Ondanks dat de in 2014 uitgebrachte MSSQL Server 12 niet de meest recente versie betreft, is het volgens gegevens van Censys wel de meest gebruikte versie.

“Gezien het feit dat beheerdersrechten vereist zijn voor het installeren van de hooks, moet skip-2.0 worden gebruikt op reeds gecompromitteerde MSSQL-servers om persistentie en verdokenheid te bereiken”, aldus de onderzoekers, die constateren dat wanneer deze hindernis eenmaal is gepasseerd, skip-2.0 zomaar eens één van de krachtigste hulpmiddelen in het arsenaal van Winnti kan zijn.