بكلمات سر سحرية: "سكيب-2.0" يهدد بتلاعبات خطيرة في قواعد البيانات

تلاعبات خطيرة في قواعد البيانات

كشفت باحثون في أمن المعلومات مؤخرا النقاب عن مجموعة من القراصنة الصينيين يطلقون على أنفسهم إسم “Winnti” تستخدم برنامج خبيث “Malware” يدعى "سكيب-2.0" أو “Skip-2.0” لإختراق خوادم مايكروسوف لقواعد البيانات "Microsoft SQL (MSSQL) ". وقد كشف الباحثون أيضا أن نشاط القراصنة قد بدء منذ عام 2012 ,  وقاموا بمهاجمة أستوديوهات ألعاب و وشركات تكنولوجيا المعلومات رفيعة المستوى.

وفقًا لشركة "ESET " للأمان ، تزود البرمجيات الخبيثة " Skip-2.0 " ، عند تثبيتها في الذاكرة ، للمهاجمين "Magic Password" التي تتيح لهم الوصول إلى أي حساب " MSSQL " يعمل على " MSSQL Server" من الإصدارات 11 أو 12.

بمجرد استغلالها ، يمكن للمهاجمين نسخ أو تغيير أو حذف محتوى قاعدة البيانات. ومع ذلك ، ذكرت "ESET " أن " Skip-2.0 " هي أداة ما بعد الاستغلال ، مما يعني أنه يجب اختراق خوادم " MSSQL " قبل أن يتمكن المهاجمون من الوصول إلى المسؤول. كما ذكرت شركة  "ESET " أيضًا أنها وجدت أوجه تشابه متعددة بين البرنامج  الخبيث " Skip-2.0 "  و" PortReuse backdoor"  ، وهي أداة أخرى تستخدمها مجموعة " Winnti".

 وكما صرحت شركة  "ESET " في بيان لها، " تلقينا عينة من هذا الباب الخلفي الجديد المسمى " Skip-2.0 " من قبل مؤلفيه وجزء من ترسانة " Winnti Group".  وكما ذكرنا سابقا فإن هذا الباب الخلفي يستهدف  الإصدارات 11 و 12 من " MSSQL Server"، مما يسمح للمهاجم بالاتصال خلسة بأي حساب " MSSQL " باستخدام كلمة مرور سحرية - أثناء إخفاء هذه الاتصالات تلقائيًا من السجلات. مثل هذا الباب الخلفي قد يسمح للمهاجمين بنسخ محتوى قاعدة البيانات أو تعديله أو حذفه بطريقة خفية. يمكن استخدام ذلك ، على سبيل المثال ، لمعالجة العملات داخل اللعبة لتحقيق مكاسب مالية".

"وقد أضافت شركة "ESET " ، "لقد تم بالفعل الإبلاغ عن عمليات تلاعب في قاعدة بيانات لعبة عملات من قبل مهاجمين " Winnti Group".  وحتى الأن ، يعد  " Skip-2.0 " أول باب خلفي ل" MSSQL Server"  يتم توثيقه بشكل عام.  ولوحظ أنه على الرغم من أن الإصدارات 11 و 12  ليسا أحدث الإصدارات (حيث تم إصدارهما في عامي 2012 و 2014 ، على التوالي) ، إلا أنهما هما الأكثر استخدامًا وفقًا لبيانات " Censys". ".

وقد كشف بحث مشابه من شركة "ESET "  مؤخرًا عن مجموعة اختراق تدعى"Cozy Bear"  ومقرها في روسيا ، وهي نفس المجموعة التي تقف وراء اختراق الانتخابات الرئاسية الأمريكية لعام 2016. وذكرت أن المجموعة تعمل متخفية لمهاجمة وزارات الخارجية في أوروبا.

ويُعتقد أن " Cozy Bear " ، والمعروفة أيضًا باسم " APT29" ، بأنها مرتبطة بجهاز المخابرات الروسي ومجموعة " Fancy Bear " للتسلل العسكري الروسي التي شاركت في هجمات على جهات ذات مستوى رفيع بين عامي 2014 و 2017.

وذكر الباحثون أن المجموعة واصلت أنشطتها الضارة أثناء بقائها تحت الرادار.وقد استهدفت "Cozy Bear" مؤخرًا وزارات الخارجية لثلاث دول مختلفة في أوروبا ، فضلاً عن سفارة لإحدى دول الاتحاد الأوروبي في واشنطن عاصمة الولايات المتحدة الأمريكية.

محمود أبوالحسن

https://www.linkedin.com/in/elhassan/

المصدر:

https://www.cisomag.com/skip-2-0-malware-provides-magic-password-to-access-microsoft-servers/