کمیته رکن چهارم – کارشناسان شرکت امنیتی ESET بدافزای به نام skip-2.0 شناسایی کردهاند که متعلق به هکرهای چینی است.
بهتازگی کارشناسان شرکت امنیتی ایست (ESET)، بدافزار جدیدی شناسایی کردهاند که تغییراتی در پایگاه دادههای Microsoft SQL Server اعمال کرده و یک دربپشتی ایجاد میکند. این بدافزار که skip-2.0 نامگرفته برای تغییر در عملکرد MSSQL اختصاصیافته که یکی از محبوبترین نرمافزارهای ساخت و مدیریت پایگاهداده محسوب میگردد. بدافزار skip-2.0 یک رمز عبور خاصی برای احراز هویت ایجاد میکند که امکان دسترسی خودکار را فراهم سازد. زمانی که هکرها از رمز عبور خاص خود استفاده میکنند این درب پشتی جلسات را در لاگهای اتصال به پایگاه داده مخفی کرده و سبب میشود مهاجمان شناسایی نگردند. مهاجمان از این درب پشتی پس از نفوذ به اهداف خود با روشهای دیگر، جهت مخفی شدن و ماندگاری پایدار بهره میگیرند.
به گفته کارشناسان، بدافزار skip-2.0 متعلق به گروه هکری چینی Winnti یا APT17 بوده و با سرورهای نسخه ۱۲ و ۱۱ MSSQL کار میکند. نسخه بسیار پرکاربرد ۱۲، سال ۲۰۱۴ منتشرشده است. کارشناسان با تجزیهوتحلیل کدهای skip-2.0 دریافتند که این درب پشتی با دیگر ابزارهای گروه Winnti خصوصاً درب پشتیهای PortReuse و ShadowPad مرتبط است. درب پشتی PortReuse برای سرورهای IIS اختصاصیافته و در ابتدای سال جاری توسط شرکت ایست در شبکههای آسیبدیده پیمانکاران سختافزارها و نرمافزارهای آسیای جنوبی شناساییشده است. درب پشتی تروجان ShadowPad مختص ویندوز بوده و نخستین بار در برنامههای توسعهدهنده نرمافزار NetSarang زمانی که هکرهای چینی زیرساخت آن را اواسط سال ۲۰۱۷ هک کرده بودند، مشاهدهشده است. بدافزار skip-2.0 به مهاجمان امکان میدهد محتوای پایگاه دادهها را کپی، تغییر یا حذف کرده و حتی ارزهای دیجیتال را دستکاری کنند.
منبع : سایبربان
