Cyberthreat.id – Perusahaan keamanan siber asal Slovakia, ESET, menemukan pintu belakang (backdoor) bernama "skip-2.0" baru yang dikembangkan oleh kelompok cyberspies China dengan menargetkan MSSQL v12 dan v11.

Dikutip dari ZDNet, Senin (21 Oktober 2019), kelompok cyberspies China telah mengembangkan malware yang mengubah basis data Microsoft SQL Server (MSSQL)--sebuah sistem manajemen basis data relasional produk Microsoft. Mereka juga menciptakan mekanisme “pintu belakang” yang dapat membuat peretas terhubung ke akun mana pun dengan menggunakan "magic password”.

Backdoor tersebut membantu pereteas menyembunyikan sesi pengguna di dalam log koneksi database setiap kali "magic password" digunakan.

Dalam sebuah laporan yang diterbitkan hari ini, ESET mengatakan peretas menggunakan backdoor sebagai alat paska infeksi setelah mengkompromikan jaringan melalui metode lain.

ESET mengatakan fungsi backdoor MSSQL yang dimodifikasi adalah untuk menangani otentikasi, yaitu membuat "magic password”.

Jika "magic password” dimasukkan pada sesi otentikasi pengguna apa pun, pengguna secara otomatis diberikan akses. Sementara fungsi pencatatan dan audit normal dicegah dari eksekusi, ini secara efektif membuat sesi tersembunyi di dalam server. Menurut ESET, “skip-2.0” hanya berfungsi dengan server MSSQL v12 dan v11.

"Meskipun MSSQL Server 12 bukan versi terbaru (dirilis pada 2014), ini yang paling umum dipakai menurut data Censys Inc,” kata ESET.

Backdoor tersebut disebut-sebut memiliki kaitan dengan "Grup Winnti," nama yang digunakan ESET untuk menggambarkan peretas yang disponsori negara China. ESET mengatakan kode “Skip-2.0” berisi petunjuk yang menghubungkannya dengan alat peretasan Winnti lainnya, seperti PortReuse dan ShadowPad backdoors.

PortReuse adalah backdoor server IIS yang ditemukan ESET di jaringan vendor perangkat keras dan perangkat lunak yang disusupi di Asia Selatan awal tahun ini.

Sementara, ShadowPad adalah Trojan “pintu belakang” Windows. Pertama kali terlihat disuntikkan ke aplikasi yang diproduksi oleh pembuat perangkat lunak Korea Selatan NetSarang setelah peretas China menyusup infrastrukturnya pada pertengahan 2017.

Apa bahaya backdoor “Skip-2.0”?

"'Pintu belakang' seperti itu dapat memungkinkan penyerang untuk secara diam-diam menyalin, memodifikasi, atau menghapus konten basis data,” tutur ESET.

Selain itu, “Ini dapat digunakan, misalnya, untuk memanipulasi mata uang dalam game untuk keuntungan finansial. Sebelumnya, manipulasi basis data mata uang dalam game oleh operator Winnti juga telah ditemukan.”

Analisis ancaman tersebut, menurut ESET, merujuk pada serangkaian peretasan di perusahaan game yang dilaporkan awal tahun ini.Juga, temuan FireEye, perusahaan cybersecurity asal California, AS yang mengaitkan dengan kelompok peretas China, APT41.

Redaktur: Andi Nugroho