Narzędzia administracji zdalnej (ang. Remote Administration Tool, RAT) od zawsze wzbudzały kontrowersje. Z jednej strony dzięki nim nie trzeba mieć bezpośredniego dostępu do urządzenia, jednak z drugiej — narażają systemy komputerowe na zagrożenia, ponieważ umożliwiają dostęp zdalny do sprzętu. W środowisku przemysłowym dostęp zdalny jest szczególnie niebezpieczny, a nasi koledzy z należącego do Kaspersky Lab zespołu ICS CERT sprawdzili, jak często narzędzia RAT występują na komputerach przemysłowych i jaką mogą wyrządzić szkodę.
Według statystyk z Kaspersky Security Network w pierwszej połowie 2018 roku legalne narzędzia RAT znajdowały się w co trzecim systemie przemysłowym z systemem Windows. Przez pojęcie systemy przemysłowe mamy na myśli serwery SCADA, serwery bazodanowe, bramy danych, stacje robocze inżynierów i operatorów, jak również komputery służące do interakcji człowiek–maszyna.
Czasami lokalni administratorzy i inżynierowie wykorzystują narzędzia RAT w swojej codziennej pracy. Czasami podmioty zewnętrzne, np. odpowiedzialne za integrację systemu czy producenci przemysłowych systemów sterowania, potrzebują dostępu zdalnego w celu diagnostyki, serwisu czy rozwiązywania problemów. W niektórych przypadkach narzędzia te są używane nie pod kątem operacyjnym, ale w celu obniżenia kosztów serwisowych. Ale nawet wtedy, gdy naprawdę są one potrzebne do przeprowadzania procesów technologicznych, warto oceniać możliwe zagrożenia, a być może nawet wprowadzić zmiany w celu zmniejszenia powierzchni ataku.
Ponadto nie można zapominać o innych możliwościach: aby oszukać rozwiązanie zabezpieczające, autorzy szkodliwych programów czasami używają legalnego oprogramowania do administracji zdalnej jako narzędzia ataku.
Na czym polega problem?
Okazuje się, że nie wszyscy specjaliści rozumieją zagrożenia płynące z obecności narzędzi RAT w sieciach przemysłowych. Według naszych kolegów narzędzia te:
- często używały uprawnień systemowych,
- uniemożliwiały administratorom wprowadzenie ograniczeń dostępowych dla systemu,
- nie stosowały autoryzacji dwuetapowej,
- nie rejestrowały działań na klientach,
- zawierały luki — i to nie tylko te jeszcze niewykryte (innymi słowy, firmy nie aktualizują tych narzędzi),
- używały serwerów przekaźnikowych, co umożliwiało obejście ograniczeń narzucanych przez narzędzia służące do translacji adresów sieciowych i lokalną zaporę sieciową,
- zwykle używały haseł domyślnych lub domyślnych danych logowania.
W niektórych sytuacjach zespoły ds. bezpieczeństwa nawet nie wiedziały, że narzędzia administracji zdalnej były w użyciu — pracownicy nie wiedzieli więc, że muszą brać pod uwagę ten wektor ataku.
Jednak najważniejszym problemem jest to, że ataki z użyciem tych narzędzi są bardzo trudne do odróżnienia od normalnej aktywności. Podczas analizy incydentów, które miały miejsce w przemysłowych systemach sterowania, nasi eksperci z zespołu CERT dostrzegli wiele przykładów, w których szkodliwi użytkownicy używali tych narzędzi do ataku.
Jak zminimalizować zagrożenie?
Aby zmniejszyć ryzyko cyberincydentów z udziałem omawianych narzędzi, zespół ICS CERT zaleca podjęcie następujących kroków:
- Przeprowadź dokładny audyt narzędzi dostępu zdalnego w swojej sieci technologicznej, ze szczególnym uwzględnieniem VNC, RDP, TeamViewer czy RMS.
- Pozbądź się wszystkich narzędzi umożliwiających dostęp zdalny, których obecność w systemie nie jest uzasadniona.
- Przeanalizuj i wyłącz narzędzia administracji zdalnej powiązane z oprogramowaniem służącym do automatycznej kontroli systemu.
- W przypadku, gdy narzędzia RAT są potrzebne, wyłącz dostęp bezwarunkowy. Powinien on zostać włączany tylko w udokumentowanych okolicznościach i tylko na określony czas.
- Skonfiguruj rejestr dostępu i zdarzeń dla każdej sesji administracji zdalnej.
Pełna wersja raportu niniejszego badania znajduje się w języku angielskim na stronie SecureList. Aktywność zespołu ICS jest regularnie opisywana na stronie ICS CERT.