Sieci przemysłowe a potrzeba korzystania z narzędzi dostępu zdalnego

Narzędzia administracji zdalnej (ang. Remote Administration Tool, RAT) od zawsze wzbudzały kontrowersje. Z jednej strony dzięki nim nie trzeba mieć bezpośredniego dostępu do urządzenia, jednak z drugiej — narażają systemy komputerowe na zagrożenia, ponieważ umożliwiają dostęp zdalny do sprzętu. W środowisku przemysłowym dostęp zdalny jest szczególnie niebezpieczny, a nasi koledzy z należącego do Kaspersky Lab zespołu ICS CERT sprawdzili, jak często narzędzia RAT występują na komputerach przemysłowych i jaką mogą wyrządzić szkodę.

Według statystyk z Kaspersky Security Network w pierwszej połowie 2018 roku legalne narzędzia RAT znajdowały się w co trzecim systemie przemysłowym z systemem Windows. Przez pojęcie systemy przemysłowe mamy na myśli serwery SCADA, serwery bazodanowe, bramy danych, stacje robocze inżynierów i operatorów, jak również komputery służące do interakcji człowiek–maszyna.

Czasami lokalni administratorzy i inżynierowie wykorzystują narzędzia RAT w swojej codziennej pracy. Czasami podmioty zewnętrzne, np. odpowiedzialne za integrację systemu czy producenci przemysłowych systemów sterowania, potrzebują dostępu zdalnego w celu diagnostyki, serwisu czy rozwiązywania problemów. W niektórych przypadkach narzędzia te są używane nie pod kątem operacyjnym, ale w celu obniżenia kosztów serwisowych. Ale nawet wtedy, gdy naprawdę są one potrzebne do przeprowadzania procesów technologicznych, warto oceniać możliwe zagrożenia, a być może nawet wprowadzić zmiany w celu zmniejszenia powierzchni ataku.

Ponadto nie można zapominać o innych możliwościach: aby oszukać rozwiązanie zabezpieczające, autorzy szkodliwych programów czasami używają legalnego oprogramowania do administracji zdalnej jako narzędzia ataku.

Na czym polega problem?

Okazuje się, że nie wszyscy specjaliści rozumieją zagrożenia płynące z obecności narzędzi RAT w sieciach przemysłowych. Według naszych kolegów narzędzia te:

• często używały uprawnień systemowych,
• uniemożliwiały administratorom wprowadzenie ograniczeń dostępowych dla systemu,
• nie stosowały autoryzacji dwuetapowej,
• nie rejestrowały działań na klientach,
• zawierały luki — i to nie tylko te jeszcze niewykryte (innymi słowy, firmy nie aktualizują tych narzędzi),
• używały serwerów przekaźnikowych, co umożliwiało obejście ograniczeń narzucanych przez narzędzia służące do translacji adresów sieciowych i lokalną zaporę sieciową,
• zwykle używały haseł domyślnych lub domyślnych danych logowania.

W niektórych sytuacjach zespoły ds. bezpieczeństwa nawet nie wiedziały, że narzędzia administracji zdalnej były w użyciu — pracownicy nie wiedzieli więc, że muszą brać pod uwagę ten wektor ataku.

Jednak najważniejszym problemem jest to, że ataki z użyciem tych narzędzi są bardzo trudne do odróżnienia od normalnej aktywności. Podczas analizy incydentów, które miały miejsce w przemysłowych systemach sterowania, nasi eksperci z zespołu CERT dostrzegli wiele przykładów, w których szkodliwi użytkownicy używali tych narzędzi do ataku.

Jak zminimalizować zagrożenie?

Aby zmniejszyć ryzyko cyberincydentów z udziałem omawianych narzędzi, zespół ICS CERT zaleca podjęcie następujących kroków:

• Przeprowadź dokładny audyt narzędzi dostępu zdalnego w swojej sieci technologicznej, ze szczególnym uwzględnieniem VNC, RDP, TeamViewer czy RMS.
• Pozbądź się wszystkich narzędzi umożliwiających dostęp zdalny, których obecność w systemie nie jest uzasadniona.
• Przeanalizuj i wyłącz narzędzia administracji zdalnej powiązane z oprogramowaniem służącym do automatycznej kontroli systemu.
• W przypadku, gdy narzędzia RAT są potrzebne, wyłącz dostęp bezwarunkowy. Powinien on zostać włączany tylko w udokumentowanych okolicznościach i tylko na określony czas.
• Skonfiguruj rejestr dostępu i zdarzeń dla każdej sesji administracji zdalnej.

Pełna wersja raportu niniejszego badania znajduje się w języku angielskim na stronie SecureList. Aktywność zespołu ICS jest regularnie opisywana na stronie ICS CERT.