Legitimni alati za daljinsko upravljanje (Legitimate remote administration tools – RAT) predstavljaju ozbiljnu pretnju industrijskim mrežama: instalirani su na 31,6% računara industrijskog kontrolnog sistema (ICS), ali često ostaju neprimećeni sve dok bezbednosni tim organizacije ne otkrije da su kriminalci koristili RAT softver za instalaciju ransomvera ili softvera za rudarenje kriptovalutama, ili za krađu poverljivih informacija, pa čak i novca.
Ovo su otkrili stručnjaci za bezbednost kompanije Kaspersky Lab koji su sproveli istraživanje ovog fenomena.
Alati za daljinsko upravljanje (RAT) su legitimni softverski alati koji trećim licima omogućavaju daljinski pristup računaru . Često ih legitimno koriste zaposleni u industrijskim preduzećima kako bi uštedeli resurse, ali ih takođe mogu koristiti i zlonamerni akteri za skriveni pristup ciljanim računarima.
Prema izveštaju računarskog tima za hitne slučajeve industrijskih kontrolnih sistema (ICS CERT) koji je objavila kompanija Kaspersky Lab, alatke za daljinsko upravljanje (RAT) su neverovatno rasprostranjene u svim industrijama: gotovo jedna trećina računara sa industrijskim kontrolnim sistemom (ICS) zaštićenih proizvodima kompanije Kaspersky Lab imaju instalirane alate za daljinsko upravljanje (RAT). Što je još važnije, gotovo svaki peti alat automatski dolazi u paketu sa softverom industijskih kontrolnih sistema (ICS). Ovo ih čini manje vidljivim administratorima sistema i, stoga, atraktivnijim za aktere pretnji.
Prema istraživanju, zlonamerni korisnici koriste RAT softver da bi:
- Stekli neovlašćeni pristup ciljnoj mreži;
- Inficirali mrežu malverom kako bi špijunali, sabotirali i sticali ilegalne finansijske profite kroz ransomver ili kroz pristup finansijskim sredstvima putem napadnutih mreža.
Najznačajnija pretnja RAT softvera je njihova sposobnost da dobiju veće privilegije u napadnutom sistemu. U praksi to znači sticanje neograničene kontrole nad industrijskim računarom, što može dovesti do značajnih finansijskih gubitaka, kao i fizičke katastrofe. Ovakve mogućnosti se često dobijaju pomoću osnovnog napada tehnikom ,,brute force“, što podrazumeva pokušaj pogađanja lozinke kroz sve moguće kombinacije znakova dok se ne pronađe ispravna. Dok je ovo jedan od najpopularnijih načina da se preuzme kontrola nad alatkama za daljinsko upravljanje, napadači takođe mogu pronaći i iskoristiti ranjivosti u samom RAT softveru.
“Broj industrijskih kontrolnih sistema (ICS) sa RAT softverom je zabrinjavajući, a mnoge organizacije čak i ne vide koliko je veliki potencijalni rizik povezan sa alatima za daljinsko upravljanje. Na primer, nedavno smo posmatrali napade na jednu automobilsku kompaniju, gde je jedan od računara imao instalirane alate za daljinsko upravljanje. To je dovelo do redovnih pokušaja instalacije različitih malvera na računar tokom nekoliko meseci, a naša bezbednosna rešenja blokiraju najmanje dva takva pokušaja svake nedelje. Da ta organizacija nije bila zaštićena našim sigurnosnim softverom, posledice bi u najmanju ruku bile neprijatne. Međutim, to ne znači da kompanije odmah moraju ukloniti sav RAT softver iz svojih mreža. Na kraju krajeva, ovo su veoma korisne aplikacije, koje štede vreme i novac. Međutim, treblo bi pažljivo brinuti o njihovom prisustvu na mreži, posebno na mrežama industrijskih kontrolnih sistema (ICS), koje su često deo ključnih infrastrukturnih objekata “, rekao je Kirill Kruglov, viši istraživač bezbednosti u kompaniji Kaspersky Lab, deo računarskog tima za hitne slučajeve industrijskih kontrolnih sistema (ICS CERT).
Da bi se smanjio rizik od sajber napada koji uključuju alate, računarski tim za hitne slučajeve kod industrijskih kontrolnih sistema (ICS CERT) kompanije Kasperski Lab preporučuje primenu sledećih tehničkih mera:
- Revizija upotrebe aplikacija i sistemskih alata za udaljeno upravljanje koje se koriste na industrijskoj mreži. Uklonite sve alate za daljinsko upravljanje koji nisi neophodni u industrijskom procesu.
- Sprovedite reviziju i onemogućite alate za daljinsko upravljanje (RAT) koje ste dobili uz softver industrijskih kontrolnih sistema (pogledajte odgovarajuću softversku dokumentaciju za detaljne instrukcije), ukoliko nisu neophodne industrijskom procesu.
- Pažljivo kontrolišite i unosite događaje za svaku sesiju daljinskog upravljanja koja je neophodna industrijskom procesu; udaljeni pristup bi trebao biti isključen i omogućen samo uz zahtev i samo u ograničenom vremenskom periodu.