20 września 2018

Narzędzia administracji zdalnej zagrażają bezpieczeństwu sieci przemysłowych

Legalne narzędzia administracji zdalnej (ang. Remote Administration Tools, RAT) znajdują się na 31,6% komputerów należących do przemysłowych systemów sterowania (ang. Industrial Control System, ICS). Niestety działy bezpieczeństwa często przypominają sobie o ich istnieniu dopiero wtedy, gdy wydarzy się jakiś incydent, np. okaże się, że są one wykorzystywane przez cyberprzestępców do instalowania oprogramowania typu ransomware lub służącego do generowania kryptowaluty, kradzieży poufnych informacji, a nawet pieniędzy. Wszystko to sprawia, że narzędzia administracji zdalnej stwarzają poważne zagrożenie dla sieci przemysłowych. Założenie to popierają wnioski ekspertów ds. bezpieczeństwa z firmy Kaspersky Lab, którzy przeprowadzili specjalne badanie w tym zakresie.


Narzędzia administracji zdalnej to legalne oprogramowanie umożliwiające zdalny dostęp do komputera. Są one często używane przez pracowników przedsiębiorstw przemysłowych, co pozwala oszczędzać zasoby; jednak mogą być również wykorzystywane przez osoby niepowołane w celu potajemnego uzyskiwania dostępu do atakowanych komputerów.

Jak wynika z raportu opublikowanego przez należący do Kaspersky Lab zespół ICS CERT, narzędzia RAT są powszechnie stosowane we wszystkich branżach: są one zainstalowane na niemal co trzecim komputerze ICS chronionym przez produkty Kaspersky Lab. Co ważniejsze, prawie jedna piata z nich jest związana z oprogramowaniem ICS. Sprawia to, że są one mniej widoczne dla administratorów systemu, a w konsekwencji - atrakcyjniejsze dla atakujących.

Według badania szkodliwi użytkownicy wykorzystują wspomniane oprogramowanie do:

  • uzyskiwania nieautoryzowanego dostępu do atakowanej sieci,
  • infekowania sieci szkodliwymi programami w celu szpiegostwa i sabotażu, a także nielegalnych zarobków przy użyciu programów żądających okupu, jak również do uzyskiwania dostępu do zasobów finansowych za pośrednictwem zaatakowanych sieci.
Największym zagrożeniem związanym z korzystaniem z narzędzi administracji zdalnej jest możliwość uzyskania w zaatakowanym systemie szerszych uprawnień. W praktyce oznacza to zdobycie nieograniczonej kontroli nad przedsiębiorstwem przemysłowym, co może skutkować dużymi stratami finansowymi i szkodami fizycznymi. W tym celu często przeprowadza się atak siłowy, który polega na próbie odgadnięcia hasła poprzez sprawdzanie wszystkich możliwych kombinacji znaków. Chociaż atak siłowy stanowi najpopularniejszy sposób na przejęcie kontroli nad narzędziem administracji zdalnej, atakujący mogą również sprawdzić samo oprogramowanie pod kątem możliwych do użycia luk.

Sytuacja związana z przemysłowymi systemami sterowania z zainstalowanymi narzędziami administracji zdalnej jest niepokojąca, ponieważ wiele organizacji nawet nie podejrzewa, jak duże jest potencjalnie zagrożenie związane z tym oprogramowaniem. Na przykład od jakiegoś czasu obserwujemy ataki na firmy z branży motoryzacyjnej, gdzie na jednym z komputerów zainstalowane jest narzędzie RAT. W efekcie na przestrzeni kilku miesięcy podejmowane są regularne próby instalowania na tym komputerze różnych szkodliwych programów; nasze produkty zabezpieczające blokują w każdym tygodniu co najmniej dwie takie próby. Jeśli organizacja ta nie byłaby należycie chroniona, konsekwencje mogłyby być co najmniej nieprzyjemne. Jednak nie oznacza to, że firmy powinny natychmiast usunąć ze swoich sieci oprogramowanie umożliwiające dostęp zdalny. Są to bardzo przydatne aplikacje, które pozwalają oszczędzać czas i finanse. Jednak ich obecność w sieci powinna być traktowana z ostrożnością, zwłaszcza w sieciach ICS, które często są częścią urządzeń infrastruktury krytycznej - powiedział Kirył Krugłow, starszy badacz ds. cyberbezpieczeństwa z zespołu ICS CERT, Kaspersky Lab.

Aby zmniejszyć ryzyko cyberataku z użyciem narzędzi administracji zdalnej, zespół ICS CERT zaleca podjęcie następujących technicznych środków zabezpieczających:

  • Sprawdzaj użycie aplikacji i systemowych narzędzi administracji zdalnej stosowanych w sieci przemysłowej, takich jak VNC, RDP, TeamViewer czy RMS. Usuń wszystkie narzędzia administracji zdalnej, które nie są używane przez procesy przemysłowe.
  • Przeprowadź audyt i wyłącz narzędzia administracji zdalnej, które są powiązane z oprogramowaniem ICS (szczegółowe instrukcje znajdziesz w dokumentacji oprogramowania), i upewnij się, że nie są one używane przez procesy przemysłowe.
  • Uważnie monitoruj i rejestruj zdarzenia podczas każdej sesji kontroli zdalnej, której żądają procesy przemysłowe; dostęp zdalny powinien zostać domyślnie wyłączony i aktywowany tylko na żądanie i na określony czas.
Pełna wersja raportu wykorzystanego w niniejszej informacji prasowej jest dostępna na stronie https://ics-cert.kaspersky.com/reports/2018/09/20/threats-posed-by-using-rats-in-ics.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.