Средства удаленного администрирования (Remote Administration Tool, RAT) установлены на 31,6% компьютеров на базе Windows, обслуживающих промышленные предприятия. Несмотря на то что эти легитимные программы зачастую необходимы для диагностики и устранения изъянов в системе управления, они представляют серьезную угрозу для технологических сетей. К такому выводу пришли специалисты «Лаборатории Касперского», которые проанализировали особенности использования RAT на производстве.

По данным Kaspersky Lab ICS-CERT, удаленный доступ необходим не только сторонним разработчикам для удаления сбоев в системе, но и локальным операторам и инженерам для повседневных задач. С его помощью мониторят HMI-терминалы, управляют SCADA из внешней сети или подключаются к офисному компьютеру для просмотра почты и документов или выхода в Интернет. В некоторых случаях RAT нужен для снижения затрат: с его помощью к одному АРМ подключают множество операторов, тем самым экономя на ПО для настройки тонкого клиента.

Так как эти программы легитимны и используются повседневно, не все специалисты понимают, какие это сулит угрозы. Наиболее серьезная проблема в том, что RAT-атаки очень трудно отличить от обычной активности. Кроме того, персонал или подрядчики часто не ставят ИБ-службы в известность о подключении удаленного администрирования. В 18,6% случаев RAT-утилиты даже входят в дистрибутивы или установочные пакеты ПО для АСУ.

Другая опасность таких программ состоит в том, что они имеют повышенные привилегии, ограничить которые нет возможности.

«На практике это означает, что если злоумышленник (или вредоносное ПО) получит доступ к компьютеру удаленного пользователя, украдет данные аутентификации (логин/пароль), внедрится в активную сессию удаленного управления или успешно атакует уязвимость в серверной части RAT, то в результате получит безграничный контроль над системой АСУ», — поясняют эксперты «Лаборатории Касперского».

Вот еще несколько характерных черт RAT-программ, снижающих уровень защищенности системы:

  • В них не используется многофакторная аутентификация.
  • Они не регистрируют действия клиента.
  • В них содержатся уязвимости, в том числе еще не обнаруженные.
  • Они редко обновляются.
  • В дистрибутивах для ICS пароль либо вшит в код, либо задан «по умолчанию».
  • Они используют серверы для обратного подключения, позволяющие обходить ограничения NAT и межсетевого экрана в периметре сети.

Атаки из Интернета остаются основной угрозой для промышленных предприятий. В первой половине этого года они составили 27,3% от всех киберинцидентов. При этом в ряде нападений преступники применяли именно средства удаленного администрирования.

Так, злоумышленники использовали TeamViewer и Remote Manipulator System / Remote Utilities (RMS) для установки на устройство жертвы легитимного ПО, а потом внедряли в процесс вредоносный код, подменяя системную DLL-библиотеку. Как установила «Лаборатория Касперского», атака начиналась с рассылки фишинговых писем, замаскированных под коммерческие предложения.

Однако, как говорят эксперты, чаще всего преступники пользуются брутфорсом

Для снижения риска исследователи рекомендуют:

  • Регулярно проводить аудит средств удаленного администрирования и удалять ненужные.
  • Отключить интегрированные в АСУ программы, если в них нет производственной необходимости.
  • Запретить удаленный доступ по умолчанию и включать его только по заявке и только на определенный промежуток времени.

Категории: Аналитика, Главное, Кибероборона