Nástroje pro vzdálenou správu mohou zneužít kyberzločinci

 
Nástroje pro vzdálenou správu představují pro průmyslové sítě vážné riziko. V rámci svých průmyslových počítačových systémů (ICS) je má nainstalovaných bezmála třetina (31,6 %) firem. Ve většině případů zůstávají tyto nástroje bez většího využití nepovšimnuté. Z pravidla ale jen do té doby, než IT bezpečnostní odborníci zjistí, že jejich prostřednictvím hackeři nainstalovali ransomware nebo software pro těžbu kryptoměn. V řadě případů RAT (remote admonistration tools) nástroje umožnily hackerům přístup k citlivým firemním informacím nebo dokonce financím. Této problematice se ve své čerstvé analýze věnovali odborníci ze společnosti Kaspersky Lab.
Nástroje pro vzdálenou správu jsou legitimní softwarová řešení, která umožňují třetím stranám získat vzdálený přístup do firemních počítačů. Většinou je využívají zaměstnanci průmyslových podniků k tomu, aby šetřili prostředky a čas. Mnohdy je ale zneužívají i kyberzločinci, kteří jejich prostřednictvím získávají tajný přístup do napadených počítačů.
RAT nástroje jsou podle reportu uveřejněného speciálním týmem Kaspersky Lab ICS CERT velmi rozšířené napříč všemi odvětvími. Nainstalované jsou na takřka třetině ICS počítačů, které chrání produkty Kaspersky Lab. Ještě zajímavější je zjištění, že každý pátý RAT nástroj je automaticky součástí ICS softwaru. Kvůli tomu jsou velmi těžko detekovatelné systémovými administrátory, a tudíž i velmi lákavé pro kyberzločince.
Podle analýzy Kaspersky Lab využívají kyberzločinci nástroje pro vzdálenou správu především k následujícím dvěma zákeřným aktivitám:
  • Získání neoprávněného přístupu do firemní sítě.
  • Infikování sítě malwarem, který umožní průmyslovou špionáž, sabotáž nebo zablokování počítačů ransomwarem a případné finanční zisky. Prostřednictvím malwaru a napadené sítě mohou také získat přímý přístup k firemním financím.
Nejnebezpečnější je na RAT nástrojích jejich schopnost získat vysoká administrátorská oprávnění v rámci napadených systémů. V praxi to může znamenat, že jejich prostřednictvím mohou hackeři získat neomezený přístup ke složkám a ovládacím prvkům v celé infrastruktuře průmyslového podniku. Následky takové aktivity se pak často negativně projeví na finanční situaci podniku i na stabilitě výroby. Získání těchto oprávnění většinou předchází útoky hrubou silou, kdy se kyberzločinci snaží získat přístupové heslo zkoušením všech možných kombinací. I když jsou útoky hrubou silou nejoblíbenějším způsobem získání přístupu k RAT nástrojům, kyberzločinci také občas zneužívají skryté zranitelnosti v těchto softwarech.
„Spousta organizací podceňuje rizika spojená se softwary pro vzdálenou správu, i když jsou přítomné ve velké části systémů. V nedávné době jsme například zaznamenali útoky na firmu z automobilového odvětví, kde byl na jednom z počítačů nainstalován RAT software. Po dobu několika měsíců docházelo kvůli tomuto nástroji k opakovaným útokům různými variantami malwaru. V některých týdnech musela naše řešení blokovat až dva pokusy týdně. Kdyby tato firma nepoužívala naše řešení, mohla se potýkat s dalekosáhlými problémy. To ale neznamená, že by nyní všechny společnosti měly začít mazat RAT softwary ze svých systémů. Ve skutečnosti jsou to velmi užitečné aplikace, které šetří čas i peníze. Pokud je ale zaměstnanci využívají, měli by jim IT bezpečnostní administrátoři věnovat zvýšenou pozornost,“ komentuje Kirill Kruglov, bezpečnostní odborník v týmu ICS CERT společnosti Kaspersky Lab.
Odborníci z Kaspersky Lab ICS CERT firmám doporučují tato opatření, aby minimalizovaly rizika spojená s nástroji pro vzdálenou správu:
  • Proveďte audit používaných aplikací a systémů pro vzdálenou správu napříč průmyslovou sítí. Odstraňte všechny RAT nástroje, které nevyužíváte.
  • Zjistěte, které nástroje pro vzdálenou správu jsou v síti jen proto, že byly součástí ICS softwaru. Pokud nejsou nutné pro průmyslové procesy firmy, zajistěte jejich odstranění.
  • Monitorujte a zaznamenávejte všechna přihlášení prostřednictvím těchto aplikací. Vzdálený přístup by měl být v základním nastavení zakázán a povolen pouze na základě žádosti (a pouze po omezenou dobu). (3.10.2018)