Πώς τα εργαλεία απομακρυσμένης διαχείρισης φέρνουν απροσδόκητες απειλές στα βιομηχανικά δίκτυα

Τα νόμιμα εργαλεία απομακρυσμένου ελέγχου (RAT) θέτουν μία σοβαρή απειλή στα βιομηχανικά δίκτυα: έχουν εγκατασταθεί στο 31,6% των βιομηχανικών υπολογιστικών συστημάτων ελέγχου (ICS), αλλά συνήθως παραμένουν απαρατήρητα μέχρι η ομάδα ασφάλειας του οργανισμού να παρατηρήσει ότι οι κυβερνοεγκληματίες έχουν χρησιμοποιήσει ένα RAT είτε για να εγκαταστήσουν κάποιο πρόγραμμα ransomware, είτε ένα λογισμικό εξόρυξης κρυπτονομισμάτων, είτε για να προσπαθήσουν να υποκλέψουν χρήματα ή απόρρητες πληροφορίες. Αυτή η ανακάλυψη προήλθε από τους ειδικούς ασφάλειας της Kaspersky Lab, οι οποίοι πραγματοποίησαν ενδελεχή έρευνα για το συγκεκριμένο πρόβλημα.

Τα RATs είναι νόμιμα εργαλεία που επιτρέπουν σε τρίτους να έχουν απομακρυσμένη πρόσβαση σε υπολογιστές. Συχνά χρησιμοποιούνται νόμιμα από υπαλλήλους βιομηχανικών επιχειρήσεων με σκοπό την εξοικονόμηση πόρων, αλλά επίσης μπορούν να χρησιμοποιηθούν από κακόβουλους φορείς για να αποκτούν πρόσβαση σε στοχευμένους υπολογιστές.

Σύμφωνα με την έκθεση που δημοσιοποιήθηκε από το Kaspersky Lab ICS CERT, τα RATs είναι άκρως διαδεδομένα σε όλες τις βιομηχανίες: σχεδόν το ένα τρίτο των ICS υπολογιστών που προστατεύονται από προϊόντα της Kaspersky Lab έχουν εγκατεστημένα RATs. Ακόμη πιο σημαντικό είναι ότι σχεδόν ένα στα πέντε RAT είναι προεγκατεστημένο στο ICS λογισμικό. Αυτό τα καθιστά λιγότερο ορατά στους διαχειριστές συστημάτων και, ως εκ τούτου, πιο ελκυστικά για τους φορείς απειλής.

Σύμφωνα με την έρευνα, οι κακόβουλοι χρήστες χρησιμοποιούν το RAT λογισμικό με τους εξής τρόπους:

Για να αποκτούν μη εξουσιοδοτημένη πρόσβαση στο στοχευμένο δίκτυο,
Μολύνουν το δίκτυο με κακόβουλο λογισμικό για λόγους κατασκοπείας, δολιοφθοράς και για παράνομα κέρδη μέσω ransomware ενεργειών ή μέσω πρόσβασης σε χρηματοοικονομικά στοιχεία που βρίσκονται στο δίκτυο που έχει δεχτεί επίθεση.

Η πιο σημαντική απειλή που θέτουν τα RATs είναι η ικανότητά τους να αποκτούν αυξημένα προνόμια στο σύστημα που έχει δεχτεί επίθεση. Στην πράξη, σημαίνει απεριόριστος έλεγχος σε μια βιομηχανική επιχείρηση, ο οποίος μπορεί να έχει ως αποτέλεσμα σημαντικές οικονομικές απώλειες, καθώς και μια φυσική καταστροφή. Τέτοιες δυνατότητες επιτυγχάνονται συχνά μέσω μιας βασικής brute force επίθεσης, η οποία περιλαμβάνει την προσπάθεια πρόβλεψης ενός κωδικού πρόσβασης, δοκιμάζοντας όλους τους πιθανούς συνδυασμούς χαρακτήρων μέχρι να βρεθεί ο σωστός συνδυασμός. Παρόλο που οι brute force επιθέσεις είναι από τους πιο δημοφιλείς τρόπους ελέγχου ενός RAT, οι επιτιθέμενοι μπορούν επίσης να βρουν και να εκμεταλλευτούν ευπάθειες στο ίδιο το RAT λογισμικό.

«Ο αριθμός των βιομηχανικών συστημάτων ελέγχου που χρησιμοποιούν RATs είναι ανησυχητικός, ενώ πολλοί οργανισμοί δεν υποψιάζονται πόσο μεγάλος είναι ο κίνδυνος που ελλοχεύουν τα RATs. Για παράδειγμα, πρόσφατα παρατηρήσαμε επιθέσεις σε μία αυτοκινητοβιομηχανία, όπου ένας από τους υπολογιστές είχε εγκατεστημένο ένα RAT. Αυτό οδήγησε σε τακτικές προσπάθειες εγκατάστασης διάφορων κακόβουλων προγραμμάτων στον υπολογιστή σε διάστημα αρκετών μηνών, με τις λύσεις ασφάλειας να εμποδίζουν τουλάχιστον δύο τέτοιες προσπάθειες κάθε εβδομάδα. Εάν ο οργανισμός αυτός δεν είχε προστατευθεί από το λογισμικό ασφαλείας μας, οι συνέπειες θα ήταν δυσάρεστες. Ωστόσο, αυτό δεν σημαίνει ότι οι εταιρείες πρέπει να αφαιρέσουν αμέσως όλα τα λογισμικά RAT από τα δίκτυά τους. Αυτές οι εφαρμογές είναι πολύ χρήσιμες για τις επιχειρήσεις, καθώς εξοικονομούν χρόνο και χρήμα. Ωστόσο, η παρουσία τους σε ένα δίκτυο πρέπει να αντιμετωπίζεται με προσοχή, ιδιαίτερα στα δίκτυα ICS, τα οποία αποτελούν κρίσιμες υποδομές για τις βιομηχανίες», δήλωσε ο Kirill Kruglov, senior security researcher του Kaspersky Lab ICS CERT.

Προκειμένου να μειωθεί ο κίνδυνος ψηφιακών επιθέσεων με χρήση RATs, το Kaspersky Lab ICS CERT συνιστά την εφαρμογή των ακόλουθων τεχνικών μέτρων:

Ελέγξτε τη χρήση εργαλείων απομακρυσμένης διαχείρισης εφαρμογών και συστημάτων που χρησιμοποιούνται στο βιομηχανικό δίκτυο. Αφαιρέστε όλα τα εργαλεία απομακρυσμένης διαχείρισης που δεν απαιτούνται από τη βιομηχανική διαδικασία.
Πραγματοποιήστε έλεγχο και απενεργοποιήστε τα εργαλεία απομακρυσμένης διαχείρισης που συνοδεύουν το λογισμικό ICS (ανατρέξτε στα σχετικά έγγραφα που συνοδεύουν το λογισμικό για αναλυτικές οδηγίες), υπό την προϋπόθεση ότι δεν απαιτούνται από τη βιομηχανική διαδικασία.
Στενή παρακολούθηση και καταγραφή log events απομακρυσμένης πρόσβασης που απαιτούνται από τη βιομηχανική διαδικασία. Η απομακρυσμένη πρόσβαση πρέπει να απενεργοποιείται από προεπιλογή και να ενεργοποιείται μόνο κατόπιν αιτήματος και μόνο για περιορισμένο χρονικό διάστημα.

Διαβάστε την πλήρη έκθεση στον ιστότοπο Kaspersky Lab ICS CERT.

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure

Πώς τα εργαλεία απομακρυσμένης διαχείρισης φέρνουν απροσδόκητες απειλές στα βιομηχανικά δίκτυα

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Η Kaspersky Lab συμβάλλει στην ενίσχυση των προτύπων ασφάλειας του IoT στην Ευρώπη

Πώς τα εργαλεία απομακρυσμένης διαχείρισης φέρνουν απροσδόκητες απειλές στα βιομηχανικά δίκτυα

Οι επιχειρήσεις επενδύουν περισσότερο στην ασφάλεια του τομέα της Πληροφορικής, διαπιστώνει η Kaspersky Lab