Gli strumenti di amministrazione remota (RAT: Remote Administration Tool) sono da sempre oggetto di controversie. È vero che evitano che l’accesso diretto all’hardware, ma è vero anche che l’accesso in remoto espone il dispositivo a numerosi rischi. E quando parliamo di ambienti industriali, l’accesso in remoto può rivelarsi ancora più pericoloso; per questo i nostri colleghi dell’ICS CERT di Kaspersky Lab hanno effettuato uno studio inerente alla diffusione dei RAT sui computer industriali e quali sono i danni che potrebbero provocare.
In base alle statistiche ottenute da Kaspersky Security Network, nella prima metà del 2018 un RAT è stato installato su un sistema industriale su tre con sistema operativo Windows. Con il termine sistema industriale ci riferiamo a server SCADA, gateway di dati, server Historian, postazioni di lavoro di ingegneri e operatori, computer per l’interfaccia uomo-macchina.
A volte, gli amministratori e gli ingegneri in locale usano gli strumenti di amministrazione remota per portare a termine quotidianamente il proprio lavoro. Altre volte, lavoratori esterni come system integrator o sviluppatori dei controlli di sistema industriali hanno bisogno dell’accesso in remoto per questioni di diagnostica, manutenzione e troubleshooting. E, in altri casi ancora, i RAT vengono utilizzati per ridurre i costi di servizio, non tanto per necessità operative. Tuttavia, anche quando questi tool sono necessari per normali operazioni, varrebbe la pena valutare i possibili rischi e pensare anche a una ristrutturazione dei processi interni per ridurre la superfice di attacco.
Non va esclusa un’ulteriore eventualità: per ingannare le soluzioni di sicurezza, i creatori di malware a volte sfruttano i software legittimi di amministrazione in remoto come vettori di attacco.
Dove risiede il problema?
Non tutti gli specialisti del settore sembrano essere coscienti dei pericoli per le reti industriali derivanti dai RAT. I nostri colleghi dell’ICS CERT hanno riscontrato i seguenti punti deboli negli strumenti di amministrazione remota esaminati:
- Spesso utilizzavano privilegi di sistema;
- Non consentivano agli amministratori di avere un accesso limitato al sistema;
- Non impiegavano autenticazione multi-fattore;
- Non registravano le azioni dei client;
- Contenevano vulnerabilità e non parliamo solo di quelle non ancora scoperte (in altre parole, le aziende non avevano aggiornato questi software);
- Utilizzavano relay server che rendevano possibile aggirare la NAT e le restrizioni locali del firewall;
- Utilizzavano password di default o alle credenziali era stata applicata la codifica fissa.
In alcuni casi, i team che si dedicano alla sicurezza non erano neanche a conoscenza dell’uso dei RAT, e non sapevano quindi che potevano essere considerati un vettore di attacco.
Il problema principale è che gli attacchi perpetrati via RAT non si differenziano tanto dalla loro normale attività. Durante l’analisi di alcuni incidenti che coinvolgevano gli ICS, i nostri esperti del CERT si sono imbattuti in molti casi in cui i cybercriminali avevano sfruttato gli strumenti di amministrazione remota per i propri attacchi.
Come ridurre i rischi al minimo
Affiché la probabilità di incidenti informatici sia minore, l’ICS CERT di Kaspersky Lab consiglia di:
- Effettuare un audit approfondito degli strumenti di amministrazione remota in uso sulla rete tecnologica aziendale, facendo particolare attenzione a VNC, RDP, TeamViewer, RMS/Remote Utilities;
- Eliminare tutti i RAT che non vengono utilizzati per necessità esclusivamente operative;
- Analizzare e disattivare qualsiasi software di amministrazione remota non necessario che comprenda un software di sistema di controllo automatizzato;
- Nel caso sia necessario utilizzare i RAT, disattivare l’accesso senza alcuna condizione, che potrà essere attivato solo se ufficialmente richiesto e per un periodo limitato di tempo;
- Registrare e controllare qualsiasi evento che avviene durante una sessione di amministrazione remota.
Sul nostro blog Securelist troverete l’analisi completa del report. Se volete sapere di più su tutte le altre ricerche dell’ICS, rimanere aggiornati su consigli e notizie, potete consultare il sito Internet dell’ICS CERT di Kaspersky Lab.