Redes industriais precisam controlar as RATs

8 fev 2019

As ferramentas de administração de servidor remoto, ou RATs (Remote Administration Tools), sempre foram polêmicas. Sim, elas evitam que as pessoas precisem acessar diretamente o hardware, mas, ao mesmo tempo, colocam sistemas computacionais em risco ao permitirem acesso remoto ao equipamento. Em um ambiente industrial, o acesso remoto é especialmente perigoso, então nossos colegas da ICS CERT da KL fizeram um estudo sobre quão utilizadas são as RATs em computadores industriais e que prejuízos podem causar.
De acordo com estatísticas da Kaspersky Security Network, no primeiro semestre de 2018, RATs legítimas foram instaladas em um de cada três sistemas industriais que utilizam o sistema operacional Windows. Por sistemas industriais, nos referimos a servidores SCADA, servidores de arquivos, gateways de dados, estações de engenharia e operacionais, e computadores com interface homem-máquina.

Por vezes, engenheiros e administradores locais usam RATs em sua rotina diária. Em outras, terceiros como integradores de sistema ou desenvolvedores de sistemas de controle industrial precisam de acesso remoto para diagnósticos, manutenção e solução de problemas. Na verdade, em alguns casos, as ferramentas são usadas não por necessidades operacionais, mas para diminuir custos de serviço. E mesmo que sejam necessárias para processos tecnológicos normais, vale a pena avaliar possíveis riscos e talvez até reestruturar processos para diminuir a superfície de ataque.

Outra possibilidade não pode ser excluída: para enganar soluções de proteção, atores de malware às vezes utilizam softwares de administração remota legítimos como ferramenta de ataque.

Qual é o problema?

Parece que nem todos os especialistas entendem os perigos das RATs em redes industriais. Aqui estão as descobertas feitas pelos nossos colegas sobre estas ferramentas nos sistemas examinados:

  • Utilizavam frequentemente privilégios de sistema;
  • Não permitiam que administradores limitassem o acesso ao sistema;
  • Não empregavam autenticação multifator;
  • Não registravam as ações dos clientes;
  • Possuíam vulnerabilidades – e não apenas as desconhecidas (em outras palavras, as empresas não atualizam suas RATs);
  • Usavam servidores de retransmissão que permitiam a contenção de NAT e restrições do firewall local;
  • Geralmente usavam senhas-padrão ou tinham credenciais de codificação rígida;

Em alguns casos, as equipes de segurança nem sabiam que RATs eram utilizadas, de forma que não compreendiam que esse vetor de ataque precisava ser considerado.

Mas o principal problema é que os ataques às RATs são muito difíceis de distinguir das atividades normais. Enquanto investigavam incidentes nos ICS, nossos especialistas CERT identificaram diversos casos de malfeitores que utilizavam as ferramentas de acesso remoto para ataques.

Como minimizar os riscos?

Para diminuir o risco de ciberincidentes, a equipe ICS CERT da Kaspersky Lab recomenda os seguintes passos:

  • Conduzir uma auditoria minuciosa das ferramentas de administração remota utilizadas em sua rede tecnológica, com ênfase em: VNC, RDP, TeamViewer, RMS/Remote Utilities;
  • Livrar-se de todas as RATs que não sejam justificadas por necessidades operacionais;
  • Analisar e desabilitar qualquer software de administração remota integrado ao software de sistema de controle automatizado não-essencial;
  • Nos casos em que as RATs são necessárias para determinadas operações, desabilitar o acesso incondicional. Este tipo de acesso deve ser habilitado apenas sob um pedido documentado – e por um período limitado;
  • Estabelecer o registro de eventos e controle completos para cada sessão de administração remota.

Acesse o relatório completo sobre esse estudo no blog Securelist. Mais pesquisas, alertas e avisos relacionados a ICS podem ser encontrados no site da equipe ICS CERT da Kaspersky Lab.