На каждом третьем компьютере в промышленной сети установлен какой-либо инструмент удаленного контроля (RAT, remote administration tool). При этом каждый пятый RAT идет по умолчанию вместе с ПО для промышленных систем. Такая ситуация создает потенциальный риск для индустриальных сред, поскольку возможностями удаленного администрирования могут воспользоваться злоумышленники. А если операторы компьютеров АСУ ТП не знают об установленных на них RAT, что отнюдь не редкость, то опасность стать жертвой кибератаки повышается, выяснили в «Лаборатории Касперского».
Наибольшую угрозу в RAT представляет возможность получения повышенных привилегий в атакованной системе. На практике это означает, что злоумышленник может получить неограниченный контроль не только над конкретным компьютером, но и над всей внутренней сетью предприятия. Причем сделать он это может методом простого перебора пароля. По оценкам «Лаборатории Касперского», это самый распространенный способ получения доступа к RAT. Помимо этого, злоумышленники могут обрести неавторизованный доступ к инструментам удаленного администрирования через имеющиеся в них уязвимости.
Поскольку RAT дает практически неограниченный контроль над системой, то злоумышленники легко могут развернуть в зараженной сети кампании кибершпионажа и саботажа или же использовать мощности предприятия для майнинга криптовалют.
Чтобы снизить риск атаки с использованием RAT, эксперты рекомендуют:
- провести аудит всех приложений и инструментов удаленного администрирования в промышленных сетях и, если какие-либо из этих инструментов не нужны для индустриальных процессов, удалить их;
- проверить и деактивировать RAT, являющиеся частью программного обеспечения для АСУ ТП (разумеется, если они не требуются для функционирования ПО);
- наблюдать и регистрировать все события для каждой сессии удаленного контроля в индустриальном процессе;
- активировать RAT только при необходимости и на ограниченный период времени — по умолчанию эти инструменты должны быть выключены.
