Una recente ricerca pubblicata dall’ICS CERT dei Kaspersky Lab ha messo in rilievo gli elevati fattori di rischio connessi all’utilizzo di software di tipo RAT (Remote Administration Tool, ovvero strumenti per il controllo remoto) nei sistemi di controllo industriale.
I RAT sono software molto diffusi, per la loro indubbia comodità: consentono di operare da remoto su un computer come se si fosse fisicamente presenti alla tastiera. Cosa che, soprattutto nel caso di impianti estesi e/o dislocati in zone non agevoli da raggiungere, semplifica notevolmente la gestione del sistema, portando a indubbi aumenti di efficienza e riduzione delle spese.
Ora, l’indiscussa utilità ha fatto sì che software RAT vengano spesso pacchettizzati insieme al resto del software dei sistemi ICS. Secondo Kaspersky, il 31,6% degli ICS monta un RAT, e quasi un RAT su 5 viene fornito in bundle e con impostazioni preimpostate. Risultato: spesso gli amministratori di sistema, che magari hanno installato e usano sulla rete il loro RAT preferito, non sanno di avere nel loro ICS anche un RAT fornito di serie, magari attivo per default e con tutti i parametri (e le password) già preimpostate.
Indice degli argomenti
Cosa può succedere
Avere sul proprio ICS un RAT “dimenticato”, attivo e protetto solo da una password di default comporta un rischio elevatissimo. Un malintenzionato, infatti, può con estrema facilità collegarsi alla macchina da remoto, indovinare la password con un sistema automatizzato a “forza bruta” (capace di testare decine di migliaia di password nel giro di minuti) e a quel punto avere libero accesso alla macchina. Di qui in avanti, quello che può fare il malintenzionato dipende solo dai settaggi di sicurezza interni della rete, che sappiamo essere spesso deficitari, in quanto ancora oggi molte aziende privilegiano la difesa di perimetro rispetto ai sistemi di protezione basati sull’analisi dei comportamenti e del traffico sulla rete.
Gli esperti del Kaspersky Labs affermano che tipicamente i malintenzionati che attaccano i RAT mirano prima di tutto ad ottenere l’accesso alla rete aziendale; e, una volta ottenutolo, sfruttano la testa di ponte per installare malware di vario tipo: per esempio software per lo spionaggio, per il sabotaggio degli impianti industriali, o programmi ransomware che criptano i dati aziendali per ottenere un riscatto. Altri malware puntano direttamente ad accedere alle risorse finanziarie aziendali e, recentemente, si è avuto un incremento della diffusione di malware di tipo “miner”, ovvero programmi per cercare i bitcoin – programmi, è importante notare, che sfruttano pesantement le risorse di calcolo del sistema, sovraccaricandolo e mettendo a rischio la sicurezza nel caso di computer con funzioni di controllo di impianti critici.
“Il numero dei sistemi di controllo industriale che utilizzano i RAT è preoccupante, ma molte imprese non sospettano neanche quanto possa essere grande il potenziale rischio a loro associato. Per esempio, di recente, abbiamo osservato una serie di attacchi indirizzati a un’azienda automotive, all’interno della quale uno dei computer aveva un RAT installato. Questo ha portato a tentativi sistematici di installare dei malware sul computer per un periodo di diversi mesi. Le nostre soluzioni di sicurezza bloccano questo tipo di tentativi almeno due volte a settimana. Se quell’organizzazione non fosse stata protetta dal nostro software di sicurezza, le conseguenze sarebbero state a dir poco spiacevoli. Tuttavia, questo non significa che le aziende debbano immediatamente rimuovere tutti i Remote Administration Tool dalle loro reti, (dopo tutto sono applicazioni molto utili e che fanno risparmiare tempo e denaro), ma la loro presenza su una rete dovrebbe essere trattata con attenzione, in particolare sulle reti ICS che spesso fanno parte di infrastrutture critiche”, ha affermato Kirill Kruglov, Senior Security Researcher del Kaspersky Lab ICS CERT.
Come ridurre il rischio
Gli esperti di Kaspersky consigliano una serie di misure da mettere in pratica per ridurre il rischio di incorrere in attacchi ai propri RAT. Ecco tre cose da fare subito.
Primo, verificare l’utilizzo degli strumenti e sistemi RAT utilizzati nella rete industriale. Rimuovere tutti gli strumenti di amministrazione da remoto che non sono necessari per il processo industriale.
Secondo, effettuare un audit e disabilitare i RAT forniti insieme al software ICS (fare riferimento alla relativa documentazione del software per istruzioni più dettagliate), purché non siano necessari per il processo industriale. Inoltre, aggiungiamo noi, se non si possono disabilitare perché necessari, verificate che le password non siano rimaste quelle di default e nel caso cambiatele immediatamente con altre della massima robustezza.
E infine terzo, monitorare e registrare con attenzione gli eventi legati a ciascuna sessione di controllo da remoto richiesta dal processo industriale; l’accesso da remoto deve essere disabilitato di default e abilitato solo su richiesta e solo per periodi di tempo limitati.