Redes industriales que necesitan el control de las RAT

Las herramientas de administración en remoto en el sector ICS son un factor de riesgo adicional que no está necesariamente justificado.

Las herramientas de administración en remoto (RAT, por sus siglas en inglés) siempre han sido muy controvertidas. Sí, permiten que los usuarios no tengan que acceder directamente al hardware, pero a su vez, ponen en riesgo los sistemas del ordenador al abrir acceso al equipo en remoto. En el sector industrial, este tipo de acceso es especialmente peligroso y por ello nuestros compañeros de KL ICS CERT llevaron a cabo un estudio sobre el alcance de las RAT en los ordenadores de la industria y los daños que pueden causar.

Según las estadísticas de Kaspersky Security Network, en la primera mitad del 2018, se instalaron RAT legítimas en uno de cada tres sistemas industriales con sistema operativo Windows. Con sistemas industriales nos referimos a servidores SCADA, servidores de historiadores, puertas de enlace de datos, estaciones de trabajo de ingenieros y operadores y ordenadores que interfieren entre el usuario y el dispositivo.

Algunos administradores e ingenieros utilizan RAT en su rutina de trabajo diaria y otros agentes externos como desarrolladores de sistema de control industrial o integradores de sistema necesitan acceso remoto a la diagnosis, el mantenimiento y el diagnóstico de averías. Así que, en realidad, en algunos casos las RAT no se utilizan para necesidades operativas, sino para disminuir los costes de servicio. Y, aunque sean necesarias en procesos de tecnología rutinarios, merece la pena evaluar los riesgos posibles e incluso restructurar procesos para reducir la superficie de ataque.

Tampoco se puede dejar a un lado otra posibilidad: para engañar a las soluciones de seguridad, los actores de malware a veces utilizan software legítimo de administración en remoto como herramienta de ataque.

¿Cuál es el problema?

Parece que no todos los especialistas entienden los peligros de las RAT en las redes industriales. A continuación, os mostramos lo que nuestros compañeros descubrieron sobre las RAT en los sistemas que examinaron:

  • Utilizaban a menudo privilegios de sistema.
  • No permitían a los administradores limitar el acceso al sistema.
  • No utilizaban autentificación de múltiples factores.
  • No registraban las acciones de los clientes.
  • Contenían vulnerabilidades y no solo las desconocidas (es decir, las empresas no actualizaban sus RAT).
  • Utilizaban servidores de retransmisión que realizaban la elusión de traducción de direcciones de red y las posibles restricciones de cortafuegos en local.
  • Normalmente utilizaban contraseñas por defecto o contaban con credenciales muy codificados.

En algunos casos, los equipos de seguridad ni siquiera sabían qué RAT estaba en uso, por lo que desconocían que tenían que considerar este vector de ataque.

Pero el problema principal es que es muy complicado diferenciar un ataque RAT de la actividad normal. Durante la investigación de los incidentes ICS, nuestros expertos CERT presenciaron muchos casos en los que los ciberdelincuentes utilizaban herramientas de acceso remoto en sus ataques.

Cómo minimizar los riesgos

Para disminuir el riesgo de ciberincidentes, ICS de Kaspersky Lab recomienda seguir los siguientes pasos:

  • Realizar auditorías exhaustivas de las herramientas de administración en remoto utilizadas en tu red tecnológica, con un énfasis en VNC, RDP, TeamViewer, RMS/Remote Utilities.
  • Deshacerte de todos los RAT que no estén justificados por necesidades operativas.
  • Analizar y desactivar cualquier software de administración en remoto con software de sistema de control automatizado que no sea necesario.
  • Si se necesitan las RAT para operaciones, desactivar el acceso incondicional. Este acceso debería desactivarse solo bajo una solicitud justificada y solo por un tiempo limitado.
  • Controlar de forma exhaustiva y registrar los eventos que tienen lugar durante cada sesión de administración remota.

Puedes encontrar el informe completo en nuestro estudio en el blog de Securelist. Y, si quieres conocer más sobre los investigadores, alertas y recomendaciones del equipo ICS CERT de Kaspersky Lab, visita su página web.

Consejos