RAT: di sicuro non sono topi

RAT, dunque. Naturalmente i topi non c’entrano, quelli sono minacce di altro tipo. Qui parliamo di Remote Administration Tool, cioè quei software che permettono a terzi di accedere da remoto a un computer. Sono software che non sollevano alcun problema di legittimità o addirittura di legalità, e vengono utilizzati dai dipendenti di imprese industriali per risparmiare risorse. Sono installati sul 31,6% degli ICS –  cioè i Sistemi di Controllo Industriale – ma possono essere sfruttati da chi ha cattive intenzioni e prende di mira un computer per ottenere un accesso nascosto e privilegiato.

Dei RAT ci si accorge – o meglio, se ne accorgono i team di sicurezza aziendale – quando si scopre che sono stati utilizzati per installare un ransomware o un software per il mining di criptovalute, per rubare informazioni riservate o addirittura del denaro. Insomma, per fare grandi danni.

RAT, decisamente diffusi (e minacciosi)

Quel 31,6% di cui abbiamo detto è riportato in uno studio di Kasperky, e ci dice quindi che  è quasi un terzo dei computer ICS a ospitarli. Inoltre, merita di essere sottolineato che quasi un RAT su cinque viene fornito in bundle con il software ICS, secondo impostazioni predefinite.

Ciò li rende meno visibili agli amministratori di sistema e, di conseguenza, più interessanti per i cybercriminali. Che, oltre a quanto abbiamo visto poc’anzi, utilizzano il software RAT per ottenere l’accesso non autorizzato alla rete, infettarla con un malware per condurre attività di spionaggio, sabotaggio, accedere a risorse finanziarie e ottenere profitti economici – naturalmente illegali – sfruttando operazioni che coinvolgono i ransomware.

La minaccia più significativa riguarda la capacità dei RAT di far ottenere privilegi di rilievo nel sistema attaccato. In pratica, ciò significa dare all’hacker il totale controllo di una realtà industriale e quindi, nella peggiore delle ipotesi, aprire la porta a una vera e propria catastrofe dal punto di vista strutturale.

I RAT e il metodo della “forza bruta”

Il metodo con il quale si cerca di ottenere quanto appena visto è quello della “forza bruta”, che consiste nel tentare di indovinare una password provando tutte le possibili combinazioni di caratteri. La “forza bruta” è uno dei metodi più diffusi per assumere il controllo di un RAT; gli attaccanti tuttavia possono anche intercettare e quindi sfruttare vulnerabilità all’interno dello stesso software.

Un’analisi sulla questione RAT

Attacchi recenti a strumenti di Remote Access, sono stati portati dal gruppo APT14, che opera dalla Cina: l’azione potrebbe aver permesso di ottenere un accesso verso qualsiasi dispositivo collegato alla rete dello strumento. Negli anni scorsi, invece, incidenti di sicurezza su strumenti di Remote Access sono stati dovuti a versioni di prodotto alterate, distribuite talvolta anche tramite canali ufficiali che, modificati, contenevano dei malware per mantenere l’accesso sul sistema colpito. Sentiamo a riguardo cosa ha dichiarato Kirill Kruglov, Senior Security Researcher del Kaspersky Lab ICS CERT:

“Il numero dei sistemi di controllo industriale che utilizzano i RAT è preoccupante, ma molte imprese non sospettano neanche quanto possa essere grande il potenziale rischio a loro associato. Ad esempio, di recente, abbiamo osservato una serie di attacchi indirizzati ad un’azienda automotive all’interno della quale uno dei computer aveva un RAT installato. Questo ha portato a tentativi sistematici di installare dei malware sul computer per un periodo di diversi mesi. Le nostre soluzioni di sicurezza bloccano questo tipo di tentativi almeno due volte a settimana.

Se quell’organizzazione non fosse stata protetta dal nostro software di sicurezza, le conseguenze sarebbero state a dir poco spiacevoli. Tuttavia, questo non significa che le aziende debbano immediatamente rimuovere tutti i Remote Administration Tool dalle loro reti, (dopo tutto sono applicazioni molto utili e che fanno risparmiare tempo e denaro), ma la loro presenza su una rete dovrebbe essere trattata con attenzione, in particolare sulle reti ICS che spesso fanno parte di infrastrutture critiche”.

RAT: come difendersi dagli attacchi?

A questo punto, proviamo a capire come difenderci. Bene, la cosa più importante da fare è adottare misure preventive. Per esempio: 

• Verificare l’utilizzo degli strumenti di applicazioni e sistemi RAT utilizzati nella rete industriale.
• Rimuovere tutti gli strumenti di amministrazione da remoto non necessari per il processo industriale.
• Effettuare un audit e disabilitare i RAT forniti insieme al software ICS, sempre che non siano anch’essi necessari.
• Monitorare e registrare con attenzione gli eventi legati a ciascuna sessione di controllo da remoto richiesta dal processo; l’accesso da remoto deve essere disabilitato di default e abilitato solo su richiesta e solo per periodi di tempo limitati.

APPROFONDIMENTI