Uzaktan Yönetim Araçları Endüstriyel Ağlara Ciddi Tehditler Taşıyor

Yasal uzaktan yönetim araçları (RAT), endüstriyel ağlara yönelik ciddi bir tehdit oluşturuyor. Endüstriyel kontrol sistemlerinin (ICS) %31,6’sına kurulu olan bu araçlar, kurumun güvenlik ekipleri siber suçluların bunları fidye veya kripto madencilik yazılımı yüklemek için ya da gizli bilgi ve hatta para çalmak için kullandığını bulana kadar fark edilmeden kalıyor. Bu soruna yönelik bir araştırma yapan Kaspersky Lab güvenlik uzmanları böyle bir durumun yaşandığını tespit etti.

Yasal uzaktan yönetim araçları, üçüncü tarafların bir bilgisayara uzaktan erişmesine izin veren yazılımlar. Bunlar genellikle endüstriyel şirketlerin çalışanları tarafından kaynak tasarrufu amacıyla kullanılsa da kötü niyetli kişiler bu araçları hedef aldıkları bilgisayarlara gizlice yüksek yetkili erişim sağlamak için de kullanabiliyor.

Kaspersky Lab ICS CERT’in yayınladığı rapora göre, uzaktan yönetim araçları tüm sektörlerde inanılmaz derecede yaygın bir şekilde kullanılıyor. Kaspersky Lab ürünleri tarafından korunan ICS bilgisayarlarının yaklaşık üçte birinde uzaktan yönetim araçları kurulu. Daha da önemlisi, yaklaşık her beş uzaktan yönetim aracından biri ICS yazılımıyla birlikte veriliyor. Bu da bu araçların sistem yöneticilerinin gözünden daha kolay kaçmasını ve bunun sonucunda tehdit gruplarının dikkatini çekmesini sağlıyor.

Araştırmaya göre, kötü niyetli kullanıcılar uzaktan yönetim araçlarından şu şekillerde yararlanıyor:

  • Hedef ağa izinsiz erişim elde etmek.
  • Casusluk, sabotaj ve fidye yazılımı operasyonları veya hedef ağdaki finansal varlıklara erişerek yasa dışı gelir elde etmek amacıyla ağa zararlı yazılım bulaştırmak.

Uzaktan yönetim araçlarının oluşturduğu en önemli tehdit, saldırganların sızdıkları sistemlerde yüksek yetkiler elde edebilmesini sağlaması. Pratikte bu, bir endüstriyel şirket üzerinde sınırsız kontrol anlamına geliyor. Böyle bir durum büyük finansal kayıpların yanı sıra fiziksel bir felakete de yol açabilir. Bu tür yetkiler genellikle, doğrusunu bulana dek tüm olası karakter kombinasyonlarını deneyerek parolanın tahmin edilmeye çalışıldığı basit kaba kuvvet saldırılarıyla elde ediliyor. Kaba kuvvet yöntemi uzaktan yönetim araçlarının kontrolünü almak için kullanılan en popüler yollardan biri olsa da saldırganlar bu araçların yazılımlarındaki açıkları bulup, bunlardan da faydalanabiliyor.

Kaspersky Lab ICS CERT Kıdemli Güvenlik Araştırmacısı Kirill Kruglov, “Uzaktan yönetim araçlarına sahip ICS’lerin sayısı endişe verici bir düzeyde. Çoğu kurum bu araçların getirdiği potansiyel risklerin ne kadar büyük olduğunun farkında değil. Örneğin, yakın zaman önce bir otomotiv şirketine yönelik saldırıları gözlemledik. Şirket bilgisayarlarının birinde uzaktan yönetim aracı kurulu olduğu ortaya çıktı. Bu bilgisayara aylar boyunca düzenli olarak zararlı yazılım yükleme teşebbüsleri yaşandı. Güvenlik çözümlerimiz her hafta böyle en az iki teşebbüsü engelledi. Bu kurum bizim güvenik yazılımımızla korunuyor olmasaydı sonuçlar en hafif ifadeyle hoş olmazdı. Ancak, bu durum şirketlerin ağlarındaki tüm uzaktan erişim araçlarını anında silmeleri gerektiği anlamına da gelmiyor. Neticede bunlar zamandan ve paradan tasarruf sağlayan çok kullanışlı uygulamalar. Ancak, bu araçların ağdaki durumlarına çok dikkat edilmeli. Özellikle de kritik altyapı tesislerinin parçası olan ICS ağlarında özen gösterilmeli.” dedi.

Uzaktan yönetim araçlarının kullanıldığı siber saldırı riskini azaltmak için Kaspersky Lab ICS CERT şu teknik önlemlerin alınmasını öneriyor:

  • Endüstriyel ağda kullanılan uygulamaları ve sistem uzaktan yönetim araçlarını denetleyin. Endüstriyel süreçler için gerekli olmayan tüm uzaktan yönetim araçlarını kaldırın.
  • ICS yazılımıyla birlikte gelen (detaylı talimatlar için ilgili yazılımın belgelerine bakın) uzaktan yönetim araçlarını denetleyin ve endüstriyel süreçler için gerekli olmadığı takdirde devre dışı bırakın.
  • Endüstriyel süreçler için gereken her bir uzaktan kontrol oturumunu yakından izleyin ve olayları kaydedin. Uzaktan erişim normalde devre dışı olmalı ve yalnızca talep üzerine kısıtlı bir süreliğine açılmalıdır.

Raporun tamamını Kaspersky Lab ICS CERT websitesinde okuyabilirsiniz.