Fernwartungssoftware stellt eine große Gefahr für industrielle Netzwerke dar

21 Sep 2018

Legitime Fernwartungssoftware (Remote Administration Tools, RATs) ist seit Langem ein sehr umstrittenes Thema. Zwar ermöglicht sie Nutzern die Vermeidung eines direkten Hardwarezugriffs, kann allerdings gleichzeitig auch viele Risiken für die Computersysteme durch den Fernzugriff auf beliebige Geräte bergen. Besonders in einer industriellen Umgebung kann ein solcher Remote-Zugriff gefährlich werden; aus diesem Grund haben unsere Kollegen des Kaspersky Lab ICS CERT eine Analyse bezüglich der Verbreitung von RATs auf Industriecomputern sowie mögliche Schäden, die aus Fernwartungssoftware resultieren können, durchgeführt.

KSN-Statistiken zufolge wurden in der ersten Hälfte des Jahres 2018 legitime RATs auf einem von drei Rechnern industrieller Kontrollsysteme unter Windows installiert. Unter industriellen Systemen verstehen wir hier SCADA- und Historian-Server, Daten-Gateways, Workstations von Ingenieuren und Bedienern sowie HMIs von Arbeitsplatzrechnern.

Zeitweise verwenden lokale Administratoren und Ingenieure RATs bei ihrer täglichen Arbeit. Und manchmal benötigen externe Parteien wie Systemintegratoren oder Entwickler industrieller Steuerungssysteme den Fernzugriff zur Diagnose, Wartung und Fehlerbehebung. In der Tat werden RATs in manchen Fällen nicht für betriebliche Zwecke verwendet, sondern viel mehr um anfallende Servicekosten zu senken. Und selbst wenn sie für alltägliche technologische Prozesse benötigt werden, lohnt sich die Einschätzung möglicher Risiken und eventueller Restrukturierungsprozesse zur Verringerung der Angriffsfläche.

Darüber hinaus ist nicht auszuschließen, dass Malware-Akteure legitime Fernwartungssoftware als Angriffstool verwenden, um bestehende Schutzlösungen zu täuschen.

Worin besteht das Problem?

Nicht alle Spezialisten scheinen die Gefahren von RATs in industriellen Netzwerken zu verstehen. Folgende Erkenntnisse haben unsere Kollegen über die RATs in den von ihnen untersuchten Systemen gemacht:

  • Oftmals wurden Systemprivilegien verwendet;
  • Administratoren hatten nicht die Möglichkeit, den Zugriff auf das System einzuschränken;
  • Es wurde keine Multifaktor-Authentifizierung verwendet;
  • Es fand keine Protokollierung der Aktionen der Kunden statt;
  • Sie wiesen Schwachstellen auf – darunter befanden sich auch bereits bekannte Sicherheitslücken (d. h., Unternehmen aktualisieren ihre RATs nicht);
  • Sie haben Relay-Server verwendet, die die Umgehung von NAT- und lokalen Firewall-Einschränkungen ermöglicht haben;
  • In den meisten Fällen wurden Standard-Passwörter oder fest kodierte Anmeldedaten verwendet.

In einigen Fällen wussten die Sicherheitsteams schlichtweg nichts von der Existenz der RATs; aus diesem Grund wurde dieser Angriffsvektor oftmals nicht berücksichtigt.

Das Hauptproblem besteht jedoch darin, dass RAT-Angriffe sehr schwer von normalen Aktivitäten zu unterscheiden sind. Bei der Analyse von ICS-Vorfällen sind unsere CERT-Experten auf viele Fälle gestoßen, bei denen Cyberkriminelle Fernwartungssoftware für Angriffe verwendet haben.

So können Risiken minimiert werden

Um das Risiko eines Cybervorfalls zu minimieren, empfehlen unsere Experten des Kaspersky Lab ICS CERT Folgendes:

  • Unternehmen sollten alle in ihrem Netz verwendeten Anwendungen und Tools zur Fernwartung überprüfen. Alle RATs, die nicht notwendigerweise im industriellen Prozess benötigt werden, sollten entfernt werden.
  • RATs, die zusammen mit ICS-Software installiert wurden, müssen identifiziert und abgeschaltet werden, sofern sie im industriellen Prozess nicht notwendig sind. Detaillierte Informationen dazu findet man in der entsprechenden Software-Dokumentation.
  • Jeder notwendige Fernzugriff sollte umfassend überwacht und protokolliert werden. Die Möglichkeit des Fernzugriffs sollte standardmäßig abgestellt sein und nur bei Bedarf für einen begrenzten Zeitraum gewährt werden.

Den vollständigen Bericht „Threats posed by using RATs in ICS“ von Kaspersky Lab ICS CERT finden Sie hier. Weitere Analysen, Warnungen und Ratschläge finden Sie auf der Website von Kaspersky Lab ICS CERT.