روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ رَت‌ها[1] (ابزارهای مدیریت سرور از راه دور) همیشه بحث‌برانگیز بوده‌اند؛ آن‌ها به افراد اجازه می‌دهند تا از دسترسی مستقیم به سخت‌افزار جلوگیری کنند. اما در عین حال، آن‌ها با باز کردن تجهیزاتِ دسترسی از راه دور، سیستم‌های کامپیوتری را به خطر می‌اندازند. محیط‌های صنعتی حتی بیشتر از سایر محیط‌ها در معرض چنین خطری قرار دارند. به همین دلیل است که همکاران ما در گروه ICS-CERT لابراتوار کسپرسکی، تحقیقی روی سطح گستردگی رَت‌ها روی کامپیوترهای صنعتی و علل خطرناک بودنشان انجام داده‌اند.

بر اساس آمار شبکه‌ی امنیتی کسپرسکی در نیم‌سال 2018، روی یک‌سوم سیستم‌های صنعتی -که از سیستم عامل ویندوز استفاده می‌کنند- رت‌های قانونی نصب شده است. منظور از سیستم‌های صنعتی همان سرورهای اِسکادا[2] (سامانه سرپرستی و گردآوری داده)، سرورهای تاریخ نگار، درگاه‌های اطلاعاتی، ایستگاه‌های کارِ اپراتور و مهندس و کامپیوترهای رابط انسان-ماشین است.

برخی اوقات، مدیران و مهندسین لوکال در کارهای روزانه‌ی خود از رت‌ها استفاده می‌کنند. برخی اوقات طرف‌های خارجی همچون انتگراتورهای سیستم (کسانیکه کار یکپارچه‌سازی سامانه را انجام می‌دهند) و یا توسعه‌دهندگان سیستم کنترل صنعتی برای تشخیص عیب، تعمیر و عیب‌زدایی به دسترسی از راه دور نیاز دارند. پس در واقع در برخی موارد رَت‌ها نه تنها برای نیازهای عملیاتی که همچنین برای کاهش هزینه‌های سرویس نیز مورد استفاده قرار می‌گیرند. و حتی اگر برای فرآیندهای تکنولوژیکیِ نرمال بدان‌ها نیاز شد، ارزش این را دارند که خطرهای احتمالی‌شان را تشخیص دهیم و شاید حتی برای کاهش سطح حمله، پروسه‌ها را بازسازی کنیم.

احتمال دیگری هم وجود دارد که نمی‌شود ساده از آن گذشت: اعمال‌گران بدافزار برای فریب دادن راه‌حل‌های محافظتی برخی اوقات از نرم‌افزار قانونی مدیریت سرور از راه دور به عنوان ابزار حمله استفاده می‌کنند.

مشکلِ کار کجاست؟

ظاهراً همه‌ی متخصصین درک کافی از خطراتی که رت‌ها می‌توانند برای شبکه‌های رایانه‌ای صنعتی داشته باشند ندارند. همکاران ما طی تحقیقی که روی سیستم مورد آزمایش‌شان انجام دادند به موارد زیر (در مورد رت‌ها) پی بردند:

• اغلب از امتیازات سیستم استفاده می‌کردند.
• نمی‌گذاشتند ادمین‌ها دسترسی محدودی به سیستم داشته باشند.
• از فرآیند چندعاملیِ احراز هویت استفاده نمی‌کردند.
• اقدامات مشتریان را وارد نمی‌کردند.
• از آسیب‌پذیری‌های مختلف برخوردار بودند، حتی آسیب‌پذیری‌هایی که هنوز کشف هم نشده بودند (به بیانی دیگر، شرکت‌ها رت‌های خود را آپدیت نمی‌کنند).
• آن‌ها از relay serverهایی که جلوی NAT (برگردان نشانی شبکه) را می‌گرفتند و محدود شدن لوکال فایروال[3] را به همراه داشتند استفاده می‌کردند.
• معمولاً از رمزعبورهای پیش‌فرض استفاده می‌کردند یا ابزارهای احراز هویت را هاردکُد کرده بودند.

در برخی موارد، تیم‌های امنیتی حتی نمی‌دانستند رت‌ها دارند عملیات خود را انجام می‌دهند و باالطبع نسبت به خطرات آن‌ها نیز بی‌اطلاع بودند. اما مشکل اصلی این است که خیلی سخت می‌توان فرق بین حملات رَت و یک عملیات طبیعی را تشخیص داد. متخصصین ما  حین بررسی حوادث ICS در CERT به موارد بسیاری برخوردند که در آن، تبهکاران برای حملات خود از دسترسی از راه دور استفاده می‌کردند.

چطور میزان خطر را کاهش دهیم؟

 به منظور کاهش میزان خطر ناشی از حوادث سایبری، گروه ICS-CERT لابراتوار کسپرسکی اقدامات زیر را توصیه می‌کند:

• ابزارهای مدیریت سرور از راه دور (که از آن‌ها در شبکه‌ی تکنولوژیکی‌تان استفاده می‌کنید) را به طور کامل مورد بررسی و رسیدگی قرار دهید. تأکیدمان بیشتر روی VNC، RDP ،TeamViewer و RMS/Remote Utilities است.
• توصیه می‌کنیم از شرِ هَر رَتی که با هیچ یک از نیازهای عملیاتی جور درنمی‌آید خلاص شوید.
• هر نرم‌افزار دسترسی از راه دورِ غیرضروری را که با نرم‌افزار سیستم نظارتِ خودکار یکپارچه‌سازی شده است مورد بررسی قرار داده و غیرفعال نمایید.
•  در مواردی که در عملیات‌ها به رَت نیاز است، دسترسی بی‌قید و شرط را غیر فعال کنید. دسترسی مطلق تنها از طریق درخواستِ داکیومنت‌شده -و تنها برای بازه‌ی زمانی محدود- فعالسازی می‌شود.
•  برای هر جلسه‌ی مدیریت از راه دور، روی بخش لاگین دقت و بررسی لازم را مبذول فرمایید. 

[1] RATs

[2] SCADA

[3] دیوار آتشِ محلی