كاسبرسكي لاب: أدوات الإدارة عن بعد تنطوي على تهديدات غير متوقعة للشبكات الصناعية
تشكل أدوات الإدارة عن بعد، التي تعد سليمة من الناحية القانونية، تهديداً خطراً غير مباشر للشبكات الصناعية، إذ يتم تثبيتها على 31.6 في المئة من أجهزة الحاسوب المتصلة بنظم الرقابة الصناعية، لكن بحثاً أجراه خبراء أمن لدى شركة كاسبرسكي لاب Kaspersky Lab، وجد أن الأمور غالباً ما تظل دون ملاحظة إلى أن يكتشف فريق الأمن التقني التابع للشركة أن مجرمين إلكترونيين يستخدمون واحدة من تلك الأدوات لتثبيت برمجيات طلب الفدية أو برمجيات تعدين للعملات الرقمية أو حتى لسرقة معلومات أو أموال.
وتعتبر أدوات الإدارة عن بعد، المعروفة اختصاراً بـ RAT، أدوات برمجية مشروعة تسمح لأطراف خارجية بالوصول إلى جهاز حاسوب عن بعد، وغالباً ما يتم استخدامها بطريقة قانونية من الموظفين في الشركات الصناعية لتوفير الموارد، ولكن يمكن استخدامها أيضاً من قبل جهات تخريبية للحصول للوصول بشكل خفي إلى أجهزة الحاسوب المستهدفة.
ووفقاً لتقرير نشره فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية ICS CERT لدى كاسبرسكي لاب، فإن أدوات الإدارة عن بعد منتشرة انتشاراً واسعاً في جميع القطاعات، فهذه الأدوات مثبتة على نحو ثلث أجهزة الحاسوب في نظم الرقابة الصناعية والتي تحميها شركة كاسبرسكي لاب.
كما أن أداة من كل خمس من أدوات التحكم عن بعد تقريباً تأتي تلقائياً مرفقة ببرمجية خاصة للتعامل مع نظام الرقابة الصناعية، ما يجعلها أقل وضوحاً لمسؤولي النظام، وبالتالي أكثر جاذبية للجهات التخريبية التي تقف وراء التهديدات.
ووفقاً لبحث كاسبرسكي لاب يستغل المخربون برمجيات RAT في الوصول غير المصرح به إلى الشبكات وإصابة الشبكة ببرمجيات خبيثة للتجسس والتخريب وسرقة المال من خلال عمليات لطلب الفدية أو عن طريق الوصول إلى الأصول المالية عبر الشبكات التي تعرضت للهجوم.
ويتمثل أخطر تهديد مرتبط بسوء استغلال أدوات الإدارة عن بعد في قدرتها على كسب امتيازات تحكم مرتفعة في النظام المهاجم، ما يعني سيطرة فعلية غير محدودة على منشأة صناعية، الأمر الذي يمكن أن يؤدي إلى خسائر مالية ومادية جسيمة.
ويتم في كثير من الأحيان اكتساب هذه القدرات من خلال شن هجوم القوة الغاشمة الذي يتضمن محاولات لتخمين كلمة المرور من خلال تجربة جميع التركيبات الممكنة للحروف حتى يتم العثور على الكلمة الصحيحة، كما يمكن للمهاجمين العثور على ثغرات في تلك الأدوات نفسها واستغلالها.
واعتبر كيريل كروغلوڤ، الباحث الأمني بفريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية ICS CERT لدى كاسبرسكي لاب، أن عدد نظم الرقابة الصناعية المشتملة على أدوات الإدارة عن بعد مثير للقلق، لا سيما وأن كثيراً من الشركات لا تجد أبداً ما قد يثير الشكوك بشأن المخاطر المحتملة المرتبطة بهذه الأدوات.
وأضاف: “لاحظنا في الآونة الأخيرة شن هجمات على شركة سيارات كان أحد أجهزة الحاسوب فيها مثبتاً عليه إحدى أدوات الإدارة عن بعد، وقد أدى ذلك إلى محاولات منتظمة لتثبيت برمجيات تخريبية مختلفة على الجهاز على مدار أشهر عدة بمعدل محاولتين على الأقل كل أسبوع، لكن حلولنا الأمنية استطاعت منعها”.
وأكد كروغلوڤ أن العواقب كانت لتكون غير سارة على أقل تقدير إذا لم تكن أنظمة هذه الشركة محمية بحلول كاسبرسكي لاب الأمنية، وأضاف: “لا يعني هذا أن على الشركات إزالة جميع برمجيات RAT من شبكاتها، فهذه التطبيقات نافعة وتفيد في توفر الوقت والمال، لكن ينبغي توخي الحذر عن وجودها على الشبكات، لا سيما في شبكات نظم الرقابة الصناعية، التي غالباً ما تكون جزءاً من مرافق البنية التحتية الحيوية للشركات”.
ويوصي فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية ICS CERT لدى كاسبرسكي لاب بتنفيذ الإجراءات التقنية التالية للحد من مخاطر الهجمات الإلكترونية التي تنطوي عليها أدوات الإدارة عن بعد:
- التدقيق في استخدامات أدوات الإدارة عن بعد في الشبكات الصناعية.
- إزالة جميع الأدوات التي لا تلزم في العمليات الصناعية.
- التدقيق في أدوات الإدارة عن بعد التي تأتي مع برمجيات نظم الرقابة الصناعية وتعطيلها شريطة ألا تكون لازمة في العمليات الصناعية.
- رصد كل جلسة إدارة عن بعد مطلوبة في العملية الصناعية وتسجيل أحداثها مع تعطيل إمكانية الوصول التلقائي عن بعد وتمكينه فقط عند الطلب ولفترات زمنية محدودة.
تجدر الإشارة إلى أنه يمكن الاطلاع على التقرير الكامل على موقع فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية ICS CERT لدى كاسبرسكي لاب.
