Az utóbbi hónapokban a kiberbűnözői csoportok egyre gyakrabban használják ki a távoli felügyeleti és menedzsment szoftvereket, azaz az RMM-eszközöket, hogy behatoljanak cégek rendszereibe, adatokat lopjanak, vagy zsarolóvírusos támadásokat indítsanak. Bár az ilyen programok eredetileg a rendszergazdák kényelmét szolgálják távoli hozzáféréssel és egyszerűsítenék az IT-felügyeletet, most épp ez a kényelem válik a támadók legfőbb eszközévé.
A támadás színterei: jogos eszközök a rosszfiúk kezében
A legjellemzőbb RMM-platformok között említhetjük a ConnectWise Controlt (korábbi nevén ScreenConnect), az AnyDesket és a Kickidlert. Ezek a programok titkosított csatornákat használnak a zökkenőmentes kommunikációhoz, ám pont emiatt a támadók észrevétlenül mozoghatnak a hálózatokon keresztül. Különösen érdekes a Kickidler, amely eredetileg alkalmazottak megfigyelésére szolgált, de most zsarolóvírus-csoportok, mint a Qilin és Hunters International, adminisztrátori bejelentkezések rögzítésére használják – például képernyőnézegetéssel és billentyűnaplózással („keylogging”). Így jutnak hozzá értékes hitelesítő adatokhoz, amelyekkel hozzáférnek felhőmentésekhez és más kritikus rendszerkomponensekhez.
Nem ritka az sem, hogy a támadók trükkösebb taktikát alkalmaznak: például a SMOKEDHAM nevű backdoor egy trojanizált „RVTools” telepítőcsomaggal terjed, amelyet Google Ads-hirdetésen keresztül juttatnak el a potenciális áldozatokhoz. Ez a rosszindulatú szoftver automatikusan telepíti magát, majd elindítja a fenn említett Kickidler telepítését.
Támadási forgatókönyvek és következmények
A támadók több taktikát is alkalmaznak. Az egyik leggyakoribb a phishing, amikor segítségkérésnek álcázott e-mailekkel vagy üzenetekkel csalogatják rá a célszemélyt egy rosszindulatú letöltőoldalra, ahol egy futtatható fájl telepíti az RMM-et. Ezt követően könnyen bejuthatnak a rendszerbe.
Banki csalások keretében hamis kivonatokat generálnak, amelyek szerint a célszemély túlfizetést kapott, így követelve az összegek visszautalását. Emellett a LockBit és más zsarolóvírus-csoportok szintén ezt a rést használják ki RMM-eszközökön keresztül, hogy titkosítsák a célpont Windows vagy VMware ESXi infrastruktúráját – többek között a kritikus VMDK fájlokat is.
Mikor válik veszélyessé egy RMM-szoftver?
Az RMM-platformok azért is veszélyesek, mert nem egyszerűen rosszindulatú programokként azonosíthatók. Mivel ismert, legitim programokról van szó, a legtöbb antivírus nem riaszt, hiszen nincs hozzájuk szabványos „rosszindulatú” mintázat (file signature). A titkosított kommunikáció megkerüli a hagyományos hálózati monitoringot, így sokszor még a rendszergazdák sem veszik észre, ha illetéktelenek mozognak a hálózatban. Ráadásul a támadók általában rendszergazdai jogosultságokat szereznek, így módjukban áll lekapcsolni a biztonsági védelmeket.
Hogyan védekezzünk hatékonyan?
A szakértők szerint a védekezés kulcsa a megelőzés és a többrétegű biztonság. Íme a legfontosabb lépések:
- Kétfaktoros hitelesítés (2FA): minden RMM-felület esetén elengedhetetlen a többlépcsős azonosítás és az egyedi, erős jelszavak használata.
- Hozzáférés korlátozása: csak a meghatározott, megbízható IP-címekről engedélyezett kapcsolatok legyenek elfogadottak (whitelist).
- Rendszeres frissítések: soha ne hagyjuk elavultan az RMM-eszközöket; a legújabb verziók telepítése kritikus a biztonsági réseken való átlépés megakadályozására.
- Phishing tudatosság: a felhasználók képzése és folyamatos figyelmeztetése a hamis segédlet- vagy segítségkérő emailek felismerésére, és az ilyen linkek elkerülésére.
- Backup rendszerek elkülönítése: a mentések hitelesítése legyen független a Windows-domaintől, és érdemes immutable, vagyis módosíthatatlan tárolókat alkalmazni.
- Intenzív monitoring: SIEM-rendszerekkel figyeljük a nem megszokott RMM-telepítéseket, új adminisztrátori fiókok létrehozását, vagy harmadik fél eszközeinek gyanús aktivitását.
Összegzés
A kiberbiztonsági szervezetek, mint a CISA, az NSA és az MS-ISAC hangsúlyozzák, hogy az IT-biztonsági védekezés nem állhat meg a klasszikus sebezhetőségek befoltozásánál vagy a hagyományos phishing elleni védekezésnél. A kiberbűnözők egyre inkább a rendszergazdai eszközök és jogosultságok álcázott használatával – így az RMM-platformokkal – próbálnak bemenni a rendszerekbe. Ezért célszerű minél átfogóbb és kifinomultabb biztonsági stratégiát követni, ahol az oktatás, a szigorú hozzáférés-kezelés, és a folyamatos monitoring egyaránt helyet kap.
Ha részletesebben is érdekel a téma, a CISA és partnerintézmények figyelmeztetése kitűnő kiindulópont lehet, ahol konkrét technikai ajánlásokat is találsz.
Hozzászólások
-