CISA намерена прикрыть лавочку удалённого доступа для киберпреступников
Совместно с другими ведомствами и частными компаниями агентство разработало мощный план защиты RMM-инструментов.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) совместно с частными компаниями представило свой первый план по решению вопросов безопасности инструментов удалённого мониторинга и управления (RMM).
RMM-программы обычно используются IT-отделами крупных организаций для удалённого доступа к компьютерам сотрудников. В последние годы хакеры активно эксплуатируют уязвимости этих инструментов, особенно в государственных сетях, чтобы обходить системы безопасности и получать длительный доступ к сетям жертв.
В среду CISA объявило , что совместно с отраслевыми партнёрами в рамках Объединённой группы киберзащиты (JCDC) разработало «чёткую дорожную карту для повышения безопасности и устойчивости экосистемы RMM».
План сфокусирован на четырёх основных задачах: обмен информацией об уязвимостях, координация отрасли, обучение конечных пользователей и усиление консультирования.
«Сотрудничество, установленное для разработки этого плана, уже достигло нескольких достижений для заинтересованных сторон и экосистемы RMM», — заявил Эрик Голдштейн, исполнительный помощник директора CISA по кибербезопасности.
По словам Голдштейна, CISA несколько месяцев работало с представителями отрасли кибербезопасности над планом, координируя усилия с вендорами, операторами, ведомствами и другими заинтересованными сторонами.
«План киберзащиты для удалённого мониторинга и управления демонстрирует важность этой работы и значимость как глубокого партнёрства, так и проактивного планирования для решения системных рисков, стоящих перед нашей страной», — подчеркнул он.
CISA и АНБ еще в январе предупреждали, что преступники используют ПО для удалённого доступа, чтобы сохранять контроль над взломанными системами. Об этом, в частности, свидетельствует кампания по хищению средств из государственных учреждений США.
Кроме того, в прошлом злоумышленники неоднократно использовали уязвимости RMM-инструментов для распространения вредоносного ПО. Так, в 2019 году хакеры из группировки Gandcrab эксплуатировали уязвимость плагина Kaseya для рассылки вымогательского ПО на сетях клиентов провайдеров управляемых услуг.
А в ноябре 2022 года Microsoft обнаружила, что банда Royal доставляла вредоносные программы под видом легитимных установщиков AnyDesk. Утечка данных из группы Conti также указывала на использование ПО для удалённого контроля.
По словам CISA, как частные киберпреступные группировки, так и государственные хакеры эксплуатируют инструменты удалённого доступа, чтобы массово атаковать организации по всему миру.
Опубликованный в среду план призван расширить обмен данными об угрозах между правительством США и поставщиками RMM-решений. Также эксперты надеются наладить механизмы для повышения безопасности этих инструментов и разработать руководства по защите конечных пользователей.
Кроме того, CISA хочет усилить распространение консультативных уведомлений в сообществе разработчиков ПО удалённого доступа, чтобы оперативно реагировать на новые киберугрозы.
Домашний Wi-Fi – ваша крепость или картонный домик?