CISA намерена прикрыть лавочку удалённого доступа для киберпреступников

Агентство по кибербезопасности и безопасности инфраструктуры США ( CISA ) совместно с частными компаниями представило свой первый план по решению вопросов безопасности инструментов удалённого мониторинга и управления ( RMM ).

RMM-программы обычно используются IT-отделами крупных организаций для удалённого доступа к компьютерам сотрудников. В последние годы хакеры активно эксплуатируют уязвимости этих инструментов, особенно в государственных сетях, чтобы обходить системы безопасности и получать длительный доступ к сетям жертв.

В среду CISA объявило , что совместно с отраслевыми партнёрами в рамках Объединённой группы киберзащиты ( JCDC ) разработало «чёткую дорожную карту для повышения безопасности и устойчивости экосистемы RMM».

План сфокусирован на четырёх основных задачах: обмен информацией об уязвимостях, координация отрасли, обучение конечных пользователей и усиление консультирования.

«Сотрудничество, установленное для разработки этого плана, уже достигло нескольких достижений для заинтересованных сторон и экосистемы RMM», — заявил Эрик Голдштейн, исполнительный помощник директора CISA по кибербезопасности.

По словам Голдштейна, CISA несколько месяцев работало с представителями отрасли кибербезопасности над планом, координируя усилия с вендорами, операторами, ведомствами и другими заинтересованными сторонами.

«План киберзащиты для удалённого мониторинга и управления демонстрирует важность этой работы и значимость как глубокого партнёрства, так и проактивного планирования для решения системных рисков, стоящих перед нашей страной», — подчеркнул он.

CISA и АНБ еще в январе предупреждали, что преступники используют ПО для удалённого доступа, чтобы сохранять контроль над взломанными системами. Об этом, в частности, свидетельствует кампания по хищению средств из государственных учреждений США.

Кроме того, в прошлом злоумышленники неоднократно использовали уязвимости RMM-инструментов для распространения вредоносного ПО. Так, в 2019 году хакеры из группировки Gandcrab эксплуатировали уязвимость плагина Kaseya для рассылки вымогательского ПО на сетях клиентов провайдеров управляемых услуг.

А в ноябре 2022 года Microsoft обнаружила, что банда Royal доставляла вредоносные программы под видом легитимных установщиков AnyDesk . Утечка данных из группы Conti также указывала на использование ПО для удалённого контроля.

По словам CISA, как частные киберпреступные группировки, так и государственные хакеры эксплуатируют инструменты удалённого доступа, чтобы массово атаковать организации по всему миру.

Опубликованный в среду план призван расширить обмен данными об угрозах между правительством США и поставщиками RMM-решений. Также эксперты надеются наладить механизмы для повышения безопасности этих инструментов и разработать руководства по защите конечных пользователей.

Кроме того, CISA хочет усилить распространение консультативных уведомлений в сообществе разработчиков ПО удалённого доступа, чтобы оперативно реагировать на новые киберугрозы.