Angielskie powiedzenie mówi, że nigdy nie znajdujesz się dalej niż kilka metrów od szczura ( ang. rat – szczur). Jeżeli chodzi o bezpieczeństwo urządzeń mobilnych wygląda na to, że ataki typu mRAT stają się dużym problemem. mRAT ( ang. Mobile Remote Access Trojans), czyli mobilne trojany zdalnego dostępu, są komercyjnymi narzędziami szpiegowskimi zwykle reklamowanymi jako programy do nadzorowania telefonów używanych przez dzieci w celu zapewnienia im bezpieczeństwa w Internecie. Okazuje się jednak, że mogą one również być wykorzystywane do szpiegostwa przemysłowego i innych złośliwych celów.
Program typu mRAT może być ściągnięty w niewidoczny dla użytkownika sposób poprzez grę lub przesłany odnośnik w mailu/wiadomości tekstowej. Może również zostać zainstalowany ręcznie na urządzeniu, do którego osoba trzecia posiada fizyczny dostęp. Ponieważ umożliwiają one czynności administracyjne, pozwalają na przechwytywanie wpisywanych wiadomości/haseł, włączanie kamery, nagrywanie dźwięku oraz o wiele więcej.
Tak szeroka funkcjonalność powoduje, że programy mRAT są bardzo atrakcyjne dla atakujących. Pozwalają one omijać zabezpieczenia MDM (mobile device management), dzięki czemu można za ich pomocą podsłuchiwać połączenia i spotkania, wyciągać informacje z firmowych maili i wiadomości tekstowych oraz śledzić położenie użytkowników. Mogą również przechwytywać komunikację poprzez aplikacje firm trzecich. Pod koniec roku 2014, programem mRAT atakującym zarówno system iOS jak i Android zainfekowano urządzenia członków ruchu Occupy Central w Hong Kongu. Program rozprzestrzeniał się poprzez nieświadome udostępnianie odnośników w aplikacji WhatsApp.
Liczba mRATów rośnie
Jak poważnym zagrożeniem są programy mRAT dla bezpieczeństwa firm? Aby lepiej zrozumieć i ocenić ryzyko jakie stanowią, firmy Check Point oraz Lacoon przeprowadziły niedawno badania komunikacji ponad 900 000 urządzeń poprzez punkty dostępowe Wi-Fi w dużych korporacjach. Przez kilka miesięcy badacze analizowali ruch sieciowy oraz sygnatury kilku znanych mRATów komunikujących się ze swoimi serwerami Command & Control. Wyniki badań pokazują, że średnio jedno na 1000 urządzeń na świecie było zarażone, a w niektórych krajach takich jak np. USA zainfekowanych było jedno na 500 urządzeń. Zarażenia dotyczyły w równym stopniu urządzeń pod kontrolą systemu Android jak i iOS w przeciwieństwie do większości mobilnego złośliwego oprogramowania.
Pomimo tego, że liczby te nie wydają się znaczące, należy zaznaczyć, że w wielu przypadkach programy mRAT przesyłały dane przez tygodnie, a nawet miesiące. Jakie wrażliwe dane mogły być w ten sposób wyciągnięte z jednego telefonu należącego do dyrektora?
Ataki mRAT są mobilnymi odpowiednikami ataków phishingowych przeciwko tradycyjnym sieciom, które były skierowane przeciwko pracownikom tak znanych firm jak np. Target, Neiman Marcus, Anthem i Sony Pictures. Stanowią one pomost pozwalający atakującym na wybranie pojedynczej ofiary w firmie, dzięki której zdobędą oni dostęp do wrażliwych danych.
Co więcej, potencjał tych ataków będzie wzrastać. W 2014 roku, trzeci coroczny raport bezpieczeństwa mobilnego firmy Check Point bazujący na danych z 700 organizacji pokazał, że liczba osobistych urządzeń łączących się z firmowymi sieciami w ciągu ostatnich dwóch lat zwiększyła się dwukrotnie w 72% firm. 44% ankietowanych powiedziało, że nawet nie próbuje zarządzać danymi firmowymi na urządzeniach należących do pracowników, co daje hakerom stale rosnące źródło urządzeń możliwych do zainfekowania.
Schwytanie mRATów
Jak w takim razie firmy powinny podchodzić do kwestii wykrywania istniejących zarażeń programami mRAT, aby zapobiec dalszym infekcjom i wyciekom danych? Po pierwsze potrzebne jest zunifikowane podejście do zabezpieczeń na każdym urządzeniu mobilnym, niezależnie od tego gdzie jest ono używane. Drugim środkiem ochrony jest blokowanie ruchu sieciowego generowanego przez mRATy.
Aby chronić urządzenia poza siecią firmową przed infekcjami typu mRAT, zabezpieczenia mogą być wprowadzone w urządzeniach mobilnych jako usługa w chmurze korzystająca z szyfrowanego tunelu VPN. Zapobiega ona przed pobieraniem podejrzanych plików oraz blokuje dostęp do niebezpiecznych stron. Dzięki temu nie tylko wprowadzamy firmowe protokoły zabezpieczeń na urządzeniach wszystkich pracowników, ale też blokujemy komunikację z serwerem urządzeń już zainfekowanych.
Jeżeli chodzi o lokalne zabezpieczenia na każdym urządzeniu, firmy powinny wprowadzić rozwiązania pozwalające na wykrycie wszelkich podejrzanych zachowań aplikacji oraz podejrzanego ruchu sieciowego, co pozwoli zmniejszać rozprzestrzenianie się programów mRAT. W wielu przypadkach programy te mogą nie zostać wykryte przez konwencjonalne oprogramowanie antywirusowe, ale specjalne, dedykowane rozwiązania pozwalają na wprowadzenie aktywnej ochrony blokującej zagrożenia.
Podsumowując, programy mRAT są potężnymi narzędziami, które pozwalają hakerom na wyciąganie danych z urządzeń mobilnych pracowników, które w większości nie posiadają ochrony. Z tego powodu firmy powinny przedsięwziąć środki przeciwko mRATom blokując ich komunikację zanim rozpoczną kradzież danych.