Bruk av RAT og CC server for cyberangrep

Kombinasjonen av bruk av RAT (Remote Access Trojan) og en CC server (Command and Control Server kan være en “slem kombinasjon” å bli utsatt for. Slik som dette fungerer så installerer hacker først en “RAT trojan” på en PC eller en arbeidsterminal. Dette kan for eksempel skje ved hjelp av “phishing” eller “klikk på dette vedlegget”.

Når “RAT trojan” er installert, så setter denne typisk opp en forbindelse tilbake til hackerens “CC server”, eller “Command and Controll server”, som hackeren så kan bruke til å fjernstyre “offerts PC” med “RAT trojan” installert.

Den infiserte PC’en vil så kunne brukes til videre angrep innover i nettverket og også mot andre PC’er, servere og nettverk. I loggen til de målene som blir angrepet så vil det framgå at det er “du og din IP” som er angriperen.

I forhold til og med utgangspunkt i Purdue Modellen for industrielle kontrollnettverk, så vil det første angrepet med installasjon av “RAT trojan” skje på det øverste nivået i Purdue Modellen bland “ordinære PC brukere”. Når “RAT Trojan” er installert og det er etablert en forbindelse tilbake til “Command og Controll server”, så vil de neste angrepene skje videre nedover i Purdue modellen.

For å oppsummere meget kort så kan man vel si at IT sikkerhet handler om at den første installasjonen av “RAT trojan” ikke skal skje. OT sikkerhet handler om at det ikke skal være mulig å bevege seg videre fra den først angrepene PC’en og videre nedover i mot prosessnettverket.

(IT sikkerhet handler nok sansynligvis om mye mer enn dette. Installasjon av “RAT trojan”, bruk av CC server og og videre angrep nedover i Purdue modellen og inn mot prosessnettverket, brukes bare som et eksempel for å beskrive noen litt mer generelle prinsipper for overgangen mellom IT og OT sikkerhet.)

(For angrep mot inteligente bygninger og smarthus, så vil det kunne gjelde en litt annen problemstilling ved at det kanskje bare i liten grad finnes noe “sikkerhetsnivåer” slik som beskrevet i Purdue modellen. Plasseringen av en “RAT torjan” vil da kunne gi en noe mer direkte tilgang til OT systemene. Vi kan også ha med en annen problemstilling å gjøre, som har med oppkobling av IoT og OT systemer opp mot nettskyen.)