דו״ח סייבר שבועי
עדכון שבועי 20.05.2021
עיקרי הדברים
-
מבצע ״שומר החומות״ - עדכון מיוחד: צה״ל תקף מחסן של חמאס בו אוחסן ציוד סייבר ומודיעין צבא, מתקפת סייבר מתמשכת על הנכסים הדיגיטליים של ״כאן״, עשרות אתרי אינטרנט ישראליים נפרצו, צה"ל והשב"כ סיכלו שלושה פעילי חמאס בדירה ששימשה את מערך הסייבר של הארגון.
-
חברת Colonial Pipeline שילמה כופר בסך 4.4 מיליון דולר.
-
ארגון הבריאות האירי HSE תחת מתקפת כופרה. שיבושים במספר בתי חולים, ״התקיפות עלולות לעלות בחיי אדם״.
-
ענקית הביטוח הגלובלית AXA נפגעה ממתקפת כופר, כמה ימים אחרי שהכריזה שהיא מפסיקה לשלם כופר כחלק מביטוח סייבר שלה.
-
אנו ממליצים לעדכן את המוצרים הבאים: מוצר ל-PHPMailer של WordPress; מוצר Thunderbird של Mozilla; 11 עדכוני אבטחה למוצרי SAP; מוצרי VPN של Pulse.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-PHPMailer של WordPress
עדכון אבטחה ל-Thunderbird של Mozilla
11 עדכוני אבטחה למוצרי SAP
עדכוני אבטחה למוצרי VPN של Pulse
התקפות ואיומים
בהמשך לפריצה לחברת Codecov: נחשפו נתוני ההתחברות של לקוחות חברת הסייבר Rapid7 והסטארט אפ הישראלי Monday
Colonial Pipeline שילמה כופר בסך 4.4 מיליון דולר
השבוע בכופרה
כופרת eCh0raix תוקפת את שרתי ה-NAS של QNAP
ארגון הבריאות האירי תחת מתקפת כופרה. רופא מבית חולים: ״התקיפות עלולות לעלות בחיי אדם״
ענקית הביטוח הגלובלית AXA נפגעה ממתקפת כופר
סקירה מיוחד - סייבר במבצע "שומר החומות"
14.5.21:
צה״ל תקף מחסן של חמאס בו אוחסן ציוד סייבר ומודיעין צבאי
זוהתה מתקפת סייבר מתמשכת על הנכסים הדיגיטליים של ״כאן״
15.5.21:
השתלטות ישראלית על חשבון הטוויטר של סוכנות הידיעות ״שיהאב״
עשרות אתרי אינטרנט ישראליים נפרצו
17.5.21:
פיקוד העורף: מופץ מידע שקרי בנוגע להנחיותינו
18.5.21:
צה"ל והשב"כ סיכלו שלושה פעילי חמאס בדירה ששימשה את מערך הסייבר של הארגון
סייבר בעולם
ה-NIST מפרסם טכניקות וטיפים להתמודדות עם מתקפת כופר
ה-FBI מדווח על עלייה של יותר מ-100% בתלונות על תקיפות סייבר
סייבר ופרטיות - רגולציה ותקינה
הצו הנשיאותי של הבית הלבן בנושא הגנת סייבר: המשך שיח המומחים
לקראת אישור: טיוטת התקן ISO/SAE 21434 להגנת סייבר של רכבים
מועצת האיחוד האירופי האריכה את תוקפה של מערכת הסנקציות שהוטלה על האקרים
כנסים
הציטוט השבועי
״אני יודע שזו החלטה מאוד שנויה במחלוקת, לא לקחתי אותה בקלות. אני מודה שלא היה לי נוח לראות כסף יוצא מהדלת ומועבר לאנשים כאלה. אבל זה היה הדבר הנכון לעשות למען המדינה״
ג'וזף בלונט, מנכ"ל חברת Colonial Pipeline
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-PHPMailer של WordPress
הגרסה החדשה, 5.7.2, שוחררה בהתראה קצרה יחסית, והיא נותנת מענה לחולשות בפלאגין הנפוץ, אשר ניצולן המוצלח עלול להוביל להשתלטות של תוקף מרוחק על מערכת פגיעה.
אנו ממליצים לבעלי המוצר לעדכנו לגרסתו האחרונה.
עדכון אבטחה ל-Thunderbird של Mozilla
הגרסה החדשה של פלטפורמת המייל, 78.10.2, נותנת מענה לשתי חולשות (CVE-2021-2995, CVE-2021-29957) בדרגת חומרה נמוכה ( טרם פורסם ציון CVSS).
אנו ממליצים למשתמשי המוצר לעדכנו לגרסתו האחרונה.
העדכונים נותנים מענה ל-11 חולשות בדרגות שונות שנתגלו במוצרי החברה, 3 מהן (CVE-2021-27602, CVE-2021-21466 וחולשה נוספת שטרם הוקצה לה CVE) סווגו כקריטיות וקיבלו את הציון CVSS 9.9/10.
אנו ממליצים לבעלי מוצרים רלוונטיים לבדוק בפלטפורמה של SAP את האפשרות לשדרגם.
עדכוני אבטחה למוצרי VPN של Pulse
העדכונים נותנים מענה לשתי חולשות (CVE-2021-31922, CVE-2021-22908) במוצרים PCS 9.0Rx ,PCS 9.1Rx ו-Virtual Traffic Manager. החולשות דורגו ברמת חומרה גבוהה ועלולות לגרום למתקפות Buffer overflow והזרקת בקשות HTTP.
אנו ממליצים לבעלי המוצרים לעדכנם על פי הנחיית החברה, המופיעה בקישור זה.
התקפות ואיומים
בהמשך לפריצה לחברת Codecov: נחשפו נתוני ההתחברות של לקוחות חברת הסייבר Rapid7 והסטארט אפ הישראלי Monday
בשבוע שעבר דווח ב״הסייבר״ אודות הפריצה שהתרחשה בסוף חודש ינואר לחברת Codecov, אשר עדכנה את לקוחותיה באפריל האחרון בדבר התרחשות האירוע, במהלכו עלה בידי התוקפים לגשת לסקריפט של הכלי שפיתחה החברה ולשנותו. הדבר אפשר לתוקפים לדלות מידע המאוחסן בסביבות CI (סביבות המאפשרות אינטגרציה רציפה, במהלכה כל סביבת הפיתוח עוברת מיזוג עם מוקד מרכזי משותף), ובכך לגשת לשירותים, למאגרי נתונים ולקוד יישומים באמצעות אישורים, טוקנים ומפתחות. כעת, ב-13 במאי חשפה Rapid7 האמריקאית, העושה שימוש בשרת יחיד לסביבת CI שסופקה על ידי Codecov, כי בחקירה שערכה גילתה שגורם חיצוני ביצע כניסה ללא אישור לחלק קטן מהאזור בו מאוחסן הקוד אשר שימש את שירות התגובה והאיתור המנוהל על ידה (MDR). אזור זה כלל נתונים פנימיים, הקשורים להתרעות המתקבלות עבור לקוחות החברה. מלבד Rapid7, ב-18 במאי הודיעה Monday, אשר פיתחה מוצר ליישום וניהול פרויקטים וצוותים, בעקבות הודעה שהתקבלה מלקוח החלה בביצוע חקירה, ממנה עלה כי גורמים שאינם מורשים הצליחו להשיג גישת קריאה בלבד לנתוני קוד המקור של החברה. לדבריה, בעקבות הידיעה אודות הפריצה ל-Codecov היא הסירה את גישתה של האחרונה לסביבת הפיתוח של Monday והפסיקה את השימוש בשירותי החברה. באתרה של Monday, הממשיכה בחקירת המקרה, הובהר כי החולשה לא התגלתה במערכותיה שלה וכי עד כה לא אותרה פגיעה בלקוחותיה.
Colonial Pipeline שילמה כופר בסך 4.4 מיליון דולר
מוקדם יותר השבוע דיווח מגזין אבטחת המידע Bloomberg כי דמי כופר בסך 5 מיליון דולר הועברו לידי קבוצת ההאקרים המזרח אירופית DarkSide, אך דיווחים אחרים סתרו זאת וטענו כי חברת הובלת הדלק הגדולה בארה״ב אינה מתכוונת לשלם לתוקפים. עוד דווח ב-Bloomberg כי הכופר שולם במטבע קריפטוגרפי שקשה להתחקות אחריו, וכי התשלום הוריד מכתפי החברה את הלחץ העצום שהופעל עליה להשיב את זרימת הדלק לאזורים נרחבים בחוף המזרחי. לדברי המגזין, למרות שעם קבלת התשלום התוקפים העבירו לידי החברה את מפתח ההצפנה, התהליך התגלה כאיטי למדי ואילץ את Colonial Pipeline להשתמש בגיבויים שהיו ברשותה לשם שחזור מהיר יותר של מערכותיה. במהלך השבוע נציגי החברה, כמו גם נשיא ארה״ב ג׳ו ביידן, סירבו להגיב לידיעה. מנגד, ה-FBI פרסם כי אינו מעודד ארגונים וחברות המותקפים בזירת הסייבר לשלם כופר לתוקפים, שכן שאין ודאות שאכן יספקו את המפתח להסרת ההצפנה, ומשום שתשלום הכספים מהווה תמריץ לעוד ועוד תוקפים לבצע תקיפות כופר. ואולם, ב-19 במאי אומת תשלום הכופר, כאשר ג׳וזף בלונט, מנכ״ל Colonial Pipeline, מסר ל״וול סטריט ג׳ורנל״ כי ההחלטה לשלם את דמי הכופר נבעה בעיקר מחוסר מידע אודות חומרת הפגיעה בתשתיות ומשך הזמן שיידרש להתאוששות מהתקיפה. ההחלטה להעברת הכספים לידי DarkSide הגיעה לאחר התייעצויות עם מומחים בתחום, שהתמודדו בעבר עם הכנופייה. לטענתו של בלונט, העברת סכום כסף כה גדול לידי התוקפים לוותה בתחושה קשה, אך בעיניו היה זה הדבר הנכון לעשות עבור המדינה כולה. בתוך כך דווח כי במהלך 9 החודשים האחרונים הרוויחה DarkSide יותר מ-90 מיליון דולר מדמי כופר ששולמו לה על ידי ארגונים שתקפה.
השבוע בכופרה
כופרת eCh0raix תוקפת את שרתי ה-NAS של QNAP
אזהרת החברה מפני הכופרה מגיעה כשבועיים בלבד לאחר שפורסמה מתקפה של נוזקת AgeLocker על מוצריה. ההמלצות למשתמשים במוצרי ה-NAS של החברה הן:
-
שימוש בסיסמאות חזקות בחשבונות ה-Admin, שכן הכופרה תוקפת בעיקר מוצרים בעלי סיסמאות חלשות.
-
הפעלת אפשרות ה-IP Access Protection לשם להתגוננות מפני תקיפות Brute force.
-
הימנעות משימוש במספרי ברירת מחדל של פורטים, כגון 443 ו-8080.
ארגון הבריאות האירי תחת מתקפת כופרה. רופא מבית חולים: ״התקיפות עלולות לעלות בחיי אדם״
בעקבות המתקפה נאלץ בית חולים בדבלין, השייך לרשת בתי החולים האירית HSE, לנתק את מערכותיו מהרשת, זאת על מנת למנוע מהכופרה להתפשט. בבית החולים עדיין עומלים להערכת מלוא הנזק והיקפו, אך כבר בשלב זה ידוע כי המתקפה השפיעה הן על רשתות ה-IT המקומיות של HSE והן על אלה הלאומיות. מנכ״ל HSE מסר כי המתקפה הייתה כוללת ומתוחכמת, ואילו הרופא אשר טען שהמצב סיכן ממשית חיי מטופלים אמר גם שבעקבות השבתת המערכות אין לרופאים יכולת לעקוב אחרי מצב המטופלים והטיפול שכבר קבלו או לראות את גיליונותיהם הרפואיים. עוד הוסיף כי למרות המאמצים המתבצעים להפריד בין חלקי הרשת הנגועים לאלה שאינם, המערכות טרם שבו לפעולה ובבית החולים שורר תוהו ובוהו. למרות שהמוסד הרפואי עודד את המטופלים להמשיך ולהגיע לתורים שנקבעו עבורם, בפועל נאלץ בית החולים לבטל מאות תורים בשל ההפרעות הרבות בשרתים.
ענקית הביטוח הגלובלית AXA נפגעה ממתקפת כופר
חברי קבוצת התקיפה Avaddon פרסמו השבוע כי הפגיעה בשרתיה של AXA הביאה למניעת מתן שירות, וכי עלה בידיהם לייצא מן המערכות שהותקפו כ-3TB של מידע אודות מבוטחים, הכוללים לטענתם מידע אישי מזהה (PII), כגון צילומים של תעודות זהות, מסמכים בנקאיים, רישומים רפואיים ועוד. באופן מקרי (או שאינו מקרי כלל), התקיפה התבצעה כשבוע לאחר ש-AXA הודיעה כי כספי הפיצויים שתשלם למבוטחיה בעקבות נזקי סייבר לא יכללו פיצוי עבור תשלומי כופר שהועברו לקבוצות תקיפה.
סקירה מיוחד - סייבר במבצע "שומר החומות"
14.5.21:
צה״ל תקף מחסן של חמאס בו אוחסן ציוד סייבר ומודיעין צבאי
בהמשך לפעילותו השוטפת של צה״ל להגברת השליטה ברצועה תוך פגיעה בתשתיות חמאס, בתחילת השבוע תקפו מטוסי קרב את המחסן, ששכן בצפון הרצועה.
זוהתה מתקפת סייבר מתמשכת על הנכסים הדיגיטליים של כאן
המתקפה מאופיינת בניסיונות לייצר עומס על השרתים. צוות הנדסה וטכנולוגיות של התאגיד זיהה את מקור המתקפה בשרתים מגרמניה שככל הנראה נפרצו ובשעה האחרונה הצטרפו כתובות IP נוספות למתקפה. במטרה לעצור את הבליץ הופעלה הגנת חירום על הנכסים הדיגיטליים (כולל אתר מכאן ואתר החינוכית) ונחסמה גישה לאתר וליישומון של משתמשים מחו"ל.
השתלטות ישראלית על חשבון הטוויטר של סוכנות הידיעות ״שיהאב״
ההשתלטות בוצעה על ידי גורם ישראלי לא ידוע, שהעלה לחשבון ציוץ בערבית אודות המבוקשים שישראל מחפשת ברצועת עזה.
עשרות אתרי אינטרנט ישראליים נפרצו
הפריצה, שהתרחשה במקביל ללחימה בשטח, בוצעה על ידי האקרים פרו-פלשתינים, אשר החליפו את עמודי הבית של האתרים שנתקפו בכיתוב "Free Palestine". בין האתרים שנפלו קורבן לתקיפה הם אלה ש אוניברסיטת בן גוריון ושל מועדון ה״צוותא״, כאשר ההאקרים סורקים אחר חולשות באתרים עם סיומת ישראלית (il.) ומנצלים אותן לצורך השחתה.
אנו ממליצים לבעלי אתרים ישראליים לבדוק אם קיימות בהם חולשות, ואם כן - לסגור אותן בהקדם.
פיקוד העורף: מופץ מידע שקרי בנוגע להנחיותינו
בימים האחרונים, בהם מתנהל מבצע ״שומר החומות״, פורסמה ב-WhatsApp הודעה כוזבת בנוגע לתוכנית פינוי למלונית. פיקוד העורף מדגיש כי יש להתייחס אך ורק לפרסומים מטעמו המופיעים בערוצי התקשורת הרשמיים, קרי עמודים רשמיים ברשתות החברתיות ופורטל החירום הלאומי.
18.5.21
צה"ל והשב"כ סיכלו שלושה פעילי חמאס בדירה ששימשה את מערך הסייבר של הארגון
הסיכול התבצע במהלך ליל ה-18, באמצעות תקיפה אווירית של מטוסי קרב. הפצצת דירת המסתור העזתית, אשר שימשה את ארגון החמאס לביצוע פעילות סייבר התקפית נגד יעדים ישראליים, הינה חלק מעשרות פעילויות מבצעיות של כוחות הביטחון הישראליים כנגד מערך הסייבר של ארגון הטרור.
(מקור: דובר צה״ל ודוברות השב״כ)
סייבר בעולם
ה-NIST מפרסם טכניקות וטיפים להתמודדות עם מתקפת כופר
פרסום המכון הלאומי לתקנים וטכנולוגיה של ארה״ב מגיע על רקע העלייה המשמעותית שנרשמה בשנה האחרונה בתקיפות כופרה של ארגונים, ומטרתו לסייע בהגברת החסינות מפני אירועים מסוג זה. בין ההמלצות: שימוש רציף בתוכנות אנטי-וירוס בכלל מחשבי הארגון, שמירת כל השרתים והמחשבים מעודכנים תדיר, איסור על שימוש במכשירים אישיים בסביבת העבודה ואכיפתו של איסור זה, והטמעת תוכנית התאוששות ושחזור/גיבוי במקרה של אסון.
ה-FBI מדווח על עלייה של יותר מ-100% בתלונות על תקיפות סייבר
מאז שנת 2000, עת החלו בתיעוד התלונות בתחום הסייבר, לקח 7 שנים עד שנרשמה התלונה המיליון. מאז, מתקבלות כמיליון תלונות כל 30 חודשים, בממוצע. אלא שהנתון המרעיש באמת, אשר פורסם השבוע על ידי ה-FBI, מלמד אודות תקופת הקורונה: מאז מרץ 2020, במהלכו נרשם הדיווח ה-5 מיליון מאז הוקמה היחידה לטיפול בתלונות, התקבלו כמיליון תלונות של אזרחים ועסקים אודות פגיעות סייבר שחוו. מרבית האירועים המדווחים הם אירועי פישינג, ניסיונות סחיטה והונאות משלוחים או חובות תשלום.
סייבר ופרטיות - רגולציה ותקינה
הצו הנשיאותי של הבית הלבן בנושא הגנת סייבר: המשך שיח המומחים
השבוע המשיכו ניתוחי המומחים בארה״ב ובעולם של הצו הנשיאותי החדש שפרסם ב-12 במאי נשיא ארה״ב ג׳ו ביידן, צו אשר נועד להגברה של רמת הגנת הסייבר על מערכות פדרליות בארה"ב (ראו "הסייבר" מיום ה-13.5). בין השאר, המומחים מציינים את החידוש שבהקמת מועצה לפיקוח על הגנת סייבר (Cyber Safety Review Board), בדומה לגוף שכבר קיים בארה״ב לפיקוח על הבטיחות בדרכים, ה-National Transportation Safety Board . בין הביקורות הנמתחות על הצו נטען כי הוא אינו דורש ניטור קבוע של סיכוני סייבר של תשתיות קריטיות או שיתוף רציף של מידע הרלוונטי לסיכוני סייבר. לחצו כאן לקריאת ניתוח של הבלוג Lawfare, הכולל מספר היבטים של הצו.
לקראת אישור: טיוטת התקן ISO/SAE 21434 להגנת סייבר של רכבים
ארגון התקינה הבינלאומי (ISO) אישר את הנוסח הראשוני של התקן 21434, אותו פיתח ביחד עם ארגון התקנים SAE International. התקן החדש קובע דרישות לניהול סיכוני סייבר לרכבים, ומתייחס לחלקים שונים ברכבים ובממשקים הדיגיטליים שלהם עם כבישים חכמים, רכבים אחרים בכביש ועוד. סיכוני הסייבר לרכבים הם כבר עניין ממשי: הנציבות הכלכלית של האו"ם למען אירופה (UNECE) מעריכה כי קרוב ל-100 מיליון שורות קוד קיימות כיום בתוכנות התפעוליות של רכבים, ומספר זה צפוי לשלש עצמו עד 2030. התקן 21434, המתמקד בבטיחותו של הנהג ושל הנוסעים ברכב, ישמש בסיס ליצרני רכב ולספקי חלקים לתעשייה לקידום הניהול היעיל של סיכוני סייבר ברכבים. הנוסח הסופי של התקן יפורסם בהמשך, לאחר שיתקבלו הערות ממזכירות ה-ISO.
בית המשפט הגבוה באירלנד מתיר להמשיך בבחינת העברת מידע אישי אל מחוץ לאיחוד האירופי על ידי פייסבוק
ב-14 במאי דחה בית המשפט את ערעורה של חברת פייסבוק נגד הרשות האירית להגנת הפרטיות (ה-Data Protection Commission) ועו"ד מקס שרמס. הערעור הוגש בעקבות חקירה שפתחה ה-DPC על בסיס פסק דין של בית המשפט לצדק של האיחוד האירופי ("שרמס 2") ביולי 2020. ההליך הנוכחי היה אמנם פרוצדורלי באופיו, אך משמעות ההחלטה היא קביעת מועד סופי, עד 21 ימים מיום מתן ההחלטה של בית המשפט, למענה של חברת פייסבוק להחלטת ה-DPC בענין העברת מידע אישי מאירלנד לארה"ב ולמדינות נוספות. בתגובה להחלטה שהתקבלה השבוע, אמר נציג מטעם לשכת המסחר של ארה"ב באירלנד כי פסק הדין "...מראה את החשיבות של מציאת תחליף [להסדר ה-Privacy Shield] בין ארה"ב לאיחוד האירופי, שבוטל בבתי המשפט האירופיים [...] חשוב ביותר שגם האיחוד האירופי וגם ארה"ב יתעדפו את המשא ומתן להסדר חדש שייצור מסגרת אשר תגן על זכויות פרטיות המידע ותאפשר לעסקים ודאות בהעברות הנתונים הבינלאומיות שלהם."
יפן מקדמת רגולציית סייבר משודרגת בתחום התשתיות הקריטיות
היוזמה החדשה של הממשלה תחול על 14 מגזרים של תשתיות קריטיות במדינה ותחייב עלייה ברמת הגנת הסייבר עליהם. רגולציה זו מגיעה על רקע דיווחים אודות מתקפות סייבר המכוונות בחודשים האחרונים כלפי תשתיות קריטיות ביפן . בין היתר, הכללים החדשים יקדמו מגבלות על רכישת ציוד המיוצר מחוץ ליפן ויתירו פיקוח על השימוש בשירותי ענן ובשירותים אחרים המאפשרים אחסון מידע מחוץ ליפן. נכון לעכשיו, הפיקוח על תשתיות קריטיות במדינה אינו מאפשר לרגולטורים המגזריים לבחון שיקולים של ביטחון לאומי, לרבות הגנת סייבר, כאשר בעלי התשתיות משדרגים את מערכותיהם.
מועצת האיחוד האירופי האריכה את תוקפה של מערכת הסנקציות שהוטלה על האקרים
ההחלטה שקיבלה המועצה ב-17 במאי מאפשרת לה להמשיך בהסדר הסנקציות המוטלות על גורמים המבצעים תקיפות סייבר משמעותיות נגד מדינות האיחוד. ההחלטה המקורית, שהתקבלה במאי 2019, מאפשרת להקפיא נכסים השייכים לאותם גורמים עוינים ולהטיל עליהם איסורי נסיעה. הסנקציות חלות כיום על 4 קבוצות ו-8 אנשים פרטיים, בהם הקבוצות שביצעו את מתקפות ה-WannaCry, ה-NotPetya וה-Cloud Hopper. על כמה מן הגורמים הללו הוטלו הסנקציות באוקטובר 2020, בגין חלקם בתקיפת הפרלמנט הגרמני.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, קונסטנטין חולביצקי, רחל נועה ביניאשוילי, אלמה תורג'מן וגיא פינקלשטיין.