דו״ח סייבר שבועי
עדכון שבועי 04.03.2021
עיקרי הדברים
-
האקרים סיניים תקפו חברות אמריקראיות באמצעות חולשות Zero Day בשרתי Exchange.
-
מתקפות כופרה בולטות: יצרנית היאכטות והסירות Beneteau, משרד הכלכלה ועל הבנק המרכזי של אקוודור, חברת PrismHR.
-
ה-NSA פרסמה מדריך ליישום אבטחת Zero Trust
-
אחרי קליפורניה: וירג׳יניה היא המדינה השנייה בארה״ב לחוקק חוק הגנת מידע
-
אנו ממליצים לעדכן את המערכות הבאות: שרתי Microsoft Exchange, דפדפן גוגל כרום ומוצרי Netgear.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה למוצרי התקשורת של חברת NETGEAR
Google מפרסמת עדכון ל-Chrome for Desktop
עדכון אבטחה קריטי לשרתי Exchange
התקפות ואיומים
תוספים זדוניים ל-Firefox מאפשרים חדירה לחשבונות Gmail
2021: החולשה הקריטית Spectre עוד איתנו
ענקית מוצרי החלב הצרפתית Lactalis תחת מתקפת סייבר
יצרנית היאכטות והסירות Beneteau נופלת קורבן למתקפת סייבר
Oxfam Australia אישר כי חווה פירצת אבטחה
דליפת מידע בת 9 שנים התגלתה ב-Malaysia Airlines
סייבר בעולם
ה-NSA פרסמה מדריך ליישום אבטחת Zero Trust
סייבר ופרטיות - רגולציה ותקינה
ג"צ החליט לצמצם את שימוש השב"כ בכלים אלקטרוניים לאיתור חולי קורונה
הנשיא ביידן פרסם צו נשיאותי בעניין ההגנה על שרשראות אספקה שהינן קריטיות לכלכלה ולביטחון הלאומי
אחרי קליפורניה: וירג׳יניה היא המדינה השנייה בארה״ב לחוקק חוק הגנת מידע
השבוע בכופרה
מתקפת כופרה על משרד הכלכלה ועל הבנק המרכזי של אקוודור
PrismHR מושבתת, חשד למתקפת כופר
דליפת מידע מחברת ה-e-ticketing ההולנדית Ticketcounter
כנסים
הציטוט השבועי
״בעשרה ימי השבתה של עשרות חברות גדולות - הנזק הישיר בלבד מוערך בכ-1.6 מיליארד שקל..״
מערך הסייבר הלאומי בתרחיש "מכת בכורות" שיפגע במשק הישראלי
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה למוצרי התקשורת של חברת NETGEAR
העדכון, הרלוונטי למספר רב של נתבים, מגדילי טווח ומשדרים מתוצרת החברה, פותר מספר חולשות אשר טרם פורסמו, חרף העובדה שכבר הוקצה להן מספר CVE. מ-NETGEAR נמסר כי ציוני ה-CVSS שיקבלו החולשות ינוע בין6.3 ל-8.8 (רמת חומרה בינונית עד גבוהה).
אנו ממליצים למי שברשותו מוצר המופיע ברשימת המכשירים המפורטת כאן, לעדכנו בהקדם לגרסתו האחרונה.
Google מפרסמת עדכון ל-Chrome for Desktop
העדכון האחרון, 89.0.4389.72, רלוונטי לכלל מערכות ההפעלה, ונותן מענה ל-47 חולשות אבטחה, חלקן חולשות Zero-day בדרגת חומרה גבוהה. ניצול מוצלח של חולשות אלה עלול להוביל להשתלטות מרוחקת של תוקף על מחשב הקורבן.
אנו ממליצים לבעלי המוצר לעדכנו בהקדם לגרסתו האחרונה.
עדכון אבטחה קריטי לשרתי Exchange
ב-2 במרץ פרסמה Microsoft עדכוני אבטחה קריטיים לשרתי Exchange, אשר נותנים מענה לפגיעויות Zero-day המנוצלות בפועל על ידי קבוצות תקיפה, כמו גם לחולשות אבטחה נוספות, החמורה שבהן (CVE-2021-26855) קיבלה את הציון CVSS 9.1. העדכונים רלוונטים לכל גרסאות שרתי ה-Exchange.
אנו ממליצים לבעלי המוצר להתקין את העדכונים בהקדם.
התקפות ואיומים
תוספים זדוניים ל-Firefox מאפשרים חדירה לחשבונות Gmail
קבוצת APT המקושרת לסין טירגטה מספר ארגונים טיבטיים, כשהפיצה להם תוסף זדוני של Firefox המכונה FriarFox, ואשר נוצר לשם פריצה לחשבונות Gmail. עוד אותרה במסגרת הקמפיין נוזקה בשם ScanBox, שנועדה לאיסוף מידע רב ממחשבי קורבנות, כמו גם לתיעוד הקלדות (Keylogging). הקמפיין זוהה על ידי צוות החקירה של חברת Proofpoint, ונראה כי הוא פעיל כבר מ-2014.
2021: החולשה הקריטית Spectre עוד איתנו
כך הודיע מגזין אבטחת המידע BleepingComputer, לאחר שהחוקר Juilien Voisin זיהה ב-VirusTotal דוגמאות של החולשה, שנתגלתה לראשונה בינואר 2018. Spectre קיימת במספר רב של מעבדים מתוצרת Intel, AMD ו-ARM ובמערכות הפעלה שונות, בהן Windows, Linux, Chrome OS ואפילו Android, וניתן לנצלה לגניבת מידע רגיש, כגון סיסמאות, מסמכים וכל מידע אחר המצוי בזיכרון המערכת. עוד יכולים תוקפים לנצל את החולשה לגניבת מידע שיאפשר להם גישה למשתמשים בעלי הרשאות גבוהות יותר ברשת.
אנו ממליצים לבעלי מחשבים המבוססים על מעבדים אלה לבצע עדכון למערכת הפעלה.
ענקית מוצרי החלב הצרפתית Lactalis תחת מתקפת סייבר
החברה, אשר פרוסה ב-51 מדינות ברחבי העולם ומייצאת את מוצריה ליותר מ-100 מדינות, פרסמה הצהרה לעיתונות בה נמסר כי המתקפה בוצעה לאחר חדירה של גורם בלתי ידוע לשרתיה, וכי רק מספר מצומצם של מחשבים נפגעו. עוד נאמר כי עם זיהוי התקיפה ננקטה פעולה מהירה לצורך הכלתה ובלימתה. לדברי Lactalis, בשלב זה לא נראה כי התרחשה דליפת מידע.
יצרנית היאכטות והסירות Beneteau נופלת קורבן למתקפת סייבר
על פי הצהרת החברה, הנוזקה שיבשה את פעילותן של מספר מערכות ובכך גרמה להאטה ואף לעצירה בקו הייצור משך מספר ימים. ואולם, הארגון החזיק בגיבויים עדכניים, שאפשרו לו לשוב בהדרגתיות לשגרה, באופן מהיר יחסית. נכון לשעה זו, לצורך הבנה כוללת של המתקפה מבצעת החברה חקירה מעמיקה בשרתיה. בתוך כך, המתקפה הביאה לירידה של 2.1% בערך מניית החברה.
Oxfam Australia אישר כי חווה פירצת אבטחה
ארגון הצדקה, הפועל למיגור העוני באוסטרליה ובעולם, פתח בחודש פברואר בחקירה, לאחר שמגזין אבטחת המידע BleepingComputer הביא לידיו דיווח לפיו גורם המהווה איום פרסם למכירה בפורום האקינג מידע אודות התורמים לארגון, אשר כלל שמות, כתובות פרטיות, כתובות מייל וסכומי תרומות. הארגון פתח בחקירה עצמאית בנושא, אשר בסיומה אישר ב-2 במרץ כי חווה פריצה למסד הנתונים שלו, אשר הסתכמה בגניבת מידע אודות 1.7 מיליון תורמים. זאת ועוד, מן החקירה עלה החשד לפיו נגנב מידע אודות חשבונות הבנק של כמה תורמים. לדברי הארגון, לא נפרצו סיסמאות של משתמשים, ואולם BleepingComputer ממליץ לתורמי הארגון להחליפן בכל זאת. חקירת האירוע נמשכת גם בשעה זו.
דליפת מידע בת 9 שנים התגלתה ב-Malaysia Airlines
אתר החדשות המלזי Malay Mail פרסם לראשונה כי בין השנים 2010 ל-2019 דלפו פרטים אישיים של משתתפי תוכנית הנוסע המתמיד של החברה, אשר כללו שמות פרטיים, פרטי התקשרות, תאריכי לידה, מין ומספרי חבר. לדברי Malaysia Airlines, הפירצה התרחשה בשרתיו של ספק צד ג׳ אשר העניק לה שירותי IT, בעוד שתשתיות ה-IT של חברת התעופה עצמה לא נפגעו כלל. עוד הבהירה החברה כי לא נחשפו במהלך התקיפה כל פרטי אשראי או סיסמאות של לקוחותיה, אך חרף כך החליטה לנקוט במשנה זהירות והמליצה לנפגעי התקיפה להחליף את סיסמאותיהם. לטענת מגזין אבטחת המידע BleepingComputer, ניסיון לקבל את תגובת החברה לשאלות נוספות לא קיבל מענה.
סייבר בעולם
ה-NSA פרסמה מדריך ליישום אבטחת Zero Trust
מודל ה-Zero Trust מבוסס על העיקרון לפיו חדירות לרשתות ארגוניות הן בלתי נמנעות, וייתכן וכבר התרחשו. המדריך החדש מטעם הסוכנות הלאומית להגנה בארה״ב כולל מידע והמלצות כיצד להטמיע Zero Trust בתוך רשת הארגון.
אנו ממליצים למנהלי אבטחת מידע ו-IT לעיין במסמך.
סייבר ופרטיות - רגולציה ותקינה
בג"צ החליט לצמצם את שימוש השב"כ בכלים אלקטרוניים לאיתור חולי קורונה
בהחלטתו השבוע קבע בג״צ כי יש לצמצם ל"מינימום הכרחי בלבד" את השימוש באיכון טלפונים ניידים פרטיים, אשר הוסדר בחוק הסמכת השב"כ (חוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש וקידום השימוש בטכנולוגיה אזרחית לאיתור מי שהיו במגע קרוב עם חולים (הוראת שעה), התש"ף-2020) ויושם במהלך תקופת הקורונה בישראל, חרף ביקורת ציבורית ומספר חוות דעת של הרשות להגנת הפרטיות על אופן יישומו. נשיאת בית המשפט, כבוד השופטת אסתר חיות, קבעה כעת כי "נוכח חלוף הזמן, ונוכח ההכרה כי החיים לצד הנגיף דורשים את ׳נרמולו׳ של מצב החירום, יש לחתור ללא לאות ולעשות כל שנדרש כדי להפסיק (ולמצער לצמצם למינימום הכרחי בלבד) את הצורך להסתייע בגוף הביטחון המסכל של המדינה בתחומים שאינם בליבת עיסוקו."
הנשיא ביידן פרסם צו נשיאותי בעניין ההגנה על שרשראות אספקה שהינן קריטיות לכלכלה ולביטחון הלאומי
הצו הנשיאותי שפרסם הבית הלבן בסוף פברואר משיק שני תהליכים מקיפים לבחינת שרשראות אספקה קריטיות במספר תחומי ליבה בארה"ב. בתהליך הראשון, שיימשך 100 ימים מיום פרסום הצו, יטפל בשרשרת האספקה של ייצור שבבים אלקטרוניים, בעוד התהליך השני, שיתפרס על פני שנה שלמה, יעסוק בבחינת שרשראות האספקה בתחומים כגון טכנולוגיות מידע, תוכנות ושירותים נלווים לאלה. מטרת הצו היא לחייב רשויות פדרליות ואחרות לזהות בשרשראות אספקה חשיפות קיימות ופוטנציאליות, שמקורן בסיכונים אסטרטגיים שונים, בהם סיכוני סייבר. אחד הגורמים ששימשו טריגר לפרסום הוא המחסור הנוכחי בשבבים איכותיים בארה"ב, כמו גם החולשות הקיימות בתעשיית השבבים במדינה.
אחרי קליפורניה: וירג׳יניה היא המדינה השנייה בארה״ב לחוקק חוק הגנת מידע
ב-2 במרץ חוקקה וירג׳יניה את ה-Customer Data Protection Act 2021, חוק הגנת הפרטיות של מידע אישי המתייחס לסוגיה בהיקף משמעותי, כשמקדימה אותה רק קליפורניה עם ה-California Consumer Privacy Act, אשר נכנס לתוקף בתחילת 2020. החוק החדש, אשר תוקפו יחל ב-1/1/2023, קובע הסדרה מקיפה של זכויות נושאי מידע במדינה, אך הוא שונה במספר היבטים מהחוק הקליפורני ומה-GDPR של האיחוד האירופי, וכולל כמה פטורים מחובות לארגונים מסוימים, בהם מוסדות פיננסיים הכפופים ל-GLBA וגופים ומידע הכפופים ל-HIPAA ולשותפים עסקיים. עוד כולל החוק מספר פטורים ספציפיים אך מהותיים, בהם פטור בכל הנוגע לעיבוד מידע אישי בתחום משאבי האנוש.
השבוע בכופרה
מתקפת כופרה על משרד הכלכלה ועל הבנק המרכזי של אקוודור
לתקיפה הנרחבת שהתרחשה השבוע במדינה אחראית כנופיית ההאקרים המכונה Hotarus Corp. התקיפה החלה מהמשרד הממשלתי, באמצעות תוכנת כופרה מבוססת php שנועדה להצפנת האתר דרכו מעביר הארגון קורסים מקוונים. זמן קצר לאחר מכן פרסמו התוקפים רשימה ובה 6632 פרטי התחברות של משתמשים, כולל סיסמאות Hash. לדברי חוקר האבטחה חרמן פרננדס, הנוזקה בה נעשה שימוש היא Ronggolawe או AwesomeWare. בהמשך האירוע הודיעו התוקפים למגזין אבטחת המידע BleepingComputer כי בידיהם מידע רגיש השייך למשרד הכלכלה, לרבות פרטים על עובדים, מיילים וחוזים. לאחר מכן המשיכה הקבוצה בווקטור התקיפה, ופרצה אל ה-Banco Pichincha, הבנק הגדול באקוודור. למרות שדוברים מטעם הבנק אישרו כי אירעה תקיפה, הם הדגישו שזו בוצעה נגד ספק שירות חיצוני ולא פגעה במערכות הפנימיות של הבנק. אי לכך, נמסר, כי לא נשקפת סכנה לפרטים רגישים או לחשבונות של לקוחות. עוד צוין כי שיטת התקיפה התבססה על פישינג שכוון נגד לקוחות הבנק, במטרה לדלות מהם פרטים אישיים לצורך ביצוע העברות כספים. מאידך, לפי גרסת התוקפים עלה בידיהם לחדור למערכות הבנק ולאתר בהן פגיעויות רבות באפליקציות שונות ובפורטים של FTP ו-RDP, מה שסייע להם, לטענתם, להעלות הרשאות מערכת. עוד טענו התוקפים כי בידיהם 31,636,026 רשומות של לקוחות ו-58,456 רשומות בעלות אופי רגיש, הכוללות פרטי אשראי, ואולם מ-BleepingComputer נמסר כי אין אימות לטענות התוקפים בדבר השגת המידע הרגיש מהבנק וממשרד הכלכלה.
PrismHR מושבתת, חשד למתקפת כופר
בפרסום של מגזין אבטחת המידע BleepingComputer נמסר כי על פי ניתוח פורנזי, ההתקפה על החברה - המספקת שירותים דיגיטליים להנפקת משכורות לכ-80 אלף ארגונים ברחבי העולם - התרחשה, ככל הנראה, ביום ראשון האחרון, והובילה למניעת גישה של לקוחות לפורטלים הרלוונטיים להם. החברה הודיעה כי היא פועלת לשחזור מערכותיה ממרכז גיבויים שהוכן מראש לצרכי התאוששות, והבטיחה שמידע השייך ללקוחותיה לא ידלוף כתוצאה מההתקפה.
דליפת מידע מחברת ה-e-ticketing ההולנדית Ticketcounter
באירוע שחוותה הפלטפורמה, המאפשרת רכישה אונליין של כרטיסים לאטרקציות ולאירועים שונים, דלף מאגר המשתמשים של החברה, הכולל מידע של כ-1.9 מיליון משתמשים. לאחר שהמאגר פורסם החליט התוקף להסירו מהרשת, במה שהיה נדמה תחילה כפעולה שננקטה בשל חששו של התוקף מרשויות החוק, ואולם מאוחר יותר מסר האחרון למגזין אבטחת המידע BleepingComputer כי ההסרה בוצעה לאחר שמכר את המאגר לאדם פרטי. מדגימות המידע הכלול במאגר, נראה כי הודלפו שמות מלאים, כתובות מייל, מספרי טלפון, כתובות IP ו-Hash של סיסמאות. ממנכ״ל Ticketcounter נמסר ל-BleepingComputer כי הדליפה אירעה במסגרת בדיקה שביצעה החברה, במהלכה העתיקה את המאגר לשרת ב-Microsoft Azure, אשר לא היה מאובטח כראוי ואיפשר לתוקף להוריד ממנו את הנתונים. זמן קצר לאחר מכירת המאגר פנה התוקף לחברה בדרישה לתשלום בגובה 7 מטבעות ביטקוין (כ-337 אלף דולר) בתמורה לאי-הדלפת המידע, ואף איים כי ייצור קשר עם כל השותפים ולקוחות החברה, על מנת ליידע אותם על הדליפה. חברת ה-e-ticketing בחרה מצדה להקדים אותו, ויצרה קשר עם כל אחד מלקוחותיה בעצמה. לקוחות החברה אשר מבקשים לבדוק אם פרטיהם דלפו, יכולים לעשות זאת באתר Have I Been Pwned.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, קונסטנטין חולביצקי, רז גלילי, רחל נועה ביניאשוילי וגיא פינקלשטיין.