דו״ח סייבר שבועי
עדכון שבועי 05.08.2021
עיקרי הדברים
-
פרטים חדשים על תקיפת הסייבר של הרכבות באיראן מ-SentinelOne.
-
איטליה: גל תקיפות במחוז לאציו - הושבתו תשתיות IT לקבלת חיסונים לנגיף הקורונה.
-
משמר החופים האמריקאי מפרסם אסטרטגיה להתמודדות עם איומי סייבר במגזר הימי.
-
קבוצת הכופרה DarkSide שתקפה את קו צינור הנפט Colonial חוזרת, ובגדול.
-
אני ממליצים לעדכן את המוצרים הבאים: *במוצרי Cisco VPN Routers (קריטי); פגיעויות שונות ב-TCP/IP Stack בשם NicheStack (קריטי); דפדפן Google Chrome (גבוה); מערכות Jira;*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה למערכות מבית Jira
עדכוני אבטחה ל-Google Chrome
חולשות קריטיות במוצרי Cisco VPN Routers לעסקים קטנים ובינוניים
התגלו חולשות TCP/IP Stack המשפיעות על מגוון מוצרי OT
התקפות ואיומים
8 חבילות Open-source המכילות נוזקות נמצאו בפלטפורמת PyPI
גורמים שהשתמשו בחולשות שגילתה קבוצת התקיפה Hafnium, ריגלו אחר אנשי וחברות מפתח ברחבי העולם
SentinelOne פרסמה פרטים חדשים על תקיפת הסייבר של הרכבות באיראן
תוקפי ה-SolarWinds פרצו לחשבונות מייל ״365״ של עובדים ב-27 משרדי עו"ד
השבוע בכופרה
קבוצת הכופרה DarkSide חוזרת, ובגדול
איטליה: גל תקיפות במחוז לאציו - הושבתו תשתיות IT לקבלת חיסונים לנגיף הקורונה
קבוצת תקיפה איראנית גנבה מידע רגיש באמצעות נוזקה מעובדי קבלן בתעשיית החלל האמריקאית
סייבר בעולם
מסמך משותף למספר סוכנויות אבטחה ברחבי העולם: אלה החולשות המנוצלות ביותר על ידי תוקפים
האקר אסטוני גנב 286,000 תמונות של אנשים ממאגר מידע ממשלתי והעלה אותן לרשת
ה-CISA מפרסמת פלטפורמה לדיווח על חולשות
ה-CISA וה-NSA מפרסמות המלצות לחיזוק הגנתן של מערכת Kubernetes
סייבר ופרטיות - רגולציה ותקינה
דוח מבקר המדינה: ישראל מפגרת ביישום "מדיניות פעם אחת" לתגבור החיבור הדיגיטלי בין אזרחים לממשל
ה-NSA מפרסמת הנחיות לשימוש מאובטח ברשתות אלחוטיות ציבוריות
משמר החופים האמריקאי מפרסם אסטרטגיה להתמודדות עם איומי סייבר במגזר הימי
רוסיה מקדמת אמנה בינלאומית נגד פשע מקוון באו"ם: הרחבה של אמנת בודפשט משנת 2001
הנציבות האירופית מפרסמת מדד של תקשורת אלקטרונית במדינות האיחוד
כנסים
הציטוט השבועי
״אירועי החמש השנים האחרונות, כולל תקיפה של רשתות והוצאת מידע של משמר החופים האמריקאי, ההתקפות על תשתיות קריטיות ימיות, ומאמצים של יריביים לערער את התהליכים הדמוקרטיים שלנו - לא רק על ידי ניצול רשתות, אלא על ידי מבצעי מידע - מחזקים את זה שמרחב הסייבר. הוא תחום תחרותי״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
העדכון שפרסמה השבוע החברה רלוונטי למוצרי ה-Atlassian Jira Server וה-Atlassian Jira Data Center ונותן מענה לחולשה (CVE-2017-18113, CVSS 8.3) המאפשרת הרצת קוד מרחוק על התחנה הנתקפת, בהרשאות אדמין.
אנו ממליצים לבעלי המוצרים לעקוב אחר הוראות המיטיגציה שפרסמה Jira.
העדכון שפורסם נותן מענה ל-10 חולשות שקיבלו ציוני CVSS גבוהים ובינוניים, ועלולות לאפשר לתוקף להשתלט על מערכת פגיעה ולבצע בה פעולות זדוניות. העדכון רלוונטי למערכות ההפעלה Windows, Linux ו-Mac.
אנו ממליצים לכל משתמשי המוצר לעדכנו לגרסתו האחרונה - 92.0.4515.131.
חולשות קריטיות במוצרי Cisco VPN Routers לעסקים קטנים ובינוניים
חברת התקשורת אישרה השבוע את קיומן של 2 חולשות קריטיות (CVE-2021-1609, CVSS 9.8; CVE-2021-1602, CVSS 8.2) המאפשרות הרצת קוד מרחוק והתקפת מניעת שירות. החולשות רלוונטיות למוצרים הבאים:
CVE-2021-1609: RV340, RV340W, RV345 & RV345P Dual WAN Gigabit VPN routers
CVE-2021-1602: RV160, RV160W, RV260, RV260P & RV260W VPN routers
עד כה לא פרסמה החברה עדכון הנותן מענה לחולשות, אך בינתיים ניתן להתמגן מפניהן על ידי ביטול האפשרות לשליטה במוצרים מרחוק.
התגלו חולשות TCP/IP Stack המשפיעות על מגוון מוצרי OT
החולשות אותרו בתוכנת ה-NicheStack על ידי חוקרים מהחברות Forescout ו-JFrog. התוכנה כלולה ברכיבי OT רבים, בהם גם בקרי S7 של Siemens, ומוצרים של יצרניות רבות, בהן Mitsubishi Electric ו-Emerson, עושים בה שימוש. מבין 14 חולשות שזוהו, 2 הן ברמת חומרה גבוהה ועלולות לאפשר לתוקף להריץ קוד זדוני מרחוק ללא צורך בהזדהות. יש לציין כי החולשות אינן קיימות בכל המוצרים המשתמשים ב-NicheStack, וכי חלקן מחייבות גישה לציוד בפורטים ספציפיים על מנת שיהיה ניתן לנצלן. מערך הסייבר הישראלי פרסם המלצות להתגוננות מפני החולשות, כגון הגבלת תעבורה לרכיבי ציוד פגיעים, התקנת עדכוני תוכנה למוצרים, במידה וקיימים כאלה, שימוש ב- VPN ועוד. את כל ההמלצות ניתן למצוא באתר המערך.
התקפות ואיומים
8 חבילות Open-source המכילות נוזקות נמצאו בפלטפורמת PyPI
הנוזקות, שזוהו על ידי חוקרי אבטחת מידע מחברת JFrog, מאפשרות גניבת פרטי הזדהות ו/או הרצת קוד מרחוק, והן הורדו לפחות 30,000 פעמים, כך על סמך אינפורמציה מפלטפורמת pepy.tech, המספקת נתונים אודות החבילות ב-PyPl. בחבילות הנגועות ניתן למצוא את חלקי הקוד האחראיים לביצוע התקיפה, חלקם מצויים ב-Cleartext ואחרים מוסווים ב-Base64, על מנת שלא לאפשר לקורא ה״פשוט״ להבין את מהות הקוד.
גורמים שהשתמשו בחולשות שגילתה קבוצת התקיפה Hafnium, ריגלו אחר אנשי וחברות מפתח ברחבי העולם
חברת הגנת הסייבר Cybereason, אשר חקרה אם גורמים נוספים ממנפים את וקטורי התקיפה בהם השתמשה הכנופייה לתקיפות של שרתי Microsoft Exchange, מצאה כי שלוש קבוצות שונות, שמקורן ככל הנראה בסין, השתמשו בחולשות לצורכי ריגול, על ידי שהשיגו גישה לספקיות סלולר בדרום מזרח אסיה ואספו מידע רגיש אודות אנשים ידועים (פוליטיקאים, פקידי ממשל ופעילים פוליטיים) ומבני רשת של ארגונים נבחרים. קבוצות אלה פועלות מתחת לרדאר החל מ-2017, ולמרות שנצפתה חפיפה בין חלק מהאנשים והקבוצות אחריהם הן עוקבות, לא ידוע אם פעולתן עצמאית או מאוגדת תחת גורם אחד. ההערכה היא כי הקבוצות פועלות בשם אינטרס ממשלתי.
SentinelOne פרסמה פרטים חדשים על תקיפת הסייבר של הרכבות באיראן
אירועי ה-MeteorExpress שהתרחשו ב-9 ביולי, במהלכם שיתקה מתקפת סייבר את מערך הרכבות במדינה, נועדו להשחית לחלוטין את מערכת הקורבן באופן שלא יוכל לשחזרה בקלות, כל זאת באמצעות שימוש במוחקן (Wiper) למחיקת העמדה מניהול הדומיין ולמחיקה של Shadow copies. מהדוח שפרסמה חברת הגנת הסייבר SentinelOne עולה כי התוקפים השתמשו ב-Group Policy כדי להפיץ קובץ Cab שדרכו בוצעה התקיפה, אשר כללה הצפנה של מערכת הקבצים, השחתה של ה-Master boot record ונעילת המערכת בפני המשתמש. עוד נכתב בדוח כי התוקפים הכירו את המבנה הכללי של הרשת הנתקפת ואת אמצעי השחזור שלה, וכי הנוזקה פותחה במשך 3 השנים האחרונות. הדברים מרמזים על בדיקה מקדימה מקיפה ויסודית מצד התוקפים, שלא זוהתה כלל. עד כה לא ידועה זהות התוקף, הן משום שאף קבוצה לא לקחה אחריות על ביצוע האירועים והן מפני שהקוד של הנוזקה אינו מפנה את האצבע כלפי אף קבוצה מוכרת.
תוקפי ה-SolarWinds פרצו לחשבונות מייל ״365״ של עובדים ב-27 משרדי עו"ד
בהצהרה שמסר משרד המשפטים האמריקאי ב-3 באוגוסט דווח גם כי מתקפת ה-SolarWinds הגלובלית, המיוחסת לקבוצת התקיפה (Cozy Bear (APT29, נתמכה ככל הנראה על ידי שירותי המודיעין הרוסי (SVR), וכללה גישה לחשבונות הפרוצים בין חודש מאי לסוף חודש דצמבר 2020. בין היתר דלפו באירוע מיילים יוצאים ונכנסים, צרופות ומיילים שאוחסנו בתיבות שונות.
השבוע בכופרה
קבוצת הכופרה DarkSide חוזרת, ובגדול
לאחר תקיפת הענק שביצעה על Colonial Pipeline, חברת הדלק הגדולה בארה״ב, בחודש מאי ירדה הקבוצה למחתרת, בעקבות אובדן גישה לשרתיה ומכיוון ש-63.7 מטבעות ביטקוין שקיבלה מהקורבן הופקעו ממנה. כעת, החוקר Fabian Wosar, שנחשף לתוכנת פענוח ההצפנה של קבוצת כופרה חדשה המכונה BlackMatter, טוען כי אין לו ספק שמדובר ב-Rebranding של קבוצת DarkSide. לטענתו, הקבוצה החדשה משתמשת באותם מנגנוני הצפנה שהיו ייחודיים לקבוצה שנעלמה. בינתיים הספיקה BlackMatter לתקוף מספר חברות, והיא מבקשת סכומים הנעים בין 3 ל-4 מיליון דולר עבור מפתחות הפענוח. עד כה נרשם מקרה אחד בו שולמו לקבוצה 4 מיליון דולר.
איטליה: גל תקיפות במחוז לאציו - הושבתו תשתיות IT לקבלת חיסונים לנגיף הקורונה
בגל מתקפות כופרה שחווה המחוז, הכולל גם את הבירה רומא, הושבתו תשתיות IT והאתר דרכו נרשמים התושבים לקבלת חיסונים לנגיף הקורונה. התקיפה אירעה ימים ספורים לפני החלת מדיניות ״הדרכון הירוק״ באיטליה, במסגרתה תותר כניסה לאירועים, לאטרקציות ולחללים סגורים. כחלק מניסיונות ההתמודדות עם האירוע הושבתו מערכות פנימיות של מרכז מידע של המחוז ואתר ההרשמה לקבלת החיסונים, אך על פי הדיווחים לא דלף מידע במהלך התקיפה, אשר נראה כי האחראית לה היא כנופיית RansomEXX, הפועלת מ-2018. מאוחר יותר השבוע, חברת ERG האיטלקית, העוסקת באנרגיה מתחדשת, דיווחה כי חוותה מתקפת כופרה שגרמה לנזקים מינימליים בלבד, ללא צורך בהשבתת תחנות. במקרה זה נרשמה פגיעה בעיקר בתשתיות IT, כאשר על פי מקורות שונים התקיפה בוצעה באמצעות נוזקת LockBit 2.0. מספר ימים לפני התקיפה דווח בתקשורת על חתימתה של עסקה בשווי 1.18 מיליארד דולר בין ERG לבין ענקית האנרגיה המתחדשת Enel.
קבוצת תקיפה איראנית גנבה מידע רגיש באמצעות נוזקה מעובדי קבלן בתעשיית החלל האמריקאית
ממחקר של Proofpoint עולה כי קבוצת התקיפה המתוחכמת TA456 יצרה ב-2019 עמוד פיקטיבי של מדריכת כושר בשם ״מרסלה פלורס״ ודרכו התקשרה באופן אישי עם העובדים בארה״ב. התוקפים התכתבו עם העובדים משך חודשים בטרם החדירו למערכותיהם את נוזקת Lempo, ששימשה לגניבת המידע. נוזקת Lempo כתובה ב-VBS, מה שאיפשר את הזרקתה דרך גיליון Excel שהתחזה לשאלון אודות העדפות תזונתיות. בין הנתונים שנאספו על ידי הנוזקה מצויים אזור הזמן בו נמצאת המערכת, שמות משתמשים ומחשבים, מידע על מבנה המערכת, סוג האנטי-וירוס שבשימוש, תיקיות Drive, מערכת ההפעלה, גירסתה ומשתמשי רשת ופרטיהם. נכון לרגע זה הפרופיל המזויף נמחק, ככל הנראה על ידי התוקפים, ובדיקה העלתה כי על מטרות הקבוצה נמנו יותר מ-200 צבאות ברחבי העולם וחברות חלל בארה״ב, באנגליה במדינות אחרות באירופה.
דוגמאות למייל ולעמוד האקסל שנשלחו לקורבנות:
סייבר בעולם
מסמך משותף למספר סוכנויות אבטחה ברחבי העולם: אלה החולשות המנוצלות ביותר על ידי תוקפים
במסמך שיצרו הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA), מרכז אבטחת הסייבר האוסטרלי (ACSC), מרכז אבטחת הסייבר הבריטי (NCSC) וה-FBI מופיעות חולשות במוצרים של חברות מוכרות, בהן Citrix, Microsoft, Pulse, Fortinet ועוד.
האקר אסטוני גנב 286,000 תמונות של אנשים ממאגר מידע ממשלתי והעלה אותן לרשת
ההאקר נעצר על ידי הרשויות האסטוניות לאחר שהתגלה כי ניגש למאגר תוך כדי ניצול פרצת אבטחה, שטבעה לא נמסר. הפרצה התגלתה לאחר שזוהו ברשת תנועות חריגות ומספר מעורר חשד של בקשות להורדת מידע. בשעה זו הרשויות חוקרות לאן הגיעו התמונות שהודלפו ועומלות על הורדתן מהרשת.
ה-CISA מפרסמת פלטפורמה לדיווח על חולשות
הפלטפורמה של הסוכנות לאבטחת סייבר ותשתיות נועדה להוות מרכז שבו יוכלו ארגונים ממשלתיים לקבל מידע מעמיק על חולשות חדשות בנכסיהן הדיגיטליים, תובנות ומידע על דרכי תקיפה אפשריות של מערכותיהם. מהלך זה נועד לסייע לארגונים במגזר הממשלתי לשפר את הגנת הסייבר שלהם.
ה-CISA וה-NSA מפרסמות המלצות לחיזוק הגנתן של מערכת Kubernetes
Kubernetes הינו פתרון קוד פתוח פופולרי המאפשר ניהול אפליקציות בענן בנוחות ובקלות, דבר אשר הופך אותו ליעד אטרקטיבי למתקפות סייבר. מטרותיהן העיקריות של תקיפות אלה הן גניבת מידע, כריית מטבעות וירטואליים וביצוע מתקפות DoS (מניעת שירות). המדריך בן 52 העמודים שהפיצו כעת הסוכנות לאבטחת סייבר ותשתיות והסוכנות לביטחון לאומי כולל המלצות לשיפור ההגנה על מערכות אלה בארגונים ופירוט הגדרות האבטחה שיש ליישם במערכות על מנת למזער את הסכנות. המדריך המלא נמצא בקישור זה.
סייבר ופרטיות - רגולציה ותקינה
דוח מבקר המדינה: ישראל מפגרת ביישום "מדיניות פעם אחת" לתגבור החיבור הדיגיטלי בין אזרחים לממשל
דוח המבקר שפורסם ב-4 באוגוסט מתייחס ליישום התוכנית הממשלתית להנגשת שירותי ממשל לאזרחי המדינה, באמצעות פרויקט "מדיניות פעם אחת" ובהקשרים נוספים. מטרת התוכנית הינה למנוע כפל פניות של משרדי ממשלה לקבלת מידע זהה מהאזרח, על ידי שימוש במשאבי מחשוב ענן משותפים לרשויות (ראו טבלה להלן). דוח המבקר מצביע על חסמים העומדים כעת בדרך להשלמת המשימה, ולתיקון המצב הקיים הוא ממליץ, בין היתר, על קביעת לוח זמנים מחייב להשלמת הפרויקט, המשך וזירוז מיפוי השירותים הניתנים על ידי גופי ממשל מרכזיים (המוסד לביטוח לאומי, קופות החולים, בתי חולים, רשויות מקומיות ועוד) והשלמת ביצועו של סקר סיכוני אבטחת המידע לשדרת המידע המוקמת, זאת לצד הקמת אתר התאוששות ממשבר סייבר שהמערכת עלולה לחוות.
מקור: דו"ח מבקר המדינה 72א' - חלק ראשון, 3.8.2021, עמ' 731.
ה-NSA מפרסמת הנחיות לשימוש מאובטח ברשתות אלחוטיות ציבוריות
הנחייתה של הסוכנות לביטחון לאומי של ארה״ב מה-30 ביולי בנוגע לשימוש ב-Wi-Fi, בבלוטות', וב-Near Field Communications מהווה מסמך יוצא דופן, בו מפורטות החשיפות האפשריות בשימוש ברשתות ציבוריות: נקודות גישה מסוג Evil Twin המעבירות תקשורת לגורם זדוני, ציתות של מערכות תקשורת, מתקפות מסוג Man-in-the-middle והסבת תקשורת לאתרים זדוניים. הנחיית ה-NSA מיועדת לקבלני-משנה של מערכת הביטחון של ארה"ב, והיא מציינת מספר שיטות עבודה מומלצות לגורמים אלה ולציבור בכלל (ראו טבלה להלן). רוב האיומים והחשיפות המכוסים בהנחיות מוכרים כבר שנים לקהילת הגנת הסייבר, ופרסום המסמך כעת אמור להפיץ את המידע לקהל רחב יותר.
NSA, Securing Wireless Devices in Public Settings, pp. 4-5
משמר החופים האמריקאי מפרסם אסטרטגיה להתמודדות עם איומי סייבר במגזר הימי
ב-Cyber Strategic Outlook 2021 שהפיץ ה-US Coast Guard מפורטת התפיסה האסטרטגית של הארגון בנושא איומי סייבר בים והצורך בהגנת סייבר בפעילותן הימית של מדינות וחברות פרטיות. המסמך מהווה עדכון לאסטרטגיה שפורסמה ב-2015, ובבסיסו ההבנה לפיה מערכת התעבורה הימית מהווה תשתית קריטית ולכן מחייבת הגנת סייבר מוגברת. מפקד משמר החופים, האדמירל קרל שולץ, אמר כי "משמר החופים נוקט בצעדים חשובים והכרחיים להגברת הבטיחות והביטחון במקום בו מתכנסים איומים פיזיים וקיברנטיים".
רוסיה מקדמת אמנה בינלאומית נגד פשע מקוון באו"ם: הרחבה של אמנת בודפשט משנת 2001
במסגרת דיוניה של הוועדה שהוקמה על ידי העצרת הכללית בחודש מאי בנושא המאבק בפשע מקוון, ההצעה שמקדמת רוסיה מרחיבה את הרשימה המוסכמת של פשעים מקוונים לכ-20 סוגי עבירות, לעומת 9 הסוגים המוגדרים כעת במסגרת אמנת בודפשט נגד פשע מקוון. טיוטת האמנה שהגישה רוסיה לוועדת האו״ם בסוף חודש יוני קובעת עבירות שאינן מטופלות באמנת בודפשט, אך מאפיינות כיום את פעילותם של האקרים וגורמים עוינים נוספים במרחב הסייבר, כגון הפצת נוזקות, פגיעה בתשתיות קריטיות וסחר בלתי-מורשה במכשירים אלקטרוניים. הוועדה תתכנס באופן רשמי בינואר 2022 ואמורה לסיים את עבודתה במהלך 2023.
הנציבות האירופית מפרסמת מדד של תקשורת אלקטרונית במדינות האיחוד
הנציבות, האחראית על הגברת השימוש ביכולות סייבר בקרב האוכלוסייה של מדינות האיחוד, פרסמה "ברומטר" של יישום יכולות אלה, המספק תמונת מצב עדכנית של נתונים הרלוונטיים לניצול מרחב הסייבר. בין הנתונים: 96% מתושבי האיחוד הם בעלי טלפון נייד, ל-82% ממשקי הבית יש גישה לאינטרנט, ואחוז דומה מרוצה ממהירות האינטרנט הביתי שלו. יותר מ-27,000 תושבי אירופה השתתפו בסקר ששימש בסיס לברומטר.
.png)
.png)
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.