דו״ח סייבר שבועי
עדכון שבועי 06.01.2021
עיקרי הדברים
-
ראש מערך הסייבר הלאומי, יגאל אונא מסיים את תפקידו. טרם מונה לו מחליף.
-
מיקרוסופט מזהירה מפני המשך ניצול חולשת ה-Log4j על ידי תוקפים.
-
האקרים רוסים הדליפו לרשת האפלה מאגרי מידע של משטרת בריטניה.
-
קבוצת הכופרה $Lapsus תוקפת את חברת המדיה הפורטוגלית Impresa.
-
אנו ממליצים לעדכן את המוצרים הבאים: דפדפן Google Chrome (קריטי); מוצרי VMware (גבוה); ראוטר של Netgear.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
בפתח 2022: שרתי ה-Exchange של מיקרוסופט נכשלים מלשלוח מיילים
הראוטר הפופולרי של Netgear חשוף לחולשות העלולות לאפשר השתלטות מלאה על המכשיר
Uber מתעלמת מחולשה המאפשרת שליחת מיילים מדומיין החברה
חולשה קריטית בכונני SSD יוצרת פערי אבטחה חמורים
מיקרוסופט מזהירה מפני המשך ניצול חולשת ה-Log4j על ידי תוקפים
עדכון אבטחה למוצרי VMware נותן מענה לחולשה העלולה לאפשר הזרקת קוד זדוני ל-Hypervisor
עדכוני אבטחה ל-Google Chrome נותנים מענה ל-37 חולשות בדרגות חומרה שונות
התקפות ואיומים
441,000 פרטי כניסה לחשבונות משתמשים נגנבו על ידי הנוזקה RedLine
האקרים מנצלים חולשה בדוקרים לכריית מטבעות קריפטוגרפיים
2021: אפיון פריצות לסביבות ענן
פלורידה: מידע רגיש נגנב מבית חולים בפורט לודרדייל
תוכנה זדונית של Purple Fox מופצת באמצעות התקנות טלגרם זדוניות
SEGA אחסנה מידע קריטי בדלי S3 חשוף לאינטרנט
1.1 מיליון פרטי הזדהות לחשבונות משתמשים גנובים מוצעים למכירה בדארקנט
נוזקת iOS מדמה את כיבוי מכשיר, אך בפועל מצותתת למיקרופון ולמצלמה
השבוע בכופרה
האקרים רוסים הדליפו מאגרי מידע של משטרת בריטניה לרשת האפלה
קבוצת הכופרה $Lapsus תוקפת את חברת המדיה הפורטוגלית Impersa
סייבר בישראל
עלייתן של מתקפות הסייבר האיראניות כאמצעי לעיצוב תודעה
אתר האינטרנט של ה״ג׳רוזלם פוסט״ וחשבון הטוויטר של ״מעריב״ נפרצו על ידי האקרים איראניים
פלסטיני בן 21 חשוד ששלח עשרות אלפי הודעות פישינג המתחזות להודעות מדואר ישראל
ראש מערך הסייבר הלאומי יגאל אונא מסיים את כהונתו
Code Blue: סיכום 2021 ותחזיות ל-2022 במרחב הסייבר
סייבר בעולם
פלטפורמת הקניות PulseTV חושפת דלף הכולל את פרטיהם של כ-200,000 כרטיסי אשראי
סייבר ופרטיות - רגולציה ותקינה
טיוטת גילוי דעת של הרשות להגנת הפרטיות: פרשנות של התחייבות להבטחת פרטיות בזמן העברת מידע אישי אל מחוץ לגבולות המדינה
הגברת שיתוף הפעולה בין ישראל לארה״ב במו"פ בתחום הסייבר: תקציב שנתי של 6 מיליון דולר
תקן חדש של ה-NIST בנושא "בנקאות פתוחה" פורסם להערות הציבור
כנסים
הציטוט השבועי
״לפעמים אומרים [להאקרים] ׳בואו תציקו לישראלים, בואו תציקו ליהודים, כמה כסף שאתם יכולים להרוויח מהדבר הזה, הוא שלכם׳. זה נותן לפרוקסים ולשחקנים נוספים מוטיבציה להצטרף לתקיפות נגד ישראל.״
יגאל אונא, ראש מערך הסייבר הלאומי היוצא, בכנס ניהול משברי סייבר, 27.12.2021.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
בפתח 2022: שרתי ה-Exchange של מיקרוסופט נכשלים מלשלוח מיילים
לדברי מנהלי רשתות ברחבי העולם, החל מה-1 בינואר 2022 בחצות כל ניסיון לשלוח מייל נחסם על ידי שרתי ה-Exchange On-premise מהשנים 2016 ו-2019. מקור התקלה הוא ב-FIPFS, מנוע סריקת הנוזקות שאחראי על מציאת צרופות זדוניות במיילים, כאשר על פי חוקר האבטחה ג׳וזף רוזן הדבר נובע מהשימוש שעושה מיקרוסופט במשתנה בגודל Int32 להכלת ערכים של תאריכים. מכיוון שערכם של תאריכים ב-2022 גדול יותר מקיבולת המשתנה, שליחת המיילים משתבשת. ממיקרוסופט נמסר כי החברה מודעת לתקלה ועובדת על עדכון שיטפל בה. בינתיים, מומלץ למנהלי רשתות לבטל ידנית את מנוע סריקת הנוזקות, כדי לאפשר שליחת מיילים.
הראוטר הפופולרי של Netgear חשוף לחולשות העלולות לאפשר השתלטות מלאה על המכשיר
חוקרים מחברת Tenable גילו 6 חולשות במכשיר מדגם R6700v3, אחת מהן (CVE-2021-20174) נובעת מכך שפרוטוקול ברירת המחדל של הראוטר להעברת תקשורת הוא HTTP, מה שעלול לאפשר לגורמים חיצוניים להאזין לתעבורת הרשת ואף לשלוף ממנה שמות משתמש וסיסמאות. חולשה אחרת שהתגלתה (CVE-2021-23147) עלולה לאפשר לתוקף מקומי להתחבר בקלות לראוטר דרך חיבור ה-UART ולהריץ פקודות תחת הרשאות Root, ללא צורך באימות. נוסף לכל אלה, שמות המשתמש והסיסמאות במכשיר מאוחסנים בקובץ הקונפיגורציה ב-Plaintext. טרם פורסמו עדכוני אבטחה רלוונטיים.
צוות קונפידס ממליץ למשתמשי המכשיר להפעיל בהגדרותיו את שירות העדכון האוטומטי.
Uber מתעלמת מחולשה המאפשרת שליחת מיילים מדומיין החברה
החולשה, שאותרה לאחרונה במערכת הדואר האלקטרוני של החברה, מאפשרת לכל אדם לשלוח מייל בשמה ועלולה להיות מנוצלת על ידי גורמי תקיפה למשלוח מיילים לכ-57 מיליון לקוחות ונהגי הברה, שפרטיהם נחשפו באירוע דלף מידע אשר חוותה Uber ב-2016. ואולם, למרות שצוות החוקרים של מגזין אבטחת המידע BleepingComputer דיווח לחברה על החולשה, Uber דחתה את הדבר בטענה כי מדובר בחולשה שאינה טכנית בלבד אלא כזו הדורשת גם כלים של הנדסה חברתית. לדברי BleepingComputer, לא ידוע על צעדים שבהם נקטה Uber למיגור החולשה. המיילים שיכולים להישלח משרתי החברה יופיעו ככאלה שנשלחו מספק שירותי דואר אלקטרוני לגיטימי, מה שיאפשר להם לעבור את שירותי סינון המיילים, והם יכילו כותרות כגון ״ה-Uber שלך מגיע כעת״ או ״נסיעת הבוקר שלך ביום חמישי עם Uber״. בגוף המייל עשוי הנמען להתבקש להקליד את פרטי כרטיס האשראי שלו, פן ״חשבונו ייחסם״. טרם התקבלה תגובה מחברת Uber.
חולשה קריטית בכונני SSD יוצרת פערי אבטחה חמורים
החולשה, שאותרה על ידי חוקרים מאוניברסיטת סיאול שבקוריאה הדרומית, רלוונטית לכל כונני ה-SSD שנמכרו עד כה, וניתן לנצלה לביצוע פעולות במחיצת אחסון בכונן ששמה Over-provisioning Partition. מחיצה זו נועדה לאחסון זמני של מידע, ומטרתה להאריך את חיי הכונן ולייעל תהליכי העברת נתונים. החוקרים הקוריאנים הצליחו להטמין במחיצה קבצי נוזקה מבלי שזוהו על ידי שום מכשיר או תוכנת אבטחה, וכן להגדילה משמעותית על מנת להכניס אליה קבצים רבים.
מיקרוסופט מזהירה מפני המשך ניצול חולשת ה-Log4j על ידי תוקפים
החברה פרסמה מדריך רשמי לחברות שמטרתו לספק המלצות למניעה, לזיהוי ולהתגוננות מפני החולשה, בטענה שבשבועות האחרונים של דצמבר נצפו ניסיונות רבים לניצולה - מרביתם צלחו ואיפשרו התקנת כורי מטבעות דיגיטליים וביצוע מתקפות Hands-on-keyboard. עוד טענו חוקרי מיקרוסופט כי הבוטנט Mirai עשה הסבה לניצול החולשה לשם הפצת כורי מטבעות דיגיטליים על ידי דלת אחורית בשם Tsunami.
צוות קונפידס ממליץ למי שטרם עדכן את הספריות הרלוונטיות לעדכנן בהקדם על מנת שלא תהיינה חשופות לניצול.
עדכון אבטחה למוצרי VMware נותן מענה לחולשה העלולה לאפשר הזרקת קוד זדוני ל-Hypervisor
החולשה (CVE-2021-22045, CVSS 7.7), שדווחה לחברה על ידי החוקר Jaanus K, רלוונטית למוצרים ESXi ,Workstation ו-Fusion, ועלולה לאפשר לגורם זדוני בעל גישה למכונה וירטואלית עם אמולציית CD-ROM להזריק את הקוד. החברה שחררה עדכונים למרבית המוצרים הפגיעים, למעט לגרסה 7 של ESXi, אשר בנוגע אליה פרסמה VMware מדריך בו מוסבר כיצד ניתן לתקן את הפגיעות.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסתם האחרונה או לתקן את הפגיעות המצויה בהם.
עדכוני אבטחה ל-Google Chrome נותנים מענה ל-37 חולשות בדרגות חומרה שונות
העדכונים רלוונטיים למשתמשי Windows ,Linux ו-Mac. חולשה אחת שנסגרת בעדכון היא קריטית (CVE-2022-0096) ואילו 11 אחרות הן ברמת חומרה גבוהה.
צוות קונפידס ממליץ לכל משתמשי הדפדפן לעדכנו לגרסתו האחרונה - 97.0.4692.71.
התקפות ואיומים
441,000 פרטי כניסה לחשבונות משתמשים נגנבו על ידי הנוזקה RedLine
שירות ההתראה על דלף נתונים Have I Been Pwned הוסיף לרשומותיו את פרטיהם של מאות אלפי החשבונות שנגנבו במהלך הקמפיין של התוכנה הזדונית, ומאפשר כעת לכולם לבדוק אם כתובות המייל והסיסמאות שלהם נמנים עליהם. כיום, RedLine היא התוכנה הזדונית הרווחת ביותר לגניבת מידע, והיא מופצת באמצעות קמפיינים של פישינג והונאות YouTube. מרגע התקנתה, RedLine תפעל לגניבת מגוון נתונים, בהם קבצי Cookie, נתוני כרטיסי אשראי, פרטי הזדהות, כולל כאלה המאוחסנים ב-FTP ,VPN Clients, ארנקים קריפטוגרפיים ועוד. במקרים מסוימים התוכנה אף מסוגלת להוריד תוכנות נוספות אל המערכת הנגועה או לבצע בה פקודות מרחוק.
האקרים מנצלים חולשה בדוקרים לכריית מטבעות קריפטוגרפיים
צוות המחקר של חברת Aqua דיווח על טכניקה שצוברת תאוצה בקרב כנופיות Cryptomining ומתבססת על ניצול חולשה הקיימת ב-API של הדוקרים. מציאת הדוקרים הפגיעים מתבצעת באמצעות שרתים זדוניים הסורקים את האינטרנט. כאשר דוקר כזה מאותר, השרת הזדוני שולח אליו פקודה להרצת Vanilla Image, דבר שבתורו מביא להורדת סקריפט זדוני בשפת Bash. סקריפט זה גורם לפתיחת יוזרים חדשים בדוקר ולהעלאת הרשאות לרמת Root. לאחר מכן, באמצעות קריאת DNS לדומיין זדוני, מועברת לתוקפים כתובת ה-IP של האתר, בו הוטמנה דלת אחורית. עם השגת השליטה, התוקפים מטמינים בדוקרים את כלי הכרייה.
צוות קונפידס ממליץ לארגונים לנטר פעולות רגישות, כגון גישה לדוקרים, הקמה והסרה של משתמשים והעלאת ושנמוך הרשאות.
2021: אפיון פריצות לסביבות ענן
חוקר אבטחת המידע כריסטוף טפאני-דריפה מחברת Datadog סקר מתקפות סייבר כנגד סביבות ענן אשר התרחשו ופורסמו ב-2021, בדגש על מתקפות נגד AWS. לדברי טפאני-דריפה, הטכניקות הנפוצות ביותר היו: א. גניבת סיסמאות וסודות סטטיים (כלומר כאלה שאינם משתנים באופן יזום או אוטומטי) וניצולם להדלפת מידע או לביצוע פעולות בסביבות החשופות. ב. כניסה לדליי S3 (שירותי אחסון ארגוניים לדאטה מסוגים שונים) החשופים לאינטרנט והדלפתם. ג. גניבת סיסמאות וסודות סטטיים דרך חולשות (SSRF (Server-side request forgery. על מנת להישמר מפני מתקפות מסוג זה, טפאני-דריפה ממליץ: 1. להימנע משימוש ב-IAM users. במקום זאת, יש להשתמש בעיקר ב-IAM roles לשם הענקת גישה ל-AWS או לשירותיו, וב-SSO לצורך כניסה של עובדים לסביבה. 2. לסרוק את קוד המוצר על מנת לאתר סיסמאות או סודות סטטיים. במידה ונמצאו כאלה, יש להטמיע פתרון בצורה חכמה יותר. 3. להגדיר חסימת Public Access לדלי ה-S3 והצפנה של הדלי באמצעות שירות ה-KMS של אמזון.
פלורידה: מידע רגיש נגנב מבית חולים בפורט לודרדייל
ב-1 בינואר דיווח בית החולים Broward כי חווה דליפת מידע של מטופלים ועובדים לאחר שתוקף שזהותו אינה ידועה השיג גישה לנתונים כמו שמות, תאריכי לידה, מידע בנקאי, מספרי ביטוח לאומי, רשיונות נהיגה, היסטוריה רפואית ועוד. בשעה זו טרם ידוע על שימוש זדוני במידע, ולא פורסמו נתונים אודות מספר הנפגעים. החדירה בוצעה ב-15 באוקטובר דרך ספק צד ג׳ בעל גישה לרשת בית החולים. ארבעה ימים לאחר מכן הדבר התגלה למוסד הרפואי, שמיהר לדווח על כך ל-FBI.
תוכנה זדונית של Purple Fox מופצת באמצעות התקנות טלגרם זדוניות
התוכנה הזדונית רלוונטית לגרסת ה-Desktop של טלגרם, כאשר תוכנית ההתקנה של זו האחרונה כוללת, למעשה, את הסקריפט Telegram Desktop.exe, שמתקין הן את תוכנת הטלגרם והן את זו הזדונית. התוכנה הזדונית משמשת לגניבת מידע מהעמדה, לסיום תהליכים שרצים עליה ולהורדת והרצת קוד מרחוק, ואף מסוגלת להעתיק את עצמה למערכות Windows אחרות באותה הרשת. קמפיינים דומים הכוללים נוזקות מופצים כיום ברשת גם באמצעות סרטוני YouTube, פורומים שונים ואתרים של הורדות לא-חוקיות. הורדת תוכנות שאינן מקוריות חושפת משתמשים לנוזקות שעלולות לפגוע בעמדות, כמו גם ברשת כולה.
SEGA אחסנה מידע קריטי בדלי S3 חשוף לאינטרנט
ממצאי הדוח המשותף של חוקר אבטחת המידע ארון פיליפס וחברת VPNoverview הותרו לפרסום על ידי SEGA במטרה למנוע מקרים דומים בעתיד. מהדוח עולה, בין היתר, שהמידע הרגיש שאחסנה חברת המשחקים בדליי S3 כלל מפתחות API ל-Steam, גישה למערכת שליחת ה-SMS של מחלקת ה-IT הפנימית של החברה, גישה לדומיינים של החברה (לרבות יכולת הרצת סקריפטים והעלאת קבצים לשרתי ה-Web) וגישה ל-CDNs שלה. בהמלצותיהם חידדו החוקרים את חשיבות ה-Sandboxing, כלומר הפרדה בין הענן הפרטי (שאליו אמורה להתאפשר גישה של עובדים ושירותים פנימיים בלבד) לבין הענן החיצוני (אשר בא במגע עם לקוחות). עוד קבעו החוקרים שבמקרה שקיימים דליי S3 רבים, יש להשתמש במספר מפתחות אליהם, למניעת מצב בו מפתח אחד יאפשר גישה לכלל המידע המצוי בדליים.
1.1 מיליון פרטי הזדהות לחשבונות משתמשים גנובים מוצעים למכירה בדארקנט
על פי משרד התובע הכללי של מדינת ניו יורק (NY OAG), המידע כולל נתוני לקוחות של 17 חברות ידועות מאוד שנפגעו במתקפות סייבר והוא משמש האקרים להשגת פרטי הזדהות לחשבונות הלקוחות בפלטפורמות שונות. תקיפה המבוססת על ניסיונות חוזרים ונשנים לקבלת גישה לחשבונות משתמשים באמצעות נתוני הזדהות גנובים היא טקטיקה שצולחת בעיקר כשמשתמש מחזיק באותם פרטי הזדהות בפלטפורמות שונות. לאחר השגת גישה לחשבון משתמש, התוקפים גונבים נתונים פיננסיים או אישיים על מנת להציעם למכירה בפורומים שונים בדארקנט או לשם כניסה לפלטפורמות אחרות וביצוע הונאות או רכישות בשם המשתמש. לדברי ה-NY OAG, גניבת 1.1 מיליון פרטי ההתחברות זוהתה בחקירה שארכה מספר חודשים, ואשר במהלכה נוטרו קבוצות אינטרנטיות שונות המוקדשות לשיתוף נתוני הזדהות של משתמשים באתרי רשתות מזון מוכרות, שירותי משלוחים, קניות מקוונות ועוד. עוד מסר הארגון כי כיום מסתובבים ברשת יותר מ-15 מיליארד נתוני הזדהות גנובים.
נוזקת iOS מדמה את כיבוי מכשיר, אך בפועל מצותתת למיקרופון ולמצלמה
הנוזקה, שפותחה ונחקרה על ידי צוות החוקרים של ZecOps, מדמה כיבוי של מכשיר אייפון, פעולה אשר אמורה להוביל למחיקת נוזקות מזיכרון המכשיר, אך במקום זאת גורמת להתפשטות הנוזקה בטלפון הנייד ולציתות למיקרופון ולמצלמת המכשיר, כאשר למשתמש נראה כאילו הטלפון נכבה. המתקפה, שקיבלה את השם NoReboot, אינה מנצלת חולשות במערכת ההפעלה אלא משתמשת בטכניקה של הטעיית המשתמש, ולכן אין תיקון ש-Apple יכולה להציע לפתרון הדבר. דרך הפעולה המלאה מופיעה במחקר המופיע בבלוג החוקרים.
השבוע בכופרה
האקרים רוסים הדליפו מאגרי מידע של משטרת בריטניה לרשת האפלה
קבוצת התקיפה Clop הדליפה כ-13 מיליון רשומות של הארגון, לאחר שפרצה לשרתיה של Dacoll, חברת IT המספקת שירותים למספר משרדי ממשלה בריטיים. למרות ש-Clop הדליפה חלק מהמידע שנגנב בניסיון לגרום ל-Dacoll לשלם דמי הכופר, החברה סירבה להיענות לסחיטה. נכון לשעה זו, טרם ידועים פרטים על אופי המידע שנגנב ועל רמת רגישותו, אך מרבית המסמכים שהודלפו הם תמונות ממצלמות אבטחה אשר, ככל הנראה, תיעדו נהגים שעברו את מהירות הנסיעה המותרת, בחלקן ניתן לראות את פני הנהגים מקרוב.
קבוצת הכופרה $Lapsus תוקפת את חברת המדיה הפורטוגלית Impresa
בעקבות פריצת הכנופיה לתשתית ה-IT של Impresa בענן, נפלו שירותי הסטרימינג של SIC, ערוץ הטלוויזיה הגדול בפורטוגל, והמגזין המפורסם של החברה, Expresso. במקביל, שידורי הטלוויזיה המשיכו לפעול כסדרם. עוד השחיתה הקבוצה את כלל אתרי האינטרנט של Impersa, בהם אף הצהירה כי השיגה שליטה על שירותי הענן של החברה. לאחר ש-Impersa החזירו לעצמה את השליטה על חשבון הענן והציבה באתריה תצוגת ״בתחזוקה״, $Lapsus צייצה בטוויטר של ערוץ SIC שהיא ״הנשיא החדש של פורטוגל״, ובאמצעות תשתית המייל של SIC הפיצה פייק ניוז לפיו נשיא פורטוגל מואשם ברצח.
סייבר בישראל
עלייתן של מתקפות הסייבר האיראניות כאמצעי לעיצוב תודעה
על פי המכון למחקרי ביטחון לאומי (INSS), במהלך השנתיים האחרונות אנו עדים לתדירות הולכת וגוברת של מתקפות סייבר המיוחסות לאיראן, אשר תחילה נראו ככאלה שמטרתן בצע כסף, אך בהמשך השתנתה תכליתן והן החלו להתמקד בריגול. מ-2021 ניכר שינוי נוסף, לכיוון של תקיפות כופרה בעלות מטרה תודעתית. ממחקר של חברת אבטחת הסייבר ClearSky עלה כי תקיפות הסייבר המיוחסות לאיראן הינן עקביות ומנוהלות בגלים, וכי פרק הזמן שבין תקיפה לתקיפה מנוצל, כך נראה, להפקת לקחים ולפיתוח כלים חדשים. המתקפות החדשות נועדו להפעלת לחץ על הציבור, שבתורו משפיע על מקבלי ההחלטות ועל העימות הישראלי-איראני. לשם כך, התוקפים עושים שימוש בנקודת תורפה ישראלית: מערכי הגנת הסייבר הרופפים במגזר הפרטי/עסקי. תקיפת ארגונים עסקיים/פרטיים מאפשרת לאיראן לפעול באופן חופשי יחסית ולזכות בהישג כפול - האחד מול אזרחי ישראל ומקבלי ההחלטות, והשני מול העם האיראני, כשהפעולות העוינות מוצגות כתגובה להתקפות הסייבר המשבשות את שגרת החיים באיראן. עם זאת, ניכר כי הרמה הטכנית של תקיפות הסייבר המיוחסות לאיראן אינה גבוהה, והצלחתן נעוצה ברמה נמוכה של אבטחה ושל מודעות לצורך בהגנת סייבר במגזר האזרחי והפרטי בישראל. ריבוי תקיפות הכופרה בשנים האחרונות הוביל את הממשל האמריקאי להגדירן כאיום מרכזי המחייב מענה. בתוך כך, הבית הלבן הכריז על הקמת צוות משימה לתיאום צעדים נגד מתקפות כופרה. עוד החליטה מחלקת המדינה של ארצות הברית לשלם עבור מידע שיוביל לזיהוי פשעי סייבר.
אתר האינטרנט של ה״ג׳רוזלם פוסט״ וחשבון הטוויטר של ״מעריב״ נפרצו על ידי האקרים איראניים
הפריצה, שעליה טרם נלקחה אחריות מצד קבוצת תקיפה כלשהי, אירעה בלילה שבין יום ראשון ה-2 בינואר ליום שני ה-3 בינואר. לאחר התקיפה הופיע בעמוד הבית של היומון הישראלי בשפה האנגלית איור המזכיר את מפקד כוח קודס קאסם סולימאני, שחוסל לפני שנתיים בדיוק, ואיור של כף יד שעל אחת מאצבעותיה טבעת אדומה הדומה לזו שהגנרל האיראני נהג לענוד, ואשר ממנה נורה באיור טיל לעבר הכור בדימונה. לאיור צורף הכיתוב ״אנחנו באותו מקום שאתם לא חושבים״. בחשבון הטוויטר של העיתון ״מעריב״, שככל הנראה נפרץ על ידי אותם האקרים, צייצו התוקפים איור זהה, וכן איור נוסף של סולימאני במה שנראה כשדה קרב. מטעם ה״ג׳רוזלם פוסט״ פורסמה בטוויטר הודעה בזו הלשון: "אנחנו מודעים לכך שפרצו לאתר שלנו, לצד איום ישיר על מדינת ישראל. אנו פועלים לפתרון הבעיה ומודים לקוראים על הסבלנות וההבנה". לקראת שעות הערב חזר אתר העיתון לפעילות סדירה.
פלסטיני בן 21 חשוד ששלח עשרות אלפי הודעות פישינג המתחזות להודעות מדואר ישראל
יחידת הסייבר בלהב 433 הודיעה על מעצרו של תושב השטחים, אשר על פי החשד גרם לקורבנותיו לשלם כ-300 ש״ח עבור כל חבילה, ובכך שלשל לכיסו עשרות אלפי שקלים, שהומרו למטבעות דיגיטליים בניסיון לטשטש את עקבות המעשים. ההונאה התבססה על הודעה שהפיץ החשוד לטלפונים הניידים של אזרחים, בה נכתב "החבילה שלך עצרה במכס. אתה צריך לשלם כדי לשחרר אותה". להודעה צורף קישור לאתר שהתחזה לאתר הרשמי של דואר ישראל, שם התבקש הקורבן לספק פרטי כרטיס אשראי.
ראש מערך הסייבר הלאומי יגאל אונא מסיים את כהונתו
לאחר 4 שנים בתפקיד, ולאחר שכהונתו הוארכה פעמיים, אונא מסיים את תפקידו לאחר שביקש מראש הממשלה נפתלי בנט שלא להאריך את כהונתו בשלישית. בשעה זו טרם ידוע מי ימונה למחליפו. בדברי פרידה שנשא אמר אונא כי ״זו הייתה זכות נדירה לשרת את מדינת ישראל ולשמור עליה בטוחה. משימת היסוד שלנו להגנה על התשתיות הקריטיות – הושגה במלואה. למרות המאמץ שגדל דרסטית מצד התוקפים שונים, הצלחנו לבלום אלפי תקיפות סייבר בזמן, טרם גרמו נזק במרחב האזרחי״.
Code Blue: סיכום 2021 ותחזיות ל-2022 במרחב הסייבר
מדבריו של רפאל פרנקו, מייסד שותף בחברת האבטחה, שנת 2021 התאפיינה בעלייה משמעותית בכמות תקיפות הסייבר ובאיכותן, כפועל יוצא של הצטרפות והסבת ארגוני פשיעה מסורתיים לפשיעת סייבר, גיוס והפעלת ״שכירי חרב״ במרחב ושיפור האמל"ח ההתקפי. החיכוך המתמיד בין המגינים לתוקפים התאפיין בניסיונות תקיפה רבים ובהצלחות מרובות שרשמו לזכותם התוקפים. נושא ה-Zero-day הפך לעניין שבשגרה ותקיפות שרשרת אספקה תוך ניצול הגורם האנושי הפכו קרקע פורייה לתוקפי סייבר, המהווים נטל כלכלי על העולם. בעוד מדינות רבות נמצאות עמוק בתוך משבר הקורונה, איומי הסייבר נדחקו מאור הזרקורים ורק אירועי קיצון העלו את הנושא לתודעה הבינלאומית. מצב זה אפשר לגופי הפשיעה להתבסס באין מפריע, לעיתים תחת חסותן או מתחת לאפן של ממשלות שלא הקצו משאבים ותשומת לב הולמים לטיפול בפשיעת סייבר. חברות וארגונים רבים סבלו בשנה האחרונה מאינספור אירועי ומשברי סייבר. נתונים אלה מעלים את הצורך בחשיבה והערכות מחודשות נוכח האיום ההולך וגובר במרחב הדיגיטלי העולמי. בהערכתה של Code Blue לקראת 2022 בחרה החברה לנתח חמישה ממדים: הציר הבינלאומי שעיקרו טיפול של מדינות באתגרים במרחב, הציר המשפטי העוסק ברגולציית סייבר, הציר הטכנולוגי המחפש אחר פריצת הדרך הבאה, ציר התוקף וציר הארגון.
סייבר בעולם
פלטפורמת הקניות PulseTV חושפת דלף הכולל את פרטיהם של כ-200,000 כרטיסי אשראי
כבר במרץ 2021 קיבלו לראשונה מנהלי הפלטפורמה דיווח מחברת האשראי VISA אודות עסקאות שאינן מורשות, אך לאחר ביצוע חקירה ובדיקות אבטחה הודיעה PulseTV כי לא מצאה עדויות לחשיפת פרטי כרטיסי אשראי של לקוחות. מספר חודשים לאחר מכן קיבלה החברה דיווח נוסף בנושא מהרשויות ופתחה בחקירה נוספת, הפעם בשיתוף פעולה עם מומחי סייבר ואבטחת מידע חיצוניים. החקירה העלתה כי נחשפו נתוני כרטיסי האשראי של לקוחות החברה אשר ביצעו רכישות דרך הפלטפורמה בתקופה שמנובמבר 2019 ועד אוגוסט 2021. בין המידע שדלף מצויים שמות מלאים, כתובות למשלוח, כתובות מייל, מספרי כרטיס אשראי, תוקף הכרטיסים ושלוש הספרות המשמשות לאימותם. לאחר התגלית פנתה PulseTV ללקוחות אשר נתוני האשראי שלהם נחשפו, וכן עברה לפלטפורמת תשלום חדשה, הכוללת מעגלי אבטחה נוספים.
סייבר ופרטיות - רגולציה ותקינה
ב-3 ינואר פרסמה הרשות את טיוטת גילוי הדעת בדבר פרשנותה של תקנה 3 לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), המחייבת את מי שמעביר מידע אישי לחו"ל לקבל התחייבות בכתב ממקבל המידע, לפיה "...מקבל המידע נוקט אמצעים מספיקים להבטחת פרטיותם של מי שהמידע עליהם, וכי הוא מבטיח שהמידע לא יועבר לכל אדם זולתו…". חובה זאת באה בנוסף לתקנות 1 ו-2, המסדירות את התנאים השונים שנקבעו להעברת מידע אישי אל מעבר לגבולות המדינה. העברה כאמור מתאפשרת, למשל, כאשר הגורם המעביר קיבל את הסכמת נושא המידע, כאשר המידע פורסם לרבים על פי סמכות כדין, או במצב בו העברת המידע הכרחית לשם הגנה על שלום הציבור או ביטחונו (לרשימה המלאה המופיעה בתקנות 1 ו-2 לחצו כאן). בגילוי הדעת, הרשות מבהירה את פרשנותה של ההתחייבות, לפיה האיסור על הגורם בחו"ל להעביר את המידע האישי לצד שלישי "...לא יחול אם ניתנה לכך הסכמה בכתב של בעל המאגר שממנו הועבר המידע מישראל", בתנאי שהעברת המידע לצד שלישי נעשתה כדין. הציבור מוזמן להגיב לטיוטה עד ליום ה-24.1.2022.
הגברת שיתוף הפעולה בין ישראל לארה״ב במו"פ בתחום הסייבר: תקציב שנתי של 6 מיליון דולר
החודש חתם נשיא ארצות הברית ג'ו ביידן על חוק הסמכות ההגנה הלאומית (National Defense Authorization Act) לשנת הכספים 2022. החוק קובע תקציב של 777.7 מיליארד דולר להוצאות הקשורות לביטחון לאומי, מתוכו מוקצים 10.4 מיליארד דולר לנושאי הגנת סייבר, כולל 6 מיליון דולר שישמשו להקמת קרן מענקים לטובת שיתוף הפעולה האמור, אשר יתרכז במחקר ופיתוח בתחום הגנת הסייבר ובמסחור של טכנולוגיות סייבר. הקרן תפעל במסגרת חוק התומך בשיתוף הפעולה בין שתי המדינות במרחב הסייבר, ה-United States-Israel Cybersecurity Cooperation Enhancement Act of 2021.
תקן חדש של ה-NIST בנושא "בנקאות פתוחה" פורסם להערות הציבור
התקן, שפורסם על ידי המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית ב-3 בינואר, מתמקד באקוסיסטם פיננסי חדש: מערכות אקולוגיות בנקאיות פתוחות המבקשות להעניק לאנשים פרטיים ולעסקים קטנים ובינוניים מגוון אפשרויות בתחומי התנועות הכספיות והעברת המידע בין מוסדות פיננסיים. הציבור מוזמן להעיר על המסמך עד ל-3.3.2022.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.