top of page
WhatsApp Image 2020-07-02 at 17.01.17.jp

 
דו״ח סייבר שבועי

עדכון שבועי 08.09.2022

עיקרי הדברים

  1. ישראל: שוב תקיפה של איראן - נפרץ אתר האינטרנט החינוכי של ״מטח״, פרטים של עשרות אלפי ישראלים דלפו והתוקפים מפרסמים למכירה רשומות של כ-3 מיליון אזרחים ישראלים; האקרים פרצו לבקרים תעשייתיים בישראל; ונגמרה החגיגה - הרשות להגנת הפרטיות מעדכנת את חובות הדיווח "באופן מיידי", כלומר - ללא דיחוי.

  2. לראשונה: אלבניה מגרשת דיפלומטים איראנים בעקבות מתקפת סייבר שאיימה לשבש את מערכות המדינה ביולי האחרון. ארה״ב מגנה בחריפות את המתקפה ומתחייבת לנקוט בצעדים נוספים נגד איראן.  

  3. מתקפות הכופרה חוזרות, ובגדול. בין הקורבנות: ממשלת צ׳ילה, סוכנות האנרגיה האיטלקית וחברת הנפט Eni, רשת החינוך השנייה בגודלה בארה״ב, חברת התעופה הפורטוגלית TAP, קבוצת הפוטבול האמריקאי San Francisco 49ers ורשת המלונות IHG. 

  4. המלחמה בין רוסיה לאוקראינה: קבוצת ההאקרים Anonymous פרצה לאפליקציית המוניות Yandex וגרמה לפקק תנועה ענק במוסקבה; חברים לשעבר בקבוצת התקיפה Conti משתמשים בטכניקות מתוחכמות של הקבוצה לתקיפת מטרות באוקראינה.

  5. *אנו ממליצים לעדכן את המוצרים הבאים: עדכון חירום Google Chrome ודפדפן Edge (חולשת Zero-day); מוצרי Adobe (קריטי); מוצרי ה-NAS של Zyxel (קריטי); מוצרי QNAP (קריטי); מכשירי iPod ו-iPhone (גבוה); מוצרי Cisco (גבוה); המוצר Thunderbird של Mozilla (גבוה); תוכנת Cisco NX-OS (גבוה), תוסף הזדהות של WordPress.*

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה לתוכנת Cisco NX-OS נותן מענה לחולשה ברמת חומרה גבוהה
עדכון חירום לתיקון חולשת Zero-day בדפדפן Google Chrome, המשפיעה גם על הדפדפן Edge
עדכוני אבטחה למוצרי QNAP נותנים מענה לחולשה קריטית המנוצלת על ידי הכופרה DeadBolt
דרך לניצול חולשה בתוסף הזדהות של WordPress מפורסמת בפומבי
עדכון אבטחה למוצר Thunderbird של Mozilla נותן מענה ל-4 חולשות, אחת מהן בדרגת חומרה גבוהה
עדכון אבטחה של Apple למכשירי iPhone ו-iPod ישנים נותן מענה לחולשה מנוצלת שרמת חומרתה גבוהה
עדכוני אבטחה של Adobe נותנים מענה לחולשות בכמה ממוצרי החברה, בהן חולשות קריטיות
עדכון אבטחה ל-Zyxel  נותן מענה לחולשה קריטית
ה-CISA פרסמה עדכונים ל-5 מערכות בקרה תעשייתיות
עדכוני אבטחה למוצרי Cisco נותנים מענה לחולשות ברמות חומרה שונות, בהן אחת ברמת חומרה גבוה

התקפות ואיומים

הגונב מגנב פטור? מפתחי הנוזקה Prynt Stealer טמנו בקוד דרך לשרשר אליהם אחרונית מידע שנגנב על ידי תוקפים המשתמשים בה
חוקרים גילו יותר מ-1,800 אפליקציות שהקוד שלהן חושף פרטי הזדהות ל-AWS
פגם בתכנון של מנהל החבילות pip עבור שפת התכנות Python עלול להוביל להרצת קוד אוטומטית על עמדות
הנוזקה Sharkbot התגנבה בחזרה לחנות האפליקציות Google Play, בגרסה משופרת המאפשרת גניבת פרטי התחברות לחשבונות בנק
חברת Samsung מדווחת על דלף של מידע רגיש
קבוצת התקיפה הצפון קוריאנית Lazarus מקושרת ל-RAT החדש MagicRAT
קמפיין תקיפה חדש מנצל חולשות קריטיות בנתבי D-Link
נוזקת Shikitega מתקינה כורי קריפטו על עמדות Linux
קבוצת ההאקרים האיראנית החדשה APT42 מפעילה נוזקה המותאמת אישית למכשירים מבוססי Androi

השבוע בכופרה

Ragnar Locker תוקפת יעדים במגזרי האנרגיה והתעופה
מגזר האנרגיה האיטלקי על הכוונת: סוכנות האנרגיה האיטלקית וחברת הנפט Eni נפגעו במתקפות כופרה
ממשלת צ׳ילה הודיעה כי חוותה מתקפת כופרה שהביאה להשבתת שרתיה
ארה״ב: קבוצת הפוטבול San Francisco 49ers שלחה הודעה ללקוחות שפרטיהם נגנבו בפריצה שביצעה השנה קבוצת הכופרה BlackByte
ארה״ב: גוף החינוך השני בגודלו לחינוך יסודי נפגע במתקפת כופרה; ה-CISA וה-FBI מזהירים מפני תקיפות נוספות כנגד גופי חינוך
קבוצת InterContinental Hotels מדווחת על גישה בלתי מורשית למערכותיה
בית-החולים הצרפתי CHSF בתמונת מצב לאחר מתקפת הכופרה שחווה לפני שלושה שבועות; ירידה של 50% בתפוסת המיטות בטיפול נמרץ

המלחמה במזרח אירופה

רוסיה: קבוצת ההאקרים Anonymous פרצה לאפליקציית המוניות Yandex וגרמה לפקק תנועה ענק במוסקבה
חברים לשעבר בקבוצת התקיפה Conti משתמשים בטכניקות מתוחכמות של הקבוצה לתקיפת מטרות באוקראינ

סייבר בעולם

ממשלת אלבניה מגרשת דיפלומטיים איראניים בעקבות מתקפת סייבר על המדינה
​​ה-NSA מפרסמת טיפים למפתחים לאבטחת שרשרת האספקה של התוכנות המפותחות על ידם
ה-FBI מזהיר משקיעים מפני פלטפורמות DeFi, שספגו ברבעון הראשון של השנה גניבות בסך יותר ממיליארד דולר
ממשלת פינלנד מתכננת לסבסד שירותי אבטחת מידע לחברות בעקבות התגברות איומי הסייבר
TikTok מכחישה את הטענה שנפרצה ושנגנבו ממנה קודי מערכת ומידע על משתמשים
אתרו של המותג The North Face חווה דלף מיד

סייבר בישראל

משטרת ישראל מזהירה מפני מיילי פישינג הנשלחים בשמה לאזרחים ומודיעים על עבירת מהירות שביצעו, לכאורה
אתר האינטרנט החינוכי של ״מטח״ נפרץ; פרטים של 30 אלף ישראלים דלפו
המגמה נמשכת: האקרים פרצו לבקרים תעשייתיים בישראל
קבוצת האקרים פרו-פלסטינית פירסמה מסמכים רפואיים של ראש המוס

סייבר ופרטיות - רגולציה ותקינה

הרשות להגנת הפרטיות: חובת דיווח מיידי על אירוע סייבר שפוגע במידע אישי
סין מייחסת מתקפות סייבר בהיקף רחב ל-NSA; ארה"ב טרם הגיבה
רשויות האכיפה המדינתיות של ה-GDPR: אין לנו מספיק משאבים כדי לבצע את התפקיד הפיקוחי שלנ

כנסים

 
 

הציטוט השבועי

״הממשלה החליטה לסיים באופן מיידי את יחסיה הדיפלומטיים עם הרפובליקה האיסלאמית של איראן.״ 
 

ראש ממשלת אלבניה, אדי ראמה, בתגובה למתקפת הסייבר האיראנית על מדינתו.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg

טוויטר

https://twitter.com/konfidas

4444.jpg

פייסבוק

https://www.facebook.com/konfidas

55555.jpg

חולשות חדשות

עדכון אבטחה לתוכנת Cisco NX-OS נותן מענה לחולשה ברמת חומרה גבוהה 

העדכון, שפורסם ב-2 בספטמבר, סוגר במוצר חולשה (CVE-2021-1588, CVSS 8.6) שמקורה ברכיב העברת המידע MPLS) Multiprotocol Label Switching), ואשר נובעת מחוסר באימות של בקשות echo-request ו-echo-reply בתפעול, בניהול ובתחזוקת המוצר. החולשה עלולה לאפשר לתוקף שאינו מאומת לשלוח בקשות echo-reply או echo-request לרכיב ה-MPLS שבמכשיר ולגרום לקריסתו ולהפעלתו מחדש, דבר שיכול להוביל לקריסת המכשיר באמצעות מתקפת מניעת שירות (DoS). 

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.

עדכון חירום לתיקון חולשת Zero-day בדפדפן Google Chrome, המשפיעה גם על הדפדפן Edge

עדכון החירום שפרסמה Google ב-2 בספטמבר לגרסת Chrome לשולחן העבודה עבור מערכות מבוססות Windows,Mac Linux ו-Android, מתקן חולשת Zero-day הידועה ככזו המנוצלת באופן פעיל. מקורה של החולשה (CVE-2022-3075, טרם פורסם ציון CVSS) באימות נתונים שאינו מספק ב-Mojo (אוסף של ספריות Runtime) והיא משפיעה גם על הדפדפן Edge של מיקרוסופט, המתבסס על מנוע ה-Chromium. חולשה זו היא חולשת ה-Zero-day השישית לה Google נותנת מענה השנה.
צוות קונפידס ממליץ למשתמשי הדפדפנים Chrome ו-Edge לעדכנם לגרסאותיהם האחרונות:
Chrome לשולחן העבודה - גרסה 105.0.5195.102

Chrome ל-Android - גרסה 105.0.5195.79

עבור Edge - גרסה 105.0.1343.27.


עדכוני אבטחה למוצרי QNAP נותנים מענה לחולשה קריטית המנוצלת על ידי הכופרה DeadBolt

בבוקר ה-3 בספטמבר הודיעה חברת QNAP כי זיהתה קמפיין מתמשך נגד מוצריה באמצעות כופרת DeadBolt.  הקמפיין נועד לפגוע במוצרי NAS של החברה אשר מריצים את תוכנת Photo Station ומחוברים לרשת. העדכונים מטפלים בחולשה הרלוונטית למוצרי QTS בגרסאות 4.2.6, 4.3.3, 4.3.6, 5.0.0 ו-5.0.1, ובנוסף להם פרסמה החברה מדריך הקשחה הממליץ על נקיטת הפעולות הבאות: התקנת התוכנה myQNAPcloud, הטמעת עדכונים למערכת ההפעלה של המוצרים ועדכון כלל האפליקציות במוצר.

צוות קונפידס ממליץ למשתמשי QNAP לעדכן את מוצרי ה-NAS שלהם בהקדם ולעיין במסמך ההקשחה שפרסמה החברה

דרך לניצול חולשה בתוסף הזדהות של WordPress מפורסמת בפומבי

מנגנון האימות של Simple Single Sign On, תוסף ל-WordPress של חברת Dash10 המיועד לביצוע חיבור לממשק האתר דרך הזדהות SSO, נמצא פגיע, ובהתאם להגדרות המוחלות עליו עלול אף לאפשר חיבור לממשק האדמין של האתר. החולשה (CVE-2022-2083) התגלתה על ידי אישטוואן מרטון, חוקר Iana.codes שגילה כי כאשר המשתמש מופנה לאתר צד ג' לצורך להזדהות, בנתיב (URL) האתר קיימת פונקצית הפניה (Redirect) אשר כוללת את הנתיב שהמשתמש יופנה אליו לאחר התחברות מוצלחת, ואשר מקודדת בקידוד URL שניתן לפענוח בקלות. פונקציה זו מכילה את ״סוד המשתמש״ (Client Secret Token), השווה ערך לסיסמה, ואת ערך זיהוי המשתמש (Client ID). חשיפתו של סוד המשתמש מאפשרת, בשילוב עם ערך זיהוי המשתמש, חיבור ללא סיסמה לממשק המשתמש של האתר. החולשה יכולה להיות מנוצלת בקלות רבה גם באמצעות קוד, כאשר מרטון עצמו פרסם במאמרו קוד בשפת Python המנצל אותה ומעביר את הערכים שהקלדתם בשורת הנתיב בדפדפן יביאו לחיבור מוצלח. החולשה רלוונטית רק לגרסת ה-Pro של התוסף, משום שמנגנון האימות באמצעות SSO אינו זמין בגרסה החינמית שלו.

צוות קונפידס ממליץ להסיר את התוסף בגרסת ה-Pro ולחפש לו חלופה, היות שאינו נתמך יותר ואינו ניתן עוד להורדה. 

עדכון אבטחה למוצר Thunderbird של Mozilla נותן מענה ל-4 חולשות, אחת מהן בדרגת חומרה גבוהה

החולשה (CVE-2022-3033, CVSS 7.5) שרמת חומרתה גבוהה, אשר נסגרה בעדכון לפלטפורמת ה-Email Client של Mozilla, עלולה לאפשר לתוקף מרוחק לקרוא ולשנות את תוכנם של מיילים.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה, Thunderbird 102.2.1.

עדכון אבטחה של Apple למכשירי iPhone ו-iPod ישנים נותן מענה לחולשה מנוצלת שרמת חומרתה גבוהה

העדכון, המתקן חולשה (CVE-2022-32893, CVSS 8.8) מסוג Out-of-bounds write המנוצלת באופן פעיל, רלוונטי עבור המכשירים iPhone 5s ,iPhone 6 ,iPhone 6 Plus ,iPad Air ,iPad mini 2 ,iPad mini 3 ו-iPod touch (דור 6). החולשה משפיעה על ה-WebKit, מנוע דפדפן המניע את Safari ודפדפנים אחרים הזמינים ב-iOS וב-iPadOS, והיא עלולה לאפשר לתוקף להריץ קוד שרירותי במהלך עיבוד תוכן אינטרנט בעל מבנה זדוני.
צוות קונפידס ממליץ לבעלי המכשירים לעדכנם לגרסתם האחרונה, iOS 12.5.6.

עדכוני אבטחה של Adobe נותנים מענה לחולשות בכמה ממוצרי החברה, בהן חולשות קריטיות

העדכונים רלוונטיים למערכות ההפעלה Windows ו-macOS, ולמוצרי Adobe הבאים:

Adobe Commerce - גרסאות 2.4.3-p2 ,2.3.7-p3 ,2.4.4 ,2.4.3-p2 ,2.3.7-p3 ,2.4.4 ומוקדמות יותר.

Adobe Acrobat and Reader - גרסאות 22.001.20169, 22.001.20169, 20.005.30362, 20.005.30362, 17.012.30249, 17.012.30249 ומוקדמות יותר.

Adobe Illustrator - שנת 2021 - גרסה 25.4.6 ומוקדמות יותר; שנת 2022 - גרסה 25.4.6 ומוקדמות יותר.

Adobe FrameMaker - שנת 2019 - גרסה 8 ומוקדמות יותר; שנת 2020 - גרסה 4 ומוקדמות יותר.

Adobe Premiere Elements - שנת 2022 - גרסה 20.0.

בין החולשות שנסגרות בעדכון מצויות כמה חולשות קריטיות, העלולות לאפשר הרצת קוד שרירותי בהתאם להרשאות המשתמש, התקנת תוכנות, הצגת, שינוי או מחיקת נתונים ויצירת חשבונות חדשים עם הרשאות משתמש מלאות. משתמשים בעלי חשבונות עם הרשאות נמוכות יותר במערכת עשויים להיות מושפעים מהחולשות פחות מכאלה שפועלים עם הרשאות אדמין.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.


עדכון אבטחה ל-Zyxel  נותן מענה לחולשה קריטית

יצרנית מכשירי הרשת Zyxel פרסמה עדכון אבטחה למוצרי ה-Networked Attached Storage) NAS), ההופכים את הנתונים המאוחסנים בהם לנגישים יותר למכשירים ברשת. החולשה (CVE-2022-34747, CVSS 9.8) שהתגלתה ונסגרה הינה מסוג הזרקת קוד מרחוק, ומצויה בשלושה דגמים של החברה:

NAS326 - גרסה V5.21) AAZF.11) ומוקדמות יותר

NAS542 - גרסה V5.21) ABAG.8) ומוקדמות יותר

NAS540 גרסה V5.21)AATB.8) ומוקדמות יותר

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות בהקדם.

ה-CISA פרסמה עדכונים ל-5 מערכות בקרה תעשייתיות

הפרסום של הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) מספק מידע על בעיות אבטחה נוכחיות ועל חולשות קיימות וניצולן בסביבת מערכות בקרה תעשייתיות (ICS). ה-CISA מעודדת משתמשים ומנהלי מערכות לעיין בהמלצות החדשות, להטמיע עדכונים רלוונטיים ולנקוט בצעדים להתגוננות מפני החולשות, בכל הנוגע למוצרים הבאים:

Triangle MicroWorks Libraries - מכילה חולשת Access of Uninitialized Pointer, שניצולה המוצלח עלול להוביל למניעת שירות (DoS) עבור כל שרת או לקוח המשתמשים בספריות המושפעות מהחולשה.

AVEVA Edge 2020 R2 SP1 וגרסאות מוקדמות יותר - מכילה מספר חולשות שניצולן המוצלח עלול לאפשר לתוקף להריץ קוד שרירותי מרחוק, לחשוף מידע או לבצע מתקפת DoS.

Cognex 3D-A1000 Dimensioning System - מכילה מספר חולשות שניצולן המוצלח עלול לאפשר שינוי לא מורשה של סיסמאות, העלאת הרשאות במערכת, זיוף לוגים של שינוי סיסמאות ועקיפת בקרות גישה לאינטרנט.

Hitachi Energy TXpert Hub CoreTec 4 - מכילה מספר חולשות שניצולן המוצלח עלול לאפשר לתוקף לבצע מתקפת DoS במוצר, לשנות הגדרות תצורה, להשיג מידע רגיש מהמכשיר ולטעון קושחה זדונית.

Delta Electronics DOPSoft 2 - מכילה מספר חולשות שעלולות לאפשר לתוקף להריץ בה קוד שרירותי מרחוק.


עדכוני אבטחה למוצרי Cisco נותנים מענה לחולשות ברמות חומרה שונות, בהן אחת ברמת חומרה גבוהה

העדכונים, שפורסמו ב-7 בספטמבר, מטפלים בליקויי אבטחה המשפיעים על מוצרי Cisco, לרבות חולשה ברמת חומרה גבוהה (CVE-2022-28199, CVSS 8.6) שנחשפה ב-(Data Plane Development Kit (MLNX_DPDK של NVIDIA בסוף החודש שעבר. מקור החולשה בחוסר בטיפול נכון בשגיאות ב-Network stack של DPDK, דבר אשר עלול לאפשר לתוקף מרוחק להפעיל מצב של מניעת שירות (DoS) ולהשפיע על שלמות נתונים ועל סודיות. DPDK מתייחס לסט של ספריות ומנהלי התקנים של כרטיסי ממשק רשת (NIC) לעיבוד פקטות מהיר, המציעים מסגרת וממשק API משותפים ליישומי רשת במהירות גבוהה. המוצרים המושפעים מהחולשה הם:

  • תוכנת Cisco Catalyst 8000V Edge

  • Adaptive Security Virtual Appliance - ASAv 

  • Secure Firewall Threat Defense Virtual (לשעבר FTDv)

בנוסף לכך, פורסם עדכון אבטחה לתוכנת Cisco SD-WAN vManage, הסוגר חולשה (CVE-2022-20696, CVSS 7.5) שעלולה לאפשר לתוקף סמוך שאינו מאומת בעל גישה לרשת הלוגית VPN0 לגשת גם ליציאות שירותי ההודעות במערכת פגיעה. ניצול מוצלח של החולשה עלול לאפשר לתוקף לצפות ולהחדיר הודעות לשירות ההודעות, מה שעלול לגרום לשינויי תצורה או לטעינה מחדש של המערכת.

פגם שלישי שתוקן על ידי Cisco הוא חולשה (CVE-2022-20863, CVSS 4.3) בממשק ההודעות Webex App, העלולה לאפשר לתוקף מרוחק שאינו מאומת לשנות קישורים או תוכן אחר ולבצע התקפות פישינג. חולשה זו נעוצה בכך שהתוכנה המושפעת אינה מטפלת כראוי בעיבוד תווים, דבר שיכול להיות מנוצל על ידי תוקף באמצעות שליחת הודעות בתוך ממשק האפליקציה.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.

התקפות ואיומים

הגונב מגנב פטור? מפתחי הנוזקה Prynt Stealer טמנו בקוד דרך לשרשר אליהם אחרונית מידע שנגנב על ידי תוקפים המשתמשים בה

בנוזקה Prynt Stealer, אשר נועדה לגניבת פרטי חשבונות משתמשים מדפדפנים, מרשתות VPN ומאפליקציות תקשורת ומשחקים שונים, משולבים חלקים בודדים מהקוד של הנוזקות AsyncRAT ו-StormKitty. הנוזקה, המונגשת בתשלום לכל המעוניין וניתן להשיגה גם בגרסה פרוצה (״קראק״), כוללת Backdoor שמעביר למפתחיה את המידע שנגנב על ידי תוקפים שרכשו מהם את הנוזקה, או שהשתמשו בגרסתה הפרוצה, כל זאת בהתבסס על Main קוד שהועתק מ-AsyncRAT ונועד להעברת המידע ממכשיר הקורבן לעמוד הטלגרם של התוקפים ולזה של מפתחי הנוזקה. בין אם התוקפים שרכשו את Prynt Stealer מייבאים את הנוזקה DarkEye Stealer, אשר לאחר הכניסה למערכת הקורבן מבצעת את פעולת הגניבה, ובין אם הם משתמשים בכלי משלהם להשלמת הגניבה - המידע הגנוב מועבר לתוקפים ולמפתחים. בכך מתבצע דלף מידע רחב היקף, בו התוקפים המשתמשים ב-Prynt Stealer אינם יכולים לערוב לכך שהמידע שנגנב לא יפורסם בדרך זו או אחרת. כמו כן, לנוזקה Prynt Stealer ישנו מנגנון Anti-detection, המהווה רשת ביטחון למשתמשים בה ומאפשר מעקב אחר התהליכים הרצים על מכשיר הקורבן (netstat ,wireshark ,cain ועוד). במידה ואחד מהתהליכים מזוהה, הנוזקה חוסמת לתוקפים את ערוצי ההתקשרות.

חוקרים גילו יותר מ-1,800 אפליקציות שהקוד שלהן חושף פרטי הזדהות ל-AWS

מרבית האפליקציות שהתגלו על ידי חוקרי חברת Symantec מיועדות ל-iOS, כ-47% מהן אף כללו מפתחות הזדהות המעניקים גישה מלאה למיליוני קבצים המצויים ב-Amazon S3. זאת ועוד, בבדיקה נוספת הבחינו החוקרים שאותם פרטי הזדהות מופיעים בקוד של אפליקציות שונות, אף על פי שנכתבו על ידי מפתחים שונים או נמצאות בבעלותן של חברות שונות. דבר זה נובע מכך שלעיתים קרובות מפתחי אפליקציות משתמשים באותם ספריות פיתוח, ערכות פיתוח (SDK) ורכיבים, לרוב מטעמי נוחות ומתוך חוסר מודעות אבטחתית. במקרה אחד גילו החוקרים שחברה המספקת לעסקים שירותי תשתית ותקשורת סיפקה ללקוחותיה SDK אשר כלל את מפתחות הגישה לתשתית החברה בענן, דבר אשר חשף לעולם את כלל המידע הפרטי של החברות המצוי בידי הספקית. מחולשות בשרשרת האספקה בכל האמור בפיתוח ניתן להימנע באמצעות חקר וסריקה אבטחתית מקדימים של SDKs ושל ספריות פיתוח, ועל ידי הטמעת הליך פיתוח מאובטח בחברה.

פגם בתכנון של מנהל החבילות pip עבור שפת התכנות Python עלול להוביל להרצת קוד אוטומטית על עמדות

בעת ניצול הפגם, שהתגלה במודול pip המשמש להורדת חבילות קוד של Python, מתבצעת הרצת קוד אוטומטית על העמדה. הפגם, אשר מתבטא בסקריפט setup.py, שמשמש את המודול למתן מידע אודות גרסאות החבילה, מבנה החבילה והחבילות בהם היא תלויה, מאפשר להריץ את הקוד כבר בעת הורדת החבילה אל המחשב, גם ללא התקנתה. הדבר מתאפשר משום שהסקריפט setup.py, שמורד עם החבילה, מורץ ברקע, ויכול להיכתב על ידי תוקף כך שיכיל תוכן זדוני שיורץ אוטומטית על ידי pip ביחד עם קוד לגיטימי שיבצע את הפעולות עבורן נועד הקובץ. עוד נמצא ששליש מהחבילות שבפלטפורמת PyPi נגועות בקוד זדוני המנצל את הפגם, כאשר תכונה מדאיגה זו של pip כבר עלתה לדיון ב-2014, בפרויקט ב-GitHub המכונה PyPa, אך טרם קיבלה מענה. את ניצול הפגם ב-pip יכולות למנוע חבילות Python בטוחות להתקנה המכילות קובצי "whl." ומהוות חלק מהמערכת של Python, משום שהן כוללות מנגנוני אבטחה המונעים את ניצול הפגם ב-pip. קובצי tar.gz המפורסמים עבור פלטפורמת PyPi ללא קובץ "whl." המצוות אליהם הינם מסוכנים לשימוש וכוללים את הסקריפט setup.py, המופעל בעת ההורדה וההתקנה. במידה וקיימים קובץ "whl." וקובץ tar.gz בחבילה אחת, pip תתן עדיפות לקובץ ה-"whl.", כאשר בגרסאות חדשות של Python, מנהל החבילות pip ייצור אוטומטית קובץ "whl." משני בנוסף לקובץ tar.gz, שלאחר מכן יתפרסמו ביחד ב-PyPi. קיום קובץ ה-"whl." יבטל את הרצת הסקריפט setup.py.

צוות קונפידס ממליץ לכל המפתחים שעובדים עם פלטפורמת PyPi ודומות לה לוודא שהחבילה המורדת/מותקנת על המחשב היא בעלת הסיומת "whl.". כמו כן, לפני ההורדה אל המחשב יש לבדוק את מוניטין, מקור ומפרסם החבילה.

הנוזקה Sharkbot התגנבה בחזרה לחנות האפליקציות Google Play, בגרסה משופרת המאפשרת גניבת פרטי התחברות לחשבונות בנק

הנוזקה Sharkbot, ששבה אל החנות של משתמשי Android, מתמקדת בגניבת פרטי כניסה לאפליקציות בנקאיות ומופצת דרך אפליקציות שביחד רושמות רבבות הורדות. Sharkbot מוחדרת למכשיר באמצעות שתי אפליקציות, Mister Phone Cleaner ו-Kylhavy Mobile Security, שמתחזות לאנטי-וירוס ולמנקה קבצים, שתיהן עברו את הבדיקות האוטומטיות של Google משום שלא הכילו כל זכר לקוד זדוני או לדרישה לקבלת הרשאות מיוחדות. ואולם, Sharkbot מותקנת במכשיר באמצעות ״עדכון״ לאותן אפליקציות, לאחר שהורדו והותקנו על ידי המשתמש. למרות ששתי האפליקציות הוסרו מהחנות של Google, משתמשים שכבר התקינו אותן עדיין נמצאים בסיכון לחשיפת פרטים, ועליהם להסירן ידנית ממכשיריהם. בגרסתה החדשה, הנוזקה גונבת עוגיות מחיבורים שמבוצעים לחשבונות בנק, בנוסף ליכולות שאפיינו את גרסתה הקודמת, בהן רישום לחיצות מקשים, יירוט הודעות SMS, יצירת דומיינים ועוד. תהליך הורדת הגרסה החדשה מתחיל בהתקנת והפעלת אחת מהאפליקציות שצוינו לעיל, שאחריהן נשלחת לשרת C2 שברשות התוקף בקשה להורדה ישירה של קובץ ה-APK של Sharkbot. לאחר הורדת הקובץ, המשתמש מקבל התראה לביצוע עדכון לאפליקציה. בפועל, בשלב זה מותקן קובץ ה-APK של הנוזקה, כשהמשתמש מעניק לאפליקציה את כלל ההרשאות, מתוך מחשבה שמדובר בעדכון של אפליקציה ״לגיטימית״. לאחר ההתקנה, חטיפת העוגייה בהתחברות המשתמש לחשבון בנק נעשית באמצעות שימוש בפקודה LogsCookie, והנתונים נשלחים לשרת ה-C2 של התוקף. על מנת להקשות על גילוי הנוזקה, הגדרותיה מוצפנות באמצעות אלגוריתם RC4. בחקירה שביצעו חוקרי Fox-IT הם הבחינו שהקמפיין פעיל בספרד, באוסטריה, בגרמניה, בפולין ובארצות הברית.

צוות קונפידס ממליץ לבעלי האפליקציות להסירן ממכשיריהם, לשנות את פרטי הכניסה לחשבון הבנק שלהם ולהחיל על תהליך ההתחברות אימות דו-שלבי (2FA), במידה וניתן.

חברת Samsung מדווחת על דלף של מידע רגיש

בהודעה שפרסמה החברה נאמר שחוותה אירוע סייבר, כאשר בסוף יולי תוקף הצליח לגשת למידע שהיה שמור בחלק ממערכות החברה בארצות הברית. סמוך ל-4 באוגוסט, במסגרת חקירה שביצעה, החברה זיהתה שמידע אישי של לקוחות הושפע במהלך האירוע. בינתיים, Samsung נקטה בצעדים לאבטחת המערכות שנפרצו, הפעילה חברה צד ג׳ המתמחה בניהול משברי סייבר, ומתאמת את דיווחיה ופעולותיה בהתאם לרגולציות ולהנחיות רשויות האכיפה. ב-Samsung מדגישים כי לא נחשפו באירוע מספרי ביטוח לאומי או מספרי כרטיסי אשראי, אך בחלק מהמקרים המידע שנחשף הכיל שמות מלאים, דרכי התקשרות ותאריכי לידה. החברה יצרה קשר עם הלקוחות שדליפת המידע עשויה להיות רלוונטית להם והזהירה אותם בנוגע לאיומים בפניהם הם ניצבים.

 

קבוצת התקיפה הצפון קוריאנית Lazarus מקושרת ל-RAT החדש MagicRAT

קבוצת התקיפה, המקושרת לממשל הצפון קוריאני וידועה גם בשמות APT38 ו-HIDDEN COBRA, קושרה כעת לרוגלה הטרויאנית החדשה MagicRAT, שאינה נחשבת לפורצת דרך או משתמשת בשיטות שטרם נראו, אך מעידה על המוטיבציה של הקבוצה לבנות ולפתח נוזקות ורוגלות חדשות ולהמשיך בפעילותה חובקת העולם. Lazarus, אשר מנסה לשמור על חשאיות ולהימנע מגילוי תוך פעילות לאורך זמן, ״בנתה את הרוגלה החדשה באמצעות Qt Framework, על מנת להקשות על ניתוחה על ידי אנשים ולמידת מכונה״, כך לדברי אחד החוקרים שגילו את MagicRAT. הרוגלה מסוגלת להעניק לתוקף Remote shell ובכך לאפשר לו להריץ קוד זדוני מרחוק, להוריד נוזקות או רכיבי נוזקה נוספים משרתי C2 ואף להשתלט על פלט ממצלמות וידאו המחוברות למחשב הקורבן. בכלל מזהי התקיפה (IOCs) וממצאי המחקר ניתן לעיין בדוח המלא של חברת Talos.

צוות קונפידס ממליץ לארגונים להזין את ה-IOCs במערכות ההגנה שלהם.

קמפיין תקיפה חדש מנצל חולשות קריטיות בנתבי D-Link 

מחקר טכני חדש של Unit 42, יחידת המחקר של Palo Alto Networks, חושף קמפיין תקיפה חדש נגד נתבי D-Link מדגמים שונים, המנצל את 4 החולשות להרצת קוד על מחשבי הרשת המחוברים לנתב ולצירופם לרשת בוטים, על מנת להשתמש בהם למתקפות מניעת שירות (DDoS) נרחבות. 3 מהחולשות המנוצלות בקמפיין (CVE-2018-6530 ,CVE-2022-26258 ,CVE-2022-28958) קיבלו את ציון החומרה CVSS 9.8 ואילו אחת מהן (CVE-2015-2051) קיבלה את ציון החומרה CVSS 10.0, כולן נסגרו בעדכוני תוכנה שפרסמה החברה לנתבים. אי לכך, עדכון תוכנת הנתב לגרסתה העדכנית ביותר תגן על משתמשי המוצרים מפני חולשות אלה.

צוות קונפידס ממליץ למשתמשי הנתבים לוודא שגרסת מערכת ההפעלה שלהם מעודכנת לזו האחרונה.

נוזקת Shikitega מתקינה כורי קריפטו על עמדות Linux

צוות המחקר של AT&T Alien גילה נוזקה חדשה הפועלת נגד עמדות ומכשירי IoT שמשתמשים במערכת ההפעלה Linux, והינה בעלת מאפיין מיוחד של שימוש בשרשרת הדבקה בת שלושה שלבים, שלפני סיומו של כל אחד מהם לא ניתן לדעת מהו המשכו של ה-Payload. הנוזקה משתמשת בקוד פולימורפי, כך שה-Payload מפוענח באופן הדרגתי, כתלות בשלבים הקודמים שהסתיימו, דבר המקשה, כמובן, על זיהויה. לאחר הדבקה ראשונית בקובץ ELF, נוצר קשר עם שרת ה-C&C של התוקפים, המאוחסן בשירותי ענן לגיטימיים, להורדת נוזקה נוספת, אשר לא תאוחסן בכונן הקשיח אלא תבוצע מהזכרון בלבד. נוזקה זו תוציא אל הפועל את Mettle, ה-Meterpreter של Metasploit, המאפשר לתוקף להריץ פקודות מרחוק, ״לרחרח״ ברשת ועוד. לאחר הורדת קבצים נוספים וניצולן של שתי חולשות חדשות יחסית (CVE-2021-4034 ו-CVE-2021-3493), תבוצע בעמדה העלאת הרשאות ויהיה ניתן להתקין בה את כורה הקריפטו XMRig, הכורה מטבעות Monero. דבר זה מוכיח את רצון התוקפים להישאר רלוונטיים ו״להכות בברזל בעודו חם״ בכל הנוגע לתקיפת מערכות רגישות המשתמשות ב-Linux, תוך ניצול חולשות חדשות יחסית. בשלב הבא, על מנת לבסס אחיזה ממושכת בעמדה נעשה שימוש בסקריפטי Shell המגדירים ב-Crontab מספר משימות שיאפשרו את הפעלת והגדרת הכורה בעמדה.  בשלב הבא נמחקים כל הקבצים שהורדו במהלך שרשרת ההדבקה, כדי להקשות על זיהוי הנוזקה. 

צוות קונפידס ממליץ להטמיע בארגונים מוצרי הגנה, לרבות EDR, לדאוג לשרת שישמש כשרת גיבוי לקבצים ולהטמיע את עדכוני האבטחה המפורסמים מטעם יצרנים בהקדם. ניתן לנהל את הטמעת העדכונים באופן חכם על ידי שימוש במערכת ניהול ייעודית, לדוגמת Automox. 

קבוצת ההאקרים האיראנית החדשה APT42 מפעילה נוזקה המותאמת אישית למכשירים מבוססי Android

מדוח של חברת Mandiant המנתח את פעילות הקבוצה עולה כי הנוזקה שזוהתה פותחה למטרות ריגול ומעקב אחר מטרות שונות, והיא כוללת יכולות של האזנה לשיחות, ייצוא תוכן של הודעות טקסט, האזנה למכשיר 24/7 ומעקב אחר מיקומו בכל רגע נתון. הנוזקה מופצת בעיקר באמצעות הודעות SMS לקורבנות איראניים, אך נמצא גם דף נחיתה להורדת אפליקציות בערבית המשויך לקבוצה, דבר אשר עשוי להעיד על הפצת הנוזקה גם מחוץ לאיראן. הנוזקה מאפשרת לתוקפים להשיג מידע רגיש ולעקוף הגבלות ממשלתיות על מכשירים. לדברי Mandiant, בפברואר האחרון התחזתה הקבוצה למקור עיתונאי בריטי במטרה לפרוץ לחשבונות של מרצים למדעים מבלגיה ומאיחוד האמירויות הערביות, על ידי חציבת פרטי התחברות בטכניקות פישינג מתקדמות, בחלק מהמקרים באמצעות מייל השייך לאותו מקור עיתונאי בריטי, אליו הצליחו התוקפים להשיג גישה. באופן זה יצרו התוקפים קשר עם הקורבנות 37 ימים לפני ששלחו את הלינק הזדוני לדף הפישינג, שהינו עמוד נחיתה שהתחזה לממשקי התחברות לגיטימיים. באמצעות שימוש בטכניקת Adversary-in-the-Middle (או AiTM) אף עלה בידיהם של חברי הקבוצה לגנוב קודי אימות דו-שלבי (2FA) של חשבונות. טכניקה זו מאפשרת להפוך את דף הנחיתה לשרת פרוקסי שמתווך את פרטי ההתחברות ואת קוד האימות בזמן אמת מול שרת נוסף שמבצע את אימות המשתמש. באוקטובר 2019 ניסתה קבוצת התקיפה לפרוץ לחשבון ה-Gmail הפרטי של מרצה ועורך עיתון איראני אשר מתגורר בישראל, ובפברואר אשתקד ניסתה לפרוץ לחשבון ה-Gmail של בכיר בממשלת ישראל, באמצעות דף פישינג שחיקה את דף ההתחברות של Gmail. ניתוח מלא של הטכניקה ושל פעילות הקבוצה ניתן למצוא בדוח המלא של Mandiant.

השבוע בכופרה

Ragnar Locker תוקפת יעדים במגזרי האנרגיה והתעופה

בדוח ניתוח איומים של חברת Cybereason מנותחת הנוזקה Ragnar Locker, המפעילה ומפיצה כופרות מאז 2019 ומתמקדת בתעשיות קריטיות באמצעות שיטת הסחיטה הכפולה. לאחרונה טענה הקבוצה כי פרצה למערכותיה של DESFA, חברת צינורות הובלה יוונית, בהתקפה שממשיכה את המגמה העכשווית של מתקפות כופרה על חברות של צינורות הובלה, המפורסמות שבהן הן התקיפה נגד Colonial Pipeline האמריקאית בשנה שעברה (ראו ״הסייבר״, 13.5.21), תקיפת יצרנית האנרגיה והגז הטבעי הסינית ENN Group על ידי קבוצת הכופרה Hive ותקיפתה של Creos/Encevo, חברת אנרגיה מלוקסמבורג, על ידי BlackCat (ראו ״הסייבר״, 4.8.22). לתקיפתה הנוכחית של DESFA היוונית חשיבות גדולה, מעצם מיקומה האסטרטגי של יוון בכל הנוגע להובלת אנרגיה, שכן דרכה מוזרם גז לאירופה, בין היתר מישראל. לשכת החקירות הפדרלית (FBI) עוקבת אחר הכופרה של Ragnar Locker עוקבת מאז שפרצה ליותר מחמישים ארגונים בעשרה מגזרים של תשתיות קריטיות.

בתוך כך, ב-26 באוגוסט פרסמה חברת התעופה הפורטוגלית TAP שחסמה מתקפת סייבר שכוונה נגדה, ולא מצאה ראיות לגישה לא נאותה שבוצעה לנתוני לקוחות. עם זאת, התקיפה הביאה לחוסר יציבות בתפקוד האתר והאפליקציה של החברה.
על פי אתרה של קבוצת התקיפה Ragnar Locker בדארקנט, נראה שהיא אחראית למתקפה, כאשר בתגובה לפרסום החברה הפורטוגלית טוענת הכנופייה כי דווקא הצליחה לגשת למידע של לקוחות. להוכחת טענותיה, היא העלתה לרשת דוגמית מהמידע הכוללת מידע של לקוחות בנפח מאות GB, ומידע אישי של 9,000 אנשים, בכדי שחברת התעופה ״תפסיק לשקר״ ולטעון שלא נגנב מידע אישי ושהיא נוקטת באמצעים להגנה על לקוחותיה. זאת ועוד Ragnar Locker הציבה בפני החברה דדליין - להודות בהיקפה האמיתי של המתקפה עד ליום שלישי, אלא שלאחר מכן, לדברי Ragnar Locker חברת התעופה TAP תקפה אותה במתקפת מניעת שירות (DDoS). בתגובה, היא פרסמה רשומת בלוג נוספת, שהכילה פנייה מפורשת למנכ״ל חברת התעופה, עם בקשה חוזרת שיתדווה על היקף התקיפה ויפסיק ״לשקר ללקוחות״. במקביל, Ragnar Locker האריכה את הדדליין עד ליום שישי, בטענה שאם לא תיענה דרישתה - היא תפרסם את כלל המידע המלא שנגנב, אודות כ-100 אלף איש. 

בדוח ניתוח האיומים של Cybereason מפורטים מנגנוני הפעולה של Ragnar Locker, זאת באמצעות ניתוח דינמי וסטטי של שתי דגימות. מהחקירה עולה שעם הרצת הכופרה על ידי הקובץ Ragnar Locker.exe נוצרים 3 תהליכים, notepad.exe ,vssadmin.exe ו-Wmic.exe, שמתוכם נוצרים תת-התהליכים הבאים:

  • shadowcopy wmic.exe delete: פקודת מערכת המוחקת את כל ה-Shadow copies במערכת הקורבן ומונעת ממנו לשחזר נתונים.

  • vssadmin delete shadows /all /quiet: פקודת מערכת המוחקת גם היא Shadow copies ומונעת שחזור נתונים על ידי הקורבן.

  • notepad.exe [נתיב משתמש]\RGNR_AABBCCDD.txt: פקודה המפעילה את Notepad.exe לשם הצגת הודעת הכופר לקורבן.

מבחינת התהליך Ragnar Locker.exe, נראה שהוא מכיל 1,081 אירועי קבצים, הקשורים לקבצים המוצפנים ולנתיב החדש שלהם. כמו כן, לא נמצאו שום חיבור רשת בעקבות הפעלת הכופרה או מניפולציה של ערכים ב-Registry. הפעילות הראשונה ש-Ragnar Locker מבצעת היא בדיקה אם מיקום המחשב הנגוע הוא באחת מהמדינות החברות בחבר המדינות העצמאיות (CIS). במידה והתשובה חיובית, הכופרה מפסיקה לרוץ על העמדה הנגועה, ובמידה ולא - הכופרה מחלצת מהמחשב הנגוע מידע, כאשר ראשית נאספים שם המחשב ושם המשתמש באמצעות קריאות ה-API הבאות: GetComputerNameW ו-GetUserNameW. לאחר מכן, הכופרה מבקשת את ה-Registry כדי לאסוף את ה-GUID של המחשב ואת גרסת ה-Windows בה הוא משתמש. המידע שנאסף משורשר ועובר פונקציית גיבוב מותאמת אישית, על מנת להסתיר את הנתונים מהעמדה. לבסוף, לאחר שנבדק שהקובץ המוצפן עומד בקריטריונים של הקבוצה, שם הקובץ נשלח לפונקציה המצפינה את הקובץ המתאים באמצעות האלגוריתם Salsa20. לאחר כל הצפנה, Ragnar Locker מוסיפה את הסיומת "[שם המחשב המגובב]_ragnar." לקובץ המוצפן.

בדוח של Cybereason ניתן למצוא המלצות להתגוננות מפני הכופרה, בהן הפעלת תוכנת אנטי-וירוס במצב Protect על עמדות, הפעלת זיהוי Shadow copies והזנת מזהי התקיפה (IOCs) במערכות ההגנה של ארגונים.

מגזר האנרגיה האיטלקי על הכוונת: סוכנות האנרגיה האיטלקית וחברת הנפט Eni נפגעו במתקפות כופרה

ב-30 באוגוסט מסרה חברת הנפט האיטלקית Eni לחברת החדשות Bloomberg כי בימים האחרונים נפרצו רשתות המחשוב שלה וכי ״נראה שהשלכות הפריצה מינוריות״ הודות לזיהוי מהיר של גישה בלתי מורשית לרשתות פנימיות של החברה. ככל הנראה, Eni נפגעה ממתקפת כופרה על ידי גורם לא ידוע, ולדברי דובר החברה היא משתפת פעולה עם הרשויות להערכת השלכות המתקפה. האירוע מגיע על רקע תקיפתה בסוף השבוע של סוכנות האנרגיה האיטלקית הממשלתית Gestore dei Servizi Energetici, המפעילה את שוק החשמל האיטלקי ועל כן מהווה תשתית קריטית, על ידי קבוצת הכופרה BlackCat. מירקו גאטו, מנכ"ל חברת אבטחת הסייבר האיטלקית Yarix, אמר ל-Bloomberg כי ״קבוצות תקיפה המשתמשות בתוכנות כופרה מודעות לכך שכדי להבטיח את המשכיות שירותיהן - חברות האנרגיה עשויות להיות מוכנות לשלם סכומי כופר גבוהים בתמורה לפתיחת המערכות המושפעות״. עוד אמר כי ״להאקרים הפועלים בחסות מדינה עשוי להיות אינטרס לבצע התקפות זדוניות על מגזר האנרגיה במדינות אירופה, התלויות במיוחד בגז מרוסיה או ממקורות מחוץ לאירופה״. בהמשך לתקיפות, מערך הסייבר האיטלקי הוציא אזהרת תקיפה לחברות נוספות במגזר.

צוות קונפידס ממליץ לנטר כניסות לא מוכרות לרשתות ארגוניות באמצעות הטמעת מערכות הגנה וניטור בכלל נכסי הארגון.

ממשלת צ׳ילה הודיעה כי חוותה מתקפת כופרה שהביאה להשבתת שרתיה

לפי הודעת הממשלה, ב-25 באוגוסט חוו שרתיה מבוססי ה-Windows וה-Linux מתקפת סייבר שהובילה להשבתת כלל המערכות הווירטואליות שפעלו עליהם, וכל הקבצים שהיו בהם הוצפנו ונוספה להם הסיומת ״cryp.". לדברי ה-CSIRT של צ׳ילה (צוות התגובה לאירועי אבטחת מחשבים), הנוזקה בה השתמשו התוקפים לא זוהתה בפלטפורמת האנטי-וירוס בה השתמשו שרתי הממשלה, ובמהלך האירוע נעשה שימוש ב-NTRUEncrypt להצפנת קובצי log, קובצי הפעלה (exe.), קובצי DLL, קובצי Swap, קובצי דיסק וירטואליים (vmdk.), קובצי זיכרון (vmsn. ו-vmem.) ועוד. כמו כן, הנוזקה גנבה את הסיסמאות שהיו שמורות בדפדפני האינטרנט. בתוך כך, התוקפים יצרו קשר עם גורמים בממשלת צ'ילה והקציבו להם שלושה ימים למענה לדרישת הכופר, בטרם ימכרו את המידע הגנוב ברשת האפלה. נכון לכתיבת שורות אלה, טרם נלקחה אחריות על הפעולה על ידי קבוצת כופרה, אך לפי מזהי התקיפה שממשלת צ'ילה פרסמה, נראה כי קבוצת הכופרה החדשה RedAlert, המוכרת גם כ-N13V, היא זאת שביצעה את המתקפה. תקיפה זאת מצטרפת לתקיפות נוספות על מדינות באמריקה הלטינית, בהן פרו, הרפובליקה הדומיניקנית, קוסטה ריקה (ראו ״הסייבר״, 12.5.22) ומשרד הבריאות הברזילאי (ראו ״הסייבר״, 16.12.21). 

ארה״ב: קבוצת הפוטבול San Francisco 49ers שלחה הודעה ללקוחות שפרטיהם נגנבו בפריצה שביצעה השנה קבוצת הכופרה BlackByte

בפריצה, שאירעה ב-13 בפברואר (ראה ״הסייבר״ 17.02.22), נגנבו פרטיהם של יותר מ-20 אלף לקוחות של קבוצת הפוטבול, לרבות שמות ומספרי ביטוח לאומי. לדברי הקבוצה, מאז הפריצה נבדק איזה מידע נגנב במטרה ליצור קשר עם אלה שפרטיהם דלפו. למרות שלא נמסר אם התקיפה כללה פריסה מוצלחת של כופרה, במכתב ללקוחות צוין כי הארגון עדיין עוסק בשחזור מערכותיו, דבר שיכול להצביע על כך שהמכשירים שנפרצו גם הוצפנו. עוד נמסר כי קבוצת הפוטבול עובדת בצמוד לרשויות החוק ותומכת בחקירתן, ובמקביל נוקטת בצעדים למניעת מקרה דומה בעתיד.

ארה״ב: גוף החינוך השני בגודלו לחינוך יסודי נפגע במתקפת כופרה; ה-CISA וה-FBI מזהירים מפני תקיפות נוספות כנגד גופי חינוך

ה-LA Unified School District, המונה כ-640,000 תלמידים מלוס אנג׳לס ומרשויות קטנות יותר הסמוכות לעיר, דיווח כי ב-6 בספטמבר הותקף בכופרה, אך חרף הפריצה למערכותיו והשבתה של חלק גדול מהן - הארגון ובתי הספר המשיכו לפעול, תוך התמודדות עם קשיים שמקורם בעובדה שרוב האפליקציות, המחשבים ומערכות הלמידה שלהם נשענים על מערכות אימות שהושפעו מהפריצה. עקב הפריצה עלה חשש גדול מפני השבתה של מערך ההסעות והשכר, המבוסס גם הוא על מערכות ממוחשבות, אך למרבה המזל מערכות אלה המשיכו לפעול כסדרן. עם היוודע דבר התקיפה החל הארגון באיפוס סיסמאותיהם של כלל התלמידים, המורים, אנשי הצוות וההורים. לצורך חקירת האירוע והשבת המערכות לפעילות תקינה, מחלקת ה-IT של הארגון נעזרה בלשכת החקירות הפדרלית (FBI) ובסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), ששלחו אנשי צוות וסוכנים מטעמן. בשעה זו בתי הספר עובדים כסדרם, פרט למספר מערכות שוליות שעדיין מושבתות. 

תקיפה זה מגיעה בסמוך לאזהרה שפורסמה על ידי ה-FBI וה-CISA, לפיה קבוצת התקיפה Vice Society, הפעילה מאז קיץ 2021, תוקפת גופי חינוך, ובעיקר כאלה המיועדים לילדים מגיל גן ועד לסיום התיכון. Vice Society היא קבוצת כופרה הגונבת מידע רגיש ממערכות ומאיימת לפרסמו בתמורה לדמי כופר, תוך שימוש במגוון שיטות וכלים להשגת מטרותיה, בהם Cobalt Strike ו-PSEmpire. בין המלצות הסוכנויות להתגוננות מפני קבוצות מסוג זה: להקפיד על שמירת גיבויים מוצפנים ולא מקוונים, להקפיד על סקירת רמת אבטחת המידע של ספקי צד ג׳, ליצור תוכניות לניהול משברים, לבחור סיסמאות חזקות בעלות 8 תווים או יותר, לנהל סיסמאות באמצעות תוכנות ייעודיות, להשתמש ב-Salts בעת אימות התחברות, להימנע משימוש ב״רמזים״ במקרה שסיסמה נשכחה ולהפעיל מנגנון נעילה בעת נסיונות התחברות כושלים מרובים. עוד ממליצה ה-CISA על החלפת סיסמאות פעם בשנה (או מוקדם יותר, במידה וסיסמה נחשפה לגורם חיצוני) על פני החלפת סיסמאות תכופה, מכיווון שהחלפה תכופה עלולה ליצור בקרב המשתמש דפוס חוזר ביצירתה, ובכך להקל על תוקפים לגלותה.

צוות קונפידס ממליץ לעיין בדוח המלא של הסוכנויות, הכולל את כלל הממצאים, ההמלצות ומזהי התקיפה (IOCs), ולהזין את המזהים במערכות ההגנה של ארגונים. 


קבוצת InterContinental Hotels מדווחת על גישה בלתי מורשית למערכותיה

בהודעת הארגון דווח כי חלק ממערכותיו נפרצו והושגה גישה בלתי מורשית לערוצי ההזמנות והאפליקציה שלו, שחוו הפרעות משמעותיות החל מה-5 בספטמבר. ההפרעות מורגשות באתר ההזמנות,כאשר  לא ניתן להזמין חדרים חדשים או לגשת לפרטי הזמנות שבוצעו. כמו כן, נראה ששאילתות ה-API נכשלות ב-Backend, מה שעשוי להצביע על כך שיורגשו שיבושים בהזמנות גם דרך אתרים חיצוניים שעושים שימוש ב-API. על פי חוקר אבטחת המידע קווין בומונט, ככל הנראה מדובר במתקפת כופרה. בתוך כך, החברה הודיעה כי הגיבה לאירוע, בין היתר על ידי דיווח לרשויות הרגולטוריות הרלוונטיות, עבודה בצמוד לספקי הטכנולוגיה שלה וגיוס אנשי מקצוע נוספים לטיפול בתקרית. עוד נמסר כי החברה מתמקדת כעת בשחזור מלא של מערכותיה, בשיבה לפעילות מלאה ולהערכת הנזק שנגרם בעקבות הפריצה. לסיום הודיע הארגון כי יסייע לבעלי המלונות שנפגעו, ויעדכן בדבר התפתחויות נוספות, במידה ויהיו כאלה.

בית-החולים הצרפתי CHSF בתמונת מצב לאחר מתקפת הכופרה שחווה לפני שלושה שבועות; ירידה של 60% בתפוסת המיטות בטיפול נמרץ

בעקבות מתקפת הכופרה שפקדה ב-21 באוגוסט את בית החולים שבקורביי-אסון, מדרום לפריז (ראו ״הסייבר״, 25.8.22 ו״הסייבר״, 1.9.22) ואילצה אותו לעבור לעבודה במתכונת חירום, ב-2 בספטמבר פרסם המוסד הרפואי עדכון בנוגע למצבו, שזהו עיקרו:

  1. מאושפזים - קרוב ל-500 חולים מאושפזים כעת במוסד. לא הועברו מטופלים לבתי חולים אחרים, למעט 13 תינוקות שאושפזו בטיפול נמרץ ולצורך החייאה נאונטולוגית (ככל הנראה משום שלא ניתן היה לדעת מהן הוראות ההזנה הנדרשות עבורם, עקב קריסת מערכות בית המרקחת).

  2. טיפול נמרץ - חולים מורכבים עדיין מופנים לבתי חולים אחרים. כתוצאה מכך, יש ירידה של 60% בתפוסת המיטות בטיפול נמרץ עבור מבוגרים. ממוצע המטופלים היומי עומד על 90, לעומת 230 לפני המתקפה.

  3. חדרי ניתוח - ממשיכים לפעול. תוכניות המחשוב של חדרי הניתוח שוקמו, ובכל יום נעשית הערכת מצב בנוגע לחולים שניתן לנתח. כמות החולים המופנים לניתוחים מטיפול נמרץ קטנה בחצי. בוצעו ניתוחים בכ-200 חולים, ורק מטופל אחד נדחה בשל שיקולים משפטיים-רפואיים, שכן לא ניתן היה לבצע דימות לפני ואחרי הניתוח.

  4. נשים - במקצועות גינקולוגיה, מיילדות וקבלת קהל של נשים בהריון: תורים שנקבעו (פרט להתייעצות רפואית ואולטרסאונד) ומקרי חירום ממשיכים להתקבל כסדרם.

  5. מרפאות חוץ - מתקיימים התייעצויות רפואיות וטיפולים, לרבות מעקב אחר חולים כרוניים.

  6. מערכות מידע - שיקום מערכות בית החולים נעשה בסיוען של שתי חברות IR. בית החולים עדיין בתהליך שיקום, הצפוי להימשך מספר שבועות.

  7. רישום מידע רפואי - בית החולים עדיין מתנהל באמצעות רשומות רפואיות ידניות, הוראות ידניות ומרשמים ידניים. אמצעי התקשורת מוגבלים ומתבססים על טלפונים ניידים של העובדים.

  8. הגעה לבית החולים - היות ואין גישה לתיקים הרפואיים, מטופלים מתבקשים להגיע עם התיק הרפואי שלהם, לרבות מרשמים ותוצאות בדיקות הדמיה, מעבדות ובדיקות אחרות.

  9. מרכזיית בית החולים - עובדת, וניתן לתקשר עם בית החולים כדי לברר מידע על מטופלים ועל טיפולים שנקבעו.

בתוך כך, ממשיך המשא ומתן עם קבוצת התקיפה על תשלום הכופר, לצד הצהרות של גורמים רשמיים שאין בכוונתם לשלמו, אך אחת ההערכות היא שמטרת הפרסומים נועדה להכשיר את דעת הקהל לתשלום. על פי העיתונות הצרפתית, בית החולים נתקף על ידי LockBit, למרות שהדבר נוגד את חוקי ה-Affiliates שלהם, האוסרים באופן גורף על הצפנת מידע של מוסדות בהם הנזק עלול להוביל למוות, לרבות מרכזים קרדיולוגיים, מחלקות נוירוכירורגיות, בתי חולים ליולדות וכיוצא באלה. עם זאת, חוקי הקבוצה מתירים גניבת נתונים מכל מוסד רפואי. בשעה זו, לא נמצא באתרה של LockBit בדארקנט דלף המעיד על כך שאכן תקפה את בית החולים.

המלחמה במזרח אירופה

 

רוסיה: קבוצת ההאקרים Anonymous פרצה לאפליקציית המוניות Yandex וגרמה לפקק תנועה ענק במוסקבה 

כחלק מהקמפיין OpRussia המתנהל נגד חברות רוסיות, קבוצת האקרים פרו-אוקראינית פרצה ל-Yandex, שירות המוניות הגדול ביותר ברוסיה, ושלחה עשרות מוניות לאותו רחוב בעיר הבירה. בכך נגרם פקק תנועה מאסיבי, שנמשך שעות. התקיפה מצטרפת לשורת פעולות המהוות חלק מהלוחמה האלקטרונית שמתנהלת במזרח אירופה בין קבוצות התומכות באוקראינה לקבוצות תקיפה רוסיות. דובר Yandex, איליה גרבובסקי, הודה בתקרית בהצהרה לאתר החדשות ״רויטרס״, באמרו כי "המתקפה הספציפית זוהתה בשלב מוקדם מאוד על ידי צוות האבטחה של Yandex ונוטרלה לחלוטין לפני שנגרם נזק כלשהו". עוד הוסיף כי בשל תגובתו המהירה של צוות האבטחה של החברה לא נפגעו בתקיפה נתונים של משתמשים. 

חברים לשעבר בקבוצת התקיפה Conti משתמשים בטכניקות מתוחכמות של הקבוצה לתקיפת מטרות באוקראינה

על פי פרסום של ה-TAG, קבוצת מחקר האיומים של Google, מאז אפריל ביצעה קבוצת תקיפה בשם UAC-0098 סדרת תקיפות נגד בתי מלון, ארגונים לא ממשלתיים ומטרות אחרות באוקראינה, כאשר מסתמן כי חלק מחבריה הינם חברי Conti לשעבר, שמשתמשים באותן טכניקות מתוחכמות כדי למגר את ניסיונותיה של אוקראינה להדוף את הפלישה הרוסית. על פי הסברה, UAC-0098 פועלת כמתווך לגישה ראשונית למערכות עבור קבוצות כופרה שונות, בהן Quantum ו-Conti, וכן עבור קבוצת תקיפה רוסית המכונה FIN12/WIZARD SPIDER. לדברי החוקר פייר-מארק בירו, פעילותה של UAC-0098 מדגימה את טשטוש התיחום בין קבוצות בעלות מוטיבציה כספית לבין קבוצות הנתמכות על ידי ממשלות, במה שממחיש מגמה בה קבוצות תקיפה משנות את מיקודן כדי להתאימו לאינטרסים גיאופוליטיים אזוריים. פרסומה של ה-TAG כולל פירוט אודות 5 קמפייני תקיפה שונים שביצעה UAC-0098:

  • קמפיין פישינג במייל שבוצע בסוף אפריל הפיץ את הנוזקה AnchorMail (המכונה גם LackeyBuilder) בהתבסס על פתיונות בדמותן של כותרות מיילים כגון ׳Project 'Active citizen ו-"File_change,_booking.

  • קמפיין פישינג במייל שבוצע בחודש מאי וכוון נגד ארגונים בתעשיית האירוח. המיילים התחזו לכאלה שנשלחו מטעם משטרת הסייבר הלאומית של אוקראינה וניסו להדביק מטרות בתוכנה הזדונית IcedID.

  • קמפיין פישינג אחר שכוון נגד תעשיית האירוח וארגון לא ממשלתי הממוקם באיטליה, במהלכו נעשה שימוש בחשבון של מלון הודי שנפרץ, על מנת להערים על הקורבנות.

  • קמפיין פישינג שהתבסס על התחזות לאילון מאסק ולמיזם הלוויינים שלו StarLink, בניסיון לגרום למטרות במגזרי הטכנולוגיה, הקמעונאות והממשל באוקראינה להתקין נוזקות.

  • מסע פרסום עם יותר מ-10,000 הודעות דואר זבל אשר התחזו לכאלה שנשלחו מטעם שירות המסים של אוקראינה. למיילים צורף קובץ ZIP שניצל את החולשה (CVE-2022-30190) הקריטית Follina (ראו ״הסייבר״, 2.6.22).
    ה-TAG הצליח לשבש את הקמפיין.

סייבר בעולם

 
 

ממשלת אלבניה מגרשת דיפלומטיים איראניים בעקבות מתקפת סייבר על המדינה 

ממשלת אלבניה מנתקת את יחסיה הדיפלומטיים עם איראן בעקבות מתקפת סייבר שחוותה ב-15 ביולי, וביום רביעי ה-7 בספטמבר הורתה על גירוש מיידי של דיפלומטיים איראניים מהמדינה, תוך 24 שעות. זוהי הפעם הראשונה בה מדינה מנתקת יחסים עם מדינה אחרת על רקע מתקפת סייבר. 

בנאום מצולם אמר ראש ממשלת אלבניה אדי רמה ש"תגובה קיצונית זו, שאינה רצויה אך כפויה עלינו לחלוטין, עומדת בהלימה מלאה לחומרה ולסיכון של מתקפת הסייבר שאיימה לשתק את השירותים הציבוריים, למחוק מערכות דיגיטליות ולפרוץ לרשומות המדינה״. בתקיפה השתתפו ארבע קבוצות איראניות שפעלו בחסות הממשל, אחת מהן ביצעה בעבר מתקפות סייבר נגד ישראל, ערב הסעודית, איחוד האמירויות הערביות, ירדן, כוויית וקפריסין.

בין השירותים שנפגעו במתקפה באלבניה מצויים תשלומים ממשלתיים, זימון תורים לבדיקות רפואיות, רישום תלמידים לבתי ספר, אתרי האינטרנט של הפרלמנט האלבני ושל משרד ראש הממשלה והפורטל e-Albania, דרכו ניגשים האלבנים למספר שירותים ציבוריים. זאת ועוד, התוקפים הדליפו נתונים של ממשלת אלבניה, לרבות פרטים על מיילים שנשלחו על ידי ראש הממשלה ומשרד החוץ.

מחקירה משותפת של האירוע שבוצעה על ידי אלבניה וארצות הברית עלה שממשלת איראן היא זו שתקפה את אלבניה, החברה בברית נאט״ו. בהצהרת הבית הלבן בנושא נכתב כי ״הגענו למסקנה שממשלת איראן ביצעה מתקפת סייבר פזיזה וחסרת אחריות זו, ושהיא אחראית לפעולות הפריצה וההדלפה שלאחר מכן.״ ארצות הברית גינתה בחריפות את מתקפת הסייבר של איראן נגד בעלת בריתה אלבניה והתחייבה לנקוט בצעדים נוספים נגד איראן. גם ממשלת אנגליה הצטרפת לייחוס ולגינוי.

לאורך השנים קיימת מתיחות בין אלבניה לאיראן, בין היתר בשל העובדה שאלבניה נתנה מקלט לקבוצת האופוזיציה האיראנית מוג'אהדין ח'לק (MEK), לבקשת ארצות הברית. אלבניה אף האשימה את איראן בתכנון התקפות טרור במוקדמות מונדיאל 2018, וגירשה בתגובה לכך דיפלומטים איראנים משטחה, כולל את השגריר האיראני. 

כצפוי, ממשלת איראן דוחה את ההאשמות האלבניות. דובר משרד החוץ האיראני נאצר כנעני ציין כי "בתור אחת המדינות שהיוו יעד להתקפות סייבר על התשתית הקריטית שלה, הרפובליקה האיסלאמית של איראן דוחה ומגנה כל שימוש במרחב הקיברנטי כאמצעי לתקיפת תשתיות של מדינות אחרות". 

​​ה-NSA מפרסמת טיפים למפתחים לאבטחת שרשרת האספקה של התוכנות המפותחות על ידם 

הטיפים שפרסמה הסוכנות האמריקאית לביטחון לאומי (NSA) נועדו לסייע למפתחים להימנע מהתקפות סייבר המכוונות נגד תוכנות קנייניות וקוד פתוח, ולעזור לארגונים במגזר הפרטי והציבורי בארצות הברית להגן על עצמם מפני התקפות שרשרת אספקה. בהנחייה שפורסמה נאמר כי התקפות סייבר מהעת האחרונה, כדוגמת מתקפות ה-SolarWinds (ראו ״הסייבר״, 24.12.20) וכאלה המנצלות נקודות תורפה, כגון החולשה Log4j (ראו ״הסייבר״, 16.12.21), מדגישות את האיום הגלום בחולשות בתוכנות בשרשרת האספקה, שלדברי ה-NSA הן בעלות פוטנציאל לשמש נשק בידי יריבים של מדינות לאום, תוך שימוש בטקטיקות וטכניקות דומות. הנחיות הסוכנות בנושא פותחו על ידי קבוצת העבודה ESF, הכוללת שיתוף פעולה בין תעשיות ציבוריות ופרטיות, ובראשה ה-NSA והסוכנות האמריקאית להגנת סייבר ותשתיות (CISA). פעילות הקבוצה נועדה לתת מענה למפתחים, לספקים וללקוחות, בתגובה לצו הנשיאותי של ג׳ו ביידן בנושא אבטחת סייבר, המיועד לסוכנויות פדרליות. לדברי שתי הסוכנויות, אחריותם של ספקי התוכנה כוללת שמירה על שלמות ואבטחת התוכנה באמצעות הסכמים חוזיים, ביצוע עדכונים לתוכנה והודעות על חולשות ונקיטת פעולות להפחתתן. ההנחיות מכסות שיטות פיתוח מאובטחות, איומים פנימיים, קוד פתוח, אימות של רכיבי צד ג׳ והקשחת סביבות בנייה ואספקת קוד. בתוך כך, המרכז הלאומי הבריטי לאבטחת סייבר (NCSC) צופה שהתקפות על שרשראות אספקה ​​ימשיכו להיות וקטור תקיפה אטרקטיבי בשנים הקרובות בשל היקפן, השימוש הנרחב ברכיבי תוכנה של צד ג׳, מעורבות של גורמים אנושיים (למשל במתקפות פישינג) ועוד. ה-NSA ממליץ למפתחים לבצע ניתוח קוד סטטי ודינמי, בנייה עם מבחני אבטחה ורגרסיה, מיפוי תכונות בהתאם לדרישות התוכנה המפותחת, תעדוף ביקורות קוד ובדיקת קוד קריטי על בסיס קבוע.

ה-FBI מזהיר משקיעים מפני פלטפורמות DeFi, שספגו ברבעון הראשון של השנה גניבות בסך יותר ממיליארד דולר

לשכת החקירות הפדרלית (FBI) פרסמה הודעה לציבור הרחב ובה אזהרה מפני השקעות בפלטפורמות ובפרויקטי קריפטו, עקב עלייה בפגיעויות שזוהו בפלטפורמות DeFi ומנוצלות על ידי תוקפים לביצוע גניבות. לדברי ה-FBI, פושעי סייבר מנצלים הן את העניין הרב של משקיעים בפרויקטי DeFi והן את הפרצות הקיימות בחוזים חכמים בהם עושים הפרויקטים שימוש. באחד המקרים המתוארים באזהרה, תוקפים הצליחו לנצל חולשה במנגנון אימות החתימה של מגשר הטוקנים (Bridge) בפלטפורמת DeFi לצורך משיכת כלל ההשקעות הפלטפורמה, בסך 320 מיליון דולר. ה-FBI ממליץ למשקיעים לחקור פלטפורמות DeFi, פרוטוקולים רלוונטיים וחוזים חכמים בטרם ביצוע השקעה בגופים או במיזמים הקשורים אליהם, וכן לוודא שהגוף או הפרויקט בהם משקיעים ערך ביקורות לקוד בו הוא משתמש או מפתח. לגופי DeFi ממליץ ה-FBI לנטר פעילויות בפלטפורמות בזמן אמת, לנתח נתוני שימוש ולערוך בדיקות קוד קפדניות, כל זאת בנוסף ליצירה והטמעה של תוכנית פעולה בעת משבר סייבר. 

ממשלת פינלנד מתכננת לסבסד שירותי אבטחת מידע לחברות בעקבות התגברות איומי הסייבר

גורמים בממשלת פינלנד מאמינים שבקשת מדינתם להצטרף לנאט״ו מציבה אותה בסבירות גבוהה על הכוונות של האקטיביסטים. אי לכך, הממשלה מתכננת לסבסד תרגולי סייבר ושיפור מוצרי הגנה, או הטמעתם באמצעות שובר, שעל פי הפרסומים יהיה בגובה של כ-15 אלף דולר עבור עסקים קטנים ובינוניים וכ-100 אלף דולר עבור חברות גדולות (כ-70% מימון של תחום אבטחת המידע בסקטור הפרטי). עד כה, הדיונים בין גורמים ממשלתיים ובתי עסק בפינלנד בנושא הסבסוד התרכזו בעיקר בספקי תשתיות קריטיות במדינה, אך בכוונת הממשלה לבנות תהליך שיסייע גם לעסקים מקומיים קטנים.

TikTok מכחישה את הטענה שנפרצה ושנגנבו ממנה קודי מערכת ומידע על משתמשים 

בהמשך לדיווח מהשבוע שעבר על כך שמיקרוסופט שיתפה עם חברת TikTok חולשה (CVE-2022-28799, CVSS 8.8) שמצאה באפליקציות הקשורות אליה (ראו ״הסייבר״, 1.9.22), ב-2 בספטמבר טענה קבוצת ההאקרים AgainstTheWest כי הצליחה לפרוץ למאגרי המידע של חברות TikTok ו-WeChat (אפליקציית התכתבויות סינית) דרך שרת הענן של Alibaba, שם שמורים יותר מ-2 מיליארד רשומות ו-790GB של מידע על משתמשים, קוד, קבצי ״עוגיות״ אישורי מערכת ועוד, כך על פי פרסום הקבוצה. למרות שמה של הקבוצה, המעיד על פעילות נגד מדינות המערב, המידע שנגנב רלוונטי רק למדינות המזרח. בתוך כך, TikTok מסרה למגזין אבטחת המידע BleepingComputers שמבדיקה של צוות האבטחה שלה עולה שהשמועות על פריצה וגניבת מידע ממאגריה הינן שקריות, וכי הקוד שפרסמה קבוצת התקיפה הינו קוד האתר שבו בוצע הפרסום פרסמו. טורי האנט, בעליו של האתר HaveIBeenPwned, המאגד רשימות מאגרי מידע שדלפו לאינטרנט ומקטלג את סוגי המידע הכלולים בהם, טוען שהתכנים שפורסמו אכן מצביעים כי TikTok היא המקור להם, אך לא בטוח שהמידע מגיע מסביבת Production, וייתכן שמקורו בסביבת בדיקות, או שמדובר במידע אקראי אשר נועד לצורכי בדיקה. מנהל האתר Breached, בו פרסמה הקבוצה את המידע, מחק את המשתמש האחראי על הפרסום.

אתרו של המותג The North Face חווה דלף מידע

לדברי חברת ה-Outdoor, ב-11 באוגוסט זיהתה לראשונה פעילות חשודה באתרה והחלה בחקירת האירוע, ממנה עלה שבין ה-26 ביולי ל-19 באוגוסט חווה האתר מתקפת Credential Stuffing. במתקפות מסוג זה מנסים התוקפים להתחבר לחשבונות באמצעות פרטי הזדהות (שם משתמש וסיסמה) שמצאו במאגרי מידע שדלפו. לדברי The North Face, התוקפים הצליחו לאמת יותר מ-200 אלף חשבונות של לקוחותיהם, ובכך עלה בידיהם לגשת לנתונים כגון מוצרים שנרכשו על ידי לקוחות, שמות מלאים, תאריכי לידה, מספרי טלפון וקודים בהם נעשה שימוש בנקודות מכירה של המותג (XPLR). עם זאת, החברה הבהירה כי פרטי התשלום של לקוחות אינם נשמרים באתר, ולכן לא היה ביכולתם של התוקפים לגשת לכאלה.

צוות קונפידס ממליץ להשתמש בסיסמה ייחודית עבור כל פלטפורמה, ובמידת האפשר ליישם אמצעי אימות כפול (2FA) להתחברות לחשבונות. 

סייבר בישראל

 

משטרת ישראל מזהירה מפני מיילי פישינג הנשלחים בשמה לאזרחים ומודיעים על עבירת מהירות שביצעו, לכאורה

בהודעה שפרסמה המשטרה ב-5 בספטמבר היא קוראת לציבור שלא ללחוץ על הקישור המופיע במיילי הפישינג, אשר מוביל, כביכול, לתמונה שצולמה על ידי מצלמת המהירות. לאחר הלחיצה על הקישור שבהודעה הכוזבת נדרש הקורבן להזין פרטים אישיים, אשר בפועל מועברים לידי התוקפים.

אתר האינטרנט החינוכי של ״מטח״ נפרץ; פרטים של 30 אלף ישראלים דלפו

קבוצת ההאקרים המכנה עצמה ״הגנב הנדיב״ פרסמה ב-5 בספטמבר רשומות של רבבות ישראלים, אשר לטענה הינם מורים ותלמידים במערכת החינוך בארץ. במקביל, הקבוצה למכירה רשומות של כ-3 מיליון אזרחים ישראלים, הכוללות שמות מלאים, מספרי זהות, כתובות, מספרי טלפון כתובות מייל ועוד. חברת ״מטח״ (מרכז טכנולוגי חינוכי) הינה חברה לתועלת הציבור שעומדת מאחורי פלטפורמת ״אופק״ ללמידה דיגיטלית, ומפתחת טכנולוגיות נוספות בתחום החינוך. אירוע הסייבר התגלה במסגרת ההכנות לשנת הלימודים הנוכחית, ואולם מ״מטח״ נמסר כי ״בשלב זה המערכות עובדות כתקנן״. 

מבדיקה שערכה חברת קונפידס על סמך המידע שפרסמה קבוצת התקיפה בערוץ הטלגרם שלה עולה שרוב התלמידים שפרטיהם הודלפו עד כה נולדו בשנות ה-90 ובשנות ה-2000 המוקדמות, ואינם תלמידים בהווה. אי לכך, לא ברורה מידת העדכניות של הפרטים שהודלפו, אך בד בבד טרם ידוע אם המאגרים שלא פורסמו מכילים פרטים עדכניים יותר. עוד נמצא בבדיקתנו רב אודות בתי ספר ומחשבים לרבות כתובות IP, שמות מחשבים סיסמאות ועוד. ״הגנב הנדיב״ מציגה עצמה כקבוצה שמטרתה לנקום בממשלה על יחסה למורים, ובערוץ הטלגרם שלה נכתב "בסדר מספיק! סוף סוף בתקופה הזו פגעתם מאוד במורים, מה חושבים אם עכשיו אנחנו נטריד אתכם? להתחיל לקחת את הזכויות שלנו פרצנו למרכז הטכנולוגי-חינוכי הגדול ביותר בארץ (Cet)... וזה ממשיך". בשל העברית המשובשת המאפיינת את הודעות הקבוצה, ישנה הערכה לפיה מדובר בהאקרים פרו-איראנים או פרו-פלסטינים, המנסים לנצל את המשבר בין הממשלה לארגוני המורים לשם טשטוש זהותם האמיתית.

 

המגמה נמשכת: האקרים פרצו לבקרים תעשייתיים בישראל

מומחי סייבר אישרו את דבר הפריצה לבקרים תעשייתיים השולטים במערכות מים וביוב בישראל וחשופים לניצול של תוקפים. ב-4 בספטמבר פרסמו האקרים מקבוצת GhostSec תמונות וסרטון בעברית ממערכות של בקרים תעשייתיים, כהוכחה לכך שעלה בידיהם להשיג אליהם גישה. לדברי התוקפיםף הם הצליחו לגשת ל-55 בקרים בישראל, כל זאת רק חודשיים לאחר שחשפו את הפגיעות במערכת הביוב של אור עקיבא (ראה ״הסייבר״, 14.7.22). חוקרים ישראלים כבר הזהירו בעבר שבקרים תעשייתיים רבים בארץ ובעולם חשופים לפריצה דומה בכל רגע נתון, בעיקר משום שאופני ההתחברות אליהם אינם מאובטחים והם פתוחים אל האינטרנט בצורה המאפשרת גישה אליהם מכל מקום.

צוות קונפידס ממליץ לבעלי מערכות תעשייתיות מסוג דומה לאבטח את הגישה אליהן באמצעות VPN ולסגור את הגישה אל המערכות משאר מדינות העולם.

קבוצת האקרים פרו-פלסטינית פירסמה מסמכים רפואיים של ראש המוסד

ב-4 בספטמבר קבוצת ההאקרים Open Hands פירסמה בעמוד הטלגרם שלה תמונת סלפי של ראש המוסד דדי ברנע, שמקורה אינו ברור, לצד הכיתוב ״דדי, אתה מוכן לטיפ הבא?״. עוד פורסמו מסמכים רפואיים, בהם תוצאות בדיקות סקר תקופתי שנערכו, לכאורה, בבית החולים ״איכילוב״, ותמונות של מערכת השיניים של ראש המוסד, כביכול. לדברי גיל מסינג, ראש מטה הסייבר של Check Point, נראה שמטרתם העיקרית של פרסומים אלה היא תודעתית, שכן לא נגרם נזק ממשי מהמידע המודלף.

סייבר ופרטיות - רגולציה ותקינה

 

הרשות להגנת הפרטיות: חובת דיווח מיידי על אירוע סייבר שפוגע במידע אישי

השבוע פרסמה הרשות להגנת הפרטיות הבהרה בנוגע לפרשנותה של חובת הדיווח על "אירוע אבטחה חמור", כהגדרת המושג בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. לפי חידוד זה של מדיניות הרשות בהקשר האמור, המעוגנת בסעיף 11(ד)(1) של התקנות, חלה חובת דיווח מיידי אודות אירוע סייבר על בעל מאגר מידע ברמת אבטחה בינונית או גבוהה, כפי שרמות אלה מוגדרות בתקנות. נוסף על כך, הרשות עדכנה את טופס הדיווח הראשוני על אירוע אבטחה חמור (הטופס המעודכן נמצא כאן), באופן שמחייב לצרף לדיווח שיימסר את "כל הפרטים האפשריים הידועים לגורם המדווח בעת מילוי [הטופס]". הרשות ממשיכה ומנחה כי "יש לצרף כל אסמכתא אפשרית או פרט מידע שעשויים לסייע בחקירת האירוע ומצויים בידי הגורם המדווח בעת מילוי טופס זה". הדוגמאות המצוינות על ידי הרשות הן "קישורים רלוונטיים, צילומי מסך, לוגים של אפליקציות ומערכות רלוונטיות (מערכות לניטור, לניהול רשת, לשליטה ובקרה), וכדומה". בכך, הרשות מחדדת את ציפיותיה מארגונים שעוברים אירוע אבטחה חמור, או שקיים חשש לאירוע כזה, ומפנה ארגונים לרשימה הכוללת דוגמאות של אירועים שמהווים אירועי אבטחה חמורים המחייבים דיווח - וכאלה שאינם מחייבים דיווח. 

סין מייחסת מתקפות סייבר בהיקף רחב ל-NSA; ארה"ב טרם הגיבה

לדברי סין, ארצות הברית השתמשה בעשרות כלי סייבר על מנת להיכנס יותר מ-1,000 פעמים למערכות של האוניברסיטה הפוליטכנית נורת'ווסטרן שבסין, ולהוציא מהן מידע טכני רב. ב-5 בספטמבר דווח כי המרכז הסיני הלאומי לתגובת חירום לווירוסי מחשב (CVERC) וחברת אבטחת הסייבר 360 פרסמו ממצאים של חקירה שערכו אודות מתקפות סייבר על מערכות האוניברסיטה, שיוחסו לסוכנות האמריקאית לביטחון לאומי (NSA). דוברת משרד החוץ הסיני מאו נינג, אמרה כי "מתקפות הסייבר וגניבת המידע של ה-NSA נגד סין נתמכות בשרשרת ברורה ומלאה של ראיות, הכוללת 13 אנשי צבא אמריקאים שפתחו ישירות במתקפות סייבר נגד סין, ויותר מ-60 חוזים ו-170 מסמכים דיגיטליים עם מפעילי טלקום בארצות הברית, כדי לבנות סביבה להתקפות סייבר. הדוחות [של ה-CVERC ו-360] הראו כי ארצות הברית השתמשה ב-41 כלי נשק סייבריים מיוחדים לביצוע יותר מ-1,000 פעולות גניבת סייבר נגד האוניברסיטה הפוליטכנית נורת'ווסטרן וגנבה מידע טכני חשוב״. עוד הוסיפה מאו נינג כי ״ארצות הברית אף ביצעה מעקב אודיו חסר אבחנה נגד משתמשי טלפונים סלולריים סיניים, גנבה מהם הודעות טקסט באופן לא חוקי וביצעה איכון אלחוטי שלהם". טרם התקבלה תגובה פומבית של ארצות הברית לטענות שהועלו נגדה.

רשויות האכיפה המדינתיות של ה-GDPR: אין לנו די משאבים למילוי תפקידנו בתחום הפיקוח

לפי דוח חדש שפרסמה ב-5 בספטמבר המועצה האירופית להגנה על מידע (EDPB), רובן המכריע של הרשויות להגנת מידע אישי באיחוד האירופי האחראיות על פיקוח יישום ה-GDPR (הרגולציה הכללית להגנה על מידע) במדינות החברות באיחוד, מציינות במפורש שאין להן די משאבים לביצוע התפקיד. בין היתר, המדינות מייחסות את הפערים לעלייה ניכרת במספר התלונות שהוגשו (אוסטריה, ספרד, צרפת), להיעדרם של משאבים נוספים הנדרשים להן להגברת הבדיקות באתריהם של ארגונים (בולגריה) ולצורך בשיפור שיתוף הפעולה הבין-מדינתי (בולגריה, ספרד, צרפת). להלן תרשים מתוך הדוח הממחיש את תשובת הארגונים בנושא:

(מקור: Overview on resources made available by Member States to the Data Protection Supervisory Authorities, עמ' 5)

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.

 
bottom of page