עדכון שבועי 08.12.2022

Google חושפת רוגלות שפגעו ב-Chrome ,Firefox ו-Windows Defender

ממחקר שפרסם ה-TAG, צוות ניתוח האיומים של Google, העוקב מזה שנים אחר תוכנות ריגול מסחריות, עולה כי חברת Variston IT מברצלונה מכרה את תוכנת Heliconia framework, אשר מכילה 3 רוגלות שמנצלות חולשות קיימות במוצרים האמורים, מספקות את כל הכלים הדרושים לחיבור למכשיר היעד ומציעות לממשלות יכולות מעקב וריגול מתקדמות אחר עיתונאים, פעילי זכויות אדם, חברי אופוזיציה ומתנגדי משטר. החולשות המנוצלות על ידי הרוגלות סומנו כחולשות Zero-day ותוקנו על ידי Google ו-Mozilla בשנה שעברה ובתחילת השנה הנוכחית.

כל אחת משלוש תת-הרוגלות הכלולות ב-Heliconia framework משמשת לסוגים אחרים של מתקפות:

1. Heliconia Noise: ניצלה ב-Google Chrome בגירסאות 90.0.4430.72 (אפריל 2021) עד 91.0.4472.106 (יוני 2021) חולשה שהיתה עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE), אך תוקנה על ידי Google באוגוסט 2021.

2. Heliconia Soft: סוג של Web framework המשתמש בקובץ PDF שמכיל ניצול של חולשה ב-Windows Defender, שתוקנה בנובמבר 2021.

3. Heliconia Files: ניצלה חולשה בדפדפן Firefox של Mozilla במערכות ההפעלה Windows ו-Linux, שאפשרה להריץ קוד מרחוק (RCE). לדברי Google, החולשה רלוונטית לגרסאות Firefox מ-64 עד 68, מה שמרמז שייתכן והרוגלה היתה בשימוש כבר בדצמבר 2018, כאשר פורסמה גרסה 64 של הדפדפן.

ואולם, בחלקו האחרון של הדוח נטען כי הרוגלות כבר אינן מאיימות על שום משתמש של אף אחד מהמוצרים האמורים, במידה ואלה מעודכנים לגרסאותיהם האחרונות. את המחקר המלא ניתן למצוא כאן.

צוות קונפידס ממליץ לוודא שאפשרות העדכונים האוטומטיים מופעלת במערכות מבוססות Windows, ולעדכן את הדפדפנים האמורים לגרסאותיהם האחרונות. 

​

האקרים מנצלים חולשה חדשה ב-Redis על מנת להתקין גרסה מעודכנת של הנוזקה Redigo

הגרסה החדשה של הנוזקה, הכתובה בשם Go, מתמקדת בשרתי Redis (שרתים לאחסון מידע על בסיס Key–value), במטרה להשתלט עליהם ובכך, ככל הנראה, להקים רשת בוטנטים לשם ביצוע מתקפות מניעת שירות (DDoS) או לגניבת מידע רגיש מהשרתים, להעמקת המתקפה. על פי מחקר של חברת Aqua, התוקפים מנצלים חולשה קריטית (CVE-2022-0543, CVSS 10) בשרתים, שמקורה ב-Sandbox escape שבמנוע הסקריפטים Lua, על מנת להתקין בהם את Redigo. החולשה, שנחשפה בחודש מרץ השנה על ידי Juniper Threat Labs, כבר נוצלה בעבר על ידי הבוטנט Muhstik, והיא עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE). שרשרת ההדבקה של הנוזקה מתחילה בסריקת שרתי Redis פגיעים בפורט 6379, לשם כניסה ראשונית. לאחר מכן מורדת משרת מרוחק הספרייה exp_lin.so, שמכילה פקודה להורדת Redigo מהשרת, כל זאת תוך ניסיון לשוות לפעילות התוקף נראות לגיטימית, על ידי שימוש בפורטי 6379. 

האקרים חותמים אפליקציות Android זדוניות בתעודות מפלטפורמות פרוצות

לוקאש סיווירסקי, חוקר מטעם Google, גילה כי תעודות שנמצאות בשימוש החברות Samsung ,LG ו-MediaTek, המייצרות סמארטפונים מבוססי Android, מנוצלות לחתימה על אפליקציות זדוניות. תעודת פלטפורמה משמשות לחתימת אפליקציות Android במערכת אפליקציות. לרוב, הן מקושרות למשתמש בעל הרשאות גבוהות (android.uid.system) ומכילות הרשאות מערכת, לרבות הרשאות גישה למידע אודות משתמשים. לכן, אפליקציית Android זדונית החתומה בתעודה כזו עשויה לקבל הרשאות גבוהות בתוך מערכת ההפעלה של Android, ובכך ייתכן ויתאפשר לה לאסוף מידע רגיש ממכשירים עליהם היא מותקנת. בחיפוש ב-VirusTotal אחר מזהי התקיפה (IOCs) שפורסמו, נראה שהם זוהו כ-Metasploit, כתוכנות פרסום (Adware), כגונבי מידע ועוד. לדברי Google, היא העבירה את המידע לכל הספקים הרלוונטיים, על מנת שיבצעו החלפת תעודות. עד מסרה החברה כי לא נמצאו ראיות לכך שהאפליקציות הזדוניות הורדו מחנות האפליקציות הרשמית Play Store.

 

קבוצת Lazarus מפיצה אפליקציות קריפטו מזויפות הגונבות מידע ומטבעות דיגיטליים

דוח שפרסמה חברת Volexity עוסק בהפצת אפליקציות המתחזות לתוכנות מסחר קריפטו לגיטימיות ומכילות את הנוזקה AppleJeus, פעילות אשר קושרה על ידי החוקרים לקבוצת התקיפה הצפון קוריאנית Lazarus, שנצפתה מפיצה את הנוזקה מאז 2018. בקמפיין הנוכחי, אשר פעל מיוני עד אוקטובר השנה, התוקפים יצרו אתר אינטרנט בשם bloxholder[.]com, המהווה העתק מדויק של אתר כלי המסחר בקריפטו HaasOnline. האתר מכיל ״קובץ להתקנת התוכנה״, אשר בפועל מתקין את הנוזקה, שיוצרת על מחשב הקורבן משימה קבועה ומתקינה את עצמה וקבצים נוספים בנתיב %APPDATA%\Roaming\Bloxholder\. עד כה זיהו החוקרים שהנוזקה בודקת את כתובת ה-MAC, את שם המחשב ואת גרסת מערכת ההפעלה שלו, ושולחת את המידע לשרת C2 באמצעות בקשת POST, ככל הנראה על מנת לזהות אם הנוזקה הורצה במכונה וירטואלית. פעילות זו הינה חלק ממאמץ מתמשך של גורמי תקיפה צפון קוריאנים להשגת כספים ומשאבים, תוך התמקדות בולטת במטבעות קריפטוגרפיים. 

​

משטרת ספרד עצרה 55 פעילים של Black Panthers, קבוצת האקרים המתמחה בהונאות SIM

בין העצורים גם מנהיג הקבוצה, אשר התמקדה בהונאת חברות התקשורת המספקות שירות לקורבנות. בטרם יצירת הקשר עם החברות, התוקפים נהגו לאסוף מידע על קורבנותיהם באמצעות פישינג ומאגרי מידע שונים. לאחר מכן פנו התוקפים לחברות התקשורת בשם הקורבנות וביקשו להעביר את מספר הטלפון של ה-SIM המקורי ל-SIM חלופי, בטענה כוזבת לפיה ״הטלפון אבד ולכן נקנה SIM חדש״. החלפת כרטיס ה-SIM המקורי באחר אפשרה לתוקפים לגשת לחשבונות הבנק של הקורבנות ולאפליקציות נוספות הדורשות אימות דו-שלבי (2FA). לדברי המשטרה הספרדית, כ-100 איש נפלו קורבן לפעולות הקבוצה, אשר במסגרתן נגנבו כ-250,000 יורו.

​

חוקרים איתרו ב-Google Play אפליקציות זדוניות ל-Android שהורדו יותר מ-2 מיליון פעמים

על פי פרסום חדש של Dr.Web, המבוסס על נתונים שנאספו ממוצרי האנטי-וירוס של החברה, אפליקציות זדוניות המוסוות בחנות האפליקציות Google Play כאפליקציות שימושיות מרגלות אחר משתמשים וגונבות את המידע שלהם. אחת מהאפליקציות הללו היא TubeBox, שהורדה יותר ממיליון פעמים, ומבטיחה גמול כספי עבור צפייה בסרטונים ובפרסומות באפליקציה. ואולם בפועל, משתמשים המנסים לקבל את התשלום המגיע להם נתקלים בשגיאות שונות ואינם מצליחים לקבלו. לדברי חוקרי Dr.Web, מטרת מפתחי האפליקציות היא למקסם את זמן השימוש במוצרים, ובכך לייצר הכנסות לעצמם, ולא למשתמשים. עוד איתרו החוקרים במהלך החודש האחרון אפליקציות המכילות סוס טרויאני מסוג Android.FakeApp, המשמש להונאות תוך הבאת משתמשים להשתתפות בסקרים מפוקפקים ולהרשמה עם פרטי חשבונותיהם בפלטפורמות אחרות, כל זאת לשם איסוף מידע אישי אודותם. מן המחקר עלה כי הטרויאני התחזה לאפליקציית משקיעים, שלכאורה היתה קשורה ישירות לבנקים וחברות רוסיים, וכי התוקפים הפיצו פרסומות ברוסית לפיהן האפליקציות מלמדות כיצד לבצע השקעות ולסחור באופן עצמאי. באופן זה הובטחה, כביכול, הכנסה גבוהה למורידי האפליקציות.

​

חוקרים מחברת Wiz חושפים חולשה ראשונה מסוגה בתשתית ענן, המאפשרת הרצת קוד בתשתיות של לקוחות

רונן שוסטין ושיר תמרי מחברת Wiz הם החוקרים שגילו את החולשה בתשתיות הענן של IBM ל-Databases מסוג PostgreSQL. החולשה קיבלה את הכינוי Hell's Keychain, משום שניצולה מבוסס על שרשור של 3 מפתחות אבטחה חשופים: מפתחות גישה לחשבונות שירות של Kubernetes, סיסמאות Registry של קונטיינרים פרטיים ופרטי אימות של שרתי CI/CD, כל זאת בהינתן הרשאות מתירות מדי לרשתות פיתוח פנימיות של חברות. מתווה התקיפה האמור עלול לאפשר הרצת קוד זדוני מרחוק (RCE) על סביבות עבודה של לקוחות לצורך קריאה וכתיבה של מידע המאוחסן ב-Database מסוג PostgreSQL. לאחר הדיווח של Wiz, חברת IBM סגרה את החולשה עבור כל לקוחותיה, ולא נדרשת כל פעולה מצד האחרונים. עוד לדברי החברה, אין אינדיקציה לכך שמערכות הענן שלה או שירותיה נוצלו על ידי גורמים זדוניים. Hell's Keychain ממחישה כיצד פרטי אימות המפוזרים ב-Cleartext בסביבת העבודה של חברות, בין אם מדובר בתשתית ענן ובין אם בסביבת עבודה של מיקרוסופט מסוג Active Directory, עלולים להעמיד את הארגון בסכנה ממשית. כמו כן, החולשה ממחישה את הצורך בבקרות על תשתית הסביבה הארגונית, ומדגימה כיצד גישה בלתי מאושרת ל-API של Kubernetes הינה מתווה תקיפה שכיח, שעלול להוביל לגישה בלתי מאושרת אל קונטיינרים בסביבות עבודה. בפרסום של Wiz מופיע המחקר המלא, לרבות מידע על האופן בו ניתן לנצל את החולשה.

צוות קונפידס ממליץ לעובדים בסביבות ענן לפעול על פי הנחיות היצרן להקשחת הסביבה ולבצע באופן תכוף בקרות של הגדרות האבטחה.

​

בית חולים בפרברי פריז נאלץ לפנות מטופלים בעקבות מתקפת כופרה 

בית חולים ״אנדרה מיניו״ שבוורסאי נפגע ב-3 בדצמבר ממתקפת סייבר, שאילצה אותו לסגור את מערכות הטלפוניה והמחשוב שלו. כתוצאה מהמתקפה, שישה מטופלים פונו כבר באותו ערב לבתי חולים אחרים, מהם שלושה ממחלקות טיפול נמרץ ושלושה מיחידת היילודים. פינויים נוספים ייתכנו בהמשך. ב-5 בדצמבר מסרה סוכנות הבריאות האזורית איל-דה-פראנס (ARS) כי בית החולים ביטל את הניתוחים שהיו מתוכננים להתבצע בו וכי הוא מקיים קבלת קהל ופגישות ייעוץ בלבד. במקביל, צוות תגבור נקרא ליחידת הטיפול הנמרץ של המוסד, לשם מעקב אחר מכשור רפואי שנותק מהרשת וליווי צמוד ההכרחי למטופלים במחלקה. ה-ARS המליצה למטופלים שנקבע להם ייעוץ או טיפול במוסד (ניתוחים, כימותרפיה, הקרנות ועוד) לפנות לרופא המטפל או למחלקה שהוקצתה להם, על מנת שיופנו למחלקה רלוונטית במוסד אחר.

לדברי ז׳אן-נואל בארו, השר הממונה על טרנספורמציה דיגיטלית וטלקומוניקציה, בית החולים בודד מיד את המערכות הנגועות לצורך עצירת התפשטות המתקפה למערכות ולמכשור נוספים, ויידע את הסוכנות הלאומית הצרפתית לביטחון מערכות מידע (ANSSI) אודות האירוע. לדברי רישאר דלפייר, יו"ר-משותף של המועצה המפקחת של ״אנדרה מיניו״, התוקפים העומדים מאחורי אירוע הכופרה פרסמו דרישת כופר בסכום שאינו ידוע לו, ושאין בכוונת בית החולים לשלמו. בשעה זו, המתקפה נחקרת על ידי ANSSI ופרקליטות פריז, שאף פתחו בחקירה ראשונית בגין פריצה שחשפה נתוני מדינה וניסיון סחיטה, כל זאת לאחר שבית החולים הגיש תלונה רשמית בנושא ב-4 בדצמבר. מסוכנות הידיעות הצרפתית LeMaGit נמסר כי מאפייני התקיפה מצביעים על ניסיון התחזות לקבוצת הכופרה LockBit 3.0, המכונה גם LockBit Black. ההערכה שמדובר בהתחזות מתבססת, בין היתר, על כך שדרישת הכופר הראשונית המוצגת לקורבן הינה בסכום של 100 אלף דולר. ב״מתקפות אמת״ של LockBit, בהודעת הכופר הראשונית אין אזכור לסכום מסוים, וזה מועבר לקורבן בשיחה פרטית, התקיימת בהמשך. זאת ועוד, התכתבותה של הקבוצה עם הקורבנות התקיימה באמצעות פלטפורמת הודעות מוצפנת שלא נצפתה בעבר בשימוש LockBit.

לדברי שר הבריאות הצרפתי פרנסואה ברון, "אין זה מקובל שבריאות העם הצרפתי תילקח כבת ערובה. כל המאמצים ואנשי המקצוע מגויסים למען הבטחת בריאות המטופלים". עוד אמר השר כי המתקפה הביאה ל"ארגון מחדש מוחלט של בית החולים". בחודשים האחרונים בתי חולים ומערכות בריאות בצרפת היוו יעד למתקפות דומות, וזו אינה מתקפת הסייבר הראשונה שחווה ״אנדרה מיניו״. בין היתר, באוגוסט חווה בית החולים קורביי-אסון מתקפת כופרה, ושב לתפקוד תקין רק בחלוף שבועות (ראו ״הסייבר״, 25.8.22, ״הסייבר״, 1.9.22, ״הסייבר״, 8.9.22 ו״הסייבר״, 15.9.22).

​

נחשף קמפיין ריגול איראני המכוון נגד עיתונאים, חוקרים, אקדמאים, דיפלומטים ופוליטיקאים העוסקים בנושאים הנוגעים למזרח התיכון

לאחר שארגון ה-Human Rights Watch פרסם כי חשבונותיהם של שניים מעובדיו נפרצו, והחל בחקירת האירוע בסיוע צוות האבטחה של Amnesty International, התגלה כי נפרצו חשבונותיהם של 18 אנשים נוספים, בהם עיתונאים, חוקרים, אקדמאים, דיפלומטים ופוליטיקאים העוסקים בנושאים הנוגעים למזרח התיכון. ראשית המתקפות בקמפיין פישינג בו נשלחת אל הקורבן דרך ה-WhatsApp הזמנה לכנס, אשר לחיצה עליה מעבירה את הקורבן לעמודים המתחזים לכאלה של חברות כמו מיקרוסופט, Google ו-!Yahoo. עם הלחיצה על על הקישור הזדוני והזנת פרטי ההתחברות בעמודים המתחזים, התוקפים שולחים אל הקורבן קישור לדף מזויף לביצוע אימות דו-שלבי (2FA), ובכך נעקף האימות הכפול, במידה והוא מבוסס על SMS או אפליקציה (כיום לא ניתן לעקוף 2FA המבוסס על מפתח פיזי). באופן זה השיגו התוקפים מידע רגיש של שלושה קורבנות, לרבות פרטי ההתחברות לחשבונות המייל שלהם, כונני אחסון בענן, לוחות שנה, אנשי קשר ועוד. במקרה אחד, התוקפים השתמשו ב-Google Takeout - שירות המייצא את כל הפעולות והמידע של החשבון, לרבות היסטוריית חיפושים, תשלומים, נסיעות, מיקומים, פעילות ב-YouTube ועוד. קורבנותיו של אירוע זה היו כתב של עיתון אמריקאי גדול, אדם ממדינות המפרץ הידוע בפעילותו להגנה על זכויות נשים וניקולס נואה, יועץ הסברה לארגון פליטים בינלאומי, שבסיסו בלבנון. על סמך מזהים טכניים הקשורים למתקפות פישינג, כדוגמת כתובת IP בטהרן, ה-Human Rights Watch ייחס את הפריצה לקבוצת התקיפה APT42, הידועה גם כ-Charming Kitten. לדברי אביר גטאס, מנהל אבטחת מידע בארגון, "ההאקרים הנתמכים על ידי איראן משתמשים באגרסיביות בטקטיקות מתוחכמות של הנדסה חברתית ושל גניבת פרטי התחברות, על מנת לגשת למידע רגיש ולאנשי קשר שבבעלות חוקרים וקבוצות חברה אזרחית המתמקדים בענייני המזרח התיכון, דבר המגדיל באופן משמעותי את הסיכונים העומדים בפני עיתונאים ומגני זכויות אדם באיראן ובמקומות אחרים באזור". זו אינה הפעם הראשונה בה קבוצת התקיפה האמורה תוקפת אקדמאים באזורים אלה (ראו ״הסייבר״, 15.9.22).

צוות קונפידס ממליץ להזין במערכות הניטור של ארגונים את מזהי התקיפה (IOCs) המופיעים בדוח שפורסם.

נפרצו מערכותיה של השלוחה הקנדית של ארגון זכויות האדם Amnesty International

לדברי הארגון, הפריצה התרחשה בתחילת אוקטובר, על ידי קבוצת תקיפה סינית. האירוע התגלה ב-5 באוקטובר, לאחר שהארגון הבחין בפעילות חשודה בתשתיות ה-IT שלו, ובעקבות כך שכר את שירותיה של חברת אבטחת הסייבר Secureworks, לחקירת המתקפה ולהקשחת מערכותיו. מן החקירה עלה כי הפריצה בוצעה, ככל הנראה, באמצעות כלים וטכניקות המקושרים לקבוצת תקיפה ספציפית, הממומנת על ידי הממשל הסיני או פועלת בהוראתו. הקישור לקבוצה זו התבסס גם על המידע בו התמקד התוקף. טרם עלו מחקירתה של Secureworks עדויות להורדת מידע של תורמים או חברים בארגון. בתוך כך, Amnesty דיווחה על האירוע לרשויות החוק הרלוונטיות ופרסמה הודעה בנושא לצוות העובדים, לתורמים ולמחזיקי המניות בארגון.

​

תרמית קריפטו חדשה מתמקדת בעוקבי הטוויטר של אילון מאסק

במסגרת התרמית, המכונה Freedom Giveaway, עוקבים חדשים של מאסק מתווספים לרשימה בטוויטר שמציעה להם את ״עסקת השנה״, לכאורה, כאשר גורם זדוני מנסה לפתות אותם להפקיד מטבעות קריפטו בסכומים קטנים (0.02-1 ביטקוין), לארנק שבשליטת התוקפים, תוך הבטחת שווא לקבלת עד 5,000 ביטקוין בתמורה. מבדיקה שערך מגזין אבטחת המידע BleepingComputer עלה שתוך מספר שעות לאחר תחילת המעקב אחר חשבון הטוויטר של מאסק, התקבלה בקרב עוקבים חדשים נוטיפיקציה לפיה הם נוספו לרשימה Deal of the Year, שבשעה זו מכילה 155 משתמשים, על ידי מנהלה. עם קבלת ההודעה מופיע כיתוב שנראה כאילו פורסם על ידי חשבונו של מאסק, ואשר מבטיח, כביכול, מטבעות קריפטו בחינם ל-1,000 עוקבים חדשים. ההודעה כוללת את הכתובת freedomgiveaway[.]net, שבגלישה אליה מגיעים לשאלון מזויף. לאחר השלמתו מועבר הקורבן למסך בו הוא מתבקש להזין את כתובת ארנק הביטקוין שלו, לביצוע העברתם של מטבעות הביטקוין המובטחים. על מנת לשוות לאתר חזות לגיטימית, מופיעות בו תגובות מזויפות של אנשים שקיבלו, כביכול, את הכספים, ואולם בפועל ההפקדה לארנק התוקף אינה מזכה את הקורבן בדבר. מבדיקת החשבון שמוסיף את המשתמשים לרשימת Deal of the Year ושולח את ההודעה הזדונית נמצא כי המשתמש העומד מאחוריו הוא CroweYoshiko@. 

נחשף ארגון הונאה המתמקד בדוברי צרפתית באירופה

חברת האבטחה Group-IB חשפה הונאת השקעות שמתמקדת בצרפת, בבלגיה ובלוקסמבורג, במסגרתה קורבנות מפותים להעביר כספים לקבוצה המפעילה את הקמפיין, אותה כינה צוות הגנת הסיכונים של Group-IB בשם CryptosLabs. לדברי החוקרים, CryptosLabs, המפעילה את קמפיין ההונאה מאז 2018, היא עסק לא חוקי מאורגן, המתאפיין בהיררכיה עסקית, שכוללת את ראשי הקבוצה, סוכני ״מכירות״, מפתחים ומפעילי מרכזי תקשורת. על פי הערכות, כלל הגופים הפועלים תחת CryptosLabs שלשלו לכיסם כ-480 מיליון יורו במהלך שנות פעילותם. במחקרה הצליחה Group-IB לאתר יותר מ-300 דומיינים השייכים לקבוצה, המאוחסנים על כ-70 שרתים, ואת ה״נשק״ העיקרי שלה, ה-CryptosLabs scam kit, שמשמש כפיתיון להובלת קורבנות לערוצי השקעה מזויפים. ערוצים אלה מתחזים ל-40 מותגים אירופים מוכרים מעולמות הבנקאות, הקריפטו וניהול הנכסים. קורבנות התרמית, להם מובטח החזר גבוה על השקעתם, מאותרים באמצעות הודעות שמשאירים חברי CryptosLabs בפורומים של השקעות או אמצעי פרסום לגיטימיים ברשתות חברתיות ובמנועי פרסום, כאשר רוב המודעות כוללות לוגואים אמיתיים של חברות בנקאות, קריפטו ועוד, הפעילות בצרפת, בבלגיה ובלוקסמבורג. לחיצה על אחת מהמודעות הזדוניות תוביל את הקורבן לאתרים מזויפים המשתמשים בתבנית דומה, אשר אינה מאפשרת לו גישה מיידית ל״פלטפורמת ההשקעות״, אלא כוללת שלב של אימות פרטים על ידי מרכזי ההתקשרות של קבוצת ההונאה. עוד מקבל הקורבן הוראות והסברים על אופן הפעולה של ״פלטפורמת ההשקעה״, ובחיבור אליה מוצגים לו מספר גרפים וטבלאות עם נתוני החזר השקעה מזויפים וגבוהים, על מנת לפתותו לחתום על הסכם מזויף ולהפקיד סכום של 200-300 יורו על מנת להפעיל את החשבון. ההסכם נשלח לקורבן על ידי ״מנהל אישי״, אשר יוצר איתו קשר לאחר החיבור לפלטפורמה. לאחר מכן יוצגו לקורבן נתונים שקריים של גידול ורווח מהשקעתו, במטרה לפתותו להמשיך ולהשקיע דרך הפלטפורמה. קורבנות שמחליטים לצאת מההשקעה ולמשוך את כספיהם, נתקלים בהתנגדות מצד ה״מנהל האישי״, הדורש תשלום עמלה לטובת שחרור הכספים. לאחר ביצוע התשלום, הקבוצה נעלמת, ביחד עם הכסף.

סייבר בישראל

אזהרה לבתי החולים בארץ: מתחזה ניסה להשיג מידע מ״שערי צדק״

ב-6 בדצמבר הזהיר משרד הבריאות את בתי החולים בישראל מפני ניסיונות הונאה שמטרתם לחדור למאגרי המידע של המוסדות. האזהרה מגיעה על רקע ניסיון שהתרחש יום קודם לכן בבית החולים ״שערי צדק״ שבירושלים, כאשר מטלפן אנונימי התקשר אל המוסד מספר פעמים וניסה לקבל מצוות הארגון קוד גישה לאחד ממאגרי המידע של בית החולים. רבקה רודנסקי, מנהלת אגף מערכות המידע ב״שערי צדק״, סיפרה כי הגורם האנונימי שהתקשר למרכזיית בית החולים ניסה לגרום לעובדים לטלפן אליו בחזרה למספר מסוים ולהקריא לו הודעת SMS. המקרה הועבר מיד לטיפול גורמי הביטחון של בית החולים, ובהמשך גם לטיפולו של מומחה לאבטחת מידע. עוד אמרה רודנסקי כי התנהלות העובדים התאפיינה ברצינות מרשימה, וכי ניסיון התקיפה היה עלול לגרום לנזק רב אילולא מודעותם הגבוהה של צוות בית החולים לנושא. בתוך כך, במרכז הסייבר של מגזר הבריאות הישראלי התקבלה אינדיקציה לניסיון לביצוע מתקפת וישינג (פישינג באמצעות שיחות טלפון) בבית חולים. לדברי משרד הבריאות, שיטת הונאה זו מבוססת על הנדסה חברתית, כאשר "העברת פרטים לתוקפים עלולה להביא לפריצה לרשת הארגונית, הצפנת קבצים ומערכות, דלף או השמדת מידע, וגרימת נזק רב לחברות ולארגונים הנתקפים". המשרד המליץ לבתי החולים לבצע הדרכות בקרב עובדיהם לשם העלאת המודעות שלהם למתקפות מסוג זה וניצול ערוצי תקשורת לטובת התחזות לגורמים בכירים בארגון. עוד המליץ משרד הבריאות לאפיין וליישם נהלי עבודה במקרים דחופים או יוצאי דופן, על מנת לצמצם את הצורך בשיקול הדעת של העובדים תחת לחץ.

במקביל, איגוד מנהלי בתי החולים התריע בפני מנכ״ל משרד הבריאות כי בתי החולים אינם מוגנים מפני מתקפות סייבר ולא מוקצים משאבים משמעותיים לבניית מערך הגנה יעיל של מערכת הבריאות מול מתקפות אלה. ממשרד הבריאות נמסר בתגובה כי הוא ״רואה חשיבות גבוהה לשיפור הגנת הסייבר במערכת הבריאות ופועל להשגת המשאבים הנדרשים לכך. לשם כך מקיים משרד הבריאות סקרי סיכונים באופן שוטף במטרה לאמוד את מוכנות מערכת הבריאות להתמודדות עם איומי סייבר ועל מנת לשפר באופן מתמיד את יכולות ההגנה מפני מתקפות סייבר".

​

דוח תקדימי של מבקר המדינה: מבדקי חדירה חשפו ליקויים בהגנת הסייבר של צה"ל ושל מערכות המים, התחבורה, המיסים ובחינות הבגרות

דוח ביקורת שנתי בנושא סייבר ומערכות מידע שפורסם ב-6 בדצמבר על ידי מבקר המדינה מתניהו אנגלמן מתייחס באופן מקיף לליקויים שנמצאו במגזרים האמורים במשק הישראלי במהלך השנים 2021-2022, כאשר לכל תחום מוקדש בדוח פרק נפרד, בו מפורטים הפערים שאותרו במהלך הבדיקות. הממצאים הבולטים כוללים פערים משמעותיים בהגנת הסייבר על מערכות מידע ביומטרי המוחזק על ידי צה"ל, ליקויים במערכות משרד החינוך העלולים לסכן את אמינותם של ציוני הבגרות, ממצאים מיחידת שירות העיבודים הממוכנים של רשות המסים, המצביעים על סיכון המידע ומוניטין של הארגון, וכן רמת מוכנות סייבר נמוכה בקרב מספר תאגידים ברשות המים. עוד כולל הדוח ממצא גורף לפיו "ישראל לא מספיק ערוכה לאיומי סייבר במגזר התחבורה" (ראו תרשים להלן). בהקדמה לדוח מצוין כי המסמך "הוא ראשון מסוגו", בין היתר משום ש"משרד מבקר המדינה [ביצע] צעד תקדימי בארץ ובקרב מוסדות ביקורת מדינה בעולם - מבדקי חדירה למערכות הממוחשבות של כמה גופים מבוקרים המדמים תקיפת סייבר". הבדיקות האמורות נערכו בתיאום עם הגופים המבוקרים, אשר תיקנו ליקויים שנחשפו במערכותיהם גם במהלך תקופת הביקורת.

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

(מקור: דוח ביקורת - הגנת הסייבר במגזר התחבורה - 2022, עמ' 41)

​

קבוצת התקיפה האיראנית Agrius תוקפת דרך שרשרת אספקה של ספקים ישראלים

צוות המחקר של ESET חשף כי קבוצת Agrius, המזוהה כפעילה למען אינטרסים איראניות, תוקפת מספר רב של מטרות בדרום אפריקה, בהונג קונג, באיחוד האמירויות ובישראל באמצעות נוזקה משמידת מידע (Wiper) חדשה בשם Fantasy. מטרת הנוזקה, המופעלת מרחוק על ידי כלי המכונה Sandals, היא להשמיד נתונים על עמדות הקורבנות, והיא בעלת יכולת לסנן ולמחוק 682 סוגי קבצים בעלי סיומות רלוונטיות, בעיקר כאלה הקשורים ליישומי Office. בקמפיין הנוכחי של הקבוצה, שכוון נגד שרשרת אספקה של חברת תוכנה ישראלית, נפגעו מטרות ישראליות במגזרי היהלומים, משאבי האנוש וטכנולוגיות המידע, כמו גם גם מטרות בדרום אפריקה ובהונג קונג. הנוזקה בה נעשה שימוש הופצה באמצעות מוצר של חברת התוכנה, כאשר קיימות ראיות לפריסתה בחברת יהלומים בדרום אפריקה חודש לפני תחילת הקמפיין. עם הפעלתו היה הקמפיין פעיל משך 3 שעות, כאשר מספר שעות לאחר מכן פרסמה חברת התוכנה עדכון אבטחה לחולשה שאפשרה אותו. Agrius מסווה את תקיפותיה כמתקפות כופרה, ואולם מכך שהיא משתמשת בנוזקת Wiper ברור כי מטרתה האמיתית היא השמדת נתונים בלבד. בשעה זו מטרותיה העיקריות מצויות בישראל ובאיחוד האמירויות, אך לדברי ESET במרבית המקרים הארגונים שנופלים קורבן לפעילות הקבוצה חוזרים לתפקוד מלא תוך שעות ספורות. 

ארה״ב: הוועדה לסקירת בטיחות סייבר תסקור את קבוצת התקיפה $Lapsus

המחלקה לביטחון המולדת של ארצות הברית (DHS) הודיעה כי ה-CSRB תבחן את ההתקפות האחרונות שנקשרו ל-$Lapsus הבינלאומית, המתמקדת בסחיטת קורבנותיה. על פי דיווחים, $Lapsus השתמשה בטכניקות שונות לעקיפת בקרות אבטחה נפוצות, והסתננה בהצלחה למספר מערכות ושירותים של חברות באזורים גיאוגרפיים שונים, לרבות ארגונים רבים במגזר התשתיות הקריטיות (שירותי בריאות, מתקנים ממשלתיים ומתקני ייצור קריטי). "ככל שאיומי הסייבר ממשיכים להתפתח, הכרחי שכל הארגונים יכירו בכך שהם אינם בלתי מנוצחים," אמרה סגנית יו"ר ה-CSRB הת'ר אדקינס, והוסיפה כי הוועדה תסקור את פעילותה של $Lapsus על מנת לנתח את הטקטיקות בהן היא משתמשת ולעזור לארגונים להתגונן מפניה. ה-CSRB הינה יוזמה ציבורית-פרטית חלוצית, המפגישה מנהיגי ממשל ותעשייה לשם חקירה והפצה של המלצות בעקבות אירועי אבטחת סייבר משמעותיים (ל-CSRB אין סמכויות רגולטוריות או סמכויות אכיפה). הסקירה הראשונה שביצעה הוועדה התמקדה בחולשות שהתגלו בסוף 2021 בספריית התוכנה הפתוחה הנפוצה Log4j, כאשר דוח הסקירה שפורסם ביולי 2022 כלל 19 המלצות לפעולה עבור מגזרי הממשל והתעשייה. עם סיום כתיבת הדוח הנוכחי, הוא יועבר לנשיא ארצות הברית ג׳ו ביידן באמצעות השר לביטחון פנים ומנהלת הסוכנות להגנת סייבר ותשתיות (CISA). לדברי השר לביטחון המולדת אלחנדרו מיורקס, משרדו יפעל על מנת לסייע לחיזוק חוסן הסייבר במגזר הפרטי ובמגזר הציבורי.

המרכז האמריקאי למצוינות בסייבר מפרסם מסמך בנושא אונבורדינג של מכשירי IoT ברשתות 

המסמך שפרסם ה-NCCoE ב-5 בדצמבר כולל המלצות לשיפור תהליך ההטמעה של מכשירים ופריטים השייכים לאינטרנט של דברים (Internet of Things). לניהול מכשירים ופריטי IoT באופן מאובטח, חיוני להטמיע אותם ברשת באופן זהיר, מוקפד ומפוקח, בתהליך המכונה Trusted Network-Layer Onboarding. מסמך ההמלצות נועד להדגים את הדרכים שבהן ארגונים יכולים להגן הן על מכשירי ה-IoT שברשותם והן על רשתותיהם, והציבור מוזמן להעביר את הערותיו על המסמך עד ל-3.2.2023.

 

תקנות הגנת פרטיות חדשות בנוגע להעברת מידע אישי מהאיחוד האירופי לישראל: לקראת חידוש "החלטת התאימות" לגבי ישראל 

ב-29 בנובמבר פרסם משרד המשפטים את טיוטת תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), המכילה תקנות שמטרתן לתמוך בחידוש מעמד התאימות (Adequacy) שהוענק למדינת ישראל על ידי הנציבות האירופית ב-2011. הכרעה זו מצד הנציבות פירושה שבמדינה (במקרה זה ישראל) שאליה מועבר מידע אישי מחוץ לגבולותיהן של המדינות החברות באיחוד, קיימת רמת מספקת של הגנה על מידע אישי, בהתאם לנדרש על פי האסדרה במדינות האזור הכלכלי האירופי, ובעיקר תחת הרגולציה הכללית להגנה על מידע (GDPR). תהליך הבחינה של עמידתה של ישראל ברמת ההגנה הנדרשת מתקיים בשעה זו, ובהתאם לכך התקנות המוצעות על ידי משרד המשפטים מטילות 4 חובות על בעלי מאגרי מידע בישראל, בכל הנוגע למידע אישי הכלול בהם, אשר מועבר מתחום השיפוט של אחת או יותר ממדינות האיחוד האירופי לישראל. 4 החובות הן: למחוק מידע על פי בקשת נושא המידע, להגביל את המידע המוחזק לזה הנדרש בלבד, לוודא את תקינות ודיוק המידע ולפעול לפי פרקטיקות של יידוע ושקיפות כלפי נושאי המידע. החשיבות של אשרור מעמדה של ישראל במסגרת החלטת התאימות נשענת על חשיבותה הקריטית של העברת מידע אישי באופן הדדי בין ישראל למדינות האיחוד האירופי לשם המשך פעילות המערכת העסקית, הפעילות האקדמית ופיתוח התעשייה המשותף לישראל ולמדינות אירופה.

​

בניגוד להנחיית הרשות לניירות ערך: ״גולד בונד״ לא שיקפה למשקיעיה את סיכוני הסייבר להם נתונה החברה

מתקפת הסייבר שחוותה החברה בינואר האחרון מצד האקרים פרו-פלסטיניים (ראו ״הסייבר״, 3.2.22) אילצה אותה להשבית את מרבית פעילות מסוף המטענים והמחסנים שלה בנמל אשדוד. מדוח שפרסמה לאחרונה הרשות לניירות ערך עולה כי בניגוד לנדרש ממנה, הנהלת ״גולד בונד״ לא שיקפה לציבור משקיעיה את סיכוני הסייבר הרלוונטיים לחברה. הבסיס הרגולטורי של חובת השקיפות האמורה מצוי, בין היתר, בהנחיית הרשות לניירות ערך ל״גילוי בנושא סייבר״, המחייבת חברות בגילוי על ״אירועים החורגים מעסקי התאגידים הרגילים״ ובמתן הסברים אודות השפעה מהותית של אירועי ותקיפות סייבר על דוחותיהן הכספיים. על פי מקורות עיתונאיים, בדוח שפרסמה הרשות בנושא היעדר שקיפות מצד קבוצת ״גולד בונד״, נכתב כי "נראה כי אילו ביצעה החברה לצורך פרסום דוחותיה לשנת 2020 את אותה בחינת מהותיות אשר נערכה על ידה לקראת דוח 2021, ניתן היה לצפות שהדיווח במסגרת הדוחות לשנת 2020 בנושא זה היה מכיר בסיכון סייבר כגורם סיכון לחברה". לפי אותו המקור, דוח הרשות ממשיך וקובע כי "החברה לא עמדה בחובת הדיווח המוטלת עליה ביחס למתן גילוי על קיומו של סיכון סייבר כגורם סיכון החל על החברה בדוח 2020". ביקורת זו עשויה לגרור קנסות או עיצומים שהרשות מוסמכת להטיל על החברה, בשל אי-עמידתה בחובת הדיווח. נכון לכתיבת שורות אלה, טרם התפרסמה תגובתה של ״גולד בונד״ לפרסומים.