דו״ח סייבר שבועי
עדכון שבועי 15.09.2022
עיקרי הדברים
-
. ישראל: חשד להונאת סייבר בבחירות להסתדרות העובדים; לא שוכחים את ״שירביט״ ו״אטרף״ - קבוצת White Shadow מפיצה סרטון שבו היא חושפת, לכאורה, את מיקום משרדיה של Black Shadow, קבוצת שתקפה בישראל, לצד איום שאם לא תחדול מתקיפותיה בארץ - יגיעו אליה פיזית.
-
איראן: בתיאום מדויק - בעקבות מתקפת הסייבר האיראנית על אלבניה, ארצות הברית הטילה סנקציות על ראש המשרד האיראני למודיעין ולביטחון לאומי (MOIS), המפקד גם על מערך הסייבר ההתקפי של משמרות המהפכה, ועל המשרד האיראני למודיעין ולביטחון לאומי. אנגליה ונאט"ו מגנות גם הן את איראן; גל חשיפות של אנשים הפועלים בקבוצות התקיפה האיראניות.
-
מגמה חדשה: גל של תקיפות מניעת שירות על אתרי דלף של קבוצות כופרה, בהן ALPHV (BlackCat) ,LockBit ,Ragnar Locker ועוד.
-
תקיפות במגזר הבריאות: עוד בית חולים נתקף במקפת כופרה, הפעם בטקסס; שלושה שבועות לאחר מתקפת הכופרה על בית החולים בפריז, LockBit מאיימת לפרסם את המידע שהודלף. תפוסת בית החולים - קצת יותר ממחצית.
-
*אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Apple (חולשת Zero-day); הפלאגין WPGateway ל-WordPress (חולשת Zero-day); מוצרי מיקרוסופט (חולשות Zero-day); הפלאגין BackupBuddy של WordPress (חולשת Zero-day); מוצרי Adobe (קריטי); מוצר HP Support Assistant (גבוה); המוצר Apex One של Trend Micro (גבוה).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-HP Support Assistant נותן מענה לחולשה חדשה ברמת חומרה גבוהה
עדכוני אבטחה לרבים ממוצרי Apple נותנים מענה לחולשות שחלק מפרטיהן עודם חסויים; 2 מהחולשות הן חולשות Zero-day
עדכוני אבטחה לפלאגין WPGateway ל-WordPress נותנים מענה לחולשת Zero-day קריטית
עדכון האבטחה החודשי של מיקרוסופט נותן מענה לעשרות חולשות במוצריה, בהן שלוש קריטיות ו-2 חולשות Zero-day
עדכון האבטחה החודשי של Adobe נותן מענה לעשרות חולשות במוצריה, רובן קריטיות
עדכון אבטחה של Trend Micro למוצר Apex One נותן מענה ל-5 חולשות, חלקן ברמת חומרה גבוהה
האקרים מנצלים חולשת Zero-day בפלאגין BackupBuddy של WordPress
גישה מוחלטת לחשבונות 365 נמצאת ב-Cleartext באפליקציית Teams
עדכוני קושחה למוצרי Lenovo נותנים מענה ל-6 חולשות ברמת חומרה גבוהה
עדכון אבטחה ל-Google Chrome נותן מענה ל-11 חולשות חדשות ברמת חומרה גבוהה
התקפות ואיומים
קבוצת תקיפה המקושרת לממשלה הסינית תוקפת אנשי ממשל ברחבי העולם
גל חדש של תקיפות למטרות ריגול מתמקד בממשלות של מדינות באסיה
האקרים משתמשים בטכניקת פישינג מתוחכמת לגניבת חשבונות Steam
זהירות! 135 זה ה-445 החדש?
השבוע בכופרה
מגמה חדשה: קבוצות כופרה רבות חוות לאחרונה מתקפות DDoS על אתריהן
קבוצות כופרה מסגלות לעצמן שיטת הצפנת קבצים חדשה המונעת את זיהויין על ידי מנועי זיהוי ומאפשרת להן להשלים את פעולתן מהר יותר
קבוצת הכופרה LockBit 3.0 תקפה חברת אנרגיה סולארית קנדית וחברת חשמל ואנרגיה ברזילאית
בית החולים הצרפתי CHSF שלושה שבועות לאחר מתקפת הכופרה: התפוסה עומדת על קצת יותר ממחצית, LockBit מאיימת לפרסם את המידע שהודלף
סייבר בעולם
מסמכים מסווגים של נאט״ו נגנבו במהלך מתקפת סייבר על סוכנות ממשלתית בפורטוגל ונמכרים ברשת האפלה לכל המרבה במחיר
ה-CISA מוסיפה 14 חולשות ל״קטלוג החולשות הידועות המנוצלות״
חברת ההובלות האמריקאית U-Haul מדווחת על דלף מידע של לקוחות
Google השלימה את רכישת ענקית אבטחת המידע Mandiant
Cisco מאשרת כי מידע שנגנב ממנה במתקפה האחרונה נגדה מופץ ברשת האפלה
סייבר בישראל
חשד להונאת סייבר בבחירות להסתדרות העובדים
סייבר באיראן
האמריקאים עלו להתקפה נגד מערך הסייבר האיראני: בתיאום מושלם - שני סבבי סנקציות אמריקאיות וגל חשיפות של בכירי מערך הסייבר של משמרות המהפכה
קבוצת ההאקרים Charming Kitten, המיוחסת למשטר האיראני ותקפה בעבר בישראל, בקמפיין ריגול המתבסס על התחזות למומחים ואקדמאים
המיקום ממנו פועלת קבוצת ההאקרים האיראנית Black Shadow נחשף וזכה ל״ביקור דיסקרטי״ של קבוצת ההאקרים הלא-ידועה White Shadow
סייבר ופרטיות - רגולציה ותקינה
דיווח ל-CISA על אירועי סייבר בארה"ב: טיוטה להערות הציבור
תיקון לצו הגנת הפרטיות: הרחבה של פריטי המידע האישי שניתן יהיה להעביר למוסד שהוכר כמוסד להשכלה
הונג קונג מגדירה עבירות סייבר חדשות
סיכונים להגנת פרטיות המידע האישי על רקע השימוש בטכנולוגיות "זיוף עמוק": נייר עמדה ראשון בנושא מטעם הרשות להגנת הפרטיות
כנסים
הציטוט השבועי
״ביקרנו במקום העבודה הסודי שלכם בסמטת נור מוחמדי מס' 23. אנחנו יודעים בדיוק מה אתם עושים.
אם תמשיכו לעסוק בפלילים, נגיע לכל אחד ואחת מכם. זכרו שמשחק בזנב האריה הוא מסוכן.״
סרטון של White Shadow עם איום על קבוצת Black Shadow, שתקפה את ״שירביט״ ו״אטרף״.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-HP Support Assistant נותן מענה לחולשה חדשה ברמת חומרה גבוהה
עדכון האבטחה שפרסמה HP בעקבות דיווח של חוקרים מחברת Secure D סוגר חולשה (CVE-2022-38395, CVSS 8.2) ב-HP Support Assistant, שהינו כלי המותקן מראש על כל מחשבי HP החל משנת 2012 ומסייע בפתרון בעיות, בביצוע בדיקות טכניות למחשב ועוד. החולשה עלולה לאפשר לתוקפים להעלות הרשאות בעמדות אליהן הצליחו לגשת באמצעות נוזקה אחרת. עם ניסיון של הקורבן לפתוח את HP Performance Tune-up באמצעות רכיב ה-Fusion של HP Support Assistant - תתבצע מתקפת DLL Hijacking, כאשר בעת פתיחת התוכנה יורץ קובץ ה-DLL הזדוני שהונח על ידי התוקף בתיקיית התוכנה, ולא זה שהוקצה לה על ידי המערכת, כל זאת בשל באג ברכיב ה-Fusion. הנחת התוקפים היא ש-HP Support Assistant מורצת עם הרשאות גבוהות בעמדה, ובאמצעות תקיפתה הם שואפים להשיג את ההרשאות הללו.
צוות קונפידס ממליץ למשתמשי גרסה 9.11 של Support Assistant להטמיע את העדכון דרך חנות האפליקציות של מיקרוסופט, ולמשתמשים בגרסאות 8.x8.x לעבור לגרסה חדשה יותר (9.x9.x).
להן העדכונים שפרסמה החברה ב-12 בספטמבר:
Safari 16 - העדכון לדפדפן זמין למשתמשי macOS Big Sur ו-macOS Monterey וסוגר 4 חולשות שנמצאו ב-WebKit, אשר ניצולן עלול לאפשר לתוקף להריץ קוד מרחוק (RCE), לעקוב אחר הקורבן באמצעות תוספים לדפדפן ולזייף ממשקי משתמש.
tvOS 16 - הפרטים אודות החולשות עודם חסויים ולדברי Apple יפורסמו בקרוב.
watchOS 9 - הפרטים אודות החולשות עודם חסויים ולדברי Apple יפורסמו בקרוב.
iOS 16 - העדכון זמין לכל iPhone מדגם 8 ומעלה וסוגר 11 חולשות שנמצאו במערכת ההפעלה, אשר ניצולן עלול לאפשר לתוקף לעקוף את הגדרות הפרטיות של המכשיר, להריץ קוד מרחוק (RCE) בהרשאות המערכת, לחשוף את הזיכרון המשמש את מערכת ההפעלה (Kernel), להעלות הרשאות, לעקוב אחר גלישה, לזייף את שורת כתובת האתר (URL) ולגשת לתמונות ממסך נעול בהינתן גישה פיזית למכשיר.
macOS Monterey 12.6 - העדכון סוגר 8 חולשות שנמצאו במערכת ההפעלה ואשר ניצולן עלול לאפשר לתוקף לעקוף הגדרות פרטיות, לגשת למידע רגיש של המשתמש ולהעלות הרשאות. עוד דווח על ניצולה הפעיל של חולשת Zero-day במוצר (CVE-2022-32894), העלולה לאפשר לתוקף להריץ קוד מרחוק (RCE).
macOS Big Sur 11.7 - העדכון סוגר 10 חולשות שנמצאו במערכת ההפעלה, ואשר ניצולן עלול לאפשר לתוקף לעקוף הגדרות פרטיות, לגשת למידע רגיש של המשתמש, להעלות הרשאות ולחשוף מידע המשמש את מערכת ההפעלה (Kernel). עוד דווח על ניצולן הפעיל של שתי חולשות Zero-day במוצר (CVE-2022-32894 ,CVE-2022-32917), העלולות לאפשר לתוקף להריץ קוד מרחוק (RCE).
iOS 15.7 ו-iPadOS 15.7 - העדכון סוגר 11 חולשות שנמצאו במערכת ההפעלה ואשר ניצולן עלול לאפשר לתוקף לחשוף את הזיכרון המשמש את מערכת ההפעלה (Kernel), להעלות הרשאות, לעקוב אחר גלישה, לזייף את שורת כתובת האתר (URL), לגשת לתמונות ממסך נעול בהינתן גישה פיזית למכשיר ולגשת למידע אודות מיקום המכשיר. עוד דווח על ניצולה הפעיל של חולשת Zero-day במכשיר (CVE-2022-32917), העלולה לאפשר לתוקף לעקוף את הגדרות הפרטיות של המכשיר ולהריץ קוד מרחוק (RCE).
צוות קונפידס ממליץ למשתמשים במוצרי Apple לעדכנם לגרסאותיהם האחרונות.
עדכוני אבטחה לפלאגין WPGateway ל-WordPress נותנים מענה לחולשת Zero-day קריטית
ב-13 בספטמבר פרסמה חברת Wordfence, את עדכוני האבטחה של יצרנית הפלאגין, הנותנים מענה לחולשה (CVE-2022-3180, CVSS 9.8) אשר ב-9 בספטמבר נמצא כי היא מנוצלת באופן פעילה, ועלולה לאפשר לתוקף ללא הרשאות ליצור משתמש אדמיניסטרטיבי על גבי אתר פגיע ולבצע באמצעותו פעולות זדוניות. הפלאגין WPGateway, שהינו פלטפורמה לניהול קונפיגורציית אתרי WordPress ממקום אחד (Single dashboard)ֿ, פגיע הן בגרסתו בתשלום (פרימיום) והן בתצורה החינמית שלו (Free). נכון לעכשיו, עדכון האבטחה שפורסם רלוונטי לגרסת הפרימיום, וב-8 באוקטובר צפוי לצאת עדכון עבור הגרסה החינמית. לדברי החברה, ישנן שתי דרכים לזיהוי פריצה המנצלת את החולשה, האחת היא התווספות משתמש חדש לסביבת העבודה ללא ידיעת המשתמשים, והשנייה היא באמצעות ניתוח הלוגים לגילוי יצירת משתמש חדש (wp_new_credentials=1).
צוות קונפידס ממליץ למשתמשי תצורת הפרימיום של הפלאגין לעדכנה לגרסתה האחרונה בהקדם. למשתמשי התצורה החינמית מומלץ למחוק את הפלאגין, עד להפצת גרסתו החדשה.
עדכוני החברה לחודש ספטמבר סוגרים במוצריה 63 חולשות, הרלוונטיות לכל מערכות ההפעלה שלה, לרבות Windows 7, 8.1, 10, 11 וכן Windows Server 2008, 2012, 2016, 2019, 2022. אחת מהחולשות הקריטיות (CVE-2022-34718, CVSS 9.8) שמטופלת בעדכון עלולה לאפשר לתוקף בעל גישה רשתית להריץ על התחנה קוד בהרשאות גבוהות. זאת ועוד, שתיים מהחולשות שנסגרות בעדכון הן מסוג Zero-day, אחת מהן (CVE-2022-37969, CVSS 7.8) מנוצלת באופן פעיל ומאפשרת העלאת הרשאות, ואילו השנייה (CVE-2022-23960), לה טרם העונק ציון חומרה, דווחה על ידי יצרנית הצ׳יפים Arm ועלולה לאפשר לתוקף לגשת למידע רגיש.
צוות קונפידס ממליץ לכלל משתמשי מערכות ההפעלה הפגיעות לעדכנן לגרסאותיהן האחרונות
עדכון האבטחה החודשי של Adobe נותן מענה לעשרות חולשות במוצריה, רובן קריטיות
עדכון האבטחה לחודש ספטמבר סוגר 63 חולשות במוצרים Experience Manager, Adobe Bridge, Adobe InDesign, Adobe Photoshop, Adobe InCopy, Adobe Animate ו-Adobe Illustrator, והוא רלוונטי למערכות ההפעלה Windows ו-macOS. החולשות הקריטיות שקיבלו מענה הן מסוג Use-After-Free ,Out-of-bound write ו-Heap buffer overflow, והן עלולות לאפשר הרצת קוד זדוני בעמדה פגיעה. מרבית החולשות נמצאו על ידי חוקרי סייבר עצמאיים במסגרת תוכנית ה-Bug Bounty של Adobe. מידע מלא על החולשות ניתן למצוא באתרה הרשמי של Adobe.
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון אבטחה של Trend Micro למוצר Apex One נותן מענה ל-5 חולשות, חלקן ברמת חומרה גבוהה
חברת Trend Micro פרסמה עדכון אבטחה ל-Apex One, אפליקציה המאפשרת חסימה של הפעלת נוזקות באמצעות מדיניות של נעילה, רישום בטוח וחסימה, הנתונה להתאמה אישית. החולשות, הרלוונטיות לגרסאות המוצר Apex One 2019 - On-prem ו-Apex One SaaS, הן:
CVE-2022-40140, CVSS 5.5 - חולשה העלולה לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS).
CVE-2022-40141, CVSS 5.6 - חולשה העלולה לאפשר לתוקף ליירט ולפענח תקשורות שעשויות להכיל אישורים של שרת Apex One מסוים.
CVE-2022-40142, CVSS 7.8 - חולשה העלולה לאפשר לתוקף להעלות הרשאות.
CVE-2022-40143, CVSS 7.3 - חולשה העלולה לאפשר לתוקף להעלות הרשאות.
CVE-2022-40144, CVSS 8.3 - חולשה העלולה לאפשר לתוקף להעלות הרשאות.
האקרים מנצלים חולשת Zero-day בפלאגין BackupBuddy של WordPress
החולשה (CVE-2022-31474, CVSS 7.5) עלולה לאפשר למשתמשים שאינם מאומתים להוריד מאתר נגוע קבצים אקראיים, שעלולים להכיל מידע רגיש. BackupBuddy הינו תוסף בעל כ-140,000 התקנות פעילות, אשר מאפשר למשתמשים לבצע גיבויים ושחזורים של התקנות ה-WordPress שלהם, לרבות עמודים, פוסטים ו-ווידג׳טים, מתוך דאשבורד של התוסף. החולשה, הרלוונטית לגרסאות 8.5.8.0 עד 8.7.4.1 של הפלאגין, תוקנה בגרסה 8.7.5 שפורסמה ב-2 בספטמבר, והיא קשורה לפונקציה Local Directory Copy, המבצעת אחסון מקומי של הגיבוי. על פי Wordfence, מקור החולשה ביישום לא מאובטח של הפונקציה, ולכן ניתן להפעילה על ידי כל דף אדמיניסטרטיבי, לרבות כאלה שאינם מצריכים אימות, כגון admin-post.php. הדבר עלול לאפשר לתוקף להשתמש בפונקציה ולספק לה נתיב הורדה (דבר שאינו מאומת על ידה), ובכך להוריד את קבצי הגיבוי המאוחסנים באופן מקומי. מ-iThemes, מפתחת הפלאגין, נמסר כי ״התוקף יכול לראות את תוכנו של כל קובץ בשרת שהתקנת ה-WordPress יכולה לגשת אליו״. ניסיונות הניצול של החולשה החלו ב-26 באוגוסט, ועד כה נחסמו כ-5 מיליון מתקפות מכתובות IP שונות, ברובן נעשה ניסיון לקרוא את הקבצים wp-config.php, שהינו קובץ ליבה, etc/passwd/, המכיל מידע על משתמשים, וכן ״my.cnf.״ ו-״accesshash.״. מצוות המחקר של Wordfence נמסר שבעת בקרת בקשות ב-access logs יש לבצע בדיקה על ערכי הפרמטרים local-download ו-local-destination-id.צוות קונפידס ממליץ למשתמשי התוסף לעדכנו לגרסה 8.7.5 ומעלה. במידה ועולה חשד להדבקה, מומלץ להחליף את סיסמת ההתחברות למאגרי המידע, לשנות את ה-Salts ל-WrordPress ולהחליף את מפתחות ה-API שמאוחסנים ב-wp-config.php.
צוות קונפידס ממליץ למשתמשי המוצר Trend Micro Apex One On-prem לעדכנו בהקדם לגרסתו האחרונה ולעיין במידע שפרסמה החברה בנושא. למשתמשי סביבת ה-SaaS, העדכונים יתבצעו בהתאם לחלונות התחזוקה שהחברה פרסמה.
גישה מוחלטת לחשבונות 365 נמצאת ב-Cleartext באפליקציית Teams
חברת הסייבר Vectra מצאה באפליקציה למחשב של Microsoft Teams חולשה קריטית המשפיעה על מערכות ההפעלה Windows ,Mac ן-Linux, ונעוצה בכך שה-Authentication tokens נשמרים ב-Cleartext באפליקציה עצמה. Authentication token הוא פריט מידע המשמש לצורך הזדהות האפליקציה מול הדומיין של 365, והוא נוצר לאחר הזדהות המשתמש עם סיסמה ואימות דו-שלבי (2FA) ונשמר על המחשב לצורכי נוחות, על מנת שלא יהיה צורך בהזדהות נוספת. מקור החולשה ב-Framework המכונה Electron, שעליו מבוססת האפליקציה. עם הרצת Microsoft Teams נוצרת אפליקציית Web (שהינה החלון של Microsoft Teams) דרך דפדפן מקוסטם של 365. אפליקציית Web זקוקה למידע של דפדפן ״מסורתי״, כגון מחרוזות סשנים, עוגיות ולוגים, אך Electron אינו תומך בהצפנה, בין היתר. אי לכך, במידה ולתוקף יש גישה למחשב עם Microsoft Teams, הוא יוכל להשיג גישה מוחלטת לכל חשבון שאי פעם התחברו אליו דרך המחשב, גם אם נעשה שימוש ב-2FA. ממיקרוסופט נמסר למגזין אבטחת המידע BleepingComputer שהיא איננה מתכננת לפרסם עדכון חירום בזמן הקרוב, משום שעל מנת לנצל את החולשה התוקף זקוק מלכתחילה לאחיזה בעמדה.
צוות קונפידס ממליץ למשתמשי אפליקציית ה-Teams למחשב להשתמש בגרסת ה-Web שלה עד אשר שמיקרוסופט תתקן את בעיית האבטחה החמורה.
עדכוני קושחה למוצרי Lenovo נותנים מענה ל-6 חולשות ברמת חומרה גבוהה
החולשות, שנמצאו במגוון רחב של מוצרי החברה, הן:
CVE-2021-28216 - חולשה המצויה ברכיב UEFI האחראי על הדלקת המחשב ועלולה לאפשר לתוקף בעל גישה מקומית להעלות הרשאות ולהריץ קוד.
CVE-2022-40137 - חולשה מסוג Buffer overflow המנוצלת דרך WMI, כלי ההרחבות לדרייברים של Windows, ועלולה לאפשר לתוקף בעל גישה מקומית להעלות הרשאות ולהריץ קוד.
CVE-2022-40134 - חולשה המתבססת על ניצול של רכיב ה-BIOS האחראי על הדלקת המחשב באמצעות שליחת הפרעה למערכת ניהול המחשב (SM), ועלולה לאפשר לתוקף בעל גישה מקומית להעלות הרשאות ולקרוא מידע אודות מצב ניהול המחשב (SSM).
CVE-2022-40135 - חולשה המתבססת על שליחת הפרעת SMI להגנת ה-USB של Lenovo (המכונה Smart USB Protection), ועלולה לאפשר לתוקף בעל גישה מקומית להעלות הרשאות ולקרוא מידע אודות מצב ניהול המחשב (SSM).
CVE-2022-40136 - פגם במנגנון ניהול ההפרעות SMI handler, העלול לאפשר לתוקף בעל גישה מקומית להעלות הרשאות ולקרוא מידע אודות מצב ניהול המחשב (SSM).
טרם פורסמו פרטים אודות חולשה נוספת שנמצאה במנגון ה-BIOS.
צוות קונפידס ממליץ לכלל המשתמשים במוצרי Lenovo להיכנס לדף התמיכה של החברה, להזין בו את שם המוצר שברשותם ולעדכן את המוצר לגרסה המומלצת או החדשה ביותר.
עדכון אבטחה ל-Google Chrome נותן מענה ל-11 חולשות חדשות ברמת חומרה גבוהה
בין החולשות שנסגרו בעדכון מצויות חולשה (CVE-2022-3195) מסוג Out-of-bounds write שעלולה לאפשר לתוקף להריץ קוד שרירותי במערכת, 3 חולשות (CVE-2022-3196 ,CVE-2022-3197 ,CVE-2022-3198) מסוג Use-After-Free ב-PDF, העלולות לאפשר לתוקף להריץ קוד שרירותי במערכת, חולשה (CVE-2022-3199) מסוג Use-After-Free ב-Frames, שעלולה לאפשר לתוקף להריץ קוד שרירותי במערכת, חולשה (CVE-2022-3200) מסוג Heap buffer overflow ב-Internals, שעלולה לאפשר לתוקף להריץ קוד שרירותי במערכת ואף לגרום לקריסת התוכנה, וחולשה (CVE-2022-3201) שמקורה בחוסר ולידציה של קלט שאינו מאומת בכלי הפיתוח DevTools, ועלולה לאפשר לתוקף לעקוף מנגנוני אבטחה. החולשות משפיעות על כל גירסאות Chrome הקודמות ל-105.0.5195.125, 105.0.5195.126 ו-105.0.5195.127.
צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו לגרסתו האחרונה
התקפות ואיומים
קבוצת תקיפה המקושרת לממשלה הסינית תוקפת אנשי ממשל ברחבי העולם
קבוצת התקיפה, שפעילותה התגלתה על ידי חברת Secureworks, נצפתה מדביקה מחשבים של בכירים בממשלות ברחבי העולם. להערכת החוקרים מדובר בקבוצת BRONZE PRESIDENT, הערכה הנשענת, בין היתר, על השימוש בנוזקת PlugX עמה מזוהה הקבוצה, ועל שמות מסמכי פיתוי הנוגעים לאינטרסים של ממשלת סין. הקבוצה הדביקה את מחשבי הקורבנות באמצעות קובצי RAR שהכילו קובצי לינק (LNK.) במסווה של מסמכים דיפלומטיים, אך בפועל הדביקו את מחשבי הקורבנות ב-PlugX וקנו לעצמם אחיזה קבועה במחשבים דרך ה-Registry. מעניין לציין שאחת התיקיות הנסתרות אליהן מוביל קובץ הלינק היא חלק משרשרת תיקיות-בתוך-תיקיות בעלות השם ״#״, שככל הנראה נוצרו על מנת להערים על מנגנוני סריקת מיילים. דבר זה יכול להעיד על כך שקובצי ההדבקה הגיעו אל מחשב הקורבן באמצעות קמפיין פישינג.
צוות קונפידס ממליץ להשתמש בתוכנות אנטי-וירוס או EDR, לשים לב למאפייניהם של קבצים בטרם פתיחתם של מסמכים חשודים ולהזין במערכות ההגנה של ארגונים את מזהי התקיפה (IOCs) המופיעים בתחתית הדוח המצוי כאן.
גל חדש של תקיפות למטרות ריגול מתמקד בממשלות של מדינות באסיה
לפי פרסום של צוות המחקר של חברת Symantec, קבוצת תוקפים שנקשרה בעבר ל-Remote Access Trojan) RAT) המכונה ShadowPad אימצה ערכת כלים חדשה ומגוונת להקמת קמפיין מתמשך המכוון נגד מגוון ארגונים ממשלתיים ובבעלות ממשלתית במספר מדינות באסיה. יעדן העיקרית של התקיפות, שככל הנראה החלו ב-2021, הוא איסוף מודיעין, והמאפיין הבולט שלהן הוא שימוש בשלל חבילות תוכנה לגיטימיות לטעינת מטעני הנוזקות באמצעות טעינת צד של DLL (טכניקה ידועה הכוללת הצבת DLL זדוני בספרייה שבה צפוי להימצא DLL לגיטימי). לרוב, התוקפים משתמשים במספר חבילות תוכנה במתקפה אחת, ובמקרים רבים נעשה שימוש בגרסאות ישנות של תוכנות, לרבות תוכנות אבטחה, תוכנות גרפיות ודפדפני אינטרנט. זאת ועוד, לעתים נעשה שימוש בקובצי מערכת לגיטימיים ממערכת ההפעלה הישנה Windows XP. הסיבה לשימוש בגרסאות מיושנות היא שבדרך כלל לגרסאות העדכניות של התוכנות בהן התוקפים משתמשים יש מנגנון מובנה נגד טעינת צד של DLL. ברגע ש-DLL זדוני נטען על ידי התוקפים, מופעל הקוד הזדוני, שטוען קובץ ״dat.״ המכיל Shellcode, אשר משמש בתורו לטעינת מגוון מטענים ולביצוע פקודות שונות הקשורות בזיכרון. נוסף על כך, התוקפים ממנפים את חבילות התוכנה הלגיטימיות לפריסת כלים נוספים המסייעים לתנועה רוחבית ברשת הארגון, בהם כלים לגניבת פרטי התחברות וכלי סריקת רשת (NBTScan ,TCPing ,FastReverseProxy ו-FScan).
מהלך המתקפה: לאחר השגת גישה לרשת באמצעות דלת אחורית, התוקפים משתמשים ב-Mimikatz וב-ProcDump לגניבת פרטי התחברות של משתמשים, ובמקרים מסוימים הם משיגים פרטי התחברות דרך ה-Registry. לאחר מכן התוקפים משתמשים בכלי סריקת רשת לזיהוי מחשבים רלוונטיים אחרים ברשת, כגון כאלה המריצים RDP. הדבר עשוי להקל על תנועה רוחבית של התוקפים. בשלב הבא ה-PsExec ממונף להפעלת גרסאות ישנות של תוכנות לגיטימיות, שלאחר מכן משמשות לטעינת כלים נוספים של נוזקות, כגון RATs, באמצעות טעינת צד של DLL במחשבים אחרים ברשתות. עוד משתמשים התוקפים במספר כלים לגיטימיים, כמו Ntdsutil, לקבלת Snapshots של שרתי Active Directory על מנת להשיג גישה לבסיסי נתונים ולקובצי יומן של Active Directory. במקביל, כלי שורת הפקודה Dnscmd משמש לאיסוף מידע על אזורי רשת.
ShadowPad הוא RAT שנועד להיות היורש של Korplug/PlugX Trojan, ומשך תקופה מסוימת נמכר בפורומים מחתרתיים. למרות שהכלי מוגדר ככזה הזמין לציבור, הוא קשור הדוקות לשחקני ריגול, וישנן עדויות המקשרות אותו להתקפות קודמות שכללו את הנוזקה Korplug/PlugX ולהתקפות של כמה קבוצות ידועות, לרבות (Blackfly/Grayfly (APT41 ו-Mustang Panda. למשל, במתקפות הנוכחיות התוקפים מינפו לצרכיהם את הקובץ הלגיטימי HPCustParticUI.exe, שפותח על ידי HP עבור יישומי הדמיה דיגיטלית, דבר שהתרחש בעבר בהתקפות שכללו את Korplug/PlugX. זאת ועוד, הקמפיין הנוכחי משתמש בקובץ Bitdefender לגיטימי לטעינת קוד מעטפת בצד. אותו קובץ ואותה טכניקה נצפו בהתקפות קודמות המקושרות ל-APT41, ובעבר נצפתה פריסה של אותו כלי רישום מפתחות בהתקפות נגד תשתית קריטית בדרום-מזרח אסיה. נראה שהשימוש ביישומים לגיטימיים כדי להקל על טעינת צד של DLL היא מגמה הולכת וגוברת בקרב שחקני ריגול הפועלים באזור.
צוות קונפידס ממליץ לארגונים לבצע ביקורת יסודית של התוכנות הפועלות ברשתותיהם ולנטר את נוכחותם של תהליכים חריגים, תוכנות ישנות ומיושנות וחבילות שאינן בשימוש רשמי על ידי הארגון. כמו כן, מומלץ להזין במערכות ההגנה של ארגונים את מזהי התקיפה (IOCs) המופיעים כאן.
האקרים משתמשים בטכניקת פישינג מתוחכמת לגניבת חשבונות Steam
במאמר אודות מחקר חדש של חברת הגנת הסייבר Group IB מתוארת מתקפת פישינג מתוחכמת המשמשת לגניבת חשבונות Steam, פלטפורמת משחקי וידאו פופולרית מאוד, לה יותר מ-120 מיליון משתמשים. עד היום, רוב מתקפות הפישינג בפלטפורמה היו קלות לזיהוי ולא הצליחו להפיל את משתמשיה בפח, ואולם טכניקה עכשווית, חדשה ומתוחכמת, (Browser-in-the-Browser (BiTB, שזוהתה לראשונה על ידי חוקר המכונה mr.d0x (ראו ה״סייבר״, 24.3.22), משנה את כללי המשחק, ומתבססת על יצירת חלון דפדפן מזויף על עמוד פישינג שנשלח לקורבנות, ואשר במבט ראשון לא ניתן להבחין שהוא מזויף. באופן זה מנצלים התוקפים את העובדה ש-Steam משתמשת בחלון מוקפץ (Pop up) לאימות משתמשים, במקום בלשונית. בניגוד לשיטות פישינג רגילות, המתבססות על פתיחת עמודי הפישינג בכרטיסייה חדשה או על הפניה אליהם באמצעות כתובת אחרת, שיטת ה-Browser-in-the-Browser פותחת חלון דפדפן מזויף באותה כרטיסייה, על מנת לשכנע את המשתמשים שהוא לגיטימי.
כדי לפתות קורבנות לגלוש לדף אינטרנט המכיל כפתור התחברות מזויף, התוקפים שולחים למשתמשים הודעות פיתיון המכילות הצעות מושכות, כגון להצטרף לצוות לטורניר LoL ,CS ,Dota 2 או PUBG, להצביע לקבוצה המועדפת על המשתמש, לקנות כרטיסים מוזלים לאירועי סייבר ועוד. כמעט כל כפתור בדפי האינטרנט של עמודי הפיתיון פותח טופס הזנת נתוני חשבון המחקה חלון Steam לגיטימי, לרבות סמל מזויף של מנעול ירוק, שדה URL מזויף שניתן להעתיק, ואפילו חלון Steam Guard נוסף לאימות דו-שלבי (2FA). אם הקורבן אפשר אימות דו-שלבי בחשבונו המקורי, הקוד הזדוני שעליו בנוי הפישינג ישלח הודעת דחיפה למכשיר המשתמש, כדי שזה האחרון ישלים את ההזדהות. אם יעשה זאת, הפרטים שיזין יישלחו אל התוקפים.
מניתוח הקוד המשמש למתקפת הפישינג המתוחכמת, עולה כי חסרים בו סקריפטים מסוימים של PHP האופייניים למתקפות דיוג. במקום זאת, האתר מבוסס על שני דפי HTML ועל מספר סקריפטים של JavaScript. לאור כך, נראה שכדי שמשאב הפישינג יפעל כראוי, נדרשים רק שלושת הרכיבים הבאים:
סקריפט JavaScript היוצר חלון דפדפן מזויף (fnqduadizanu.js).
קישורים לקובץ HTML עם טופס הזנת נתונים (steam.html).
כפתור אשר בלחיצה עליו נוצר חלון דפדפן מזויף.
שלא כמו פלטפורמות Paas) Phishing-as-a-Service), שלרוב מפתחות ערכות פישינג למכירה, ערכות הפישינג המיועדות ל-Steam נשמרות בסוד, והקמפיינים הללו מבוצעים על ידי קבוצות האקרים שמתאגדות בפורומים מחתרתיים או בערוצי טלגרם, ומתבססות על תקשורת בין משתמשי טלגרם ו-Discord לצורך תיאום פעולותיהם.
צוות קונפידס ממליץ על ביצוע הפעולות הבאות על מנת לקבוע אם חלון דפדפן חשוד הוא מזויף או לגיטימי: להשוות בין עיצוב הכותרת לבין שורת הכתובת של החלון המוקפץ ולוודא שהם זהים; לבדוק אם נפתח חלון חדש בשורת המשימות, ואם לא - פירוש הדבר שחלון הדפדפן מזויף; לנסות לשנות את גודל החלון, דבר שאינו אפשרי במקרה של חלון מזויף; למזער את החלון, דבר אשר יביא לסגירתו במידה והחלון מזויף; לבדוק אם סמל המנעול המופיע בדף הינו תמונה בלבד, שכן בחלון מזויף, לא יקרה דבר בלחיצה על המנעול.
עבור מערכת ההפעלה Windows ישנו סט כלים המכונה Sysinternals ומספק שירותי ניהול, דיאגנוזה, איתור תקלות וניטור של מערכת ההפעלה. בתוך סט זה קיים כלי המכונה PsExec, שמאפשר להריץ תוכנות ופקודות מרחוק, ואף לפתוח שורת פקודה אינטראקטיבית. עבודתו של PsExec מבוססת על שימוש בפרוטוקול SMB, שמשתמש ב-Port 445 לאיתור נתיבי מערכת נגישים ולקבלת פלט חוזר מהמערכת לאחר ביצוע הפקודות. כאשר מוזנים ב-PsExec שם המשתמש, הסיסמה והפקודה הרצויה, וכאשר מתקיים שיתוף פעיל של קבצים ומדפסות עבור העמדה וישנה תיקייה משותפת זמינה, PsExec מבצע התחברות ודורש תיקיית Admin$. תיקייה זו הינה תיקייה שיתופית אדמיניסטרטיבית נפוצה במיוחד, המוגדרת על רוב מערכות ההפעלה מסוג Windows. בזמן החיבור, PsExec מעלה קובץ PSEXESVC.exe ומפעיל שירות באמצעות הפרוטוקול RPC, אשר מריץ את הקובץ עם הנתונים (Arguments) הרצויים.
חברת SecureAuth Labs ביצעה אימפלמנטציה לכלי בתוך סט הכלים Impacket המיועד לפרוטוקולי הרשת, ומבוסס על שפת התכנות Python. הכלי דומה מאוד ל-PsExec, בתוספת מספר יכולות, וניתן לספק לו קובץ להרצה על עמדה רחוקה. במידה ולא מסופק כזה, מורץ קובץ RemCom הלקוח ממאגר ב-GitHub ומאפשר פתיחת סשן אינטראקטיבי, המאפשר הרצת פקודות וקבצים אל העמדה המרוחקת. עם סיום השימוש, הכלי מוחק אוטומטית את קובצי הביצוע ומנתק את החיבור לעמדה.
צוות המחקר של חברת Pentera יצר באמצעות סט הכלים Impacket אימפלמנטציה של PsExec, שעובדת על Port 135. בעוד שהנתיב 445 ידוע לשמצה ומנוטר בכל מקום, מנתיב 135, המשמש גם הוא את הפרוטוקול SMB, קיימת בדרך כלל נטייה להתעלם. ואולם, הפרוטוקול RPC פגיע מאוד יחסית ל-SMB, ובמרבית המקרים עדיין אינו מנוטר.
צוות קונפידס ממליץ לנטר את נתיב 135 בנוסף לנתיב 445, ולנטר באופן פעיל את הפרוטוקולים DCE/RPC/SMB ברשת הארגונית.
השבוע בכופרה
מגמה חדשה: קבוצות כופרה רבות חוות לאחרונה מתקפות DDoS על אתריהן
רשומת בלוג חדשה של Talos, צוות המחקר של Cisco, עוקבת אחר מתקפות מניעת שירות (DDoS) המכוונות נגד אתרי הדלפות של קבוצות ״כופרה כשירות״ (Ransomware-as-a-Service, או RaaS), המביאות להפסקות בזמינות אתרי ההדלפות, ובכך לפגיעה בפעולות ההדלפה עצמן וב״שמן הטוב״ של הקבוצות. בשעה זו, מקור המתקפות אינו ידוע, אך מסתמן שמדובר במאמץ מרוכז למניעת פעילותן של הקבוצות. תגובותיהן של קבוצות התקיפה למתקפות עליהן מגוונות ובעוד ש-LockBit ו-ALPHV הטמיעו אמצעים חדשים להתמודדות עם מתקפות ה-DDoS על אתריהן, Quantum, למשל, התפשרה על ניתוב תעבורת הרשת המגיעה לאתרה למקום אחר. עוד נראה ש-LockBit מינפה את מתקפת ה-DDoS לטובתה ומשתמשת בה כאמצעי סחיטה, בנוסף להצפנת והדלפת המידע של קורבנותיה. ב-20 באוגוסט דיווח נציג של LockBit כי קרוב ל-1,000 שרתים תוקפים אתר ההדלפות של הקבוצה, עם קרוב ל-400 בקשות HTTP בשנייה (ראו ״הסייבר״, 25.8.22). לאחר מכן קרס אתר ההדלפות ולא היה זמין. בפוסט אחר, שפורסם ב-23 באוגוסט בפורום של האקרים, דיווח נציג הקבוצה שהיתה זו מתקפת ה-DDoS הקשה ביותר שחווה האתר מזה 3 שנים. במקביל, צוות Talos זיהה שגם קבוצת הכופרה ALPHV חווה מתקפות DDoS, ואולם זו האחרונה בחרה להכחיש את הדבר, על אף שאתרה היה לא זמין משך מספר ימים.
במהלך 2021 נצפה לראשונה שימוש בטכניקת הצפנת קבצים ״מיוחדת״ על ידי קבוצת LockFile, המבוססת על הצפנת 16 הבייטים של הקובץ בלבד. השיטה, שזכתה לכינוי ״הצפנה לסירוגין״ (Intermittent Encryption), מקשה על מנועי הזיהוי השונים, כגון אנטי-וירוס ו-EDR, לזהות ולהתריע על הצפנת הקבצים. זאת ועוד, ההצפנה החלקית משפיעה על מהירות ביצוע המתקפה ומסייעת לתוקף לסיים את מלאכתו בטרם זוהה על ידי המערכת. הצפנת הקבצים בשיטה זו נעשית על זיכרון המערכת, שם התוקפים מוסווים מול מנועי הזיהוי וגורמים להצפנה להיראות כאילו בוצעה על ידי מערכת הקורבן. לאחרונה נצפתה השיטה בשימוש קבוצות הכופרה Qyick ,Agenda ,BlackCat (ALPHV) ,PLAY ו-Black Basta.
צוות קונפידס מעריך כי השימוש ב״הצפנה לסירוגין״ ילך ויגדל. על מנת למזער את הסיכוי לפריצה למערכות, אנו ממליצים לפעול לחידוד נהלי אבטחת המידע נגד פישינג ובנושא הכנסת עצמים שאינם מוכרים לנכסי הארגון. עוד מומלץ לאכוף באופן רוחבי שימוש במנגנון הזדהות רב-שלבי (MFA) להתחברות משתמשי הארגון, ובפרט משתמשים חזקים, לוודא את עדכונן של גרסאות ממשקי העבודה והאפליקציות ולהתקין בעמדות הקצה מערכות הגנה, כגון אנטי-וירוס ו-EDR
קבוצת הכופרה LockBit 3.0 תקפה חברת אנרגיה סולארית קנדית וחברת חשמל ואנרגיה ברזילאית
באתר ההדלפות של LockBit 3.0 מופיע בשעה זו שמה של חברת האנרגיה הסולארית CanadianSolar, ללא פרטים אודות המידע אותו טוענת הקבוצה שהצפינה (להלן צילום מסך). לדברי LockBit, הדדליין לתשלום הכופר היה ה-13 בספטמבר. עוד מופיע באתר הקבוצה שמה של חברת האנרגיה והחשמל eneva מריו דה ז'ניירו, אשר ממנה הודלף, כביכול, מידע בנפח של כ-1233GB, לרבות מידע פיננסי, משפטי, חשבונאי ושיווקי, נתונים אודות תוכניות עתידיות וביטוחים ועוד (להלן צילום מסך). במקרה זה הדדליין לתשלום הכופר הוא עד ה-20 בספטמבר. נכון לשעה זו לא ידועים פרטים נוספים על האירועים.
(מקור: DailyDarkWeb, 13.9.22@)
(מקור: DailyDarkWeb, 7.9.22@)
בעקבות המתקפה שפקדה ב-21 באוגוסט את בית החולים שבקורביי-אסון, מדרום לפריז (ראו ״הסייבר״, 25.8.22, ״הסייבר״, 1.9.22 ו״הסייבר״, 8.9.22), אשר אילצה את המוסד לעבור לעבודה במתכונת חירום, להלן עדכון על מצב ה-CHSF, שלושה שבועות לאחר האירוע:
לא נרשמו אירועים הקשורים לבטיחות מטופלים.
תפוסתו הנוכחית של בית החולים עומדת על 600 מאושפזים (מתוך 1,000 מיטות), גידול של 100 מאושפזים ביחס לשבוע הקודם.
בשעה זו, בית החולים מסוגל לקלוט לטיפול חולים מיוצבים קלינית, וחדרי המיון (מבוגרים/ילדים/מיילדות) פתוחים ומקבלים מטופלים לצורך הערכה ואבחון. פעמיים ביום מופצת קיבולת המיטות הזמינות ב-CHSF, לקבלת חולים מיוצבים נוספים.
מטופלי טיפול נמרץ ומטופלים קריטיים עדיין מופנים לבתי חולים אחרים על ידי שירותי החירום (SAMU 91). כתוצאה מרידוד המטופלים והפניית מטופלים לבתי חולים אחרים, שלושים אנשי צוות פרה-רפואיים של ה-CHSF מתגברים את שירותי החירום, הילדים והאשפוז של מרכז רפואי אחר, ה-(Centre hospitalier d'Arpajon (CHA. כמו כן, מספר רופאי טיפול נמרץ מה-CHSF מתגברים את ה-Nord Essonne Hospital Group.
מערכת ניהול התורים שוחזרה וקבלת מטופלים לאשפוז יום נמשכת וצפויה להשתפר בימים הקרובים.
אין עדיין גישה למיילים ולאינטרנט.
המיקוד הנוכחי הוא בשיקום המערכות באופן מוגן, כולל התקנת EDR.
לפי דיווח של ואלרי ריס-מארשיב ב-LeMagIT, מחקירתה של הסוכנות הלאומית הצרפתית לבטחון מערכות מידע (ANSSI) עולה שהתקיפה החלה ב-10 באוגוסט ובוצעה על ידי קבוצת הכופרה LockBit 3.0 (כזכור, חוקיה של LockBit אוסרים על תקיפת ארגונים רפואיים באופן שעלול להוביל למוות, אך מתירים הדלפת מידע). וקטור הכניסה לרשת בית החולים היה באמצעות חשבון VPN של אחד מספקי הארגון, והתוקפים השתמשו ב-AnyDesk עבור תנועה ברשת וב-PC Hunter להשבתת מערכות ההגנה של תחנות העבודה ושרתי בית החולים. במהלך המתקפה נמחקו גיבויי (Shadow Copies (Windows, הודלף מידע לשירות האחסון MEGA Cloud והוצפנו סביבות Linux/ESXi.
המשא ומתן עם התוקפים החל ב-24 באוגוסט, כאשר מהתכתובת עמם עולה כי הם סברו שהגיעו לרשת מרפאות פרטית ולא לבית חולים ציבורי. לדבריהם, דרישת הכופר ההתחלתית עמדה על מיליון דולר בביטקוין (ולא 10 מיליון דולר, כפי שפורסם), תוך איום שאם התשלום לא יועבר לידיהם עד ל-30 באוגוסט - הדרישה תעלה ל-10 מיליון דולר. עוד מתברר מהתכתובת שדלף המידע היה אמור להתרחש ב-7 בספטמבר, אך נכון לשעה זו הדבר טרם קרה, למרות שפורסמו דוגמאות של נתונים גנובים באתר ההדלפות של LockBit 3.0. באותו אתר מופיע כעת אולטימטום, לפיו אם לא יבוצע התשלום, כל המידע שנמצא ברשות התוקפים יפורסם ב-22 בספטמבר.
בהודעה שפורסמה באתר בית החולים נכתב כי עם היוודע דבר המתקפה המוסד הודיע על האירוע לנציבות הלאומית להגנת מידע (CNIL), כקבוע בסעיף 33 של הרגולציה האירופית הכללית להגנה על מידע (GDPR). בשעה זו טוען בית החולים כי לא ידוע לו על שימוש זדוני בנתונים שנגנבו ממנו, אך הוא ממליץ למטופליו ולעובדיו בהווה ובעבר לקחת בחשבון שייתכן ונתונים שונים הנוגעים אליהם הודלפו, שיש סכנה שייחשפו עם פקיעת האולטימטום שהציבו התוקפים. בהתאם לסעיף 34 של ה-GDPR, אנשים שניתן לזהותם באמצעות מידע שהודלף יקבלו הודעות פרטניות בנוגע לפרצת הנתונים. עוד נמסר כי ״הנהלת המוסד, בסיוע שותפיו, מודעת לחלוטין להשלכות שעלולות להיגרם ממתקפת הסייבר ומדלף המידע, ומבקשת להבטיח למטופליה ולצוותיה את מחויבותה המרבית להגבלת השפעות האירוע, ככל שניתן״.
סייבר בעולם
דבר המתקפה על הסוכנות הממשלתית האחראית על תכנון, שליטה ומבצעים של כוחותיה המזוינים של פורטוגל (EMGFA) נודע לממשלת פורטוגל אודות המתקפה רק כאשר הסוכנות האמריקאית לביטחון לאומי (NSA) זיהתה ברשת האפלה מאות מסמכים המסווגים כ״סודיים״ וכ״חסויים״ שנשלחו על ידי נאט"ו לפורטוגל, והעבירה הודעה בנדון לשגרירות ארצות הברית בליסבון, שבתורה הודיעה על כך לסוכנות הפורטוגלית שנתקפה. בתוך כך, ההאקרים פרסמו חלקים מתוך המסמכים הגנובים כעדות לאותנטיו שלהם ועל מנת לעורר עניין בקרב קונים פוטנציאליים. את המשבר, שהוגדר כ״אסון בקנה מידה קיצוני״, מנהלים כעת הקבינט הלאומי הפורטוגלי לביטחון (GNS) ושירות המידע האסטרטגי להגנה, שיידרשו לספק לנאט״ו הסברים וערבויות ממשלתיות. כצעד ראשוני לטיפול באירוע הוזעקו מומחים המסייעים כעת לצבא פורטוגל לסרוק את הרשתות שנחשפו למתקפה ולהעריך את מצב ההגנה של המערכות. מהחקירה עד כה עלה כי המחשבים שנחשפו למתקפה הם בבעלות הצבא החשאי (CISMIL), המנהל הכללי של משאבי ההגנה הלאומיים והמטה הכללי של הכוחות המזוינים, והמסמכים החשאיים הודלפו ממשאבי התקשורת המאובטחת המשותפים לארגונים אלה. עוד התגלה שמדיניות ההגנה הקובעת את כללי ניוד המסמכים המסווגים לוקה בחסר, וכי למרות שקיימים בארגון קווים מאובטחים אל תשתיות צבאיות, נעשה שימוש בקווי תקשורת שאינם מאובטחים להעברת המסמכים המסווגים. ראש ממשלת פורטוגל אנטוניו קוסטה אמר בתגובה ש"הממשלה יכולה להבטיח שהמשרד לביטחון לאומי (MDN) והכוחות המזוינים יפעלו מדי יום כדי שאמינותה של פורטוגל, חברה מייסדת בנאט״ו, תיוותר על כנה".
ה-CISA מוסיפה 14 חולשות ל״קטלוג החולשות הידועות המנוצלות״
ב-8 בספטמבר הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה 12 חולשות לקטלוג שהיא מתחזקת בהתבסס על עדויות לניצולן האקטיבי על ידי תוקפים. החולשות מצויות במוצרים של MikroTik ,Apple ,QNAP, D-Link ,Google ,ortinet ,Oracle ,NETGEAR ו-Android, כאשר שתיים מהן הינן חולשות Zero-day - האחת (CVE-2022-3075) ב-Google Chrome ומקורה באימות לא מספק של נתונים, והשנייה (CVE-2022-27593) בתוכנה Photo Station QNAP, אשר מנוצלת על ידי הכופרה DeadBolt (ראו ״הסייבר״, 8.9.22). לשתי החולשות טרם ניתן ציון חומרה. זאת ועוד, רמת החומרה של שלוש מהחולשות, המצויות בנתבי D-Link (ראו ״הסייבר״, 8.9.22), היא קריטית, וניצולן המוצלח מאפשר את צירוף הנתבים לרשת הבוטים Moobot ובהמשך את השימוש בהם לביצוע מתקפת מניעת שירות (DDoS) (ראו, ״ההסייבר״, 8.9.22).ב-15 בספטמבר התווספו לקטלוג שתי חולשות נוספות: חולשה (CVE-2022-32917) במוצרי חברת Apple, שמקורה ב-Kernel של מערכות ההפעלה של הסמארטפונים, הטאבלטים והמחשבים מתוצרתה, וניצולה עלול לאפשר הרצת קוד מרחוק, וחולשה (CVE-2022-37969) הרלוונטית למערכת ההפעלה Windows, שמקורה ב-(Microsoft Windows Common Log File System (CLFS וניצולה עלול לאפשר לתוקף להעלות הרשאות.
צוות קונפידס ממליץ למשתמשי המוצרים של החברות האמורות לעדכנם לגרסאותיהם האחרונות.
חברת ההובלות האמריקאית U-Haul מדווחת על דלף מידע של לקוחות
החברה, העוסקת בהובלת כבודה ובמעבר דירות בארצות הברית, דיווחה ב-2 בספטמבר כי זיהתה גישה חשודה לחוזי לקוחות, שהתרחשה בין החודשים נובמבר 2021 עד אפריל 2022. התוקפים הצליחו לגשת למסמכים באמצעות שתי סיסמאות בכלי חיפוש חוזים המשמש את לקוחות החברה, אך טרם התברר כיצד התוקפים הצליחו לשים את ידיהם על הסיסמאות. לדברי החברה, מחקירת האירוע עולה שלא נחשפו במהלכו פרטי כרטיסי אשראי או פרטים פיננסיים אחרים. עוד נמסר כי הסיסמאות שנחשפו אופסו.
Google השלימה את רכישת ענקית אבטחת המידע Mandiant
לאחר שבחודש מרץ הביעה עניין ברכישת החברה האמריקאית, השבוע השלימה Google את העסקה לפי שווי השוק של החברה הנסחרת (NASDAQ: MNDT), העומד על 5.4 מיליארד דולר. Mandiant, שנרכשה בעבר על ידי חברת אבטחת המידע FireEye והופרדה ממנה ב-2021 בעסקה בסך 1.2 מיליארד דולר, נחשבת למובילה בתחום המודיעין, ההגנה והתגובה לאירועי סייבר. הרכישה מצטרפת לסבב הרכישות של Google בתחום אבטחת המידע, הכולל את רכישת Siemplify הישראלית, את מערכת ה-Chronicle SIEM ואת מנוע הסריקות של VirusTotal. לדברי קווין מאנדיה, מייסד Mandiant, המותג שנרכש כעת לא ״ייבלע״ אל תוך Google, אלא יוותר בשמו המקורי ויתווסף לסך המוצרים והידע של Google, לשיפור יכולותיהם של שני הצדדים.
Cisco מאשרת כי מידע שנגנב ממנה במתקפה האחרונה נגדה מופץ ברשת האפלה
חברת Cisco מאשרת כי קבוצת הכופרה Yanluowang הדליפה מידע שנגנב ממנה במהלך מתקפת סייבר שחוותה במאי האחרון, ופרסמה אותו ב-11 בספטמבר ברשת האפלה. לדברי החברה, תכולת ההדלפה תואמת למידע ש-Cisco זיהתה כי נגנב, והדבר אינו משנה את הערכתה הראשונית של החברה, לפיה למתקפה אין כל השפעה עליה ועל מוצריה, ואין לה נגיעה למידע רגיש של לקוחות או עובדים. באוגוסט השנה הודיעה Cisco כי נפרצה על ידי Yanluowang, לאחר שהתוקף הצליח לפגוע בחשבון VPN של אחד מעובדיה ולגנוב ממחשבו קבצים שאינם רגישים. לדברי החברה, המתקפה נחסמה לפני שהתוקף הצליח להצפין את המערכת. מנגד, Yanluowang טענה כי יש ברשותה אלפי קבצים במשקל כולל של 55GB, חלקם מכילים קודי מקור ותרשימים טכניים, ואולם היא לא סיפקה כל הוכחה לכך. מ-Cisco נמסר בתגובה כי לא נמצאה כל ראיה התומכת בטענות התוקפים, לפיהן נגנב מהחברה מידע מעבר לזה שנחשף על ידה.
סייבר באיראן
ב-7 בספטמבר, בעקבות מתקפת הסייבר האיראנית על אלבניה, ארצות הברית הטילה סנקציות על איסמעיל ח׳טיב, ראש המשרד למודיעין ולביטחון לאומי האיראני (MOIS), המפקד גם על מערך הסייבר ההתקפי של משמרות המהפכה, ועל המשרד למודיעין ולביטחון לאומי האיראני.
מחקירה משותפת של האירוע שבוצעה על ידי אלבניה וארצות הברית עלה שממשלת איראן היא זו שתקפה את אלבניה, החברה בברית נאט״ו. בהצהרת הבית הלבן בנושא נכתב כי ״הגענו למסקנה שממשלת איראן ביצעה מתקפת סייבר פזיזה וחסרת אחריות זו, ושהיא אחראית לפעולות הפריצה וההדלפה שלאחר מכן״. ארצות הברית גינתה בחריפות את מתקפת הסייבר של איראן נגד בעלת בריתה אלבניה והתחייבה לנקוט בצעדים נוספים נגד איראן, כאשר גם ממשלת אנגליה הצטרפת לייחוס ולגינוי (ראו ״הסייבר״, 8.9.22).
יחידות התקיפה במרחב הסייבר הפועלות תחת ה-MOIS כוללות את:
Muddy Water - יחידה למבצעי סייבר התקפיים, הפעילה מ-2018 ומתבססת על תקיפות כופרה.
APT39 - עוסקת בריגול.
Rana Intelligence Computing Company - עוסקת בניטור אזרחים, עיתונאים ומתנגדי שלטון איראניים, אזרחים ברחבי עולם ולפחות 15 חברות אמריקאיות.
ב-8 בספטמבר, מיקרוסופט פרסמה דוח על תקיפת הסייבר של איראן באלבניה, בו היא מציינת שאחת הקבוצות, המכונה DEV-0861 ואחראית על גישה לרשתות והדלפת מידע (ככל הנראה מדובר ב-APT39), תקפה גם בישראל מיוני 2021 ועד מאי 2022.
בהמשך השבוע פורסמו באתר Iran International תמונות של גורמים המעורבים בפעילות הסייבר ההתקפית של איראן, בהם מפקד יחידת הסייבר של משמרות המהפכה חמיד רזה לשקריאן (לשגריאן), מוחמד בגר שירינקר (מכונה גם מוג׳טבה טהרני), שהיה שותף במבצע הסייבר Sayyad Project לתקיפת שדה התעופה של טירנה, בירת אלבניה, ומהדי האשמי טוגרלג׳רדי.
ב-14 בספטמבר פרסם משרד האוצר האמריקאי סנקציות נוספות נגד גורמים הקשורים למערך הסייבר ההתקפי האיראני ואשר פעלו בארצות הברית ובמדינות אחרות לפחות מאז 2020. באותו היום הודיע ראש ה-FBI על הגשת כתבי אישום נגד 3 האקרים איראניים, המואשמים בכך שתקפו מטרות בארצות הברית ובעולם, לרבות באיראן, ושאחת ממטרותיהם היתה בית חולים לילדים בבוסטון, שנתקף בקיץ 2021 (ראו ״הסייבר״, ה-2.6.22). המבצע סוכל באמצעות ״טיפ״ שקיבלו האמריקאים משותף בינלאומי (אולי ישראל?). בתקיפות הכופר שביצעו, לכאורה, הדליפו הנאשמים כמויות גדולות של מידע, סוגייה מעניינת כשלעצמה, שכן מדובר בקבוצות כופרה המקבלות גב מדיני, נוסח ״תעשו בלאגן עבורנו, ותרוויחו מכך כסף״. על הארגונים שהשלושה חשודים בתקיפתם נמנים מוסדות בריאות ותחבורה, מעון חירום לנשים, ארגונים ממגזרי החשמל, הממשל והדת, עסקים קטנים, מוסדות חינוך ועוד. בתוך כך, האמריקאים מציעים פרס של 10 מיליון דולר למידע שיוביל להסגרת החשודים.
במקביל, הסוכנות האמריקאית לביטחון לאומי (NSA), לשכת החקירות הפדרלית (FBI) והסוכנות להגנת סייבר ותשתיות (CISA) פרסמו התרעה ממוקדת על כך שגופים הקשורים למשמרות המהפכה מבצעים תקיפות סייבר. ההתרעה כוללת פירוט על פעילויות הגופים ומזהים טכניים רלוונטיים. לדברי הסוכנויות, תוקפים מנצלים חולשות ידועות ב-Fortinet (ראו ״הסייבר״, 1.4.21, ו״הסייבר״, 8.4.21) וב-Microsoft Exchange (ראו ״הסייבר״, 18.11.21) להשגת גישה ראשונית למערכות של ארגונים. בימים האחרונים התעדכנה ההתרעה, לאחר שהתברר כי התוקפים הם גורמים המזוהים עם משמרות המהפכה האיסלאמית באיראן (IRGC), ונראה שבנוסף לניצול החולשות במוצרים שצוינו לעיל, הם מנצלים לאחרונה גם חולשות Log4j ב-VMware Horizon. במקרים רבים, לאחר השגת גישה ראשונית למערכות הקורבן באמצעות החולשות, התוקפים ממשיכים לנוע רוחבית ברשת, תוך ניסיון להשיג מידע רגיש ולנתח אותו. אם ימצאו שמדובר במידע רגיש וערכי, התוקפים יצפינו את העמדות באמצעות כופרת BitLocker, יציגו דרישת כופר ולפעמים אף יפרסמו את המידע.
ניסיונות התקיפה שנצפו כוונו בעיקר נגד ארגונים בארצות הברית, באוסטרליה, בקנדה ובבריטניה המשתמשים בתשתיות קריטיות ורגישות. עם זאת, נראה כי התוקפים פועלים בהתאם לאפשרות לנצל את החולשות האמורות, ולא בהכרח באופן מוכוון מטרה, והם נצפו פועלים בחסות החברות Najee Technology Hooshmand Fater LLC ו-Afkar System Yazd, תוך שימוש בכלים רבים, בהם Plink ו-SoftPerfect Network Scanner. עם השגת גישה ראשונית לרשת, התוקפים ינסו לבסס בה אחיזה על ידי יצירת משתמשים חדשים בעלי שמות הדומים לאלה של משתמשים קיימים על שרתי DC ואחרים, עמדות קצה ו-AD, לעיתים תוך העלאת הרשאות עד לכדי להרשאות אדמין. מומלץ לחקור את המוצרים שאותם נצפו התוקפים מנצלים (Microsoft Exchange ,Log4j ו-VMware Horizon) ולבדוק אם בוצעו שינויים שאינם מוכרים ב-RDP, ב-Firewall, ב-WinRM ועוד.
בהתרעת ה-CISA ניתן למצוא המלצות נוספות ומזהי תקיפה (IOCs) רבים, באמצעותם ניתן לאתר פעילות חשודה המקושרת לתוקפים, לרבות כתובות IP ודומיינים בהם השתמשו, שמות שבחרו בעת יצירת משתמשים בעלי הרשאות גבוהות, פרטי איש קשר שפורסמו בקובץ דרישת הכופר ועוד.
היום, ה-15 בספטמבר, אמר מזכיר המדינה אנטוני בלינקן כי ״ארצות הברית נוקטת בפעולות כדי להילחם ולהרתיע מתקפות כופרה ששיבשו שירותים ועסקים קריטיים ברחבי העולם. אנו מטילים סנקציות על יחידים וישויות איראניים, על תפקידם בביצוע פעולות סייבר זדוניות, כולל פעילות הנוגעת למתקפות כופרה״. הרשימה המלאה של הגורמים עליהם מוטלות הסנקציות נמצאת כאן.
צוות אבטחת הסייבר של CERTFA פרסם דוח אודות חקירה שביצע בנוגע לקבוצת ההאקרים האיראנית Charming Kitten (ידועה גם בשמות APT42 ,ITG18 ,UNC788 ,TA453 ,PHOSPHORUS ,Yellow Garuda ו-APT 35), המשתמשת מ-2014 בטקטיקות של התחזות וניצול חשבונות מקוונים פרוצים בקמפייני תקיפה המכוונים נגד אקדמאים, עיתונאים, אקטיביסטים, צוותי חשיבה, מכונים, ארגונים ומגזר הצבא והממשל בארצות הברית, באירופה ובמזרח התיכון.
לאחר יצירת קשר ראשוני עם הקורבן באמצעות הודעות הכוללות קולגות כנמענים נוספים לשם נסיכת אמינות בפנייה, חברי הקבוצה מנסים לנהל עמו שיחות ארוכות, שעשויות להימשך ימים, לפני שיערימו עליו ללחוץ על קישור זדוני להזמנה, לכאורה, לראיון, לפגישה, לדיון, לשיתוף פעולה ועוד. תוך התפתחות השיח, התוקפים יציעו לקורבן לבחון קובץ או מסמך בנושא השיחה, המכיל גם קובץ מאקרו שאוסף מידע ממחשב הקורבן ומדווח בחזרה לתוקף. במידה והשיח אינו מתפתח, לרוב ה״חברים״ הנמענים ישלחו מייל פולואו-אפ אשר ינסה לגרום לקורבן לשתף פעולה.
דוגמה לשיטת פעולה זו, המופיעה בדוח של CERTFA, היא זו של סמואל ואלאבל, חוקר במרכז הלאומי הצרפתי למחקר מדעי (CNRS) ומומחה להדמיה ואסטרטגיות טיפוליות לסרטן ורקמות מוח. לדברי חוקרי CERTFA, קבוצת Charming Kitten התחזתה אל ואלאבל בפלטפורמות מדיה חברתית, לרבות לינקדאין, ויצרה חשבונות בשמו, תוך שימוש בפרטי הרקע האקדמי והמקצועי שלו. בכך, ההאקרים לטשו עיניים אל חוקרים ואקדמאים ממדינות נוספות, במטרה לאסוף מידע מודיעיני ולפרוץ לחשבונותיהם. התוקפים שלחו אל הקורבנות קישור לשיחת Zoom, במהלכה השתמשו במסגרות של סרטון מזויף שמקורו אינו ידוע, במקום במצלמת אינטרנט. בשיחה הסבירו התוקפים על הרקע המחקרי של ואלאבל בניסיון לקנות את אמונו של הקורבן, וכשעלה הדבר בידם - שלחו לו קישור אל דף התחברות מזויף ל-Google. בפועל, הזנת שם המשתמש והסיסמה בטופס המפוברק העבירו את הפרטים לידי התוקפים, שבכך קיבלו גישה לחשבון ה-Google של הקורבן.
CERTFA מעוניינת להעלות את מודעות הציבור לקמפיין הפעיל של הקבוצה האיראנית, לשם אימוץ התנהגות זהירה ברשת מצד אנשים המהווים מטרה לקבוצה. בתוך כך, מן הדוח עולה של-Charming Kitten עניין הולך וגובר בריגול סייבר נגד מומחים בתחומים שונים הפועלים במזרח התיכון ובצפון אפריקה, ובמיוחד באיראן ובסוריה.
CERTFA ממליצה להשתמש באימות רב-שלבי (MFA) מאובטח, כגון אימות דו-שלבי (2FA) עם מפתחות אבטחה, עבור חשבונות מקוונים, ולהפעיל תוכנית הגנה מתקדמת (Google Advanced Protection) בחשבונות Google.
ניתן לזהות פישינג מסוג זה באמצעות תשומת לב מוגברת למאפיינים שונים במיילים, למשל שימוש בכתובת מייל פרטית אשר אינה משויכות למוסד כלשהו, צירוף נמענים נוספים בעלי כתובות פרטיות, פנייה בבקשה לשיתוף פעולה בתחומים הקשורים למזרח התיכון, הצעות לשיחות Zoom הכוללות קישור ושליחת מסמכי טיוטה בתור צרופה למייל.
המיקום ממנו פועלת קבוצת ההאקרים האיראנית Black Shadow נחשף וזכה ל״ביקור דיסקרטי״ של קבוצת ההאקרים הלא-ידועה White Shadow
סרטון חדש שהופץ בערוצי טלגרם רבים של האקרים כולל איום המכוון נגד קבוצת התקיפה האיראנית Black Shadow, אשר בין היתר עומדת מאחורי הפריצות ל״שירביט״ ו״אטרף״ (ראו ״הסייבר״, 4.11.21). בסרטון מתועד, לכאורה, ביקור במקום ממנו פועלת הקבוצה, לצד איום חד-משמעי, לפיו אם תמשיך בתקיפותיה היא ״תזכה״ לביקור נוסף של White Shadows, ככל הנראה פיזי, בסמטת נור מחמדי מספר 23. נכון לשעה זו אין ברשת כל מידע על הקבוצה החתומה על הסרטון.
סייבר בישראל
חשד להונאת סייבר בבחירות להסתדרות העובדים
מנהל הקמפיין של המתמודד עופר עיני נעצר בבוקר ה-11 בספטמבר בחשד שביצע הונאה במטרה לחבל בקמפיין הבחירות של המתמודד ארנון בר דוד, כיום יו״ר ההסתדרות. על פי החשד, העצור הפיץ הודעות SMS בזו הלשון: "משלם יקר, הוראת החיוב נקלטה בהצלחה. לא ביצעת? התקשר: [מספר טלפון]", כאשר מספר הטלפון שפורסם היה זה של מטה הבחירות של בר דוד. הדבר הוביל לבהלה בקרב מקבלי ההודעה ויצר עומס רב על מטה הבחירות של בר דוד, תוך פגיעה בניהול הקמפיין. מיחידה ״להב 433״ של המשטרה נמסר כי במהלך הבחירות שהתרחשו בחודש מאי קיבלה תלונות על הודעות ה-SMS, שנשלחו לאלפי פעילים ומצביעים פוטנציאליים וגרמו לרבים ליצור קשר עם המטה, במה שהביא לקריסת מערכת הטלפוניה במקום, להטרדה ולפגיעה בקמפיין הבחירות.
סייבר ופרטיות - רגולציה ותקינה
דיווח ל-CISA על אירועי סייבר בארה"ב: טיוטה להערות הציבור
הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) פרסמה השבוע בקשה לקבלת הערות הציבור בנושא חובות דיווח שיוטלו על חברות פרטיות בנוגע לאירועי סייבר. במסגרת רגולטורית זו, חברות שמפעילות תשתיות קריטיות יהיו מחויבות לעדכן את ה-CISA גם בנוגע לאירועים עצמם וגם לגבי העברת תשלומי כופר, זאת בהמשך לחוק שנחקק במרץ 2022, ה-Cyber Incident Reporting for Critical Infrastructure Act of 2022. חוק זה קובע חובת הודעה על אירוע סייבר תוך 72 שעות ודיווח על תשלום כופר לתוקפים תוך 24 שעות מרגע ביצועו (ראו ״הסייבר״, 24.3.22). מנהלת ה-CISA ג'ן איסטרלי אמרה בשבוע שעבר כי "[המהלך הרגולטורי] יאפשר לנו סוף סוף להבין טוב יותר מה קורה ברחבי האקוסיסטם. איננו רוצים להכביד על התעשייה ואיינו רוצים להעמיס רעש על הממשלה הפדרלית". הציבור מוזמן להעיר על כללי הדיווח החדשים עד ל-14.11.22. בינתיים, בטרם ייכנסו הכללים החדשים לתוקף, הדיווח על אירועי סייבר בארצות הברית, גם מצד מפעילי תשתיות קריטיות, הינו בגדר המלצה.
תיקון לצו הגנת הפרטיות: הרחבה של פריטי המידע האישי שניתן יהיה להעביר למוסד שהוכר כמוסד להשכלה
ב-12 בספטמבר פרסמה הרשות להגנת הפרטיות את טיוטת צו הגנת הפרטיות (קביעת גופים ציבוריים)(תיקון), התשפ"ב-2022, המרחיבה את היקף פרטי המידע האישי שניתן להעביר מרשות האוכלוסין וההגירה למוסד להשכלה גבוהה בישראל, כפי שמוסד כזה מוגדר בחוק המועצה להשכלה גבוהה, התשי"ח-1958. מטרת התיקון היא לאפשר את בדיקת הזכאות של נושא מידע לקבל ממוסד להשכלה גבוהה קצבת פנסיה תקציבית. חשיבות התיקון היא הסדרה של העברה שקופה של מידע אישי בין רשויות המדינה, בהתאם לצו האמור. בדברי ההסבר לתיקון הצו, מוצע, באופן ספציפי, לעגן בצו הגנת הפרטיות את האפשרות להעביר למוסדות להשכלה גבוהה מידע מרשות האוכלוסין וההגירה, כדי לאפשר בירור של זכאות לפנסיה תקציבית. התיקון יהווה את הבסיס הנדרש להעברת המידע האישי.
הונג קונג מגדירה עבירות סייבר חדשות
בהמשך לעלייה במתקפות הסייבר ולהשפעתן הגוברת על ארגונים בהונג קונג, במיוחד במגזר התשתיות הקריטיות, מתוכנן כעת תיקון משמעותי לחקיקה במדינה הנוגעת לפשע מקוון. ביולי 2022 התפרסם דוח של ועדת המשנה לפשעי סייבר של הוועדה לרפורמה במשפט של הונג קונג, אשר המליץ על חקיקה חדשה שתסדיר, בין היתר, סנקציות פליליות בגין חמש עבירות שבנוגע אליהן המחוקק קובע צורך להגדיר או לחדד את הוראות החוק הקיימות או להוסיף עליהן, והן: גישה לא מורשית לתוכנת מחשב או למידע, חדירה לחומר מחשב שלא כדין, שיבוש או הפרעה למחשב או למערכת ממוחשבת, שיבוש או הפרעה לחומר מחשב והחזקת מכשיר או תוכנה על מנת לאפשר פשע מקוון (ראו, לשם השוואה, חוק המחשבים, תשנ"א-1995),. תהליך החקיקה בהונג קונג כולל התייעצות ציבורית, שתסתיים ב-19.10.22.
סיכונים להגנת פרטיות המידע האישי על רקע השימוש בטכנולוגיות "זיוף עמוק": נייר עמדה ראשון בנושא מטעם הרשות להגנת הפרטיות
ב-5 בספטמבר פרסמה הרשות להגנת הפרטיות מסמך הסוקר היבטים של הגנת הפרטיות בשימוש בטכנולוגיות זיוף עמוק (Deepfake), ומציג את עמדת הרשות, לפיה "הפצה ללא הסכמה [של נושא המידע] של תמונה או סרטון שזויפו בטכנולוגיית Deepfake - המציגים תוכן משפיל או כזה הנוגע לצנעת חייו האישיים של אדם ויכול להיתפס בציבור כאותנטי - מהווה הפרה של חוק הגנת הפרטיות". עוד כולל המסמך המלצות של הרשות לקידום הגנת הפרטיות של מידע אישי לאור ההתפתחויות בשימוש בטכנולוגיות אלה, הפונות לארבעה קהלים: הציבור הכללי, בעלי מאגרי מידע הכוללים מידע אישי, מפתחי תוכנות מסוג Deepfake ומפעיליהן וגורמים המפרסמים תוכן דיגיטלי. בסיכום נייר העמדה מציינת הרשות כי לגישתה "הוראות חוק הגנת הפרטיות […] חלות גם על פרסום והפצה של תוכן שזויף באופן דיגיטלי, אם יש בו כדי להטעות את הציבור ולגרום לו להניח כי מדובר בתוכן אותנטי". הרשות מבהירה כי "נתונים הנכללים בהגדרת 'מידע' לפי חוק הגנת הפרטיות, שעברו מניפולציה דיגיטלית באיכות העלולה לגרום לציבור להבין כי מדובר בנתונים אותנטיים על אודות אדם, הם בבחינת 'מידע' שחלות עליו הוראות פרק ב' לחוק ]הגנת הפרטיות, התשמ"א-1981]".
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין