דו״ח סייבר שבועי
עדכון שבועי 16.12.2021
עיקרי הדברים
-
Log4j: החולשה הקריטית שמשגעת את העולם - אלפי תקיפות ברחבי העולם עושות שימוש בחולשה; איראן משתמשת ב-Log4j כדי לתקוף חברות בישראל.
-
השבוע הוא שבוע הסייבר הלאומי: ראש הממשלה נפתלי בנט אמר כי ״ישראל מאוד חזקה בסייבר, אבל צריך לדעת שגם האיומים כלפי ישראל גוברים כל העת״; בתרגיל פישינג שקיים המערך נפלו עשרות אלפי ישראלים בפח.
-
Google מציגה ניתוח של שיטת ההדבקה של מכשירי Apple על ידי קבוצת NSO.
-
ארה״ב: מחסור במוצרי גבינה עקב מתקפת כופרה על ענקית מוצרי החלב Schreiber; ענקית ניהול משאבי האנוש UKG מדווחת על אירוע כופרה שהשבית את פעילותה. חשש שמשכורות לא ישולמו בזמן.
-
אנו ממליצים לעדכן את המוצרים הבאים: ספריית Log4j בפרויקט Apache (קריטי); מוצרי ושרתי מיקרוסופט (קריטי); מוצרי SAP (קריטי); דפדפן Google Chrome (קריטי); מוצרי Apple (גבוה); Zoom Clients (בינוני); מוצרי Adobe.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
Log4j: החולשה הקריטית שמשגעת את העולם
עדכוני אבטחה למגוון מוצרי Apple
עדכון אבטחה ל-Google Chrome נותן מענה ל-4 חולשות בדרגת חומרה גבוהה ולחולשה אחת קריטית
עדכוני אבטחה למוצרי SAP נותנים מענה ל-11 חולשות במוצריה, 6 מהן בדרגה קריטית
עדכון אבטחה ל-Zoom Clients נותן מענה לחולשות המשפיעות על משתמשי הקצה בכל מערכות ההפעלה
עדכוני אבטחה ל-11 מוצרים של Adobe
עדכון האבטחה החודשי למוצרי ושרתי מיקרוסופט נותן מענה ל-76 חולשות, בהן 6 חולשות Zero-day
התקפות ואיומים
ארה״ב: מחסור במוצרי גבינה עקב מתקפת כופרה על ענקית מוצרי החלב Schreiber
AWS: שיבושים בקבלת שירותי החברה
Volvo: מידע נגנב ממחלקת ה-R&D של החברה
Google מציגה ניתוח של שיטת ההדבקה של מכשירי Apple על ידי קבוצת NSO
חולשות בתוספי WordPress חשפו יותר ממיליון וחצי אתרים למתקפה
ה-World Economic Forum פרסם טבלה המסייעת לקבוע חוזק של סיסמאות
קבוצת תקיפה איראנית תקפה עשרות חברות תקשורת בחצי השנה האחרונה
מודול לשרתי IIS המריצים את ה-Outlook Web App התגלה כזדוני
קבוצת תקיפה המזוהה עם איראן תקפה חברת תעופה אסיתית באמצעות אפליקציית המסרים Slack
השבוע בכופרה
ברזיל: משרד הבריאות חווה מתקפת כופרה ודלף מידע
מרכז אבטחת הסייבר האוסטרלי פרסם אזהרה לגבי קבוצת הכופרה Conti, לאחר שפגעה במספר ארגונים במדינה
קבוצת ההאקרים המסתורית Karakurt עולה אל פני השטח
היורופול סייע ל-FBI ולמשטרת רומניה לעצור שותף של קבוצת כופרה
חברת UKG מדווחת על אירוע כופרה שהשבית את פעילותה
סייבר בישראל
תרגיל פישינג של מערך הסייבר הלאומי הפיל עשרות אלפי ישראלים בפח
סייבר בעולם
המרכז הקנדי להגנת סייבר מפרסם מסמך בנוגע להגברת המודעות למתקפות כופר ולהתמודדות עמן
דוח של ה-CyberPeace Institute מנתח מתקפות כופרה על הסקטור הרפואי
סין: לוויין קוואנטי ינהל ויאבטח את תשתית החשמל במדינה מהחלל
סייבר ופרטיות - רגולציה ותקינה
הדוח הסופי של הכנס השנתי של הפורום למשילות האינטרנט: כ-60% מאוכלוסיית העולם מחוברת לאינטרנט
בריטניה מציגה אסטרטגיה לאומית להגנת סייבר הכוללת הגנה מפני איומים מדינתיים
כנסים
הציטוט השבועי
איאן ביר וסמואל גרוס מ-Google Project Zero, בנוגע לניתוח שיטת ההדבקה של Pegasus
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
Log4j: החולשה הקריטית שמשגעת את העולם
ב-9 בדצמבר התגלתה חולשת Zero-day המכונה Log4j בספריית לוגינג של Apache בעלת אותו שם. החולשה (CVE-2021-44228, CVSS 10) נחשפה בגרסת הג’אווה של המשחק הפופולרי ״מיינקראפט״ על ידי חברת GreyNoise, ומשם החל להתגלגל כדור שלג שיצר תהודה גלובלית. החולשה קיבלה את ציון החומרה הגבוה ביותר ונמצא כי יש לה השלכות על מרבית העולם הדיגיטלי, שכן למרות שהתגלתה בשרתי ה-Apache, היא בעלת השפעה על כל מוצר מבוסס Java העושה שימוש בספריית Log4j, ומאפשרת טעינה מרחוק של ספריות דרך מנגנון JNDI (מנגנון ה-API של Java, המאפשר תקשורת מול ה-LDAP או חיפוש שאילתות DNS) באמצעות בקשת Web פשוטה. השתלטות זו מרחוק על מחשבים ומוצרי IoT עלולה לאפשר לתוקפים להתקין תוכנות שליטה ובקרה, כופרות, כורי מטבעות קריפטוגרפיים ועוד. פירצה זו היא אחת החמורות שהתגלו בשנים האחרונות, והיא רלוונטית לגרסאות הספרייה מ-2.0c-beta9 ועד 2.14.1. זאת ועוד, מיטיגציית החולשה מהווה מכשול נוסף, שכן מלבד עדכון הספרייה לגרסה 2.15.0, עבור כל מוצר תידרש מיטיגציה אחרת, כאשר כל ארגון נדרש למפות את מערכותיו על מנת לגלות אילו ממוצריו משתמשים בספרייה, ועל כל משתמש לבדוק מול היצרן מהי המיטיגציה המתאימה עבור המוצר שברשותו. בתוך כך, במגזין אבטחת המידע BleepingComputer דווח כי החולשה מנוצלת באופן אקטיבי ברחבי העולם על ידי תוקפים הסורקים אחר מכשירים פגיעים ברשת. למשל, קבוצת התקיפה העומדת מאחורי נוזקת ה-Backdoor המכונה Kinsing כבר החלה לנצל את Log4j להתקנת בוטנטים לכריית מטבעות קריפטוגרפיים על שרתים פגיעים. בנוסף לכך, חברת מיקרוסופט דיווחה כי קבוצת התקיפה האיראנית PHOSPHORUS הנקראת גם מבצעת שינויים בקוד ובאופן התקיפה שלה כדי להתאים עצמה לחולשה, ומחברת אבטחת המידע Mandiant נמסר כי ממשלות איראן וסין משתמשות בחולשה לביצוע לתקיפות שונות. זאת ועוד, בפרסום של חברת Check Point נטען כי קבוצת התקיפה האיראנית Charming Kitten ניסתה להשתמש בחולשה נגד 7 יעדים מהסקטור העסקי והממשלתי בישראל. בינתיים, ב-14 בדצמבר דווח על חולשה נוספת (CVE-2021-45046, CVSS 3.7) שהתגלתה באותה ספרייה, הפעם בדרגת חומרה בינונית. חולשה זו רלוונטית לגרסאות 2.0c-beta9 עד 2.12.1 ו-2.13.0 עד 2.15.0 של הספרייה, והיא עלולה לאפשר לתוקף לנצל הגדרות ברירת מחדל לקויות להזרקת קוד זדוני ל-JNDI Lookup, מה שעשוי לאפשר מתקפת מניעת שירות (DoS). מהמקרה של Log4j ניתן ללמוד שעם כל יתרונותיו של הקוד הפתוח, חשוב להכיר גם בחסרונותיו. השימוש בקוד פתוח מחייב את המשתמש לדאוג לעדכונים שוטפים על מנת להימנע מפרצות ומסכנות, אך נראה שהערנות לדבר גבוהה פחות ממה שהיה ניתן לצפות לו, כפי שממחיש מקרה זה. עוד עולה מהאירועים שיש להגביר את המודעות לפיתוח מאובטח של קוד: פעמים רבות מתכנתים מתמקדים ביעילות ובשימושיות הקוד, תוך זניחת הפן האבטחתי. בדיוק בפירצה זו נכנסים לתמונה ההאקרים, אשר יודעים שהפן האבטחתי של פיתוח הקוד רעוע, ומשקיעים בניסיון למצוא את הפרצות הקיימות בו.
צוות קונפידס ממליץ לעיין בפרסום של מערך הסייבר הלאומי, הכולל מידע נוסף על דרכי מיטיגציה של החולשות, ובעמוד הרשמי של Apache, שם מתעדכנות המלצות החברה באופן שוטף.
עדכוני אבטחה למגוון מוצרי Apple
העדכונים רלוונטיים למוצרים הבאים:
macOS Monterey - ניתן מענה ל-45 חולשות העלולות לאפשר לתוקף קבלת הרשאות גבוהות, קבלת גישה לא-מורשית למידע של הקורבן ומעקב אחר הקורבן. הגרסה העדכנית ביותר של המוצר הינה 12.1.
iOS ו-iPadOS - ניתן מענה ל-41 חולשות, בהן כאלה העלולות לגרום להשחתת זיכרון ולהרצת קוד מרחוק עם הרשאות גבוהות. העדכון מתקן גם מספר באגים במוצרים. הגרסה העדכנית ביותר של המוצרים הינה 15.2.
Safari - העדכון רלוונטי עבור macOS Big Sur ו-macOS Catalina ונותן מענה ל-7 חולשות העלולות לאפשר הרצת קוד מרחוק על עמדת הקורבן. הגרסה העדכנית ביותר של המוצר הינה 15.2.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון אבטחה ל-Google Chrome נותן מענה ל-4 חולשות בדרגת חומרה גבוהה ולחולשה אחת קריטית
לדברי Google, לחברה נודע כי לאחת החולשות (CVE-2021-4102) שרמת חומרתה גבוהה קיים ברשת Exploit (קוד מוכן או Proof of Concept) לניצולה. ככל הנראה, עובדה זו מהווה את הסיבה לסתירה שבין הפרסום של Google, לפיו חמש החולשות ייסגרו בעדכון שיפורסם בימים הקרובים, לבין ממצאי הבדיקה שביצע מגזין אבטחת המידע BleepingComputer, לפיהם העדכון המדובר היה זמין מיד לאחר הפרסום של Google. לשם שמירה על אבטחת המשתמשים במוצר, טרם נמסרו פרטים נוספים אודות החולשות.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה ולעקוב אחר הוראות Google בנושא.
עדכוני אבטחה למוצרי SAP נותנים מענה ל-11 חולשות במוצריה, 6 מהן בדרגה קריטית
אחת מהחולשות הקריטיות (CVE-2021-44231, CVSS 9.9) המקבלת מענה בעדכון מצויה במוצרים SAP ABAP Server ו-SAP ABAP Platform וניצולה עלול לאפשר לתוקף מרחוק להריץ פקודות קוד על מערכת פגיעה. עדכוני האבטחה רלוונטיים למוצרים SAP Business One/Client ,SAP Commerce ,SAP NetWeaver AS ABAP ואחרים. לרשימת המוצרים המלאה לחצו כאן.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון אבטחה ל-Zoom Clients נותן מענה לחולשות המשפיעות על משתמשי הקצה בכל מערכות ההפעלה
השבוע פורסם כי שתי חולשות בתוכנה, שרמת חומרתן בינונית (CVE-2021-34426, CVSS 5.3; CVE-2021-34425, CVSS 4.7) ואשר מותקנות במחשביהם של מיליוני משתמשים ברחבי העולם, מאפשרות הרצת קוד מרחוק (מחשבי Windows בלבד) וביצוע SSRF (כל המערכות ההפעלה). הדבר מאפשר הוצאת קבצים ממערכות הקורבנות וקבלת גישה למשאבי רשת מרוחקים שאינם בעמדות הקצה. החולשה תקפה לגרסאות Zoom Clients הנמוכות מ-5.7.3.
צוות קונפידס ממליץ למשתמשי התוכנה לעדכנה בהתאם לגרסתה האחרונה.
עדכוני אבטחה ל-11 מוצרים של Adobe
העדכון רלוונטי למוצרים, Premiere Pro ,Photoshop ואחרים. בתוך כך, צוות אבטחת המידע של החברה (PSIRT) קורא ללקוחותיה, לשותפיה, לבודקי חוסן ולחוקרי אבטחת מידע להמשיך ולחקור את מוצרי Adobe על מנת לאתר בהם חולשות, זאת במסגרת התוכנית למציאת חולשות אבטחה ובאגים של החברה, המכונה Bug Bounty, אשר מאפשרת סגירת חולשות באופן ישיר ודיסקרטי על ידי PSIRT.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
עדכון האבטחה החודשי למוצרי ושרתי מיקרוסופט נותן מענה ל-76 חולשות, בהן 6 חולשות Zero-day
7 מהחולשות מסווגות כקריטיות וניצולן עלול לאפשר לתוקף להשתלט על עמדת הקורבן ולהריץ עליה פקודות מרחוק.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
התקפות ואיומים
ארה״ב: מחסור במוצרי גבינה עקב מתקפת כופרה על ענקית מוצרי החלב Schreiber
החברה האמריקאית, המשווקת את מוצריה לרשתות מזון מהיר, חוותה במהלך חודש אוקטובר מתקפת סייבר שגרמה להשבתת מערכותיה משך שבוע שלם, זאת לצד דיווחים על דרישת כופר בסך 2.5 מיליון דולר. לדברי החברה היא שכרה את שירותיו של צוות תגובה חיצוני ולאחר מספר ימים הצליחה להחזיר את מערכותיה לפעולה ושבה לתפקוד מלא. כעת, יותר מחודש לאחר המתקפה, מתבררות השלכות נוספות של האירוע, כשארה״ב סובלת ממחסור חמור בגבינת שמנת, בתקופת השיא של צריכת המוצר. מן החברה נמסר כי באוקטובר ירד קצב ייצור גבינת השמנת ב-6.9% לעומת התקופה המקבילה אשתקד, בעוד שצריכת המוצר עלתה ב-18% לעומת התקופה המקבילה.
AWS: שיבושים בקבלת שירותי החברה
ב-7 בדצמבר התבצעה פעילות אוטומטית לשם הגדלת הקיבולת של אחד משירותי הווב של אמאזון המתארחים ברשת הראשית של AWS. הפעולה גרמה להתנהגות בלתי צפויה, שהביאה בתורה לעיכובים בתקשורת בין השרתים ברשת הפנימית של החברה, בה מתארחים שירותים בסיסיים, בהם ניטור ו-DNS, לבין שרתיה הראשיים, בהם מתנהלים רוב שירותי החברה. בעקבות העיכובים התקבלו שגיאות עבור שירותים המתבצעים תוך תקשורת בין הרשתות, מה שגרם לעלייה בנסיונות ההתחברות החוזרים. הדבר הוביל לעומס מתמשך ולבעיות בביצועיהם של מכשירים המחברים בין הרשתות, ואף השפיע באופן מיידי על זמינותם של נתוני הניטור בזמן אמת. עקב כך, חלק מלקוחות החברה חוו שיבושים בקבלת שירותיה. בהועדה שפרסמה AWS מסרה כי ״אנו מתנצלים על השפעת האירוע על לקוחותינו. בעוד שאנו גאים בזמינות שלנו, אנו מודעים לעבודה שהשירותים שלנו הינם קריטיים ללקוחתינו, לאפליקציות שלהם, לעסקיהם ולמשתמשיהם״. עוד הבטיחה החברה שתעשה כל שביכולתה על מנת ללמוד מהאירוע ולשפר את זמינותה בעתיד.
Volvo: מידע נגנב ממחלקת ה-R&D של החברה
יצרנית הרכב השבדית הצהירה ב-10 בדצמבר על הגניבה שהתרחשה מאחד ממאגריה, המכיל מידע הנוגע למחקר ופיתוח, זאת לאחר שזיהתה גישה לא-מורשית למספר שרתים. עוד נמסר כי החברה מבצעת חקירה עצמאית ביחד עם מומחה צד ג׳ אודות המידע שנגנב, וכי הממצאים מצביעים על כך שאין סכנה לביטחון ולפרטיות של לקוחות Volvo. עם זאת, תיתכן השפעה מסוימת על פעילות החברה. על התקיפה קיבלה אחריות כנופיית הכופרה Snatch, אשר ב-30 בנובמבר העלתה לאתרה 35.9MB של מסמכים אשר מכילים, לטענתה, את המידע שנגנב מ-Volvo. אופן הפעולה של הכנופייה, הפעילה מ-2018, הוא אתחול עמדת ה-Windows הנתקפת במצב Safe Mode, הרצת הנוזקה במקביל כשירות Windows והצפנת קבצי הקורבן שבכוננים הקשיחים. ייתכן והשימוש בטכניקה זו נועד לעקוף את מנגנוני ההגנה המותקנים על העמדה, אשר אינם מופעלים כאשר המחשוב מצוי במצב Safe Mode.
Google מציגה ניתוח של שיטת ההדבקה של מכשירי Apple על ידי קבוצת NSO
מניתוח של מכשיר טלפון נייד השייך לפעיל סעודי שנדבק בנוזקת Pegasus של NSO, עלה Exploit המנצל חולשת (Zero-day Zero-click (CVE-2021-30860, CVSS 6 בתוך אפליקציית ה-iMessage של Apple. ה-Exploit לחולשה, שקיבל את השם FORCEDENTRY, מתבסס על ספריית עיבוד התמונות של Apple והתגלה כאפקטיבי גם בשעוני Apple חכמים ובמערכת ההפעלה OSX Big Sur. החוקרים קבעו כי קבוצת NSO ניצלה את החולשה מרחוק כדי להדביק מכשירי Apple בנוזקת Pegasus עוד מפברואר השנה. בתוך כך, Citizen Lab דיווחה על החולשה ל-Apple, אשר ב-13 בספטמבר פרסמה עדכון שנתן לה מענה. המכשירים הפגיעים לחולשה הם כל מכשירי האייפון עם מערכת הפעלה הקודמת ל-iOS 14.8, כל מכשירי ה-Mac עם גרסאות מערכת הפעלה הקודמת ל-OSX Big Sur 11.6 וכל שעוני Apple החכמים עם גרסה הקודמת ל-watchOS 7.6.2. חולשת Zero-click היא חולשה שאינה דורשת אינטראקציה מצד הנתקף, זאת בשונה מחולשות אחרות שנוצלו על ידי קבוצת NSO, אז נדרשו הנתקפים ללחוץ על קישור כלשהו או לבצע פעולה מסוימת. קבוצת NSO נקשרה בעבר לניצול חולשה נוספת מסוג Zero-click ב-WhatsApp בשנת 2019 (CVE-2019-3568, CVSS 9.8) ובשנת 2020 לניצול חולשה ב-iMessage, החולשה האחרונה לא פורסמה בפומבי, אך החוקרים מאמינים כי כבר לא ניתן לנצלה בעקבות שחרור עדכון של Apple לגרסאות iOS 14, שהציג לראשונה את שירות ה-BlastDoor, מערכת אבטחה שנועדה לאמת את אמינות ההודעות המתקבלות ב-iMessage. מכיוון שמתווה התקיפה הראשוני של נוזקת Pegasus מתבסס על אפליצקיית ה-iMessage, כל שהתוקף זקוק לו הוא מספר הטלפון הנייד של הקורבן או שם המשתמש של ה-AppleID שלו. חולשת ה-FORCEDENTRY, שהוצגה לראשונה בספטמבר, מנוצלת על ידי שליחת קבצים בעלי הסיומת gif דרך iMessage, זאת למרות שאינם באמת קבצי GIF אלא קבצי PDF, שבתוכם מוטמע קוד זדוני. קבצים בעלי סיומת gif המגיעים ל-iMessage עוברים לספריית עיבוד התמונות, כאשר עיבוד קובץ ה-PDF המכיל קוד זדוני על ידי הספרייה עלול לגרום להרצת הקוד, ובכך לאפשר לתוקף להתקין על המכשיר את הנוזקה Pegasus, ללא ידיעת הנתקף.
צוות קונפידס ממליץ למשתמשים במוצרי Apple לעדכנם בהתאם להוראות היצרן, ולעקוב אחר עדכוני אבטחה עתידיים.
חולשות בתוספי WordPress חשפו יותר ממיליון וחצי אתרים למתקפה
לדברי חברת Defiant, המתמחה באבטחת אתרי WordPress, כ-1.6 מיליון אתרים היוו בימים האחרונים מטרה לתקיפות, אשר הגיעו מכ-16,000 כתובות IP שונות. ואולם, מניינים אלה מתייחסים רק לכתובות שנוטרו במתקפות על אתרים שלהם מספקת Defiant שירותי הגנה, כך שבפועל נראה שמספר כתובות ה-IP מהן בוצעו תקיפות ומספר האתרים שנתקפו גדולים בהרבה. התוקפים זיהו חולשות ב-4 תוספים וב-15 ערכות נושא בהם משתמשים האתרים שהותקפו. החולשות איפשרו לשנות את הגדרת ה-users_can_register, להירשם לאתרים כמשתמשים חדשים עם הרשאות אדמין ובכך להשתלט עליהם בקלות. עם זאת, החולשות שנוצלו מצויות רק בגרסאות התוספים וערכות הנושא שאינן עדכניות, כאשר לכל המוצרים הפגיעים קיים עדכון, למעט לערכת הנושא NatureMag Lite.
צוות קונפידס ממליץ למשתמשי ערכת הנושא להסירה מהאתר עד להפצת עדכון אבטחה שיתקן את החולשות שהתגלו בה, ולמשתמשי המוצרים הפגיעים האחרים לעדכנם לגרסאותיהם האחרונות.
ה-World Economic Forum פרסם טבלה המסייעת לקבוע חוזק של סיסמאות
הטבלה, המציגה כמה זמן ייקח למחשב לנחש סיסמאות, קובעת, בין היתר, שלמרות שישנם 209 מיליארד צירופים אפשריים להרכבת סיסמה מ-8 אותיות ״קטנות״, מחשב יוכל לנחש סיסמה כזו באופן מיידי. הוספת אות ״גדולה״ אחת לסיסמה תאריך את זמן הניחוש לכדי 22 דקות. לעומת זאת, סיסמה בת 12 תווים המכילה לפחות אות גדולה אחת, סימן מיוחד אחד וספרה אחת תקשה מאוד על ניחושה ותאריך את זמן החישוב לכ-34,000 שנים.
(מקור תמונה: Security.org)
קבוצת תקיפה איראנית תקפה עשרות חברות תקשורת בחצי השנה האחרונה
מתחקיר שפרסמה חברת Symantec עולה שבחצי השנה האחרונה התנהל קמפיין ריגול ותקיפה של עשרות חברות תקשורת במזרח התיכון ובאסיה. צוות המחקר אסף מידע וראיות מתקיפות שונות שהתרחשו בישראל, בירדן, בכווית, בערב הסעודית, באיחוד האמירויות, בפקיסטן, בתאילנד ובלאוס, ולמרות שזהות התוקפים לא אושרה באופן חד-משמעי, נמצא שבחלק מהאירועים נעשה שימוש בכלים העשויים להצביע על קבוצת התקיפה האיראנית Seedworm (הידועה גם כ-MuddyWater). עוד נמצא כי הקבוצה נוהגת לגנוב סיסמאות ולנוע רוחבית ברשת המותקפת, וכי היא מגלה עניין רב בשרתי Exchange, בהם היא מקימה Backdoors. החוקרים משערים שהתוקפים משתמשים בחברות אליהן הצליחו לפרוץ כ״גשר״ לחברות אחרות, ואף טוענים כי קיימת אפשרות שחלק מהחברות הותקפו רק על בסיס קשריהן לחברות אחרות. עד כה לא זוהתה נקודת התחלה עבור אף אחת מהתקיפות, אך באחת מהן נמצא קובץ ZIP שככל הנראה הגיע אל המחשב באמצעות מתקפת פישינג, ואשר הכיל בתוכו קובץ התקנה של ScreenConnect (אחד מכלי השליטה מרחוק בהם השתמשה Seedworm בעבר). בתקיפה אחרת, שהתרחשה באוגוסט השנה, ה-IOC הראשון היה יצירת Service המריץ Windows Script File) WSF). התוקפים השתמשו בסקריפטים מסוג זה בעיקר על מנת לאסוף מידע ולסרוק רשתות. לאחר מכן נעזרו ב-eHorus, שהינו כלי נוסף לשליטה מרחוק, על מנת להתקין ולהפעיל כלים כמו Mimikatz ו-Ligolo, המשמשים לביצוע Tunneling.
מודול לשרתי IIS המריצים את ה-Outlook Web App התגלה כזדוני
במהלך חיפוש שערכו חוקרי אבטחת מידע של חברת Kaspersky אחר שתלים זדוניים המכוונים אל שרתי Exchange של Microsoft, זוהה קובץ בינארי שהועלה לקראת סוף 2020 למערכת סריקה רב-מערכתית. לאחר ניתוח ראשוני של הקוד הצליחו החוקרים לקבוע כי מדובר במודול לשרתי IIS שמטרתו לגנוב פרטי התחברות ולהפעיל את האפשרות להריץ קוד מרוחק על (OWA (Open Web App. המודול הזדוני, שהחוקרים העניקו לו את הכינוי Owowa, פותח, ככל הנראה, בין סוף 2020 לאפריל 2021, והוא בנוי בצורה שנועדה להטמעתו בשרתי IIS אשר מקבלים פרטי התחברות ממשתמשים דרך OWA, ואשר תאפשר הרצת קוד מרחוק על השרת המארח. פעולתו של המודול מתבססת על סריקת בקשות HTTP שנשלחות ומתקבלות בשרת ה-Exchange, כאשר הוא מצפין את פרטי ההתחברות ושומר אותם בתוך קובץ Log מסוים, C:\Windows\Temp\af397ef28e484961ba48646a5d38cf54.db.ses, שנועד לפרטי התחברות של משתמשים שהצליחו לאמת עצמם מול השרת. המודול יודע לוודא זאת על ידי סריקה של ה-HTTP Response מצד השרת אל המשתמש. מחקירת קוד המקור של המודול נראה כי תוקף יכול לתקשר עמו על ידי הזנת ערכים שהמודול יודע לזהות בשדה המיועד להקלדת שם המשתמש בדף ההתחברות, ועל ידי כך לקבל פרטים מהשרת במקום השגיאה הרגילה המתקבלת כאשר מוזן שם משתמש שגוי. למשל, אם התוקף יזין את הערך jFuLIXpzRdateYHoVwMlfc - המודול יחזיר אליו את קובץ ה-Log המוצפן בצורת קידוד של Base64. יכולת הרצת הפקודות המרוחקות מתרחשת אף היא באופן זהה, כאשר התוקף מזין בשדה המיועד לשם המשתמש בדף ההתחברות את הערך dEUM3jZXaDiob8BrqSy2PQO1. בקבלת ערך זה המודול יודע להריץ את כל מה שנמצא בשדה הסיסמה בדף ההתחברות בתוך PowerShell. גם כאן התוצאה המתקבלת ב-PowerShell מוצפנת ומוחזרת אל התוקף בקידוד של Base64. המודול הזדוני Owowa פותח בצורה יסודית וייחודית, המאפשרת לתוקף גישה מלאה אל השרת הפגיע. נכון לשעה זו חוקרי Kaspersky זיהו מספר שרתים באסיה שנדבקו בו וסבורים כי הוא מצוי גם בשרתים באירופה. למרות שטרם נמצא קשר ישיר אל קבוצת תקיפה מסוימת, נראה שהתוקף לא הצליח למחוק את עקבותיו כליל: בחקירת הקובץ נמצא שם משתמש אשר ככל הנראה מקושר לפיתוח המודול, S3crt, כאשר משתמשים עם שם זהה נמצאו בפורומים המעידים על תחומי העניין של אותו משתמש בטכניקות האקינג שונות. זאת ועוד, באתר Keybase אותר משתמש בשם זהה המכיל תיקייה עם קוד המקור של כלי התקיפה Cobalt Strike, שכנראה כי הודלף בנובמבר 2018. טרם התברר מתווה התקיפה הראשוני שנועד להטמעת המודול בשרתי IIS פגיעים, אך פורסמו IOCs ששויכו בחקירה אל Owowa.
קבוצת תקיפה המזוהה עם איראן תקפה חברת תעופה אסיתית באמצעות אפליקציית המסרים Slack
מדוח שפרסם השבוע צוות IBM Security X-Force עולה כי התקיפה, שאירעה במרץ 2021, התבססה על תקשורת Backdoor דרך האפליקציה, תוך שימוש שעשו התוקפים בשפת כתיבת סקריפטים המכונה ב-IBM בשם Aclip. על פי הדוח, התוקפים יצרו שרת C2 המנצל את ה-API של Slack לקבלת פקודות ולשליחת מידע, וכן Workspaces ו-Channels להעברת מסרים ב-Slack, אשר נשלטו על ידי התוקפים ושימשו אותם לקבלת מידע מהמערכות (צילומי מסך וקבצים, למשל) ולביצוע פקודות במערכות דרך שרת ה-C2. נראה כי מאחורי המתקפה המתקפה עומדת MuddyWater האיראנית (המכונה גם Seedworm), אשר קורבנותיה הם בעיקר חברות בתחומי התקשורת, ה-IT והדלק במזרח התיכון, באירופה ובארצות הברית.
השבוע בכופרה
ברזיל: משרד הבריאות חווה מתקפת כופרה ודלף מידע
קבוצת התקיפה Lapsus$ Group הודיעה השבוע כי הצליחה לגנוב 50TB של מידע ממערכות המשרד ולהצפין את מחשבי רשת הארגון על מנת לגבות דמי כופר. בתגובה פרסם המשרד כי ברשותו גיבויים איכותיים של המידע וכי לא אבדו נתונים חשובים אודות אזרחים. לרוע מזלם של אזרחי ברזיל, התקיפה שאירעה השבוע הגיעה לאחר אירוע נוסף של דלף מידע שהתרחש במדינה בשנה שעברה, אז עובד בית חולים העלה לרשת מידע אישי של יותר מ-16 מיליון מחוסני קורונה ברזילאים.
מרכז אבטחת הסייבר האוסטרלי פרסם אזהרה לגבי קבוצת הכופרה Conti, לאחר שפגעה במספר ארגונים במדינה
באחד המקרים פגעה Conti בחברת Frontier, האחראית על חלוקת משכורות למספר גופים ממשלתיים במדינה. בהודעה שהוציא משרד שר האוצר של דרום אוסטרליה נמסר כי בעקבות מתקפת הכופרה, ייתכן וכ-80 אלף רשומות של עובדי ממשל מוחזקות בידי Conti ומצויות בסיכון להדלפה, בהן מידע הכולל שמות, כתובות מגורים ופרטי חשבונות בנק. בדוח שפרסם מרכז אבטחת הסייבר האוסטרלי מופיעות פעולות שבהן מומלץ לארגונים לנקוט על מנת לאבטח את מערכותיהם ורשתותיהם ולהיערך למתקפות מסוג זה. הכופרה Conti זוהתה לראשונה בתחילת 2020 והיא משמשת כ-RaaS (נוזקה כשירות) בידיהם של קבוצות ותוקפים רבים, המנצלים חולשות בתוכנות שאינן מעודכנות ובפתרונות גישה מרחוק על מנת להשיג גישה לרשתות פנימיות. הכופרה חוסמת גישה לקבצים ולמערכות על ידי הצפנתם לפורמט נעול ובלתי שמיש, ופוגעת בחברות ובארגונים רבים במגוון סקטורים.
קבוצת ההאקרים המסתורית Karakurt עולה אל פני השטח
הקבוצה, שנהגה לחמוק מתחת לרדאר, ואשר נצפתה בעבר פועלת במגזר הפיננסים, הגבירה את תקיפותיה במהלך הרבעון השלישי של 2021 ונראה כי גם ברבעון הנוכחי היא ממשיכה בהרחבת פעילותה. Karakurt זוהתה לראשונה ביוני 2021, אז רשמה שני דומיינים המקושרים לפעילותה, ובאוגוסט פתחה חשבון טוויטר תחת שם המשתמש karakurtlair. חברת Accenture Security, המדווחת כעת על מעללי הקבוצה, היא זו שהבחינה בה לראשונה, כאשר התגלתה כמות גדולה של מתקפות בעלות איפיונים המקשרים את התקיפות אל הקבוצה בפרק זמן קצר יחסית. לדברי Karakurt, עלה בידיה לפגוע ביותר מ-40 קורבנות במגוון סקטורים ותעשיות במהלך החודשים ספטמבר-נובמבר, כאשר עיקר עיסוקה הוא בגניבת מידע רגיש ואישי ובסחיטת הקורבנות, זאת בשונה ממתקפות הכופר ההרסניות המתרחשות ברחבי העולם, הכוללות הצפנת מידע. מ-Accenture Security נמסר כי זיהתה שינויים והתאמות בטקטיקות בהן משתמשת Karakurt, בהתאם למטרה שעל הכוונת, דבר המקשה על זיהוי הכלים ודרכי הפעולה שלה על ידי מערכות ההגנה של הארגונים הנתקפים. נכון לשעה זו, נראה כי תשתית התקיפה של Karakurt הייתה מקושרת בעבר לתוקפים אחרים, וכי כיום היא פועלת ללא שותפים. לאור כמות האיומים המתגברת מצד הקבוצה, נראה כי זוהי רק ההתחלה של התרחבות מתקפותיה.
היורופול סייע ל-FBI ולמשטרת רומניה לעצור שותף של קבוצת כופרה
הדבר פורסם על ידי היורופול ב-13 בדצמבר ללא ציון שם הקבוצה, דבר אשר ממנו ניתן להסיק כי ככל הנראה מדובר בכנופיית REvil, ששניים משותפיה נעצרו ברומניה בתחילת נובמבר. לדברי היורופול, השותף שנעצר כעת חשוד כי תקף חברת IT גדולה שפועלת ברומניה ומחוצה לה, תוך גנבה והצפנת מידע פיננסי, פרטי עובדים ומסמכים חשובים השייכים לחברה. עוד חשוד העצור כי איים להדליף את המידע בפורומים שונים במידה ודרישות הכופר שהציג לא תקבלנה מענה.
חברת UKG מדווחת על אירוע כופרה שהשבית את פעילותה
ענקית ניהול משאבי האנוש האמריקאית אישרה כי המתקפה השפיעה על ה-(Kronos Private Cloud (KPC, שאחראי על מספר שירותים בהם משתמשים לקוחותיה לניהול עובדים ומשכורות. עוד מסרה החברה כי היא עובדת על פתרון האירוע ביחד עם מומחים בתחום הסייבר, וכי דיווחה עליו לרשויות כנדרש. לדברי UKG, כל המוצרים הנוגעים ל-KPC אינם זמינים, ויחלפו מספר שבועות עד שישובו לפעילות תקינה. נכון לשעה זו, לא ידוע על מידע אישי שנגנב או הודלף בתקרית.
סייבר בישראל
תרגיל פישינג של מערך הסייבר הלאומי הפיל עשרות אלפי ישראלים בפח
במסגרת התרגיל נשלחו ב-12 בדצמבר יותר מ-80 אלף הודעות מזויפות לעובדים בארגונים שונים. 40% מהם לחצו על הקישור המזויף, שהפנה אותם להסבר אודות התרגיל. דוגמה למלל הודעת פישינג שנשלחה: ״שלום, אותרה פעילות חריגה בכרטיס האשראי שלך, במידה ואתה ביצעת אותה, התעלם מהודעה זו. במידה ולא נא עדכן בקישור המצורף. http://lp6.me/PM0HB״. לחיצה על הקישור הובילה לעמוד נחיתה בו נכתב: ״אופס! פרטי האשראי שלך לא כאן… השתתפת בתרגיל דיוג (פישינג) של מערך הסייבר הלאומי בשיתוף עם מערך ביטחון מידע בצה״ל. אין ללחוץ על קישורים הנראים חשודים, בקבלתך קישורים אלה נא לפנות לגורמי ביטחון מידע״ (ראו תמונה להלן). עוד צוין בעמוד הנחיתה כי ״אם באמת היינו מתחזים, היית מגיע לעמוד מתחזה שעשוי להיראות אמין מאוד״, לצד דוגמה לעמוד סליקת אשראי מדומה. נוסף על כך, מערך הסייבר הלאומי אף הציג בפני לוחצי הקישור 5 סימנים מחשידים לזיהוי פישינג, בהם נוסח חובבני של ההודעה, כתובת אתר או מייל שאינם רשמיים או כוללים שגיאות, בקשה להזנת פרטים אישיים בקישור או להורדת תוכנה, יצירת לחץ ותחושת דחיפות והבטחה לפרס או שימוש בפיתוי. יגאל אונא, ראש מערך הסייבר הלאומי, אמר במסגרת שבוע הגנת הסייבר, המתקיים השבוע, כי "ככל שעושים יותר פעולות פיננסיות בדיגיטל, כך הגורמים הרעים מנסים לנצל זאת. יש להיות ערניים - אם מקבלים הודעה חשודה, עם טעויות בעברית, הסמל במקום הלא נכון ובלי פנייה ישירה - צריך לבדוק אם היא אמיתית". נפתלי בנט, ראש ממשלת ישראל, אמר באותו מעמד כי ״ישראל מאוד חזקה בסייבר ואנחנו רק הולכים ומתחזקים, אבל צריך לדעת שגם האיומים כלפי ישראל הולכים וגוברים״. לדבריו, עלינו להיות ממוקדים וערניים נוכח ניסיונות לדלות פרטים על אזרחי ישראל. הוא קרא לאזרחים לשים לב לסימנים חשובים במרחב הסייבר ולעקוב אחר הנחיות מערך הסייבר הלאומי, שיש ביכולתן לסייע לזהות מתקפות סייבר ואתרים מתחזים בזמן אמת. ״כשיש הוראות של מערך הסייבר צריך להקשיב להן,״ אמר. ״ראינו שבמקרים שלא הקשיבו להן יש חברות מסוימות שחטפו.״
(מקור: מערך הסייבר הלאומי)
סייבר בעולם
המרכז הקנדי להגנת סייבר מפרסם מסמך בנוגע להגברת המודעות למתקפות כופר ולהתמודדות עמן
ה-Ransomware Playbook, שפורסם על ידי ה-CCCS ב-30 בנובמבר, מגיע על רקע המכתב הפתוח שהפיץ הארגון מוקדם יותר החודש (ראו ״הסייבר״, 9.12.21). המסמך נכתב על מנת להעניק לחברות ולארגונים קנדיים אינפורמציה חשובה על מתקפות כופרה ועל הכנה נאותה נוכחן, והוא פורסם כחלק ממאמץ נרחב של הרשויות הקנדיות למיגור המתקפות ההולכות וגוברות על גופים במדינה ולשדרוג יכולותיהם להתמודד עמן. המסמך מתמקד בנושאים הבאים: מידע אודות מתקפות כופרה, סוגיהן והסכנה הגלומה בהן לארגונים ולפעילותם, הגנה מפני המתקפות, אמצעים לאבטחת מידע והגנת סייבר העומדים לרשות החברות והתאוששות ממתקפת כופרה לאחר שהתרחשה.
צוות קונפידס ממליץ לקוראים מכל מגזר לעיין במסמך זה ולהפיק את הלקחים הרלוונטים להם.
דוח של ה-CyberPeace Institute מנתח מתקפות כופרה על הסקטור הרפואי
מהניתוח עולה כי ב-18 החודשים האחרונים לפחות 39 תוקפים שונים ביצעו מתקפת כופרה אחת לפחות על מוסד רפואי, ב-27 מדינות שונות. בין היתר, הדוח מתייחס ל״מוסר הכפול״ של התוקפים, כאשר 6 מתוך 12 קבוצות תקיפה שהבטיחו שלא יפגעו במוסדות המספקים טיפול רפואי תקפו בכל זאת בתי חולים. 3 קבוצות תקיפה התייחסו לכך בציינן כי הדבר עשוי ״לקרות בתום לב, ולכן מפתח הצפנה מסופק לקורבנות ללא עלות כספית״. ואולם, ברגע שהמידע מוצפן ומערכות נופלות, הנזק כבר נגרם. עוד העלה הניתוח כי למרות שלקבוצות התקיפה יש עניין גדול יותר לפגוע בחברות תרופות בגלל שהן ״מרוויחות על חשבון החולים והמגפה״, יותר תקיפות כוונו אל מוסדות רפואיים (110) מאשר אל חברות תרופות (54).
סין: לוויין קוואנטי ינהל ויאבטח את תשתית החשמל במדינה מהחלל
פיתוח הלוויין Mozi, שיתן פקודות לרשת הקריטית באמצעות קרני אור, נועד לחסל את האפשרות שהאקרים יפרצו לתשתית החשמל של סין. Mozi, ששוגר לחלל כבר ב-2016, צפוי להתחיל למלא את תפקידו בקרוב.
סייבר ופרטיות - רגולציה ותקינה
הדוח הסופי של הכנס השנתי של הפורום למשילות האינטרנט: כ-60% מאוכלוסיית העולם מחוברת לאינטרנט
הפורום (Internet Governance Forum, או IGF), הפועל בכל תחומי המשילות של האינטרנט ומקדם הסדרה ברמה הגלובלית של היבטים שונים של השימוש במשאב, מונה מדינות, ארגונים, קבוצות פרטיות ויחידים. השנה, בכנס ההיברידי שהתקיים בין ה-6-10 בדצמבר בפולין ובאופן מקוון, בהנחיית מזכ"ל האו"ם מר אנטוניו גוטרש, הסוגיות המובילות היו כדלקמן: קידום גישה אוניברסלית לאינטרנט, שיתופי פעולה במרחב הדיגיטלי, בניית יכולות ותשתיות במרחב, פיתוח נורמות להגנת סייבר, שמירה על זכויות אדם, הגנת הצרכן, פיתוח כלים משפטיים ורגולטוריים לשמירה על פרטיות של משתמשים ופיקוח מוגבר על חברות הענק שפועלות במרחב הדיגיטלי. בדוח הכנס צוינה, בין השאר, רמת השימוש באינטרנט על ידי יחידים ברחבי העולם לפי הנתונים המעודכנים ביותר של איגוד הטלקומוניקציה הבינלאומי (ראו טבלה).
(מקור: הדוח הסופי של ה-IGF, דצמבר 2021)
בריטניה מציגה אסטרטגיה לאומית להגנת סייבר הכוללת הגנה מפני איומים מדינתיים
מטרתה של אסטרטגיית הסייבר הלאומית שפרסמה ממשלת בריטניה ב-15 בדצמבר היא חיזוק עמדת המדינה כמעצמת סייבר במישור הגלובלי. במסמך קוראת הממשלה לכל תושבי הממלכה הבריטית למלא את חלקם ברמה האישית והארגונית בחיזוק היתרונות הכלכליים והאסטרטגיים של המדינה במרחב הסייבר, על ידי קידום הרב-גוניות בכוח העבודה בתחום, שיפור דרכי השימוש במרחב הסייבר בכל רחבי המדינה, תגבור הגנות הסייבר ברמה המדינתית והקצאת תקציבים נוספים למאבק בפשע מקוון. האסטרטגיה מציינת את תפקידו החיוני של המגזר הפרטי במשימות ההגנתיות במרחב, ואף מייסדת מועצת סייבר מייעצת לאומית חדשה, שתכנס נציגים מהמגזר הפרטי והשלישי כדי לשתף פעולה עם הממשלה בנושא. פרשנים מציינים שממשלת בריטניה נדרשת לאחרונה לתגבר את יכולות הסייבר שלה על מנת להתגונן מפני איומים מדינתיים, במיוחד מצד רוסיה וסין.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.