דו״ח סייבר שבועי
עדכון שבועי 18.03.2021
עיקרי הדברים
-
יבואנית ״שיאומי״ בישראל הותקפה על ידי האקרים איראניים
-
חולשת Exchange: הפרלמנט הנורווגי נפרץ שוב, הפעם באמצעות חולשת Exchange, נוזקת הכופרה החדשה DearCry מנצלת פגיעויות
-
בשרתי ה-Exchange. חברת Microsoft פרסמה כלי מיטיגציה לחולשה ולאיתור תקיפה.
-
קבוצת ההאקרים האיראנית MuddyWater ממשיכה לתקוף ארגונים במזרח התיכון
-
ה-CISA וה-FBI פרסמו אזהרה משותפת מפני נוזקת ה-TrickBot
אנו ממליצים לעדכן את המערכות הבאות: גוגל Chrome (גבוה); סביבת SpringBoot Framework ב NetApp (קריטי);
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
Google מפרסמת עדכוני אבטחה עבור Chrome
SpringBoot מפרסמת עדכוני אבטחה לפגיעות חמורה שהתגלתה במוצרי ה-NetApp שלה
התקפות ואיומים
שירות בדיקות קורונה ביוטה חשף מידע אישי של רבבות אזרחים
הפרלמנט הנורווגי נפרץ שוב, הפעם באמצעות חולשת Exchange
קבוצת ההאקרים האיראנית MuddyWater ממשיכה לתקוף ארגונים במזרח התיכון
בוטנט חדש מטרגט מכשירי אבטחה ברשתות באמצעות ניצול פגיעויות קריטיות
השבוע בכופרה
נוזקת הכופרה החדשה DearCry מנצלת פגיעויות בשרתי ה-Exchange של Microsoft
יצרנית הבירה ״מילר״ מודיעה כי חוותה אירוע סייבר
סייבר בישראל
Microsoft פרסמה כלי מיטיגציה לשרתי Exchange
ה-CISA וה-FBI פרסמו אזהרה משותפת מפני נוזקת ה-TrickBot
סייבר בעולם
יבואנית ״שיאומי״ בישראל הותקפה על ידי האקרים איראניים
סייבר ופרטיות - רגולציה ותקינה
ה"מצפן הדיגיטלי" של האיחוד האירופי: פורסמה האסטרטגיה עד שנת 2030
ראיון עם ד"ר שלומית ווגמן-רטנר בנושא המדיניות המתפתחת של דיני הגנת הפרטיות בישראל
מדיניות הסייבר המתפתחת של ממשל ביידן
הסכם הסייבר בין רוסיה לאיראן: ניתוח ראשוני
כנסים
הציטוט השבועי
״זהו אחד החלקים הטעימים ביותר, במיוחד החלק שבו פורצים קודם כל לחברות הביטוח - משיגים משם את בסיס הלקוחות שלהם ועובדים בצורה ממוקדת. ואחרי שעוברים על כל הרשימה, פוגעים בחברת הביטוח עצמה.״
מראיון עם מפעילי הכופרה REvil
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
Google מפרסמת עדכוני אבטחה עבור Chrome
העדכונים, שיהיו רלוונטיים לכל הפלטפורמות (Windows ,Mac, ו-Linux), יתנו מענה ל-5 חולשות חדשות שהתגלו בדפדפן - עבור 3 מהן, שסווגו בדרגת חומרה גבוהה, כבר פורסמו מזהים:
CVE-2021-21191 - פגיעות Use-After-Free ב-WebRTC
SpringBoot מפרסמת עדכוני אבטחה לפגיעות חמורה שהתגלתה במוצרי ה-NetApp שלה
העדכונים שפרסמה הפלטפורמה בעקבות גילוי החולשה הקריטית (CVE-2021-26987, CVSS 9.9) רלוונטיים למוצרים הבאים:
Element Plug-in for vCenter Server
Management Services for Element Software and NetApp HCI
NetApp SolidFire & HCI Management Node
ניצול החולשה עלול לאפשר לתוקף להריץ קוד מרחוק, לחשוף מידע רגיש ולבצע מתקפת DoS.
אנו ממליצים לבעלי המוצרים הרלוונטיים לעדכנם לגרסתם האחרונה.
התקפות ואיומים
שירות בדיקות קורונה ביוטה חשף מידע אישי של רבבות אזרחים
מאגר המידע של השירות שסיפקה חברת Premier Diagnostics שכן בסביבת ענן לא מאובטחת של אמאזון, אשר אפשרה גישה למידע ללא כל תהליך הזדהות. כתוצאה מכך נחשף מידע רגיש של יותר מ-50,000 מתושבי המדינות יוטה, נוודה וקולורדו, לרבות יותר מ-200,000 צילומי תעודות זהות, וכן צילומי רשיונות נהיגה, כרטיסי ביטוח רפואי ודרכונים. לטענת חוקרי המקרה, המידע הפך נגיש לציבור ב-22 בפברואר וככל הנראה היה חשוף משך שבוע ימים לפחות, פרק זמן ארוך דיו על מנת לאפשר לתוקפים לאתר את המידע ולגונבו. למרות שב-1 במרץ הבעיה טופלה והמידע אובטח, חוקרי אבטחה מזהירים כי מי שמידע אישי שלו נגנב במסגרת הפריצה, עלול להוות מטרה לגניבת זהות ולפישינג.
הפרלמנט הנורווגי נפרץ שוב, הפעם באמצעות חולשת Exchange
כחצי שנה לאחר שפורסם בפומבי כי הפרלמנט הנורווגי נפל קורבן למתקפת סייבר, הודיעו כעת בכירים בארגון כי מערכותיו נפרצו בשנית, לאחר שכנופיית האקרים שטרם זוהתה הצליחה לחדור למחשבי הפרלמנט ולדלות מהם מידע, תוך ניצול חולשה בשירותי ה-Microsoft Exchange. מטעמה של נשיאת הפרלמנט, טונה וילהלמסן טרון, נמסר כי המתקפה הנוכחית חמורה מקודמתה, ומכיוון שתוזמנה למועד הבחירות לפרלמנט - יש לראות בה בעיה בינלאומית ומתקפה נגד הדמוקרטיה, בשעה בה העולם מתמודד עם מגפת הקורונה. עוד הודיעה טרון כי מתבצעת חקירה מקיפה בנוגע לתקיפה ולאופי המידע שנגנב במהלכה. שרת החוץ הנורווגית, אינה אריקסן סוריידה, טוענת כי מאחורי המתקפה הקודמת, עליה הודיע הפרלמנט בספטמבר 2020, עומדת ממשלת רוסיה, ואולם רוסיה מצדה מכחישה את ההאשמות. בתוך כך, מגורמים בפרלמנט נמסר כי טרם נמצא קשר בין שתי התקיפות.
קבוצת ההאקרים האיראנית MuddyWater ממשיכה לתקוף ארגונים במזרח התיכון
ב-5 במרץ פרסמה חברת אבטחת המידע Trend Micro כי חוקריה זיהו לאחרונה פעילות ברשתות אשר על פי החשד הינה חלק מקמפיין מתמשך של קבוצת ה-APT האיראנית, המתבסס על שימוש בכלים אדמיניסטרטיביים אמינים לשליטה מרחוק, בהם ScreenConnect ו-RemoteUtilities. בסדרת הפריצות שזוהתה, אשר כונתה על ידי Trend Micro בשם Earth Vetala, התוקף משתמש במייל פישינג ממוקד המכיל קישורים לשירותים אמינים של שיתוף קבצים, ובכך גורם לקורבן להוריד תוכנות זדוניות המאפשרות גישה למחשבו. לטענת חברת האבטחה, הקמפיין מציב לראשונה על הכוונת ארגונים מאיחוד האמירויות, מערב הסעודית, מישראל ומאזרבייג’ן. גם בשעה זו, נמשכות התקיפות במסגרת הקמפיין.
אנו ממליצים לארגונים לבדוק את רשתותיהם, זאת על מנת לוודא כי לא נוכחים בהן קבצים זדוניים המשויכים לקמפיין. רשימת הקבצים מופיעה בלינק הבא.
בוטנט חדש מטרגט מכשירי אבטחה ברשתות באמצעות ניצול פגיעויות קריטיות
כתבה שפורסמה ב-16 במרץ במגזין אבטחת המידע BleepingComputer מתארת את התקיפות, שזוהו לראשונה על ידי חוקרי אבטחת המידע מיחידה 42 של Palo Alto Networks, ומצויות כעת בשיאן. התקיפות, שבמהלכן מתבצעת הדבקה בנוזקת הבוטנט Mirai, בווריאנט המותאם לסוג המכשיר הנתקף, מתבססות על חולשות ישנות וחדשות כאחד, בהן כאלה שפורסמו רק שעות ספורות לפני התקיפה. לטענת החוקרים, לצד הפגיעויות הידועות המנוצלות על ידי התוקפים, בהן פגיעויות קריטיות במכשירי SonicWall ,D-Link ,NETGEAR ועוד, נכון לשעה זו ישנן גם שלוש פגיעויות מנוצלות שעדיין לא זוהו במדוייק.
אנו ממליצים לעבור על רשימת הפגיעויות המלאה המופיעה באתר של יחידת החוקרים מ-Palo Alto Networks בקישור זה, ולפעול בהתאם לפגיעויות הרלוונטיות למערכותיכם.
השבוע בכופרה
נוזקת הכופרה החדשה DearCry מנצלת פגיעויות בשרתי ה-Exchange של Microsoft
על פי פרסום באתר Palo Alto Networks, למרות העדכונים שהוציאה Microsoft בשבוע שעבר לפגיעויות שהתגלו בשרתיה, היא מזהירה כי תוקפים עדיין מטרגטים גרסאות לא מעודכנות של השרתים. עוד אישרה החברה כי התוקפים עושים שימוש בנוזקה החדשה, המנצלת פגיעות ב-ProxyLogon לשם גישה ראשונית לשרת, ולאחר מכן, מתוך המערכת, מצפינה את קבצי הקורבן ומשאירה הודעה על שולחן העבודה שלו, לפיה עליו ליצור עמם קשר באחת משתי כתובות מייל המצוינות בהודעה ולצרף לפנייתו Hash מסוים.
אנו ממליצים לעדכן בהקדם את שרתי Microsoft לגרסתם האחרונה, על מנת להתמגן מפני מתקפה מסוג זה
יצרנית הבירה ״מילר״ מודיעה כי חוותה אירוע סייבר
על פי פרסום החברה מה-11 במרץ, האירוע ״גרם וימשיך לגרום״ לנפילת מערכות ולשיבושים ועיכובים במשלוחים ובפס הייצור. עוד נמסר כי החברה תשכור את שירותיה של חברה חיצונית המתמחה בחקירת אירועי סייבר. לטענתם של מומחי אבטחת מידע, נראה כי מדובר במתקפת כופרה שאינה מקרית, ומהווה המשך לתקיפות ממוקדות כנגד חברות גדולות בתחום ייצור המשקאות, בהן קבוצת Campari האיטלקית, שחוותה מתקפת כופר בנובמבר אשתקד, ו-AriZona Beverages, שנתקפה גם היא בשנה שעברה. ההערכה הכללית היא שפושעי הסייבר ימשיכו להתמקד בשחקני מפתח במגוון ענפים, ובכך נוזקות כופרה ימשיכו להוות איום על כל תעשייה, ללא יוצא מן הכלל. לאור זאת, נדרשים מכל ארגון אצבע על הדופק והערכות מצב וסקירות תכופות, על מנת להבטיח שמידע רגיש נותר מאובטח ונשמר כראוי.
סייבר בישראל
יבואנית ״שיאומי״ בישראל הותקפה על ידי האקרים איראניים
על פי פרסום ב- ynet, קבוצת האקרים אירנית צייצה בטוויטר כי תקפה את חברת המילטון, וכי היא מציעה למכירה מידע שנגנב בתקיפה בעבור ביטקוין אחד, לשני הלקוחות הראשונים אשר יפנו אליה. לטענת התוקפים עלה בידיהם להשיג גישה ל-23 משרתי החברה, ובכלל זה לחשבונות משתמשים, לנתוני יבוא, מכירות והפצה ולשרתי שירותים. את טענותיה גיבתה הכנופייה בתמונות של קבצים בעלי חשיבות, בהם אנשי קשר של משתמשים במכשירי ״שיאומי״, מכתבי התחייבות שנחתמו מול לקוחות החברה, תכניות של מעבדה אשר ״שיאומי״ מתכננת להקים בארץ ותיקיות עם מידע נוסף. בתגובת החברה לפרסום ב-ynet נטען כי המידע שהשיגו התוקפים אינו עדכני וכי מחקירה ראשונית של האירוע עולה שהנתונים שבידיהם אינם כוללים מידע עסקי או פרטי רגיש. עוד נמסר שהפירצה נסגרה והחברה פועלת באופן סדיר. נכון לשעה זו, לא ידוע כיצד חדרו התוקפים אל הרשת או האם דרשו דמי כופר עבור המידע.
סייבר בעולם
Microsoft פרסמה כלי מיטיגציה לשרתי Exchange
לאחר גל העדכונים הקריטיים שפקד את השרתים, Microsoft פרסמה כלי אבטחה ייעודי, One Click, המאפשר זיהוי וטיפול בחולשה CVE-2021-26855, אשר קיבלה את ציון החומרה ה-CVSS 9.8. הכלי שפותח הינו פשוט לשימוש, ונועד לסייע ללקוחות בעלי שרתי Exchange On Premise שאין באירגונם צוות אבטחת מידע או IT, שיכול לסייע בטיפול בחולשה. עוד ציינה Microsoft כי השימוש בכלי אינו מהווה תחליף לביצוע עדכוני האבטחה שפורסמו: במידה וחולשה נוצלה - אין ביכולתם של העדכונים לסגור אותה, ועל כן שני אמצעי האבטחה מחפים זה על זה.
אנו ממליצים לבעלי שרתי Exchange לבצע את העדכונים הרלוונטים ולעשות שימוש בכלי לצורך זיהוי החולשה וסגירתה.
ה-CISA וה-FBI פרסמו אזהרה משותפת מפני נוזקת ה-TrickBot
TrickBot היא נוזקה רב-שלבית ומודולרית, אשר מציעה שלל כלים המאפשרים למפעיליה לבצע רבבות של פעולות סייבר שאינן חוקיות. על פי אזהרת הסוכנויות האמריקאיות, קבוצה של פושעי סייבר מתוחכמים משתמשת במייל פישינג הטוען כי קיימת, כביכול, הוכחה לפיה הקורבן ביצע עבירת תנועה, זאת על מנת לגרום לו להוריד את TrickBot למחשבו. על מנת להקשיח את המערכות נוכח הנוזקה, ה-CISA וה-FBI ממליצות למשתמשי ולמנהלי מערכות לעבור על זוג מסמכים, AA21-076A: TrickBot Malware ו-Fact Sheet: TrickBot Malware, המכילים הנחיות ספציפיות ליישום אמצעים להפחתת איומים מפני פעילות זו.
סייבר ופרטיות - רגולציה ותקינה
ה"מצפן הדיגיטלי" של האיחוד האירופי: פורסמה האסטרטגיה עד שנת 2030
״המצפן הדיגיטלי״ הוא נייר אסטרטגי אשר פורסם ב-9 במרץ על ידי נציבות האיחוד האירופי במטרה לקבוע יעדים דיגיטליים לעשור הקרוב, בהם ארבעה יעדי ליבה: פיתוח יכולות דיגיטליות בקרב כוח אדם במגזרים הדיגיטליים ובציבור הרחב; הרחבת התשתיות הדיגיטליות במדינות האיחוד, לרבות יישום תשתיות 5G בכל מדינה; שדרוג עסקים, ובמיוחד עסקים קטנים ובינוניים, לרמה גבוהה של דיגיטציה בטוחה; ודיגיטציה של שירותים לציבור, כולל העברת 100% משירותי הממשל לתשתית דיגיטלית וזמינות מקוונת מאובטחת של 100% מהמידע הרפואי של תושבי האיחוד. בתוך כך, הנציבות תפתח בהתייעצויות רחבות ובשיתופי פעולה בין-מדינתיים, על מנת להפוך את העשור שבפתח ל"עשור הדיגיטלי של אירופה".
ראיון עם ד"ר שלומית ווגמן-רטנר בנושא המדיניות המתפתחת של דיני הגנת הפרטיות בישראל
בראיון ל״גלובס״ שהתקיים בחודש פברואר התקבלו הבהרות חשובות מצד ראש הרשות לאיסור הלבנת הון וממלאת מקום ראש הרשות להגנת הפרטיות. ד"ר ווגמן-רטנר מבהירה, למשל, כמה נקודות הנוגעות ליישום דיני הגנת הפרטיות ודיני איסור הלבנת הון בכלל, וכעת בפרט, לאור מתקפות הכופרה שחווים ארגונים בישראל בעת האחרונה. בין היתר, היא מתייחסת לתיאום הקיים בין רשויות המדינה בכל הנוגע לאירועי כופרה, לשינויים באופן ההפעלה של סמכויות הרשות להגנת הפרטיות בשנה האחרונה, לרפורמה המתוכננת בדיני הגנת המידע בישראל ולצו החדש המטפל בהיבטים שונים של הפעילות המסחרית במטבעות קריפטוגרפיים בארץ.
מדיניות הסייבר המתפתחת של ממשל ביידן
השבוע התפרסם ניתוח של מדיניות הסייבר של הממשל החדש בבית הלבן, מאת פרופ' דויד פידלר. הניתוח מתבסס על הנחיית הביניים בנוגע לביטחון הלאומי של ארה״ב, שפורסמה החודש, על נאום הנשיא מתחילת חודש פברואר, בו הוא מציין כי "העלינו את מעמדן של סוגיות הסייבר בממשלתנו [...] אנו משיקים יוזמה דחופה לשיפור היכולת, המוכנות והחוסן שלנו במרחב״, וכן נאום של מזכיר המדינה אנתוני בלינקן. לפי פידלר, ממשל ביידן מתמקד כבר בשלב מוקדם יחסית של כהונתו בארבע הנקודות העיקריות הבאות: קידום וחידוש הדמוקרטיה באמצעות המדיניות הלאומית של ארה"ב; שיפור רמת הגנת הסייבר הלאומית, לרבות רמת ההרתעה של יריבים; קידום המנהיגות האמריקאית בתחומי הטכנולוגיה הרלוונטיים - במיוחד לאור התחרות הסינית בגזרה; והגברת שיתוף הפעולה הבינלאומי והמהלכים הדיפלומטיים בכל הנוגע לפעילות במרחב הקיברנטי. התמקדות הממשל החדש במדיניות הסייבר מתרחשת בשעה בה ארה"ב חווה מתקפות אינטנסיביות במסגרת אירועי ה-SolarWinds והתקיפות שכוונו כלפי חברת Microsoft.
הסכם הסייבר בין רוסיה לאיראן: ניתוח ראשוני
הסכם הסייבר הדו-צדדי החדש, עליו חתמו שתי המדינות בחודש ינואר, שדרג את שיתוף הפעולה ביניהן במספר תחומים, כאשר בין היתר הן יעבדו יחדיו לקידום רמות הגנת הסייבר ואבטחת המידע שברשותן, לשיתוף בפיתוחים טכנולוגיים, להכשרת כוח אדם משותפת ומשולבת ולתיאום עמדות בפורומים רב-צדדיים, כגון קבוצות ה-Group of Governmental Experts וה-Open Ended Working Group, המתכנסות תחת חסותו של מזכ"ל האו״ם. לפי ניתוח ראשוני של ההסכם, שבוצע על ידי עמרי וכסלר והתפרסם השבוע בבלוג ה-Council on Foreign Relations, שיתוף הפעולה בין מוסקבה לטהרן "...עשוי להתמקד בשיתוף מודיעיני ושיפור הגנות הסייבר…", להבדיל משיתוף ביכולות סייבר אופנסיביות.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, קונסטנטין חולביצקי, רז גלילי, רחל נועה ביניאשוילי וגיא פינקלשטיין.