דו״ח סייבר שבועי
15.5.2022-19.5.2022
עיקרי הדברים
-
ישראל: חברת אוטוסופט המספקת שירותי קופה רושמת, חווה מתקפת כופרה של LockBit. מערך הסייבר הלאומי מוציא התרעה בנושא עם המלצות למשתמשים בקופות רושמות.
איטליה: נמנעה מתקפת סייבר במהלך שידורי האירוויזיון.
-
קוסטה ריקה: נמשך מצב החירום הלאומי בעקבות מתקפת הכופרה של Conti, שפגעה ב-27 מוסדות לאומיים, ב-9 מהם באופן משמעותי. קבוצת Conti הרוסית דורשת תשלום של 20 מיליון דולר, אחרת תפיל את הממשלה. בזמביה: מתקפת כופרה של קבוצת Hive על הבנק המרכזי נתקלה בתגובה בלתי שגרתית של הקורבן: ״תמצצו את XXX ותפסיקו לנעול רשתות בנקאיות במחשבה שתרוויחו משהו״.
-
איראן ממשיכה לתקוף במרחב הסייבר: קבוצת תקיפה איראנית מטשטשת את הגבולות בין פעילות כופרה לריגול; קבוצת התקיפה האיראנית APT34 תקפה את הממשלה הירדנית תוך שימוש בנוזקה חמקנית.
-
איטליה: נמנעה מתקפת סייבר במהלך שידורי האירוויזיון.
-
*אנו ממליצים לעדכן את המוצרים הבאים: מוצרי VMware (קריטי); מוצרי Adobe (קריטי); מוצרי Apple (קריטי); תוספי WordPress (קריטי); מוצרי SAP (קריטי); מוצרי SonicWall SSL VPN SMA 1000 (קריטי); מוצרי ה-Firewall של Zyxel (קריטי); מוצרי Cisco (גבוה); כרטיסי המסך של NVIDIA (גבוה); Apache Tomcat.*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-SonicWall SSL VPN SMA 1000 נותן מענה לחולשה קריטית
עדכון אבטחה למוצרי ה-Firewall של Zyxel נותן מענה לחולשה קריטית
עדכוני אבטחה למוצרי Cisco נותנים מענה לחולשה ברמת חומרה גבוהה
עדכוני אבטחה למוצרי Apple נותנים מענה לחולשות קריטיות
עדכוני אבטחה קריטיים למוצרי Adobe
עדכוני אבטחה של Wordfence לתוספי WordPress נותנים מענה לחולשה קריטית ולחולשה ברמת חומרה גבוהה
עדכון אבטחה ל-Apache Tomcat נותן מענה לחולשה חדשה
עדכון אבטחה למוצרי VMware נותן מענה לשתי חולשות מנוצלות, אחת מהן קריטית ומאפשרת השגת שליטה מלאה על מערכות פגיעות
עדכוני אבטחה למוצרי SAP נותנים מענה לחולשות קריטיות מסוג Spring4Shell
עדכון אבטחה נותן מענה לחולשות ברמת חומרה גבוהה בדרייבר של כרטיסי המסך של NVIDIA
התקפות ואיומים
קבוצת התקיפה האיראנית APT34 תקפה את הממשלה הירדנית תוך שימוש בנוזקה חמקנית
וריאנט חדש של הבוטנט Sysrv-K מכוון לניצול חולשות קריטיות
קמפיין חדש לגניבת מידע מכוון נגד סוכנויות ויצרניות רכב גרמניות וחברות המקושרות אליהן
נוזקה חדשה העושה שימוש בחולשת Log4j פוגעת במערכות מבוססות Linux ומשמשת להקמת בוטנט
סוכנויות סייבר עולמיות פרסמו את 10 וקטורי התקיפה הנפוצים ביותר
זוהתה גרסה חדשה לנוזקה הטרויאנית UpdateAgent המשפיעה על macOS
חוקרים מצאו חולשה ברכיב ה-Bluetooth ב-iPhone
השבוע בכופרה
קבוצת תקיפה איראנית מטשטשת את הגבולות בין פעילות כופרה לריגול
״כופרה כשירות״: על תופעת השכרת כלי תקיפה בתמורה לאחוזים מדמי הכופר
ארה״ב: קרדיולוג מוונצואלה מואשם בפיתוח כופרות ובמכירתן לתוקפים בעבור אחוזים מרווחי מתקפות כופרה
צוות המחקר של Cisco Talos מזהיר: קבוצת הכופרה BlackByte עדיין פעילה
המלחמה במזרח אירופה - בקרות: דוד
Securelist מבית Kaspersky מסכמת את פעולות התקיפה והאיומים במרחב הסייבר באוקראינה
סייבר בישראל
אוטוסופט הישראלית חווה מתקפת כופרה באמצעות LockBit
סייבר בעולם
ארה״ב: 4 שנות מאסר לפושע סייבר שמכר סיסמאות ואמצעי זיהוי ברשת
איטליה: נמנעה מתקפת סייבר במהלך שידורי האירוויזיון
נמשך מצב החירום הלאומי בקוסטה ריקה - הנשיא צ׳אבס: "אנחנו במלחמה, וזו אינה הגזמה. המלחמה היא נגד קבוצת טרור בינלאומית״
ה-CISA מסירה באופן זמני חולשה מ״קטלוג החולשות המנוצלות הידועות״ - ומוסיפה לו שלוש חולשות חדשות
ארה״ב: נוזקה התגלתה בקוראי כרטיסים חכמים של עובדי ממשל
ה-NSA וגופים נוספים פרסמו מסמך המלצות משותף המתייחס לחולשות נפוצות שמאפשרות גישה למערכות
זמביה: מתקפת כופרה על הבנק המרכזי נתקלה בתגובה בלתי שגרתית של הקורבן
סייבר ופרטיות - רגולציה ותקינה
מתקפת הסייבר על אוקראינה דרך מערכות לווייני Viasat מיוחסת לרוסיה: ארה"ב, בריטניה והאיחוד האירופי מכריזים על התקיפה כ"התנהגות בלתי-אחראית"
הדוח השנתי של המועצה האירופית להגנה על מידע: תחומי טיפול עיקריים של הגוף המפקח וסדרי עדיפויות להמשך
שדרוג הגנת הסייבר במדינות האיחוד האירופי: הרחבת דירקטיבת ה-NIS מ-2016
רפורמה בריטית ברגולציה של הגנת פרטיות המידע האישי: "ברקזיט" מה-GDPR
הצעת חוק חדשה: איסור פרסום זמני על מתקפת סייבר בישראל וחובת דיווח למשטרה
ארה״ב: הצעת חוק חדשה דורשת מה-DHS לעשות סדר בתפקידים של רגולטורים שונים בתחום הסייבר
כנסים
הציטוט השבועי
_"אנחנו במלחמה, וזו אינה הגזמה. המלחמה היא נגד קבוצת טרור בינלאומית.״
יגאל אונא, ראש מערך הסייבר הלאומי הפורש, בראיון לגל"צ, 03/02/2022.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-SonicWall SSL VPN SMA 1000 נותן מענה לחולשה קריטית
להלן החולשות שנסגרות בעדכון, הרלוונטי לגרסאות 12.4.0-12.4.1 של המוצר וקודמות להן:
חולשה (CVE-2022-22282, CVSS 8.2) קריטית מסוג מעקף גישה לא-מאומתת ברמת חומרה גבוהה, המגבילה בצורה שגויה גישות שאינן מאומתות ועלולה לאפשר למשתמש שאינו מאומת להגיע לחלקים רגישים במערכת.
חולשה (CVE-2022-1701, CVSS 5.7) ברמת חומרה בינונית, העלולה לאפשר שימוש במפתחות הצפנה משותפים הכתובים ישירות לקוד.
חולשה (CVE-2022-1702, CVSS 6.1) מסוג הפניה פתוחה, המאפשרת קבלת קלט מהמשתמש שמכיל לינק לאתר חיצוני בו נעשה שימוש להפניה.
המוצרים הפגיעים לחולשות הם SMA 1000 Series, SMA 6200, 6210, 7200, 7210, 8000v (ESX, KVM, Hyper-V, AWS, Azure).
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
עדכון אבטחה למוצרי ה-Firewall של Zyxel נותן מענה לחולשה קריטית
החולשה (CVE-2022-30525, CVSS 9.8), שהתגלתה על ידי חברת Rapid 7, עלולה לאפשר לתוקף מרוחק שאינו מאומת להזריק פקודות לתוכנת CGI המצויה במספר גרסאות של חומות אש מתוצרת Zyxel. הדבר עשוי לאפשר עריכת קבצים מסוימים וביצוע פקודות מערכת הפעלה במכשירים הפגועים. העדכון שפורסם (ZLD V5.30) מתקן את כל המוצרים הרלוונטיים הנתמכים על ידי היצרן: USG FLEX 100(W), 200, 500, 700 מגרסת קושחה ZLD V5.00 עד ZLD V5.21 Patch 1 ומ-ZLD V5.10 עד ZLD V5.21 Patch 1.
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם לגירסת הקושחה האחרונה.
עדכוני אבטחה למוצרי Cisco נותנים מענה לחולשה ברמת חומרה גבוהה
העדכונים רלוונטיים למוצרי Cisco Catalyst וסוגרים חולשה (CVE-2022-20681, CVSS 7.8) העלולה לאפשר לתוקף המצוי בסביבה המקומית של הארגון לבצע פקודות CLI מסוימות בהרשאות גבוהות מאלו המוקצות לו (מתקפת העלאת הרשאות) ברמה 15 (גישה מלאה לביצוע כלל הפקודות במוצרי Cisco). הדבר מתאפשר עקב היעדר אימות מספק של הרשאות המשתמש לאחר ביצוע פקודות ב-CLI במכשיר שאינו מעודכן.
המוצרים הנדרשים בעדכון:
Catalyst 9300 Series Switches
Catalyst 9400 Series Switches
Catalyst 9500 Series Switches
Catalyst 9600 Series Switches
Catalyst 9800 Embedded Wireless Controllers for Catalyst 9300, 9400, 9500 Series Switches
Catalyst 9800 Series Wireless Controllers
Catalyst 9800-CL Wireless Controllers for Cloud
Embedded Wireless Controllers on Catalyst Access Points
לקוחות שעל פי החוזה שחתמו עם Cisco זכאים לעדכוני תוכנה, יקבלו את עדכוני האבטחה דרך הערוצים המקובלים, ואילו לקוחות שהחוזה שלהם אינו כולל עדכוני תוכנה - נדרשים ליצור קשר עם התמיכה הטכנית של החברה.
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכוני אבטחה למוצרי Apple נותנים מענה לחולשות קריטיות
עדכוני החברה לחודש מאי סוגרים חולשות רבות במוצריה, לרבות מערכות הפעלה ותוכנות. בתוך כך, Apple הצהירה כי לא תחשוף או תדון בבעיות האבטחה שהתגלו לפני שתחקור אותן לעומק ותפתח ותנגיש את עדכוני האבטחה הנדרשים בעמוד הייעודי באתרה. נכון לשעה זו, החברה פרסמה 20 חולשות בדרגת סיכון גבוהה ו-2 חולשות קריטיות, העלולות לאפשר לתוקף להריץ קוד מרחוק ולבצע מתקפות Buffer Overflow והעלאת הרשאות, ואישרה שנעשה שימוש אקטיבי בחולשה (CVE-2022-22675) מסוג Zero-day, המאפשרת לתוקף להזריק קוד בהרשאות מערכת. עבור מערכת ההפעלה iOS 15.5 פורסמו כמעט 30 תיקוני אבטחה המיועדים למוצרים iPhone ,iPad ו-iPod, ועבור מערכת ההפעלה macOS פורסמו יותר מ-50 עדכוני אבטחה למחשבי Mac. עדכוני אבטחה פורסמו גם עבור Apple Watch ו-Apple TV. בתוך כך, Apple מאפשרת לציבור הרחב לדווח לה על בעיות אבטחה שהתגלתו במוצריה, דרך עמוד זה.
צוות קונפידס ממליץ לבעלי מכשירים של Apple לעדכנם לגרסאותיהם האחרונות, על פי הרשימה המופיעה כאן.
עדכוני אבטחה קריטיים למוצרי Adobe
העדכונים רלוונטיים למוצרים הבאים:
Adobe InCopy - נסגרו 3 חולשות בציון חומרה CVSS 7.8 במערכות ההפעלה Windows ו-macOS.
Adobe InDesign - נסגרו 3 חולשות בציון חומרה CVSS 7.8, הרלוונטיות לגרסאות 17.1 ו-16.4.1 של המוצר ולכל הגרסאות הקודמות להן, במערכות ההפעלה Windows ו-macOS.
Adobe Character Animator - נסגרה חולשה ברמת חומרה CVSS 7.8, הרלוונטית לגרסאות 4.4.2 ו-22.3 של המוצר במערכות ההפעלה Windows ו-macOS.
Adobe Framemaker - נסגרו 10 חולשות במוצר הרלוונטיות למערכת ההפעלה Windows, כאשר 9 מהן קריטיות וקיבלו את הציון החומרה CVSS 7.8, ואילו החולשה העשירית קיבלה את ציון החומרה CVSS 5.5. החולשות האמורות הן מסוג Use-After-Free, הנובעות מניהול שגוי של הקצאת הזיכרון במערכת, וכן מסוג Out-of-bounds Write ו-Out-of-bounds Read, הנובעות אף הן מניהול שגוי של זיכרון המערכת ועלולות לאפשר לתוקף לכתוב ולקרוא מחוץ לאזור המוקצה לאפליקציה. הדבר עלול להוביל להשחתת מידע, לקריסת עמדת הקצה ולהשתלטות עליה באמצעות הרצת קוד מרחוק.
Adobe ColdFusion - נסגרה חולשה מסוג (Cross-site scripting (XSS בציון חומרה CVSS 5.4, הרלוונטית לגרסאות 13 ומטה ו-3 ומטה של המוצר, בכל מערכות ההפעלה.
צוות קונפידס ממליץ למשתמשים במוצרי Adobe לעדכנם לגרסאותיהם האחרונות בהקדם האפשרי.
עדכוני אבטחה של Wordfence לתוספי WordPress נותנים מענה לחולשה קריטית ולחולשה ברמת חומרה גבוהה
WordPress היא תוכנת קוד פתוח חינמית לניהול ויצירת אתרים (CMS) אשר בנויה בשפת התכנות PHP ומאפשרת אינטגרציה נוחה עם מאגרי מידע ומגוון תוספים. העדכון הראשון שפרסמה חברת Wordfence, העוסקת באבטחת WordPress בלבד, רלוונטי לתוסף RSVP לאישורי הגעה לאירועים, וסוגר חולשה (CVE-2022-1768, CVSS 9.8) מסוג הזרקת SQL ללא אימות משתמש, העלולה לאפשר לתוקף לגנוב מידע רגיש ממסד נתונים שאינו מעודכן. העדכון השני רלוונטי לתוסף לוח השנה המותקן ביותר מ-60,000 אתרים ומאפשר הוספת מערכת הזמנת שירותים לפי תאריכים וזמינות. החולשה (CVE-2022-1463, CVSS 8.1) שנמצאה בתוסף היא מסוג הזרקת אובייקט זדוני, וניתן לנצלה ב-3 דרכים: א. ללא כל אימות של התוקף, באמצעות שליחת מטען AJAX מותאם אישית. ב. על ידי תוקף מאומת המבצע פעולות של ניתוח והוספת תכונות לאובייקט ה-PHP (הדבר מתאפשר גם אם לא מפורסם באתר הנתקף ציר זמן, אך התוסף קיים בו ופעיל). ג. על ידי תוקף מאומת בעל הרשאות נמוכות המטמיע קוד זדוני קצר באובייקט ה-PHP, המופעל בעת צפייה באובייקט. ניצול החולשה אפשרי רק בתנאים ספציפיים מאוד, ועלול להוביל למחיקת קבצים, להרצת קוד זדוני ולהשתלטות מלאה על האתר.
צוות קונפידס ממליץ לבעלי התוספים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון אבטחה ל-Apache Tomcat נותן מענה לחולשה חדשה
החולשה (CVE-2022-25762), שהתגלתה במוצר על ידי צוות האבטחה של החברה, רלוונטית לגרסאות 9.0.0.1 עד 9.0.20 ו-8.5.0 עד 8.5.75, וניצולה מתאפשר באמצעות שליחת WebSocket במקביל ל-WebSocket לסגירת החיבור אל האפליקציה. במצב כזה, ייתכן שהאפליקציה תשאיר את ה-WebSocket פתוח לאחר סגירתו, וניהול השגיאות של האפליקציה עשוי לאפשר שימוש שגוי בנתונים עקב ריבוי אובייקטים בחיבורי WebSocket חדשים.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהתאם להוראות היצרן המופיעות כאן וכאן.
ב-6 באפריל פרסמה החברה עדכון שסגר מספר חולשות במוצריה, בהן גם חולשה קריטית (CVE-2022-22954, CVSS 9.8) העלולה לאפשר מתקפת Server Side Template Injection עם הרצת קוד מרחוק, וחולשה ברמת חומרה גבוהה (CVE-2022-22960, CVSS 7.8) העלולה לאפשר העלאת הרשאות. החולשות רלוונטיות למוצרים Workspace ONE Access ,Identity Manager ,vRealize Automation ,Cloud Foundation ו-vRealize Suite Lifecycle Manager. כעת, הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) מפרסמת כי האקרים (ככל הנראה קבוצות APT) הצליחו להנדס לאחור את העדכון שפורסם ב-6 באפריל ולפתח כלים המאפשרים את ניצול החולשות תוך 48 שעות בלבד. אי לכך, ה-CISA הוסיפה את החולשות ל״קטלוג החולשות המנוצלות הידועות״ שלה (ראו ידיעה בהמשך דוח זה) ומזהירה מפני דפוס הפעולה, שעשוי להופיע גם ביחס לעדכון החדש של מוצרי VMware, הנותן מענה לחולשות CVE-2022-22972, המאפשרת עקיפת מנגנון אימות, ו-CVE-2022-22973, המאפשרת העלאת הרשאות.
צוות קונפידס ממליץ למשתמשים במוצרי VMware להטמיע את העדכונים האחרונים שפרסמה החברה בהקדם האפשרי.
עדכוני אבטחה למוצרי SAP נותנים מענה לחולשות קריטיות מסוג Spring4Shell
עדכוני חודש מאי של החברה מטפלים ב-12 בעיות אבטחה וסוגרים 3 חולשות מסוג (Spring4Shell (CVE-2022-22965, CVSS 9.8, העלולות לאפשר לתוקף להריץ קוד זדוני מרחוק, ואשר אותרו ניסיונות לנצלן. העדכונים רלוונטיים למוצרים SAP Business One Cloud ,SAP Commerce ו-SAP Customer Profitability Analytics. מלבד העדכונים שפורסמו, החברה שחררה Workarounds עבור לקוחות שאינם יכולים להטמיע את העדכונים באופן מידי.
צוות קונפידס ממליץ למשתמשים במוצרי SAP לעדכנם בהקדם האפשרי לגרסה האחרונה.
עדכון אבטחה נותן מענה לחולשות ברמת חומרה גבוהה בדרייבר של כרטיסי המסך של NVIDIA
קבוצת Cisco Talos איתרה לאחרונה על מערכות Hyper-V ארבע חולשות (CVE-2022-28181, CVE-2022-28182) מסוג השחתת זיכרון שקיבלו את ציון החומרה CVSS 8.5 ועלולות לאפשר לתוקף לכתוב אל הזיכרון, להריץ קוד שרירותי על מערכת פגיעה על ידי שליחת קובץ EXE זדוני אל קורבנות ולברוח ממערכת וירטואלית הרצה על מערכת מארחת. החולשות תקפות לגרסאות 496.76 ו-30.0.14.9676 של המוצר NVIDIA D3D10.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.
התקפות ואיומים
קבוצת התקיפה האיראנית APT34 תקפה את הממשלה הירדנית תוך שימוש בנוזקה חמקנית
קבוצת התקיפה, הידועה בפעולותיה במזרח התיכון המכוונות נגד ממשלות ותאגידי אנרגיה, חומרים כימיים ותקשורת, קושרה לראשונה לנוזקת הדלת האחורית Saitama. ממחקר שביצעה חברת Malwarebytes על מייל שנשלח לפקיד ממשלתי במשרד החוץ הירדני והכיל קובץ Excel, עלה כי מדובר במייל פישינג שהתחזה למייל שנשלח מטעם הממשלה הירדנית ונחתם בסמלה הרשמי. הקובץ הכיל סקריפט מאקרו המבצע פעולות זדוניות על העמדה הנגועה ודורש הפעלה ידנית (Enable Editing), כאשר התוקף הותיר הוראות להפעלת המאקרו במסווה של פעולות לגיטימיות הנדרשות לצפייה בתוכן המסמך (ראו תמונה להלן). לאחר שהותרו הפקודות, נפתח גיליון חדש ובו סמל ממשלת ירדן, תוך הסוואת הגיליון המקורי והרצת המאקרו על העמדה הנגועה. עם כל שלב בהרצה המאקרו, התבצע דיווח אל שרת ה-C&C של התוקפים באמצעות פרוטוקול DNS. עוד גילו החוקרים שימוש מתוחכם בזמני ההפעלה של הנוזקה, המתבטאים ביכולת להכניסה למצב השהייה בזמנים משתנים הנקבעים רנדומלית. דפוסי הפעילות המשתנים של הנוזקה בהתאם לפקודות המתחזות לפעולות לגיטימיות מקשים מאוד על זיהויה. שיוך הפעילות ל-APT34 התבסס על הימצאותם של קריטריונים המאפיינים את הקבוצה, בהם שימוש במאקרו בקבצים הנראים לגיטימיים, דמיון בין הקוד של Saitama לזה של נוזקות קודמות בהן עשתה הקבוצה שימוש בעבר, טקטיקות של השהיית הנוזקה, ניסיונות התחמקות מהרצה במכונה וירטואלית על ידי החוקרים, שימוש בפרוטוקול DNS להעברת מידע לשרת מרוחק, וכן יעד התקיפה, המזוהה עם הקבוצה. ה-IOCs שאותרו על ידי Malwarebytes מצויים כאן.
(מקור: Malwarebytes, 13.5.22)
וריאנט חדש של הבוטנט Sysrv-K מכוון לניצול חולשות קריטיות
השבוע הודיעה מיקרוסופט כי זיהתה סריקות של שרתי Web ומחשבים אחרים במטרה לנצל חולשות הקיימות בהם להשתלטות עליהם ולהתקנת כלים לכריית מטבעות קריפטוגרפיים. דיווחה של החברה מתווסף למחקרים טכניים שפרסמו חברות טכנולוגיה אחרות, בהן Lacework Labs ו-Juniper Threat Lab, ומזהיר כי הבוטנט החדש יכול לנצל את החולשה הקריטית (Spring Cloud (CVE-2022-22947, CVSS 10.0.
צוות קונפידס ממליץ לארגונים לחסום ככל הניתן את חשיפת מערכותיהם לעולם ולהטמיע עדכונים בהתאם לטכנולוגיות שבשימושם.
(מקור: חשבון הטוויטר של מיקרוסופט, 13.5.22)
קמפיין חדש לגניבת מידע מכוון נגד סוכנויות ויצרניות רכב גרמניות וחברות המקושרות אליהן
במאמר שפורסם על ידי חוקרים מחברת Check Point מפורטים שלביו הטכניים של הקמפיין, החל מיצירת התשתית ואופן ההדבקה בנוזקה. שיטת הפעולה של התוקפים כללה הקמת תשתית נרחבת של כ-30 דומיינים המתחזים לכאלה של סוכנויות ויצרניות רכב גרמניות לגיטימיות, אשר מהם נשלחו לגורמים בתעשיית הרכב הגרמנית מיילים בגרמנית שהכילו צרופה, אשר עם לחיצה עליה הורדה אל העמדה תוכנה זדונית לגניבת מידע מהקורבן. בשלב זה טרם ידועה זהות התוקפים ומניעיהם, אך החוקרים משערים כי מדובר בארגון איראני שאינו ממשלתי, וכי המניע שלו אינו מתמצה בגניבת פרטי כרטיסי אשראי, שכן הקמפיין מכוון לקורבנות ספציפיים. לדברי החוקרים, ייתכן והתוקפים ניסו להשיג אינפורמציה שתסייע להם להשתלט על התשתית והמידע של סוכנויות הרכב, כדי להשתמש בהם לפנייה לספקים משניים לצרכי הונאות כספיות או ריגול תעשייתי. בתרשים הבא מתוארת שיטת ההדבקה בה נעשה שימוש.
(מקור: Check Point, 10.5.22)
נוזקה חדשה העושה שימוש בחולשת Log4j פוגעת במערכות מבוססות Linux ומשמשת להקמת בוטנט
הנוזקה החדשה, שהתגלתה על ידי חוקרי 360Netlab וקיבלה את הכינוי B1txor20, הינה Backdoor העושה שימוש בחולשת Log4j להדבקה ראשונית של מערכות מבוססות Linux בארכיטקטורת ARM או X64 CPU. הנוזקה משתמשת ב-DNS Tunneling, שיטה ותיקה ואמינה לניצול פרוטוקול DNS לתקשורת עם העמדה הנגועה ולהעברת מידע ממנה לשרת ה-C2 של התוקף. בשיטה זו, הבוט הזדוני שולח לתוקף מידע רגיש ותוצאות של הרצת פקודות לאחר הצפנתם כבקשת DNS, והתוקף מגיב לבקשה באמצעות העברת Payload. עוד כוללת הנוזקה פונקציות כגון פתיחת Socket5 proxy והורדה והתקנה מרחוק של RootKit, לצד יכולות נוספות שנכון לרגע זה לא ניתן לנצלן בעטיים של באגים, מה שעשוי להעיד על כך שהנוזקה עדיין נמצאת בשלבי פיתוח.
סוכנויות סייבר עולמיות פרסמו את 10 וקטורי התקיפה הנפוצים ביותר
במאמר, שפורסם על ידי סוכנויות סייבר מארצות הברית, קנדה, ניו זילנד, הולנד ואנגליה, מרוכזים הווקטורים הנפוצים ביותר המשמשים תוקפים לכניסה ראשונית לרשתות, והוא כולל דרכי מיטיגציה לחולשות והגדרות אבטחה להתמודדות עם שיטות התקיפה, המובאות להן:
-
הגדרת הרשאות לא-נכונה - עלולה לאפשר למשתמשים ללא הרשאות לגשת לתהליכים/קבצים קריטיים.
-
תוכנות שאינן מעודאי-אכיפת אימות דו-שלבי (2FA) - אימות דו-שלבי הינו מנגנון קריטי לצמצום חשיפה לפעילות זדונית.
-
כנות - עלולות לאפשר לתוקפים לנצל חולשות פומביות לשם כניסה למערכת.
-
שימוש בהגדרות/פרטי כניסה דיפולטיביים - בתוכנות וחומרות רבות מוגדרות מראש הרשאות מתירות, ששימוש בהן עלול לחשוף את המשתמש למתקפות.
-
שירותי גישה מרחוק (VPN, למשל) ללא הגדרות למניעת גישה שאינה מאושרת - שירותי גישה מרחוק ללא בקרת גישה עלולים להיות חשופים לגישה לא רצויה למערכות.
-
שימוש בסיסמאות חלשות/אי-אכיפת מדיניות סיסמאות חזקות - תוקפים יכולים להשתמש במגוון שיטות לניצול סיסמאות חלשות או כאלה שהודלפו על מנת להשיג גישה למערכת.
-
שירותי ענן שאינם מאובטחים - שירותי ענן שאינם מוגדרים נכונה מהווים מטרה נפוצה לתוקפים ועלולים לאפשר גניבת מידע ותקיפות כופרה.
-
פורטים פתוחים ושירותים עם הגדרות שגויות - לעתים תכופות תוקפי סייבר סורקים אחר פורטים ופתחים ומבצעים בהם שימוש לכניסה ראשונית למערכת.
-
כישלון בזיהוי וחסימה של מיילי פישינג - לעיתים קרובות תוקפים שולחים מיילים עם צרופה או לינק זדוניים. כישלון בזיהוי וחסימת המיילים הללו יכול להוביל להדבקה של המערכת ולפתיחת גישה לתוקף.
-
היעדר זיהוי ותגובה בעמדות קצה - לעתים קרובות תוקפים יכולים לנצל עמדות קצה שאינן מאובטחות להרצת סקריפטים, במטרה לעקוף את מנגנוני האבטחה הדיפולטיביים ולהיכנס למערכת.
צוות קונפידס ממליץ לקוראים לעיין במסמך המלא וליישם את המלצות המיטיגציה המופיעות בו.
זוהתה גרסה חדשה לנוזקה הטרויאנית UpdateAgent המשפיעה על macOS
הנוזקה מסוג Dropper ״זורקת״ למערכת שנפרצה תוכנות זדוניות נוספות, למשל כאלה מסוג Spyware או Adware, ומכאן שמה. קבוצת המחקר של Jamf זיהתה שינויים שבוצעו בנוזקה, המעידים על רצון התוקפים לשדרג את הפונקציונליות שלה ולהדביק בה כמה שיותר משתמשי Mac. השינויים העיקריים שנצפו הם בקובץ ההדבקה הראשון, "PDFCreator״, שנכתב בשפת Swift ומדווח לשרת רישום (Registration) על הדבקה של קורבן חדש, בין היתר במטרה למשוך הוראות חדשות בצורת סקריפט Bash. סקריפט זה כולל URL המפנה אל Bucket ב-AWS, שמארח את ה-Payload הנוסף - הורדה של קובץ DMG המכיל אפליקציה זדונית, תוך יצירת אחיזה מתמדת בעמדה באמצעות שימוש בפקודת PlistBuddy לשינוי הגדרות Plist. נוזקה זו מבצעת שינוים בקובץ /etc/sudoers, כך שמשתמש ללא הרשאות גבוהות יכול להפעיל את הסקריפט הזדוני ללא סיסמה ועם הרשאות גבוהות, אם ההרצה המקורית התבצעה ממשתמש Root. לאחר מכן מורצת האפליקציה הזדונית ומתבצעת מחיקה של עקבותיה. במהלך חקירת התוכנה על ידי צוות Jamf, קובץ ההרצה הראשון (״PDFCreator״) לא זוהה על ידי מנועי חיפוש כמו VirusTotal, וקיבל ציון 0. עוד מצאו החוקרים קובץ בשם ״ActiveDirectory", שמורד על ידי ״PDFCreator״ ואשר לא זוהה אף הוא ב-VirusTotal. התוכנה UpdateAgent ידועה ככזו המאפשרת את עדכונה בקלות וכבעלת תשתית איתנה, ומכאן החשש שיהיו לה שימושים זדוניים נוספים.
חוקרים מצאו חולשה ברכיב ה-Bluetooth ב-iPhone
חוקרים מהאוניברסיטה הטכנית בדרמשטט, גרמניה, מצאו כי לרכיב אין מנגנון לחתימה דיגיטלית או אפילו להצפנת הקושחה. הדבר עלול לאפשר לתוקף להפעיל קושחה זדונית לביצוע מעקב אחר מיקום הטלפון ו/או להרצת תכונות חדשות כשהמכשיר כבוי.
השבוע בכופרה
קבוצת תקיפה איראנית מטשטשת את הגבולות בין פעילות כופרה לריגול
בתחקיר מתמשך שביצעה חברת אבטחת המידע Secureworks על קבוצת התקיפה האיראנית Cobalt Mirage (ידועה גם בשמות Phosphorus ו-Nemesis Kitten) זוהו שני דפוסי פעילות: חדירה לארגונים והצפנת מידע לשם סחיטת דמי כופר, וחדירה לארגונים במטרה לאסוף מידע רגיש. Cobalt Mirage מרבה לתקוף ארגונים בישראל, בארצות הברית, באירופה ובאוסטרליה, ולרוב מבצעת את הגישה הראשונית אל החברות הנתקפות לאחר סריקת רשתות וחיפוש אחר מכשירי רשת שאינם מעודכנים. למשל, הקבוצה מחפשת אחר הפורטים 4443, 8443 ו-10443, בהם משתמשים מכשירי Fortinet הפגיעים לחולשות כמו CVE-2018-13379 ו-CVE-2019-5591. עוד מרבה הקבוצה לנצל את החולשה Log4j, בעיקר בקרב קורבנות המשתמשים ב-VMware Horizon. לאחר חדירה למערכות הקורבן, הקבוצה נוהגת להשתמש בכלים דיפולטיביים, כגון BitLocker או DiskCryptor (אשר בדרך כלל משמשים ארגונים להצפנה מטעמי ביטחון), על מנת להצפין עמדות ולדרוש דמי כופר. עוד נעזרת Cobalt Mirage ב-Web shell העושה שימוש בספריית Requests בפייתון כדי לגשת לשרתי Exchange הפגיעים לחולשות כמו CVE-2021-34473 ולהתחבר אליהם באמצעות משתמש גנרי בשם DefaultAccount. ואולם, במקרים אחרים, בהם נראה כי Cobalt Mirage לא פעלה מתוך כוונה לבצע מתקפת כופרה (למשל בפריצה לרשת ממשלתית בארצות הברית, אותה ייחסו החוקרים לקבוצה על בסיס השימוש במשתמש בשם DefaultAccount), הקבוצה השתמשה בכלי Reverse proxy, כגון FRP, כדי לגשת אל משאבים ברשת מבחוץ, ללא שימוש בכלי הצפנה במסגרת התקיפה. זאת ועוד, בתקיפות הקבוצה נצפו חיפושים שערכה ב-Google אחר מונחים כגון "upload file for free", ולאחר מכן גישה לאתרים כדוגמת MEGA ו-Easyuplaod. ככל הנראה, התוקפים השתמשו באתרים אלה להדלפת קבצים מרשתות הקורבנות ולהורדת כלים נוספים לביצוע מתקפותיהם. החוקרים סיכמו בכך שלמרות של-Cobalt Mirage אחוזי הצלחה גבוהים בפריצה וחדירה לארגונים, יכולתה לנצל את התקיפות לרווח כספי נמוכה יחסית. החוקרים ממליצים לארגונים להעניק חשיבות גבוהה לעדכון מערכותיהם הנגישות מבחוץ, ולנטר את השימוש בכלים ובקבצים בהם נוהגת קבוצת התקיפה להשתמש.
״כופרה כשירות״: על תופעת השכרת כלי תקיפה בתמורה לאחוזים מדמי הכופר
בשנים האחרונות חלה עלייה גדולה בכמות המתקפות במרחב הסייבר, ובפרט במתקפות כופרה, המהוות איום מרכזי על חברות וארגונים. תכליתן של מתקפות אלה היא לאתר חולשות ברשתות ובאמצעות ניצולן לגשת לקבצים ולהצפין, לייצא ואף להעלות אותם לאינטרנט, במידה והקורבן אינו משלם את דמי הכופר שנקבעו על ידי התוקף. ואולם, בחלוף הזמן הבינו האקרים שפשוט יותר ומסוכן פחות לפתח כלי תקיפה להשגת גישה ראשונית לרשת הקורבן, לרוב על ידי ניצול תוכנות שליטה מרחוק כגון AnyDesk ו-TeamViewer, ולאחר מכן למכור או להשכיר אותם כשירות, תמורת תשלום עבור משך השימוש ו/או נתח מדמי הכופר שהתקבלו במתקפה מוצלחת. מודל זה מכונה ״כופרה כשירות״ - Ransom-as-a-Service, או בקיצור RasS, והוא מרחיב את מעגל תקיפות הכופרה. על מנת להתמודד עם מתקפות מסוג זה נוקטות חברות טכנולוגיה בצעדים פעילים לזיהוי מוקדם ולמיגור הפעולות והכלים המאפיינים אותן. למשל, מיקרוסופט מנתחת דפוסים של מתקפות בכדי לזהותן בחיתוליהן וליצור ״שפה משותפת״ שתעזור להבנה ממוקדת יותר של האירועים, כאשר ב-2021 בלבד חסמה החברה מיליוני מתקפות כופרה נגד ארגונים ברחבי העולם. למזעור סיכויי הצלחתם של תוקפים לחדור לתוך הארגון, מומלצות הפעולות הבאות:
-
השכרת שירותים של חברות סייבר המנטרות באופן שוטף את סביבת העבודה של הארגון.
-
יצירת סביבת רשת ארגונית פרטית עם הרשאות ניהול מבוזרות שאינן מרוכזות בידי משתמש אחד.
-
שימוש ב-LUA Buglight, המזהה את הסיבות לכך שאפליקציה מסוימת פועלת רק בהרשאות אדמין.
-
חיפוש יום-יומי אחר פרסומים ברשת אודות חולשות חדשות שהתגלו, כדי לוודא שהארגון אינו חשוף אליהן.
-
הקפדה על עדכון האפליקציות ומערכות ההפעלה שבשימוש הארגון לגרסאותיהן האחרונות.
-
הקשחת סביבת העבודה הארגונית, בין היתר על ידי ביזור הרשאות אדמין, הימנעות משימוש בסיסמאות קבועות ועוד.
ארה״ב: קרדיולוג מוונצואלה מואשם בפיתוח כופרות ובמכירתן לתוקפים בעבור אחוזים מרווחי מתקפות כופרה
מכתב האישום שהוגש בבית המשפט בברוקלין שבניו יורק נגד מואיסס לואיס סאגאלה גונסלס, רופא בן 55 תושב ונצואלה, עולה כי הוא לימד את התוקפים כיצד להשתמש בנוזקות ולסחוט את הקורבנות, ואף נהג להתרברב בתקיפות מוצלחות שבוצעו באמצעות הכלים שפיתח, חלקן על ידי גורמים איראניים, לדבריו. בין היתר, כלי התקיפה שעיצב סאגאלה גונסלס שימשו לסחיטת כספים רבים מארגונים גדולים וממלכר״ים על ידי הצפנת הקבצים השייכים להם ודרישת דמי כופר עבור מפתחות ההצפנה. אחת הנוזקות שיצר, Jigsaw v. 2, כללה Doomsday Counter שמנה את הפעמים בהן ניסה הקורבן למחוק את הנוזקה ממחשבו. לאחר שנרשמו ניסיונות רבים להיפטר מהנוזקה, נמחק כל המידע ממחשבו של הקורבן, שכן לטענת סאגאלה גונסלס אדם המשקיע מאמצים כה רבים בניסיון למחוק את הנוזקה אינו צפוי לשלם את דמי הכופר. בתחילת 2019 פירסם הנאשם כלי חדש שיצר - בונה נוזקות פרטי המכונה Thanos, על שם הדמות הבדיונית שהשמידה מחצית מאוכלוסיית היקום. תוכנה זו אפשרה למשתמשים ליצור נוזקות מותאמות אישית לשימוש עצמי או להשכרה לתוקפים אחרים, והנאשם אפשר לרכוש רישיון לשימוש בה או לחלופין להצטרף לתכנית שותפות שכללה שימוש בתוכנה בתמורה להפרשת חלק מרווחי התקיפות למפתחה. החודש חקרו רשויות החוק האמריקאיות מקורב לסאגאלה גונסלס שחשבון ה-PayPal שלו שימש את הנאשם לקבלת תשלומים לא חוקיים. הנחקר אישר את הדברים והפנה את הרשויות אל מקום הימצאו של סאגאלה גונסלס. אם יורשע בעבירת המיוחסות לו, הנאשם צפוי לעונש של עד 10 שנות מאסר.
צוות המחקר של Cisco Talos מזהיר: קבוצת הכופרה BlackByte עדיין פעילה
הצוות, המנטר את הקבוצה מזה חודשים, גורס כי פעילותה ברחבי העולם נשמכת וכי היא מתפעלת אתר בדארקנט לפרסום דלף מידע. לרוב, BlackByte תחל במתקפתה בנקודת גישה לרשת/מארח (Host) של הקורבן שכבר נפגעה בעבר ו/או על ידי ניצול חולשה. במידה ומדובר במארח שכבר נפרץ בעבר, תתבצע העלאת הרשאות של חשבון משתמש מקומי, שבאמצעותו ינוע התוקף ברשת הקורבן על ידי בדיקות חדירות סטנדרטיות וכלי ניהול. לדברי החוקרים, ברוב המקרים הקבוצה משתמשת בתוכנת AnyDesk לשליטה מרחוק במערכות קורבנותיה.
צוות קונפידס ממליץ להתמגן מפני התקפותיה של קבוצה זו באמצעות שימוש במערכות חדישות, ביצוע עדכונים באופן תדיר למערכות ושרתי הארגון ושימוש בהגנת סייבר המבוססת שכבות.
המלחמה במזרח אירופה
Securelist מבית Kaspersky מסכמת את פעולות התקיפה והאיומים במרחב הסייבר באוקראינה
על פי המסמך, עם פרוץ המלחמה באוקראינה אנליסטים רבים הופתעו לגלות שהפעולות התוקפניות המתרחשות במדינה במרחב הסייבר אינן תואמות את תחזיותיהם. מאז תחילת הלחימה זוהו באוקראינה מדי שבוע מתקפות סייבר חדשות רבות מסוגים מגוונים ובדרגות תחכום שונות, לרבות מתקפות כופרה אמיתיות ומזויפות, מתקפות Wiper ומתקפות איסוף מידע ומודיעין, כאשר על פי החוקרים לא נצפתה רמה גבוהה של תיאום בין קבוצות התקיפה האחראיות לפעולות, וכמעט ולא נצפה תיאום בין פעילות הסייבר לפעולות צבאיות שהתרחשו בו-זמנית. כמו כן, תקיפת לוויין התקשורת Viasat הייתה אירוע הסייבר המשמעותי ביותר עד כה במסגרת הלחימה. להערכת החוקרים, קבוצות תקיפה נבדלות החליטו לנצל את המצב המדיני ולזרוע הרס באוקראינה מיד עם פרוץ הסכסוך. בעוד שפעילויות הסייבר שתועדו מצביעות על התפקיד המשמעותי שיכול להיות למרחב הסייבר במהלך סכסוך צבאי, עד כה לא נצפה ניצול מלא של גורמי האיום במרחב במלחמת רוסיה-אוקראינה, וסביר להניח שכאשר תהיה מונחת על השולחן תפיסה ברורה יותר של היקף ומשך הלחימה - קבוצות הסייבר ימצאו דרכים לתאם ביניהן את פעולותיהן ולהביא לשיבושים קשים בהרבה.
סייבר בישראל
אוטוסופט הישראלית חווה מתקפת כופרה באמצעות LockBit
החברה, המפעילה מערכת של קופות ממוחשבות ומספקת שירותים ללקוחות רבים, הותקפה ב-17 במאי בערב באמצעות הכופרה LockBIt 2.0, אשר נועלת את גישת המשתמשים למידע לשם בקשת דמי כופר עבור פתיחת הצפנתם, וסורקת אחר יעדים אטרקטיביים להפצתה. התקיפה החלה מחדירה מוצלחת לאחד משרתי החברה ומהפצת קובץ זדוני. תחילה המשתמש קיבל למסך הקופה הודעה שנראית כהודעת מערכת של ממשק הניהול. לחיצה על הודעה זו גורמת להרצת התוכנה הזדונית, הנועלת וחוסמת את הגישה לקופה. בהמשך בוצע ניסיון לגשת למחשבים הרבים המחוברים לרשת (Lateral Movement), אך צוותי התמיכה והמערכות של החברה ואנשי הגנת הסייבר של בזק בלמו את המתקפה במהרה. למרות זאת, חלק מלקוחותיה של אוטוסופט נפגעו, ובכך הפכה הפעולה לתקיפת שרשרת אספקה. במסגרת חקירת האירוע נסרקו מחשבי החברה והקובץ הזדוני אותר והוסר מהם, אך בהמשך התגלה כי הוא הספיק לפגוע בכ-200 עמדות ולהצפינן. במקביל, אוטוסופט פנתה למערך הסייבר הלאומי, שאסף פרטים אודות התקיפה ומסייע לחברה בזיהוי סוג הקובץ על מנת לשחזר את המידע שהוצפן. זאת ועוד, המערך יצא באזהרה לחברות קמעונאיות אשר משתמשות בשירות, הקוראת להן לאפס סיסמאות, להקשיח גישה למערכותיהן ולא ללחוץ על קישורים או הודעות חשודות. מהחברה נמסר שהיא פועלת במרץ על מנת לעזור למי שנפגע במתקפה ולשחזר את המידע. עוד מסרה אוטוסופט כי המתקפה התרחשה למרות ששרתיה אובטחו בצורה מקצועית, וכי למרות שמדובר במתקפת כופרה - לא התקבלה בקשה לתשלום דמי כופר. נתון זה מעלה את החשד שמדובר בהתקפה ממניעים לאומיים ובמטרה לגרום נזק.
סייבר בעולם
ארה״ב: 4 שנות מאסר לפושע סייבר שמכר סיסמאות ואמצעי זיהוי ברשת
גליב אולכסנדר איבנוב-טולפינצב הורשע בבית המשפט המחוזי בפלורידה בגין קשירת קשר לסחר בסיסמאות ובהתקני גישה לא-מורשית. על פי כתב האישום, איבנוב-טולפינצב הפעיל בוטנט ללא ידיעת בעלי המחשבים אותם ניצל, ובאמצעותו ביצע מתקפות Brute-force לצורך פענוח של לפחות 2,000 סיסמאות מדי שבוע. מ-2017 עד 2019 הנאשם שלשל לכיסו 82,648 דולר ממכירת אלפי סיסמאות ואמצעי הזדהות לשרתים באתר ייעודי בדארקנט. לפי רישומי בית המשפט, ה-Marketplace בו נמכר המידע מכיל יותר מ-700,000 פרטי הזדהות מוכנים לניצול, כאשר לפחות 150,000 מתוכם הינם בארצות הברית. בין הקורבנות ניתן למצוא מגזרים רבים, בהם רשויות מקומיות מדינתיות ופדרליות, בתי חולים, חברות ציבוריות, משרדי עו״ד, אוניברסיטאות ועוד.
איטליה: נמנעה מתקפת סייבר במהלך שידורי האירוויזיון
ב-14 במאי התקיים גמר האירוויזיון לשנת 2022. במהלך התחרות, צופים החלו לדווח על בעיות בחיבור אל שידורי הטלוויזיה של האירוע, כאשר במקביל קבוצת התקיפה הפרו-רוסית Killnet פרסמה בדף הטלגרם שלה Gif עם כיתוב הקשור לאירוויזיון ורומז על קשר בין הקבוצה לבין הבעיות בשידור שחוו הגולשים (ראו תמונה להלן). בתוך כך, גולשים רבים פרסמו בחשבונות הטוויטר שלהם טענות לפיהן מדובר במתקפת סייבר רוסית. בשעות האחרונות הודיעו הרשויות באיטליה כי אכן חסמו מתקפת סייבר שכוונה אל שידורי גמר האירוויזיון, וכי מבדיקה ראשונית עולה שהקבוצה שהיתה מעורבת במתקפה היא אכן Killnet. דברים אלה פורסמו לראשונה על ידי סוכנות הידיעות רויטרס ב-15 במאי, יממה בלבד לאחר שידורי גמר התחרות, אשר התקיימה ללא השתתפותה של רוסיה, לאחר שזו הורחקה ממנה על רקע המלחמה במזרח אירופה בחודשיים האחרונים.
(מקור: ערוץ הטלגרם של Killnet, 14.5.22)
בעיצומה של תקיפת מערכות הניהול של הממשל בקוסטה ריקה על ידי קבוצת הכופרה Conti הרוסית (ראו ״הסייבר״, 12.5.22), הנמשכת מזה ארבעה שבועות, ב-14 במאי פרסם חבר בקבוצה צילום מסך בו נאמר כי ״Conti היא בראש ובראשונה קהילה של אנשים שמבינים באבטחת מידע, [...] ואנו מפסיקים כל פעולה נגד קוסטה ריקה״. עוד נכתב בהודעה המעורפלת ״מדוע לא פשוט לקנות מפתח [הצפנה]? בעוד שבוע נמחק את מפתחות הפענוח לקוסטה ריקה״, לצד קריאה לתושבי המדינה ללחוץ על הממשלה לשלם דמי כופר ככל הנדרש, ורמיזה שאולי כדאי להחליפה אם היא אינה מסוגלת לייצב את המצב. בתחילת המתקפה עמדה דרישת הכופר של Conti על 10 מיליון דולר, אך כעת היא עומדת על 20 מיליון דולר, לאחר שהוכפלה. בתוך כך, בכתבה שפורסמה ב-La Nacion ב-16 במאי הובאה הצהרתו של הנשיא רודריגו צ'אבס, לפיה ישנן אינדיקציות ברורות מאוד לכך שאנשים בקוסטה ריקה משתפים פעולה עם Conti, אשר השפיעה על מוסדותיה הציבוריים של המדינה מאז אפריל האחרון. ההצהרה נמסרה במהלך מסיבת עיתונאים שנועדה לספק תמונת מצב ולעמוד על האסטרטגיה להתמודדות עם המתקפות. לדברי צ׳אבס, "אנחנו במלחמה, וזו אינה הגזמה. המלחמה היא נגד קבוצת טרור בינלאומית״. עוד אמר הנשיא כי עד כה פגעה המתקפה ב-27 מוסדות ממשלתיים, כולל עיריות ושירותים ממשלתיים, 9 מהם נפגעו באופן משמעותי, ובראשם משרד האוצר, שהיה יעד התקיפה הראשון. בדבריו לא נתן הנשיא כל אינדיקציה לכך שיש בכוונתו לשלם את דמי הכופר, חרף השיבוש ההולך וגובר בפעילות משרדי הממשלה. שר האוצר נוגי אקוסטה פנה לעובדי מדינה, שהפריצה השפיעה על שירותי התשלום האוטומטיים באמצעותם משולמות משכורותיהם, ואמר להם כי לא יקבלו שכר בזמן. עוד הוסיף כי ״האוצר ימשיך בתהליך של ׳זיכוי׳ כל מחשביו ובעבודה בתהליכים ידניים, כתכנית מגירה״. עם זאת, לדברי צ'אבס "איננו מסוגלים לגבות מסים באמצעות מערכת המס המסורתית, אין לנו מידע בנוגע למי משלם לנו מסים וישנה השפעה עצומה על תהליכי הסחר הבינלאומיים ועל היבוא, מכיוון שמערכת המכס TICA אינה עובדת". עוד הזכיר הנשיא את הקשיים בקביעת תשלומי השכר לעובדי ציבור, ״משימה שמתבצעת כמעט באופן עיוור על סמך משכורות קודמות", ואמר כי בהתחשב בחומרת המצב הוכרז מצב חירום לאומי וגובש צוות טכני (MICCIT) האמון על הטיפול במוסדות כגון משרד החדשנות, המדע, הטכנולוגיה והטלקומוניקציה, משרד האוצר, נציבות החירום הלאומית ומכון החשמל. צ'אבס אף הדגיש ש״המשבר הוא תוצר של שנים ללא השקעה במערכות אבטחה והגנה דיגיטליות בממשל״. עוד פגעה המתקפה בערוצי היבוא והיצוא במדינה, דבר שהביא את תעשיית הספנות המקומית להפעיל אמצעי חירום. בתוך כך, בעקבות צו שהוצא על ידי רשות המכס בקוסטה ריקה ונוגע לכל מובילי המטענים לנמל קלדרה, חברת הספנות הדנית Maersk הודיעה על נהלים חדשים לשחרור ממכס בנמל ועל תשלומי עמלות לשינוע ושחרור מכולות.
ה-CISA מסירה באופן זמני חולשה מ״קטלוג החולשות המנוצלות הידועות״ - ומוסיפה לו שלוש חולשות חדשות
חולשה (CVE-2022-26925, CVSS 8.1) מסוג Zero-day המאפשרת לתוקפים לעקוף את מנגנון האימות ולהזדהות כמשתמשים אמיתיים בדומיין באמצעות מתקפת NTLM Relay הוסרה על ידי הסוכנות האמריקאית להגנת סייבר ותשתיות מהקטלוג שהיא מתחזקת עקב כשלי התחברות ל-Active Directory הנוצרים כאשר עדכון שפרסמה מיקרוסופט ב-10 במאי מוחל על ה-(DCs (Domain Controllers. המאגר האמור מחייב סוכנויות פדרליות להטמיע במערכותיהן תוך פרק זמן קצוב את העדכונים הסוגרים את החולשות המתפרסמות בו, אך בשל התקלה שיוצר תיקון הבאג, ה-CISA החליטה להסיר את החולשה מהמאגר באופן זמני. בתוך כך, הסוכנות מדגישה שהעדכונים שאינם עבור שרתי DC ופורסמו באותו תאריך אינם גורמים לבעיות, ויש להתקינם. ממיקרוסופט נמסר כי החברה עובדת על תיקון העדכון, ובינתיים הציעה דרכים לפתרון התקלה. במקביל, לקטלוג נוספו שלוש חולשות חדשות על בסיס עדויות לניצולן הפעיל: חולשה (CVE-2022-30525, CVSS 9.8) במספר גרסאות של חומות אש מתוצרת Zyxel, העלולה לאפשר לתוקף מרוחק להזריק פקודות למערכת ההפעלה של המכשיר (ראו הפניה לעדכון המתקן את החולשה ב״חולשות חדשות״ בדוח זה), חולשה (CVE-2022-22947, CVSS 10) ב-VMware, העלולה לאפשר לתוקף מרוחק להזריק קוד זדוני למערכת, וחולשה (CVE-2022-1388, CVSS 9.8) במוצרי F5 BIG-IP, העלולה לאפשר לתוקף לעקוף את מנגנון האימות ולהריץ פקודות בהרשאות גבוהות (ראו ״הסייבר״, 12.5.22). ה-CISA והמרכז הרב-מדינתי לשיתוף וניתוח מידע (MS-ISAC) פרסמו הודעת ייעוץ בדבר נקיטת פעולה מיידית לשם התמגנות מפני חולשה אחרונה זו, כמופיע כאן.
ארה״ב: נוזקה התגלתה בקוראי כרטיסים חכמים של עובדי ממשל
אחד מקוראי בלוג אבטחת המידע של בריאן קרבס, Krebs on Security, העובד בחברת IT המשמשת קבלן של ממשלת ארצות הברית ומזדהה בשם הבדוי ״מארק״, הסב את תשומת לבו של קרבס לכך שעובדי הארגון האזרחיים מקבלים כרטיס חכם ממשלתי (Personal Identity Verification, או PIV), אך אינם מקבלים קורא כרטיסים שבאמצעותו יוכלו לעבוד מהבית. הכרטיסים מונפקים לספקים מורשים רבים ולמיליוני עובדים של ממשלת ארצות הברית ושל קבלני ממשל, והם מאפשרים להם גישה פיזית למבנים ממשלתיים ולרשתות מחשבים ומערכות ממשלתיות ברמת האבטחה המתאימה לבעל הכרטיס. ואולם, מכיוון שקוראי הכרטיסים אינם מסופקים להם, העובדים נאלצים לרכוש אותם באינטרנט. לדברי ״מארק״, כאשר חיפש ב-Amazon קורא כרטיסים מתאים, התוצאה הראשונה שקיבל היתה DOD Military USB Common Access Card (CAC) Reader מתוצרת Saicoo. כרטיס חכם מסוג CAC ניתן לאנשי שירות במדים, לאנשי מילואים ולעובדים אזרחיים ועובדי קבלן של מחלקת ההגנה של ארצות הברית (DOD). לאחר ש״מארק״ רכש את קורא הכרטיסים וחיבר אותו למחשבו, המבוסס על Windows 10, מערכת ההפעלה שלו דחתה את הדרייבר של הקורא, ו״מארק״ פנה לאתרה של Saicoo לשם הורדת הדרייבר. אלא שמתוך משנה זהירות, ״מארק״ הריץ באתר VirusTotal את קובץ ה-ZIP של הדרייבר, שזוהה על ידי 43 אנטי-וירוסים שונים כקובץ זדוני המכיל סוס טרויאני נפוץ ומסוכן בשם Ramnit. הדבר מהווה סיכון ביטחוני ברמה לאומית, מפני שעובדי ממשל רבים בעלי סיווג ביטחוני גבוה וגישה למידע מסווג משתמשים בקורא כרטיסים זה ובקוראים אחרים שאינם מאושרים. את רשימת הספקים המורשים של קוראי הכרטיסים שפרסמה ממשלת ארצות הברית ניתן למצוא כאן.
ה-NSA וגופים נוספים פרסמו מסמך המלצות משותף המתייחס לחולשות נפוצות שמאפשרות גישה למערכות
הסוכנות לביטחון לאומי (NSA), הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) ולשכת החקירות הפדרלית (FBI) פרסמו מסמך שמטרתו להעלות את המודעות לסיכונים שבשימוש בבקרות ובשיטות הגנת סייבר חלשות, אשר אינן מספקות הגנת ראויה ומאפשרות לתוקפים לקבל גישה ראשונית למערכות הקורבן. ״כל עוד חורי האבטחה קיימים, תוקפים ינסו לנצל אותם״, אמר ראש הגנת הסייבר ב-NSA, רוב ג׳ויס, שהוסיף כי ״אנו מעודדים את כולם ליישם טכנולוגיות ופתרונות לצמצום החולשות על ידי שימוש בשיטות העבודה המומלצות״. על פי המסמך שפורסם, חלק מהסיכונים הנפוצים כוללים אי-שימוש במנגנון אימות רב-שלבי (MFA), יישום שגוי של בקרות על הרשאות גישה, שימוש בפרטי הזדהות המוגדרים כברירת מחדל על ידי היצרן, היעדר בקרות על שימוש בגישה מרחוק (VPN), שימוש בפרוטוקולים (כגון Telnet ,SMB ,NetBIOS) ואי-ביצוע עדכונים לתוכנות. המסמך ממליץ ליישם אמצעים לשליטה בגישה למערכות ארגונים, להקשיח את אמצעי הזיהוי, לאגור תיעוד מלא ממערכות (Logs), ליישם מדיניות Zero Trust, להגביל את השימוש בחשבונות אדמין, ליישם בקרת הרשאות ועוד.
זמביה: מתקפת כופרה על הבנק המרכזי נתקלה בתגובה בלתי שגרתית של הקורבן
בשבוע שעבר נחשף כי הבנק המרכזי של זמביה חווה מתקפת כופרה שהתרחשה על ידי קבוצת התקיפה הידועה לשמצה Hive, אשר גרמה לשיבוש חלקי במערך ה-IT שלו. מהבנק נמסר כי ״בנק זמביה מבקש להודיע לציבור שהוא חווה שיבוש חלקי בחלק מיישומי טכנולוגיות המידע (IT) שלו ביום שני, ה-9 במאי 2022״, וכי ״ההפרעה, שהשפיעה על כמה ממערכותיו של הבנק, כגון מערכת הניטור של שירות המרת המטבעות והאתר, נבעה מחשד לאירוע סייבר. אנו מבקשים להודיע כי מאז מערכות אלו שוחזרו במלואן״. על פי מקורות שאינם רשמיים, המתקפה בוצעה באמצעות הכופרה Hive, אשר הצפינה את מכשיר ה-NAS של הבנק. על פי הידוע, נציגי הבנק לניהול משא ומתן עם התוקפים לעגו לחברי קבוצת התקיפה ואף שלחו להם קישור לאתר המכיל תמונות של איבר מין זכרי, בצירוף הכיתוב ״תמצצו את הזין הזה ותפסיקו לנעול רשתות בנקאיות במחשבה שתרוויחו משהו״. עם זאת, לפי אחת הסברות גורם אחר השתלט על הצ׳אט עם קבוצת התקיפה ושלח את הקישור מטעם אנשי המשא ומתן של הבנק, כביכול. בתוך כך, ברשת Bloomberg פורסם כי לדברי המנהל הטכני של הבנק, גרג נסופו, הארגון הגן על מערכות הליבה שלו, כך שלא היה צורך ביצירת קשר עם קבוצת התקיפה.
סייבר ופרטיות - רגולציה ותקינה
מתקפת הסייבר על אוקראינה דרך מערכות לווייני Viasat מיוחסת לרוסיה: ארה"ב, בריטניה והאיחוד האירופי מכריזים על התקיפה כ"התנהגות בלתי-אחראית"
ב-10 במאי הצהיר הממשל האמריקאי באופן רשמי על כך שרוסיה עומדת מאחורי מתקפות הסייבר נגד אוקראינה וגורמים נוספים ערב הפלישה הצבאית של רוסיה לשטח המדינה בסוף חודש פברואר. האיחוד האירופי, ממשלת אוסטרליה וממשלת בריטניה הצטרפו אף הן לייחוס הפומבי של המתקפה על חלק ממערכות הלוויין לרוסיה, ובאופן ספציפי לגוף הביון הרוסי GRU (המנהל הראשי של המטה הכללי הרוסי), לו יוחסו בעבר מתקפות סייבר רבות, בהן מתקפות NotPetya ב-2017. כתוצאה מהמתקפה האמורה, נפגע חלק מהמערכת הקרקעית של חברת Viasat, חברה אמריקאית פרטית המספקת שירותי לוויין תפעוליים לצבא אוקראינה, כמו גם לעשרות אלפי משתמשים אזרחיים באירופה המערבית ולחברה גרמנית המפעילה טורבינות רוח. ייחוס פורמלי של התנהגות מדינתית עוינת במרחב הסייבר הינו דבר חדש יחסית, שעשוי להטיל אחריות בינלאומית על המדינה המבצעת, ואשר נובע מהשינויים הכלליים שמבצע ממשל ביידן במדיניות האמריקאית בעניין פעילות במרחב הסייבר. לדברי שר החוץ האמריקאי אנתוני בלינקן, "היום, בתמיכת האיחוד האירופי ושותפות אחרות, ארצות הברית חולקת בפומבי את הערכתה לפיה רוסיה פתחה בסוף פברואר במתקפות סייבר נגד רשתות תקשורת לווייניות מסחריות כדי לשבש את השליטה והבקרה האוקראיניות במהלך הפלישה, ולפעולות אלו היו השפעות שזלגו אל תוך מדינות אחרות באירופה."
הדוח השנתי של המועצה האירופית להגנה על מידע: תחומי טיפול עיקריים של הגוף המפקח וסדרי עדיפויות להמשך
הדוח השני של ה-European Data Protection Board, אשר פורסם ב-12 במאי, מסכם את הצעדים הרגולטוריים בהם נקטה המועצה במהלך השנה האחרונה, לרבות הטיפול בסוגייה של העברת מידע אישי ממדינות האיחוד למדינות אחרות בעקבות פס"ד "שרמס 2", ואישור ההחלטה בנוגע לעמידתה של בריטניה בדרישות הגנת המידע של האיחוד (UK Adequacy Decision). עוד ומופיעים בדוח סקירה של ההנחיות הרשמיות של ה-EDPB, המחייבות את המדינות החברות באיחוד, וסדרי עדיפויות להמשך פעילות המועצה. בטבלה להלן מתוארים התחומים בהם עוסק הדוח.
(מקור: הדוח השנתי של ה-European Data Protection Board מה-12.5.22, עמ' 14)
שדרוג הגנת הסייבר במדינות האיחוד האירופי: הרחבת דירקטיבת ה-NIS מ-2016
ב-31 במאי פרסם הפרלמנט של האיחוד האירופי עדכון משמעותי ל-Network and Information Security Directive, דירקטיבה מ-2016 לקידום הגנת הסייבר בכל מדינות האיחוד. מטרתה של הנחיה מחייבת ("דירקטיבה") זו, החלה על מדינות האיחוד במישור הבין-מדינתי, היא ליצור רמה גבוהה ואחידה של הגנת סייבר, כאשר כל מדינה קובעת חקיקה ספציפית בנושא. ה-NIS המקורי הטיל מספר חובות על כל מדינה, כגון גיבוש אסטרטגיה לאומית להגנת סייבר, הגדרת ארגונים כתשתיות קריטיות לצורך הטלת חובות רגולטוריות בתחום הגנת הסייבר, והשתתפות בהקמת רשת של מוקדים לאומיים (CSIRTs) לשיתוף מידע בתחום הגנת הסייבר בין מדינות האיחוד. העדכון הנוכחי של ה-NIS, המכונה NIS2, נועד לאפשר למדינות אלה להתמודד בצורה אפקטיבית יותר עם איומי מרחב הסייבר הנוכחיים. ראשית, הדירקטיבה מרחיבה את תחולתה של זו המקורית מעבר לתשתיות קריטיות בלבד, כך שתחול גם על גופים בינוניים וקטנים ממגזרים שונים, בהם תקשורת, דיגיטל, שרשרת אספקה, לוגיסטיקה ושפכים ופסולת. שנית, ה-NIS2 מגבירה את הדרישות לחיזוק רמת המוכנות של ארגונים ולהתייעלות תהליך הדיווח על אירועי סייבר, ואף מחמירה את אמצעי הפיקוח והאכיפה מצד המדינות. דירקטיבת ה-NIS2 עוברת כעת תהליך אישור של מדינות האיחוד, ואחריו תיכנס לתוקף בתוך 20 יום. לאחר מכן, יעמדו לרשות המדינות החברות 21 חודשים להטמעת ההוראות האמורות בחקיקתן הפנים-מדינתית.
רפורמה בריטית ברגולציה של הגנת פרטיות המידע האישי: "ברקזיט" מה-GDPR
במסגרת נאום המלכה, שהתקיים ב-10 במאי, ממשלת בריטניה הודיעה פעם נוספת על כוונתה לשנות את האסדרה הקיימת ב-UK Data Protection Act משנת 2018 ("ה-GDPR הבריטי") בנוגע להגנה על מידע אישי, ובכך להבדיל את האסדרה הבריטית בנושא מזאת של האיחוד האירופי. כבר ב-10 בספטמבר אשתקד פרסמה הממשלה מסמך בשם Data: A New Direction, שהזמין את הציבור להתייחס להסדר ההגנה על מידע אישי הרצוי בבריטניה. המסמך זכה ליותר מ-3,000 תגובות, שלאורן הממשלה מגבשת כעת רפורמה העשויה להטיל ספק בהלימת החקיקה הבריטית ל-General Data Protection Regulation האירופי. עיקר הרפורמה מתבטא בהקלה על העברת מידע למדינות אחרות ובהפחתת העומסים הרגולטוריים על ארגונים, כאשר אחד מהחששות של האיחוד האירופי בנוגע למהלך הבריטי נובע מרצונה המוצהר של בריטניה לאפשר העברת מידע אישי למדינות כמו ארצות הברית, אוסטרליה, קוריאה הדרומית וסינגפור - שאינן בהכרח עומדות בסטנדרטים האירופיים בנושא. זאת ועוד, הצעד הבריטי מסמן כיוון רגולטורי שונה מזה המאפיין את החוק החדש שפרסם האיחוד האירופי ב-16 במאי בתחום משילות המידע, ה-Data Governance Act.
הצעת חוק חדשה: איסור פרסום זמני על מתקפת סייבר בישראל וחובת דיווח למשטרה
ב-16 במאי הונחה על שולחן הכנסת לדיון מוקדם הצעת חוק פרטית של ח"כ מירב בן ארי לאיסור פרסום זמני על מתקפות סייבר שמדווחות למשטרה על ידי ארגונים בישראל. הצעת חוק איסור פרסום זמני של מתקפת סייבר, התשפ"ב-2022 קובעת כי במקרה שמדווח אירוע סייבר (לפי תהליך מדורג של דיווח לקצין בכיר שימנה מפכ"ל המשטרה) - יוטל צו איסור פרסום על האירוע באופן אוטומטי למשך לחודש ימים, עם אפשרות להארכה לתקופה נוספת. לפי סעיף 1 של ההצעה, מטרת החוק היא להחיל מנגנון דיווחים על אירועי סייבר "על מנת לצמצם, ככל [ה]ניתן, פרסום אודות מתקפת סייבר כאמצעי לחץ והבכה לארגון הנפגע וכן על מנת לוודא כי ההתמודדות עם האיום נעשית בצורה מיטבית עבור הארגון הנפגע ועבור פרטיות האזרחים". הצעת החוק איננה מתייחסת לדיווחים הרגולטוריים הנדרשים כבר היום מצד ארגונים שמפעילים תשתיות קריטיות במקרה של דליפת מידע אישי וארגונים במגזרים מסוימים (תחבורה, בריאות, בנקאות, ביטוח ועוד).
ארה״ב: הצעת חוק חדשה דורשת מה-DHS לעשות סדר בתפקידים של רגולטורים שונים בתחום הסייבר
בהמשך לפעילות הרגולטורית של ארצות הברית בכל הנוגע להגנת הסייבר (ראו, למשל, "הסייבר", 24.2.22), ב-17 במאי הוגשה לבית הנבחרים הצעת חוק שנועדה לחייב את המחלקה לביטחון המולדת (DHS) לסקור את הסמכות והאחריות של גופים בממשל הפדרלי, בכל הנוגע להגנה על מרחב הסייבר. הצעת החוק קובעת גם חובת דיווח של ה-DHS על ממצאי הסקירה תוך שנה מיום כניסת החוק לתוקף. ה-DHS הינה הגוף הפדרלי המוביל בתחום ההגנה על תשתיות קריטיות ב-16 המגזרים המוגדרים ככאלה, והוא פועל בתיאום עם סוכנויות ייעודיות לניהול סיכונים במגזר ובשיתוף פעולה הסוכנות להגנת סייבר ותשתיות (CISA). הצעת החוק מהווה ניסיון למיפוי ממצה של הסמכויות והאחריויות של כל הגורמים האמורים. התפתחויות רגולטוריות נוספות מתגבשות כעת בקונגרס ובבית הלבן.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.