דו״ח סייבר שבועי
עדכון שבועי 20.04.2023
עיקרי הדברים
-
קבוצת התקיפה LockBit שמה למטרה מחשבי MacOS.
-
אתרי האינטרנט של נמלי קנדה הושבתו בעקבות מתקפת סייבר.
-
אתרי הבנקים, חברת חשמל, מקורות ודואר ישראל נפלו: מתקפת סייבר על ישראל לרגל ״יום ירושלים האיראני״.
-
אחיות תובעות את רשת בתי החולים CommonSpirit על שכר שלא שולם לאחר מתקפת סייבר ב-2022.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל SAP נתן מענה לשלוש חולשות קריטיות במערכת
חברת Microsoft פרסמה עדכון אבטחה למוצריה, כולל תיקון לחולשת שמנוצלת באופן פעיל
עידכון אבטחה ל-Google Chrome נותן מענה לחולשה ברמת חומרה גבוהה שמנוצלת באופן פעיל
עידכון אבטחה לספריית VM2 ב JavaScript נותן מענה לשתי חולשות קריטיות במערכת
עדכון אבטחה ל Linux Kernel המתקן 17 חולשות
עדכון אבטחה לOracle הנותן מענה ל433 חולשות קריטיות ומנוצלות
התקפות ואיומים
חברת Microsoft זיהתה האקרים איראניים המבצעים מתקפות הרס במסווה של מתקפות כופרה
האקרים נצפו עושים שימוש ב-Google Command and Control Tool במתקפות סייבר
LockBit שמה למטרה מחשבי MacOS
APT28 משתמשת בנוזקה מיוחדת עבור נתבי CISC
השבוע בכופרה
ענקית הסליקות NCR סובלת מנפילת מערכות הקופה Aloha POS בעקבות מתקפת כופר
סייבר בעולם
אתרי האינטרנט של נמלי קנדה הושבתו בעקבות מתקפת סייבר
אפליקציית Kodi נפרצה ומידע של יותר מ-400,000 משתמשים מוצא למכירה ברשת
גוגל משיקה יוזמות חדשות לקידום ניהול הפגיעויות
עדכון נוסף של CISA ל״קטלוג החולשות המנוצלות הידועות״
הודלפו נתונים של אלפי עובדים מחברת CommScop
סייבר בגופי בריאות
אחיות תובעות את רשת בתי החולים CommonSpirit על שכר שלא שולם לאחר מתקפת סייבר ב-2022
מטופלת אונקולוגית שתמונות שלה חשופת חזה פורסמו על ידי האקרים מבקשת לחייב את רשת בתי חולים לשלם כופר
סייבר בישראל
קבוצת הכופר Lockbit טוענת שפרצה לקרן ההון סיכון הישראלית Giza
מתקפת סייבר על מערכות ׳בית חכם׳ של תושבי תל אביב: עשרות דיווחו על סרטון של פיגועים וטילים ושיבוש מכשירי החשמל המקושרים למערכת
אתרי הבנקים, חברת חשמל, מקורות ודואר ישראל נפלו: מתקפת סייבר על ישראל לרגל ״יום ירושלים האיראני״
מתקפת הסייבר על מתקנים חקלאיים: המסר הוצג בבקרי מים בצפון הארץ
OPIsrael האקרים תקפו אתרים של אוניברסיטאות בישראל
גורמים רוסים הצטרפו לקמפיין OpIsrae
כנסים
הציטוט השבועי
"אז אנחנו צריכים להיות ברורים: סין לא רק דוחפת לשוויון עם מדינות המערב [במרחב הסייבר], היא מכוונת לעליונות טכנית. היא תשתמש בחוזקה הטכנולוגית כמנוף להשגת תפקיד דומיננטי בעניינים גלובליים. מה המשמעות עבור הגנת סייבר? באופן בוטה, אנחנו לא יכולים להרשות לעצמנו לא לעמוד בקצב, אחרת אנחנו מסתכנים שסין תהפוך לכוח השולט במרחב הווירטואלי.
לינדי קמרון, ראש מרכז הגנת הסייבר הלאומי של ה-UK, בכנס CyberUK
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל SAP נתן מענה לשלוש חולשות קריטיות במערכת
חברת התוכנה SAP פירסמה עידכון אבטחה עבור חודש אפריל השנה, הכולל עידכון לשלוש חולשות קריטיות במערכת ועידכון לעוד 11 חולשות ברמת חומרה בינונית ונמוכה. החולשות משפיעות על SAP Diagnostics Agent ו SAP BusinessObjects Business Intelligence Platform. החולשות הקריטיות שתוקנו בעידכון אבטחה זה הינן :
CVE-2023-27267 - שמקורה בחוסר ולידציה וחוסר אימות לקלט ממשתמשים, דבר שמשפיע על OSCommand Bridge של SAP Diagnostics Agent בגירסה 720, חולשה זו, בניצול מוצלח שלה, יכולה לאפשר לתוקף לבצע הרצה של סקריפטים במערכת.
CVE-2023-28765 - פגיעות של חשיפת מידע במערכת המשפיעה על SAP BusinessObjects Business Intelligence Platform בגירסאות 420 ו-430. חולשה זו, בניצול מוצלח שלה, יכולה לאפשר לתוקף עם הרשאות בסיסיות לגשת לקובץ lcmbiar במערכת ולפענח אותו - ובכך להשיג סיסמאות של משתמשים במערכת.
CVE-2023-29186 - חולשה מסוג Directory traversal המשפיעה על SAP NetWeaver בגירסאות 707, 737, 747 ו-757 היכולה לאפשר לתוקף בניצול מוצלח שלה להעלות ולהחליף קבצים בשרת ה-SAP.
צוות קונפידס ממליץ למשתמשי המוצר לעדכן גרסה לגרסה האחרונה, כפי שפורסמה על ידי חברת SAP.
חברת Microsoft פרסמה עדכון אבטחה למוצריה, כולל תיקון לחולשת שמנוצלת באופן פעיל
חברת Microsoft פרסמה עדכוני האבטחה הנותנים מענה ל-97 חולשות שנמצאו במספר מוצרים מבית החברה ביניהם: Windows Active Directory, Microsoft Office, Visual Studio ועוד. מתוך 97 החולשות, 7 מהם מדורגות ברמת חומרה קריטית, 45 מהן מאפשרות בניצול מוצלח לבצע קוד מרוחק, וכן 20 קשורות להסלמת הרשאות . בנוסף, אחד מהחולשות (CVE-2023-28252,) מנוצלת באופן פעיל כתוכנת כופר באזור המזרח התיכון, צפון אמריקה ואסיה. מקורה של החולשה נמצא ב-Windows Common Log File System (CLFS) Driver. ניצול מוצלח של חולשה זו יכול לאפשר לתוקף לקבל הרשאות ברמת SYSTEM במערכת. צוות קונפידס ממליץ לעדכן את כל המוצרים הרלוונטים שברשותכם לגרסה העדכנית ביותר על פי הוראות היצרן כפי שמפורט כאן.
עידכון אבטחה ל-Google Chrome נותן מענה לחולשה ברמת חומרה גבוהה שמנוצלת באופן פעיל
חברת Google מפיצה עדכון אבטחה ל-Google Chrome הנותן מענה לחולשה ברמת חומרה גבוהה (CVE-2023-2033 CVSS 8.8). החולשה היא מסוג Type Confusion שהתגלתה ברכיב V8 ב- Google Chrome, ניצול מוצלח של חולשה זו יכולה לאפשר לתוקף לבצע הרצת קוד במערכת ובהתאם להרשאות המשתמש במערכת התוקף יוכל גם לבצע התקנת תוכנות במערכת, לצפות לשנות ולמחוק מידע, ליצור משתמשים חדשים עם הרשאות מלאות ועוד. חברת גוגל מודעת לעובדה שחולשה זו מנוצלת באופן פעיל על ידי האקרים ופירסמה תיקון לחולשה זו בגירסה 112.0.5615.121 למערכות הפעלה Windows, Mac, ו Linux.
צוות קונפידס ממליץ למשתמשי המוצר לבצע עדכון גרסה לגרסה האחרונה כפי שפורסמה על ידי Google.
עדכון אבטחה לספריית VM2 ב JavaScript נותן מענה לשתי חולשות קריטיות במערכת
נמצאו שתי חולשות ברמת חומרה קריטית בספריית VM2 של JavaScript , שהיא סיפרייה המשמשת כסביבת ״Sandbox״, שתי החולשות החולשות (CVE-2023-29199 ו CVE-2023-30547) קיבלו דירוג CVSS של 9.8 מתוך 10 ויכולות לאפשר לתוקף בניצול מוצלח שלהם לבצע מעקף של סביבת ה ״Sandbox״ ולבצע הרצה של קוד עם הרשאות ה host שמריץ את סביבת ה ״Sandbox״.
חולשות אלו תוקנות בגירסאות 3.9.16 ו 3.9.17 של הסיפרייה. צוות קונפידס ממליץ למשתמשי הסיפרייות לבצע עידכון גירסה לגירסה האחרונה שפורסמה על ידי VM2.
עדכון אבטחה ל Linux Kernel המתקן 17 חולשות
Canonical שחררו עדכון אבטחה למערכת ליבה של Linux המתקנת 17 חולשות. שלושת מהחולשות משפיעות על כלל גרסאות של Ubuntu.
-
CVE-2023-1218 CVSS 7.8 - מאפשרת לתוקף לבצע מתקפת DOS והזרקת קוד מרחוק.
-
CVE-2022-47929 CVSS 5.5 - מאפשרת לתוף לבצע מתקפת DOS.
-
CVE-2023-26545 CVSS 4.7 - מאפשרת לתוקף לבצע מתקפת DOS והזרקת קוד מרחוק.
צוות קונפידס ממליץ לכל משתמשי Ubuntu לעדכן לגרסאות העדכניות בהקדם האפשרי .
עדכון אבטחה לOracle הנותן מענה ל433 חולשות קריטיות ומנוצלות
Oracle פרסמה 433 תיקונים חדשים (מצורפת הרשימה) בעדכוני האבטחה הרבעוניים שלה, כאשר למעלה מ-70 מהם מיועדים לפגיעויות קריטיות. יותר מ-250 מהפגיעויות ניתנות לניצול מרחוק ללא אימות. Oracle תקשורת קיבלה את המספר הגבוה ביותר של תיקוני אבטחה ברבעון השלישי ברציפות, עם 77 תיקונים ו-65 נקודות תורפה שניתנות לניצול על ידי תוקפים מרוחקים ולא מאומתים. יישומי Oracle אחרים המקבלים תיקונים רבים כוללים יישומי שירותים פיננסיים, MySQL ויישומי קמעונאות. רב פרצות אבטחה הן בקוד של Oracle וברכיבי Third-party . זה מצטבר וכל ייעוץ מתאר רק את תיקוני האבטחה החדשים מאז הקודמת.Oracle ממליצה ללקוחות לעיין בעצות קודמות ולהחיל תיקונים ללא דיחוי כדי למנוע ניצול זדוני.
התקפות ואיומים
חברת Microsoft זיהתה האקרים איראניים המבצעים מתקפות הרס במסווה של מתקפות כופרה
חברת Microsoft פרסמה ב-7 באפריל בלוג המסקר מתקפות של האקרים איראניים העושים שימוש בנוזקות הרס (Destructive Malware) במסווה של מתקפות כופרה. בבלוג מקשרים החוקרים של קבוצת Microsoft את המתקפות אל קבוצת התקיפה MERCURY המגובה על ידי הממשלה באיראן. המתקפות בוצעו אל עבר סביבות ארגוניות פיזיות (On-Prem) וסביבות ענן (Cloud). התוקפים ניסו להסוות את הפעילות שלהם כקמפיין כופרה סטנדרטי, אך התוצאה הסופית של מתקפות אלו - שכללו בעיקר הרס והשבתה של המערכות ללא דרך לשחזרן - הצביעה על המניע האמיתי של הקבוצה. מתקפות עבר של קבוצת התקיפה MERCURY נצפו בעיקר על סביבות פיזיות (On-Prem), אך במקרה זה ניתן היה לראות מספר רב של מתקפות המכוונות גם על עבר תשתיות ענן של ארגונים. צוות המחקר של Microsoft מעריך כי קבוצת התקיפה ככל הנראה פעלה יחד עם קבוצת התקיפה DEV-1084 , אשר ביצעו את פעולות ההרס על המערכות השונות של הקורבנות לאחר השגת האחיזה הראשונית על ידי MERCURY, זאת, על בסיס מזהים שקושרים את קבוצת התקיפה DEV-1084 אל המתקפות השונות שנצפו. בין הפעולות שזיהו החוקרים אשר בוצעו על ידי קבוצות התקיפה בשלה האחיזה הראשונית ניתן היה למצוא ניצול חולשות ידועות, התקנת WebShells, הוספת משתמשים לוקאלים והסלמת הרשאות, התקנה תוכנות שליטה מרחוק לגיטימיות, התקנה Backdoor מבוסס PowerShell וגניבת פרטי התחברות של משתמשים אחרים בארגון. בנוסף לכך התוקפים ביצעו פעולות לאיסוף מידע בארגונים של קורבנות שכללו גם השגת גישה למשתמשי מייל של עובדים על ידי שירות ה-Exchange. ישנם דיווחים על כך שהתוקפים השיגו מידע פנים אשר עזר להם להזדהות כמשתמשים בעלי פרופיל גבוהה בארגונים מסויימים, על מנת להשיג אחיזה רחבה יותר בין אם בתוך הארגון או על מנת לבצע מתקפות אל עבר ארגונים נוספים.
האקרים נצפו עושים שימוש ב-Google Command and Control Tool במתקפות סייבר
צוות מחקר של חברת Google מפרסם דוח על קבוצת התקיפה APT41 הידועה גם בשם HOODOO, על פי דיווחים הקבוצה מקבל גיבוי מדיני מממשלת סין. חוקרי הצוות מדווחים בבלוג האחרון כי קבוצת התקיפה עושה שימוש בכלי שפותח עבור צוותים אדומים בתחום הסייבר, Google Command and Control או בקצרה GC2. הייחודיות של הכלי בתצורת התקשורת שלו, הכלי מתקשר אך ורק עם הדומיין google.com.* ואינו דורש הקמת תשתית על מנת לבצע בו שימוש (כגון רכישת דומיין, CDN, VPS ועוד.). הכלי בנוי מ-Agent שנפרס על עמדת הקורבן ומתקשר עם לינקים של Google Sheets ודרכם מקבל את הפקודות להרצה על העמדה הנתקפת. על פי הדו״ח של Google צוות ה-TAG סיכל מתקפת פישינג של APT41 נגד חברת מדיה מטייוואן אשר ניסו להפיץ את הסוכן של הכלי GC2 דרך מייל פישינג. Google מדווחת בנוסף כי קבוצת התקיפה עשתה שימוש בכלי זה גם נגד אתר איטלקי לחיפוש משרות.
LockBit שמה למטרה מחשבי MacOS
כנופיית תוכנת הכופר LockBit יצרה גרסה חדשה המכוונת למחשבי Mac בפעם הראשונה. חוקר הגנת הסייבר MalwareHunterTeam הוא זה שגילה את קבצי ה-ZIP ב-VirusTotal שהכיל את מה שנראה הגרסה החדשה של התוכנה בגרסת Mac. מטרותיה של LockBit להתקפות היו עד עכשיו היו Windows, Linux ו-VMware ESXi. מגזין BleepingComputer בדק את הממצאים שככל הנראה זוהי בדיקה ראשונית, חוקר אבטחת המידע עזים חודג'יבייב, העובד ב-Cisco Talos הסכים עם BleepingComputer וכי לפי המחקר שלהם הגרסה המיועדת ל Mac עדיין בבדיקות ולא מיועדת למתקפות סייבר פעילות. פטריק וורדל, מומחה אבטחת סייבר במערכות macOS, הסכים עם טענותיהם והוסיף כי הוא מאמין שהגרסה הזו מבוססת על גרסת Linux וכי עדיין חסרות לה הגדרות תצורה בסיסיות.
APT28 משתמשת בנוזקה מיוחדת עבור נתבי CISCO
פורסמה אזהרה מאת ארגונים בריטים, אמריקאים וחברת CISCO עצמה על קבוצת התקיפה APT28 שידועה גם בשמות אחרים כמו: Sednit, Sofacy, STRONTIUM, Fancy Bear. קבוצה זו מקושרת למודיעין הצבאי הרוסי וידועה בשלל מתקפות על מטרות אירופאיות ואמריקאיות בעיקר לשם מעקב וריגול. הנוזקה הייחודית המשומשת בשם "Jaguar Tooth" מנצלת חולשה הקיימת בגרסה ישנה של ממשק נתבי CISCO וטופלה ב-2017 לאחר גילויה (CVE-2017-6742). הנוזקה מנוצלת על ידי הזרקתה ישירות לזיכרון המכשיר ולאחר ההתקנה, הנוזקה מאפשרת גישה ללא אימות לממשק הנתב, ייצוא מידע לשרת חוץ ויצירת Backdoor למכשיר.
צוות קונפידס ממליץ למשתמשי נתבי CISCO לוודא שגרסת ממשק הנתב מעודכנת מעל גרסה (C5350-ISM,Version 12.3(6.
השבוע בכופרה
ענקית הסליקות NCR סובלת מנפילת מערכות הקופה Aloha POS בעקבות מתקפת כופרה
לאחר מספר ימים בהן המערכות שמספקת החברה אינן זמינות, מודיעה החברה כי הן נפלו קורבן למתקפת כופרה, קבוצת התקיפה BlackCat/ALPHV לקחה אחריות על המתקפה. חברת NCR היא חברת תוכנה אמריקאית המספקת שירותי בנקאות דיגיטליים, קופות ומערכות סליקה למסעדות, עסקים וסוחרים. אחד ממוצרי החברה Aloha POS , אשר משמש מקומות אירוח לא הייתה זמינה מה-12 באפריל. לקוחות דיווחו כי אינם מצליחים להשתמש במערכת כלל, וחלקם תיארו את המצב כ"חזרה לתקופה האבן". ב-13 באפריל הודיעה החברה כי נפלו למתקפת כופרה. עוד מודיעה החברה כי מיד ברגע היוודע לה על המאורע, החלה ליצור קשר עם לקוחות וגייסה חברות סייבר חיצוניות לטיפול וניהול האירוע וכי רשויות החוק עודכנו בהתאם. בהצהרה ל-BleepingComputer חברת NCR משפיעה על חלק ממערכות ה-Aloha POS שלהן ועל מספר מצומצם של אפליקציות Aloha נוספות. לקוחות רבים פרסמו בפורום Reddit כי הם סופגים נזקים כלכליים כבדים בעקבות המתקפה על NCR. החברה הודיעה כי בידם תוכנית פעולה לחזרה לשגרה וכי בכוונתם ליישמה בהקדם האפשרי.
סייבר בעולם
אתרי האינטרנט של נמלי קנדה הושבתו בעקבות מתקפת סייבר
נמל Halifax, נמלי Montreal ונמל Quebec נפגעו ממתקפת DDos (מניעת שירות). המתקפה שיבשה את פעילות אתרי האינטרנט של Halifax של הנמלים, ללא כל שיבוש בפעילות הפנימית. דובר נמל של Halifax מסר ביום חמישי ה-13 באפריל כי הבעיה אותרה יום לפניכן בשעות הבוקר, וכי התנועה בנמל נמשכת כרגיל. לפיו האינטרנט אינו זמין בשל המתקפה, ומחלקת המחשוב עובדת על מנת להגיע לפתרון. דובר נמל Montreal מסר לרדיו-קנדה שפעולות הנמל לא הושפעו ואין סיכון לזליגת מידע. ראש מחלקת התקשורת של הנמל מסרה כי לא הוכרז מצב חירום, ותקשורת עם ספקים ממשיכה באמצעים חלופיים ובאופן טלפוני. רשות הנמלים של קוויבק מסרה כי צוות המחשוב חוקר אם זו הייתה תוצאה של מתקפת סייבר וכי פעילות הנמל לא הושפעה.
אפליקציית Kodi נפרצה ומידע של יותר מ-400,000 משתמשים מוצא למכירה ברשת
חברת Kodi, אפליקציית נגן המדיה החינמי, אישרה שנפרצה בהצהרה ששחררה וחשפה כי המקור התקיפה הוא חבר צוות בעל הרשאות גבוהות (אדמין) במערכת. החשבון של חבר הצוות שימש ליצירת גיבויים של מסדי נתונים אשר הורדו ונמחקו. בעל החשבון אישר שהוא לא ביצע את הפעולות האלה. החברה הודיעה למשתמשים בנגן שעליהם להניח שהאישורים שלהם בפורום Kodi וכל מידע פרטי המשותף עם משתמשים אחרים דרך מערכת ההודעות של משתמש למשתמש נפרצו ואם הם השתמשו באותו שם משתמש וסיסמה בכל אתר אחר, עליהם לבצע את איפוס/שינוי הסיסמה עבור אותו אתר. האיפוס לחשבונות ה-Kodi נעשה באופן אוטומטי על ידי החברה, וברגע שהמערכת תחזור לפעילות המשתמשים יתבקשו להזין פרטיהם מחדש.מידע של יותר מ 400,000 משתמשים נמצא באתר BrechedForums ומוצע למכירה על ידי גורם לא ידוע.
גוגל משיקה יוזמות חדשות לקידום ניהול הפגיעויות
גוגל הכריזה על סדרה של יוזמות שמטרתן לשפר את המערכת האקולוגית של ניהול פגיעויות . גוגל מכירה בכך שהסיכונים נמשכים גם לאחר שפגיעויות של zero day ידועות ומתוקנות, ומדגישה את החשיבות של טיפול בשורש הבעיה בפגיעויות מסויימות ותעדוף לשיטות פיתוח תוכנה מאובטחות יותר. Project Zero , צוות מחקר ואבטחה בגוגל, מקימים מדיניות פריצה בשיתוף Bugcrowd, HackerOne, Intel, Intigriti ו-Luta Security כדי להבטיח שהמדיניות והתקנות יתאימו לשיטות העבודה המומלצות לניהול וחשיפה של פגיעות. צוות Project Zero גם מתחייבים לחשוף בפומבי מקרים של ניצול פעיל של נקודות תורפה במוצרים שלה. בנוסף, הצוות מקימים קרן הגנה משפטית למחקר אבטחה כדי לספק מימון לייצוג משפטי לאנשים העוסקים במחקר. היוזמות של גוגל שמות דגש על החשיבות שיש לפעולות מקדימות כדי להקשות על ניצול החולשות, לקדם תיקון בזמן ולקדם עקרונות מאובטחים לאורך כל מחזור החיים של פיתוח התוכנה. החברה גם השיקה שירות API חינמי בשם Deps.Dev API לאבטחת שרשרת אספקת התוכנה והכריזה על זמינות של שירות Open Source Assured Software עבור מערכות של Java ו-Python בענן שלה.
עדכון נוסף של CISA ל״קטלוג החולשות המנוצלות הידועות״
הסוכנות האמריקאית להגנת סייבר ותשתיות הוסיפה השבוע לקטלוג החולשות הידועות שבע חולשות חדשות. שלוש חולשות (CVE-2023-28206, CVE-2023-28205, CVE-2019-8526) רלוונטיות למוצרי Apple והן ברמת חומרה גבוהה המשפיעה על מערכות ההפעלה של מוצריה (iOS, iPadOS, macOS). חולשות אלו עלולות לגרום להסלמת הרשאות ולאפשר לתוקף להריץ קוד על המערכת עם הרשאות גבוהות (kernel) עקב אימות לא מדוייק של קלט ועיבוד של תוכן WEB הבנוי בצורה זדונית. החולשות אלו הן מסוכנות במיוחד עבור סביבות ארגוניות המשתמשות במוצרי החברה ובתגובה Apple שחררה עדכוני אבטחה רלוונטיים.
החולשה (CVE-2023-28252) עבור Windows עלולה לאפשר הסלמת הרשאות דרך הדרייבר של (Microsoft Windows Common Log File System (CLFS. חומרת החולשה מדורגת כגבוהה ומקור החולשה טרם פורסם. חולשה (CVE-2023-29492) היא עבור תוכנה המשמשת לסקרים בשם Novi Survey. החולשה מוגדרת כקריטית ועלולה לאפשר הרצה של קוד על השרת בו מותקנת התוכנה. החולשה (CVE-2023-20963) עבור אנדרואיד מוגדרת ברמת חומרה גבוהה ויכולה לגרום להסלמת הרשאות עבור אפליקציות מסוימות בעת העדכון שלהן. חולשה (CVE-2023-2033) מסוג type confusion עבור דפדפן כרום מוגדרת ברמת חומרה גבוהה ועשויה לאפשר לתוקף לשבש את רכיבי זיכרון על ידי יצירת דף HTML זדוני. יש לציין ששוחררו עדכוני אבטחה רלוונטיים בתגובה לשלוש החולשות, שהוגדרו ברמת חומרה גבוהה. צוות קונפידס ממליץ לעדכן את הגרסאות עבור השירותים הרלוונטים לעדכניים ביותר.
הודלפו נתונים של אלפי עובדים מחברת CommScope
קבוצת התקיפה Vice Society הדליפו כמות משמעותית של נתונים שגנבו מ-CommScope, חברת תשתיות ותקשורת אמריקאית שמתכננת ומייצרת מוצרים עבור מגוון לקוחות, כולל בתי חולים, בתי ספר וסוכנויות פדרליות בארה"ב. הנתונים כוללים מסמכים פנימיים, חשבוניות, שרטוטים טכניים ונתונים אישיים של אלפי עובדי CommScope, כגון שמות מלאים, כתובות דואר, כתובות דואר אלקטרוני, מספרים אישיים, מספרי תעודת זהות ופרטי חשבון בנק. חלק מהנתונים שדלפו כולל גם סריקות של דרכוני עובדים ותיעוד ויזה. קבוצת Vice Society קיבלה גישה עמוקה לרשת של CommScope, תוך שהם מסננים גיבויים של נתונים הנוגעים לפורטל הלקוחות MyCommScope שלה ולאינטרנט הפנימי שלה. דובר CommScope אישר כי החברה זיהתה "גישה בלתי מורשית לחלק מתשתית ה-IT שלנו שקבענו שהיא תוצאה של תקרית כופר" ב-27 במרץ. החברה פתחה מיד בחקירה ודיווחו על הנושא לרשויות אכיפת החוק.
סייבר בגופי בריאות
אחיות תובעות את רשת בתי החולים CommonSpirit על שכר שלא שולם לאחר מתקפת סייבר ב-2022
מתקפת הכופר בחודש אוקטובר 2022 על רשת בתי החולים CommonSpirit ,שפועלת ב-21 מדינות,הייתה רחבה וגרמה לנזק רחב היקף לרשת. הרשת מנהלת יותר מ-140 בתי חולים ו-2,000 מתקני בריאות באתריה השונים. לפי הדיווח הרגולטורי של הרשת, המתקפה עליה גרמה לנזק כספי של 150 מיליון דולר שנגרם בעקבות ביטול תורים ותהליכים רפואיים קריטיים של מטופלים, הפסקת רשת למשך חודש, מערכות רפואיות שהושבתו ודלף מידע של 623,000 רשומות רפואיות כולל מספרי תעודת זהות ואבחנות (ראו ״הסייבר״, 6.10.22, ״הסייבר״, 20.10.22 ו״הסייבר״, 17.11.22). לאחרונה, דווח שרשת בתי החולים מתמודדת עם מהלומה כלכלית נוספת כאשר קבוצת אחיות באורגון תבעה אותה בטענה שקיבלו שכר נמוך לאחר מתקפת תוכנת כופר באוקטובר אשתקד. יצוין כי תביעות נוספות הוגשו נגד הרשת מצד מטופלים בגין הפרת מידע. במקרה הנוכחי, אחיות בית החולים תבעו אותו מפני שהן טוענות שטרם קיבלו את מלוא שכרן עבור מספר השעות המדויק שעבדו. נוסף על כך, הן טענו שהחופשה בתשלום מחושבת בצורה שגויה.
התביעה דורשת 1.5 מיליון דולר, כולל שכר של 200,000 דולר שלא שולם, 500,000 דולר קנסות באיחור ופיצויים בסך 800,000 דולר. דובר מטעם CommonSpirit סירב להגיב על התביעה. "אנחנו רוצים לחזור על המחויבות שלנו להבטיח שכל העובדים מקבלים שכר מדויק. אנו אסירי תודה לעובדים שלנו על המחויבות שלהם ועל מאמציהם להמשיך ולספק טיפול באיכות גבוהה לחולים לאורך כל המצב הזה", אמר.
מטופלת אונקולוגית שתמונות שלה חשופת חזה פורסמו על ידי האקרים מבקשת לחייב את רשת בתי חולים לשלם כופר
לפני חודש דיווחה רשת שירותי הבריאות Lehigh Valley Health Network (להלן: LVHN) על חדירה לרשת הארגונית שלה ועל חוסר נכונות לשלם כופר של יותר מ-5 מיליון דולר לקבוצת התקיפה BlackCat (ראו ״הסייבר״, 09.03.23). המתקפה אמנם לא שיבשה את הפעילות בבתי החולים ובמשרדים או גרמה להפרעה כלשהי למערכות של ארגון הבריאות, אך התוקפים השיגו גישה למאגר המאחסן תצלומים של מטופלות סרטן שד חשופות חזה, והחלו להדליף אותו בפורום מקוון ששימש את קבוצת ההאקרים. התביעה של אחת המטופלות שכינתה את עצמה בשם אנונימי (׳Jane Doe׳) מבקשת מהשופט לחייב את LVHN לשלם להאקרים יותר מ-5 מיליון דולר כדי להסיר את התמונות שהודלפו לאינטרנט. אנשים שהמידע האישי שלהם חשוף או דלף ממתקפת סייבר תובעים לעתים קרובות את החברות שנפרצו, אבל המקרה הנוכחי, שבו מנסים לחייב חברה לשלם כופר – הוא תקדימי. התובעת טוענת בתביעה שקיבלה הודעה מרשת בתי החולים בנוגע להימצאות תמונות שלה חשופת חזה ברשת וכעת היא חוששת שאנשים יזהו אותה. ״תמונות אחרות שפורסמו באינטרנט הראו גם חולים עירומים וכעת ניתן לחפש אותם לפי שם החולה״, כתב עורך הדין מטעם התביעה במכתב מ-10 באפריל לשופט הפדרלי שהוקצה לתיק. דובר מטעם LVHN סירב להגיב. בתביעה לבית המשפט שהוגש ck, קצינת הציות הראשית של LVHN, כי רשת הבריאות זיהתה כ-2,760 אנשים ש"התצלומים המתאימים מבחינה קלינית" שלהם נגנבו במהלך מתקפת הסייבר.
סייבר בישראל
קבוצת הכופר Lockbit טוענת שפרצה לקרן ההון סיכון הישראלית Giza
קבוצת הכופר פרסמה שיש בידה תדפיסים של תנועות עובר ושב, צילומי דרכונים ומסמכים פנימיים נוספים של קרן ההון Giza. קרן ההון Giza נוסדה בשנת 1992 והשקיעה מאז 600 מיליון דולר בלמעלה מ-100 סטארטאפים ש-46 מתוכם הפכו לאקזיטים. בהודעה שפירסמה קבוצת Lockbit היא פרסמה חלק מהקבצים שהיא שמה עליהם את ידה ואיימה להדליף אותם ואת יתר הקבצים אם לא ישולמו דמי כופר עד ל-1 במאי.
מתקפת סייבר על מערכות ׳בית חכם׳ של תושבי תל אביב: עשרות דיווחו על סרטון של פיגועים וטילים ושיבוש מכשירי החשמל המקושרים למערכת
תושבי תל אביב שמותקנת בבתיהם מערכת ״בית חכם״ דיווחו במוצאי שבת ה-15 באפריל מערכות החשמל המקושרות למערכת ׳בית חכם׳ בבית שלהם שובשו באמצעות מתקפת סייבר. התושבים סיפרו שמסכי הטלוויזיה שלהם נפרצו, והוקרן עליהם סרטון המציג פיגועים, שיגורי רקטות ואירועי דריסה. בסוף הסרטון הוצג הכיתוב: "אין לכם ביטחון באדמה הזו". אחת מתושבות העיר העידה ש"כל התריסים בבית עלו וירדו בלי הפסקה והחשמל נדלק וכבה בלי הפסקה בערך כשעה". העיתוי של הפריצה למערכת ״בית חכם״, יום ירושלים האיראני, מעלה חשד שהמערכת נפרצה לצד אתרים ישראליים אחרים שנפרצו ושובשו בעקבות המועד - שהפך להיות מזוהה עם פריצות למערכות מחשב.
אתרי הבנקים, חברת חשמל, מקורות ודואר ישראל נפלו: מתקפת סייבר על ישראל לרגל ״יום ירושלים האיראני״
יום שישי האחרון של חודש הרמדאן הפך ב-10 השנים האחרונות למועד שבו מגוון רחב של שחקנים עם מניעים אנטי-ישראליים מבצעים פעולות במרחב הסייבר נגד ישראל. השיבושים נעשים במסגרת פעילות התודעה האיראנית, שבמרכזה עומד הרצון לשבש תשתיות קריטיות ולקבל הד תקשורתי. להגברת הרעש ברשתות גם השנה קבוצות התקיפה השונות הוסיפו את התיוג #OPsIsrael לציוצים והפוסטים על התקיפות שלהם. מתקפות מניעת השירות (DDoS) היו הנפוצות ביותר ואחריהן מתקפות השחתה (Defacement), אך בעיקר של אתרים פחות מוכרים. מבצע התודעה הביא למניעת גישה למספר רב של אתרי אינטרנט ישראליים של אוניברסיטאות, משרדי ממשלה, בתי חולים, כמו גם ויעדים נוספים המזוהים עם ישראל (ראו להלן). היקף נרחב של מתקפות נרשם ביום שישי ה-14 באפריל, שבו חל השנה יום ירושלים האיראני. מתקפת מניעת שירות רחבה הפילה לזמן קצר את אתרי הבנקים מסד, הבנק הבינלאומי ובנק אוצר החייל. בסמוך לשעה 17:00 הפילו ההאקרים גם את האתרים של חברת החשמל ומקורות. מי שספגה מתקפה בהיקף רחב יותר הייתה דואר ישראל, כאשר בערב פסח(5.4) זוהתה חדירה של גורם לא מורשה שחדר לרשת החברה. בעקבות המתקפה, החברה השביתה חלק מהשירותים שלה באופן יזום כדי למנוע הפעלת מתקפה אקטיבית. החברה השיבה בהדרגה את מרבית שלה השירותים לאחר שאשררה תקינות מלאה של אבטחת המערכות, וסיכלה כוונת הגורם שחדר לרשת לבצע תקיפה ולגרום לנזק.
בהשוואה לשנים האחרונות, היקף אירועי הסייבר והנזק שנגרם בעקבות קמפיין OPsIsrael היו רחבים, ועוררו את תשומת הלב של התקשורת והציבור. היקף המתקפות מצביע על התעוררות של קבוצות התקיפה האנטי-ישראליות במרחב הסייבר בזמן אירועי הרמדאן, ונתן איתות לחברות שהותקפו וליתר התעשייה להיערכות טובה יותר לקראת מתקפות דומות שעשויות להתרחש בהמשך.
מתקפת הסייבר על מתקנים חקלאיים: המסר הוצג בבקרי מים בצפון הארץ
בעקבות החשד למתקפת סייבר על מתקנים חקלאיים בצפון הארץ, פורסמה בטוויטר ב-9 באפריל תמונה של מערכות ההשקיה בגליל העליון ועין חרוד. בתמונה נצפה בקר מים של החברה הישראלית ״יוניטרוניקס״ שנפרצה, כאשר הבקר מציג את המסר "You have been hacked, down with Israel"' ובתמונה נראה מגן דוד שוקע במים. מתקפת הסייבר הינה כחלק מקמפיין OpIsrael, וגרם להשבתה זמנית של בקרת ההשקייה בשל חשיפתם לרשת.
OPIsrael האקרים תקפו אתרים של אוניברסיטאות בישראל
אתרי האוניברסיטאות בישראל קרסו ב 4 לחודש בעקבות מתקפת DDOS שבוצעה על ידי קבוצת האקרים בשם Anonymous sudan וזאת במסגרת קמפיין ההאקינג האנטי ישראלי OPIsrael. קבוצת התקיפה Anonymous sudan מציגה את עצמה כאקטיביסטים המונעים על ידי אידיאולוגיה, הקבוצה מוציאה בעיקר מתקפות DDOS והשחתת אתרים. גם במתקפה זו קבוצת ההאקרים טוענים בעמוד הטלגרם שלהם כי אתרי האוניברסיטאות הישראלים נפגעו ״בגלל מה שעשו בפלסטין״, על פי הרשימה שפורסמה בערות הטלגרם של הקבוצה אתרי האוניברסיטאות אותם תקפו הם : האוניברסיטה העברית, מכון ויצמן, בר אילן, אוניברסיטת חיפה, בן גוריון, הטכניון, האוניברסיטה הפתוחה, אריאל, רייכמן ואוניברסיטת תל אביב.
גורמים רוסים הצטרפו לקמפיין OpIsrael
על פי דיווח של Tech12, גורמים רוסיים הצטרפו למתקפות הסייבר על חברות וגופים ישראלים כחלק מקמפיין OpIsrael. המתקפות בדרך כלל מתבצעות על ידי גורמים שעיקרם ממדינות האיסלאם ותנועת ה- BDS (ראו מאמר לעיל), ומטרתם לפגוע בגופים ישראלים ולקדם אג'נדות אנטי-ציוניות ופרו-פלסטיניות, כדי לגרום להפחדת הציבור והעברה של מסרים פוליטיים. השנה הצטרפו גורמים רוסיים לצד גורמים איראניים למתקפות על ישראל. המעורבות הרוסית נעשתה באמצעות ארגוני קש כמו Anonymous Sudan, בחברת צ'ק פוינט הישראלית, שספגה בעצמה מתקפה חמורה, מייחסים את היכולת המתקדמת לקבוצת Killnet הרוסית, שפועלת בחסות ובמימון של הממשל הרוסי. בין הארגונים שהותקפו היו חברות התעופה ארקיע, ישראייר ואל-על, בתי החולים רמב"ם, אסף הרופא ולניאדו,מתקפה על אוניברסיטאות, מתקפה על דואר ישראל, מתקפות על מתקני השקיה ועל מקררים סופרמרקטים בישראל, אתר Jerusalem Post, כאן 11 ו-I24News, ועוד.
לדברי מנכ"ל חברת מודיעין הסייבר ClearSky "הם הצליחו לשתק אתרים גדולים לפרקי זמן קצרים. המשמעות של זה היא שהרוסים מנסים 'לעשות טובה' ולסייע לאיראנים במה שהם עושים מול בישראל וזה לא מעודד". חברת ClearSky פרסמו דו״ח על המתקפות ובו גם נאמר שהקבוצה הסודנית פרסמה שתשוב לתקוף ושהתאריכים ה- 14.4.2023 וה- 21.4.2023 הינם תאריכים בסיכוי גבוה לתקיפות.
מנכ״ל קונפידס, רם לוי אמר ל tech12 כי "השנה אנו רואים עליית מדרגה חדה בהתקפות, אם בעבר הן היו בעיקר מטרד לא נעים, ההתקפות השנה הרבה יותר עוצמתיות וגורמות לנזק אמיתי ולהשבתת מוסדות בישראל. זו עליית מדרגה מדאיגה ומשמעותית והשקט של המדינה, לרבות מערך הסייבר הלאומי, מדאיג לא פחות".
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, אלינה מיטלמן-כהן, רוני עזורי, יובל אוחנה, בת-אל גטנך, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו ושי רז.