דו״ח סייבר שבועי
עדכון שבועי 20.10.2022
עיקרי הדברים
-
ההסכם החדש בין ארה"ב לאיחוד האירופי בעניין העברת מידע אישי: לקראת ״פס"ד שרמס 3״?
-
המלחמה בין רוסיה לאוקראינה: נוזקה חדשה פוגעת בארגוני לוגיסטיקה ותחבורה באוקראינה ובפולין.
-
ארה״ב: ילד בן 3 שאושפז בבית החולים קיבל מינון תרופות הגבוה פי 5 מהנדרש - בית החולים מאשים את מתקפת הסייבר בה הוא נתון; Google תשלם למדינת אריזונה 85 מיליון דולר בגין מעקב אחר מיקום גיאוגרפי של משתמשים.
-
שלושה צעירים מצפון הארץ נעצרו בחשד ששיתפו פעולה עם ארגון החמאס במטרה לפגוע בתשתית ״סלקום״ בעת מלחמה.
-
מתקפת הכופרה על שירותי הבריאות בבריטניה: חברת Advanced מאשרת שנגנבו נתונים מה-NHS, אך מסרבת לומר אם נפגעה פרטיותם של נתוני מטופלים.
-
*אנו ממליצים לעדכן את המוצרים הבאים: המוצר MOTW של מיקרוסופט (Zero-day); ספריית Apache Commons Text (קריטי); מוצרי Aruba (קריטי); מוצרי Palo Alto Networks (גבוה); Linux Kernel עבור מכונות Ubuntu 18.04 ב-Azure (גבוה); הדפדפנים Firefox ו-Firefox ESR (גבוה); המוצר Cobalt Strike.*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה למערכת ההפעלה של מוצרי Palo Alto Networks נותן מענה לחולשה ברמה גבוהה
עדכוני אבטחה למוצרי Aruba נותנים מענה ל-3 חולשות קריטיות
עדכון אבטחה ל-Apache Commons Text נותן מענה לחולשה קריטית
תיקון זמני לחולשת Zero-day פתוחה ב-MOTW של מיקרוסופט
עדכון אבטחה ל-Cobalt Strike נותן מענה לחולשה ב-Java Swing המאפשרת הרצת קוד מרחוק
עדכוני אבטחה נותנים מענה לחולשות ב-Linux Kernel עבור מכונות Ubuntu 18.04 בפלטפורמת הענן Azure, חלקן ברמת חומרה גבוהה
עדכון אבטחה לדפדפנים Firefox ו-Firefox ESR של Mozilla נותן מענה למספר חולשות, שתיים מהן ברמת חומרה גבוה
התקפות ואיומים
שיטה חדשה שפותחה תאפשר לתוקפים לקחת בעלות על פס ייצור שלם
גרסה חדשה של נוזקת Ducktail תוקפת חשבונות פייסבוק
האקרים משתמשים בסקריפט PowerShell שאינו ניתן לזיהוי ליצירת דלת אחורית; יותר מ-60 קורבנות עד כה
השבוע בכופרה
משטרת הולנד ניצלה חולשה במנגנון התשלום של קבוצת הכופרה Deadbolt ל״רכישת״ יותר 155 מפתחות הצפנה ללא תשלום
חברת Trend Micro חושפת את שיטות ההדבקה של קבוצת הכופרה Black Bast
המלחמה במזזרח אירופה
נוזקה חדשה פוגעת בארגוני לוגיסטיקה ותחבורה באוקראינה ובפולי
סייבר בעולם
ארה״ב: ילד בן 3 שאושפז בבית החולים קיבל מינון תרופות הגבוה פי 5 מהנדרש; בית החולים מאשים את מתקפת הסייבר שבה הוא נתון
מיקרוסופט משתמשת במנגנוני הצפנה פגיעים ב-Office 365
ניצול מתמשך של חולשת Zero-day על שרתי Zimbra
אירופה: נעצרו חברי כנופייה שגנבו רכבים באמצעות שכפול מפתחות אלחוטיים
Verizon מודיעה כי פרטים אישיים של לקוחותיה נגנבו, לרבות 4 הספרות האחרונות של אמצעי התשלום
מיקרוסופט מודיעה כי תנהל שירות הגנה חדש מפני מתקפות DDoS לעסקים קטנים ובינוניי
סייבר בישראל
כתב אישום חמור הוגש כנגד 3 צעירים מצפון הארץ בחשד לשיתוף פעולה עם ארגון חמאס במטרה לפגוע בסלקו
סייבר ופרטיות - רגולציה ותקינה
ההסכם החדש בין ארה"ב לאיחוד האירופי בעניין העברת מידע אישי: לקראת ״פס"ד שרמס 3״
כנסים
הציטוט השבועי
״חברות התקשורת בישראל הן יעד אטרקטיבי למתקפות סייבר ועל כן בשנה האחרונה הרחבנו את הרגולציה בעניין בכדי להגן על המידע של מליוני לקוחות ועל תשתיות חיוניות למדינת ישראל. שיתוף הפעולה הפורה בשנתיים האחרונות [...] הביא לחסימה של אירועים רבים שלא התפרסמו.״
שר התקשורת יועז הנדל, בעקבות פרשת העובד לשעבר ב״סלקום״ שהעביר מידע רגיש לידי ארגון החמאס, 20.10.22.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה למערכת ההפעלה של מוצרי Palo Alto Networks נותן מענה לחולשה ברמה גבוהה
העדכון למערכת ההפעלה PAN-OS, עליה מבוססים מוצרי ה-Firewall של החברה, סוגרים חולשה (CVE-2022-0030, CVSS 8.1) מסוג מעקף אימות העלולה לאפשר לתוקף מקומי לעקוף את מנגנוני האימות ולבצע פעולות בהרשאות Admin. העדכון רלוונטי לגרסה 8.1.24 ולגרסאות מוקדמות יותר של PAN-OS.
צוות קונפידס ממליץ לבעלי המכשירים הפגיעים לעדכנם בהקדם האפשרי
עדכוני אבטחה למוצרי Aruba נותנים מענה ל-3 חולשות קריטיות
העדכונים שפרסמה חברת התקשורת Aruba Networks רלוונטיים למוצרי ה-Enterprise שלה:
Enterprise Orchestrator - on-premises
Enterprise Orchestrator-as-a-Service
Enterprise Orchestrator-SP
Enterprise Orchestrator Global
החולשות, שמצויות בממשק הניהול האינטרנטי של המוצרים, קיבלו את ציון החומרה CVSS 9.8, ואלה פרטיהן:
CVE-2022-37913, CVE-2022-37914 - עלולות לאפשר למשתמש לא מאומת להשיג גישה למערכת הקורבן עם הרשאות Admin.
CVE-2022-37915 - עלולה לאפשר הרצת פקודות מרחוק על גבי מכשיר הקורבן ללא אימות מערכת, מה שעשוי להוביל לחשיפה מלאה של מערכת הקורבן.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסתם האחרונה ולפעול למזעור נקודות התורפה, כמפורט כאן.
עדכון אבטחה ל-Apache Commons Text נותן מענה לחולשה קריטית
החולשה, (CVE-2022-42889, CVSS 9.8) שהתגלתה בספריית ה-Apache המרכזת אלגוריתמים לביצוע פעולות על מחרוזות (Strings), מצויה בכל גרסאות Apache Commons Text הקודמות ל-1.10.0. מקור החולשה בפגם לא מאובטח בברירת המחדל של הספרייה, והיא עלולה לאפשר לתוקף להריץ קוד שרירותי על ידי שליחת קלט זדוני למערכת.
צוות קונפידס ממליץ למשתמשי הספרייה לעדכנה לגרסה 1.10.0 ומעלה.
תיקון זמני לחולשת Zero-day פתוחה ב-MOTW של מיקרוסופט
החולשה, עליה דיווח למיקרוסופט החוקר וויל דורמן בחודש יוני, טרם קיבלה מהחברה מענה ותיקון, גם לא בעדכוני אוקטובר, אך לעת עתה חברת 0patch פרסמה לה תיקון זמני חינמי. (MOTW (Mark of the Web הוא מנגנון אבטחה משמעותי ב-Windows, שתפקידו לסמן בדגל מסמכים וקובצי הפעלה שחולצו מארכיוני ZIP אשר הורדו ממקורות שאינם מהימנים. כאשר קובץ מסומן ב-MOTW, המנגנון מודיע למערכת ההפעלה, ל-Smart App Control וליישומי ה-Office שיש לנהוג בקובץ כחשוד, ואי לכך להציג למשתמש אזהרות אודות הסיכון שבפתיחתו ולבצע בדיקות רלוונטיות. ביישומי Office, הדבר אף יביא לחסימה של פקודות מאקרו. ניצול מוצלח של החולשה עלול לאפשר לתוקף למנוע מ-Windows להפעיל את המנגנון על קבצים שחולצו מהארכיון, גם במקרים בהם מקור הקבצים אינו מהימן (אינטרנט, מייל, דיסק נשלף ועוד). רשימת המוצרים הפגיעים ופרטים נוספים על אופן יישום התיקון מופיעים כאן.
צוות קונפידס ממליץ למשתמשי Windows להטמיע את התיקון הזמני עד לפרסום תיקון רשמי של מיקרוסופט.
עדכון אבטחה ל-Cobalt Strike נותן מענה לחולשה ב-Java Swing המאפשרת הרצת קוד מרחוק
חוקרים מצוות המחקר IBM X-Force גילו כי חלקים מסוימים מה-Java Swing Framework, הנמצאים בשימוש נרחב בממשק המשתמש של התוכנה לדימוי מתקפות Cobalt Strike, יזהו כל טקסט שיקבלו כקוד HTML במידה והוא מתחיל בתגית <html>. החולשה עלולה לאפשר לתוקף להוריד משרת חיצוני קובצי הרצה זדוניים שיופעלו על ידי Cobalt Strike, איך ניתן לטפל בה בקלות באמצעות ביטול פרסור תגיות ה-HTML בצורה רוחבית בצד הלקוח של Cobalt Strike. בשעה זו לא פורסם CVE על ידי Cobalt Strike, שלטענתה מקור החולשה הוא ב-Java Swing, והיא אף חולקת קווי דמיון עם מקרה ה-Log4j (ראו ״הסייבר״, 16.12.21).
צוות קונפידס ממליץ למשתמשי Cobalt Strike לעיין במסמך שפרסמה החברה ולעדכן את המוצר.
עדכוני אבטחה נותנים מענה לחולשות ב-Linux Kernel עבור מכונות Ubuntu 18.04 בפלטפורמת הענן Azure, חלקן ברמת חומרה גבוהה
העדכונים סוגרים 9 חולשות שנמצאו בחבילת ה-Kernel המכונה linux-azure-4.15 ומשמשת את מכונות Ubuntu 18.04 ב-Azureֿ:
-
3 חולשות ברמת חומרה נמוכה (CVE-2022-0812, CVSS 4.3, CVE-2022-32296, CVSS 3.3; CVE-2022-33744 CVSS, 4.7).
-
5 חולשות ברמת חומרה בינונית (CVE-2022-2318, CVSS 5.5; CVE-2022-26365, CVSS 7.1; CVE-2022-33740, CVSS 7.1; CVE-2022-33742, CVSS 7.1; CVE-2022-33741, CVSS 7.1).
-
חולשה אחת ברמת חומרה גבוהה (CVE-2022-1012, CVSS 8.2), העלולה לאפשר לתוקף להדליף מידע או למנוע שירות, עקב פגם באלגוריתם השידוך לנתיבי תקשורת בפרוטוקול TCP.
לסגירת החולשות במערכת ההפעלה Ubuntu 18.04 עבור פלטפורמת הענן יש לעדכן את המוצר לגרסה 4.15.0-1153.168 א לגרסהו 4.15.0.1153.123, ולאחר מכן לאתחל את המכונה לשם החלת השינויים. ממפתחי מערכת ההפעלה Ubuntu נמסר כי ״עקב שינויים בלתי נמנעים יש לעדכוני הליבה (Kernel) מספר גרסה חדש, המחייב ביצוע קומפילציה מחדש והתקנה מחדש של כל מודולי הליבה של צד שלישי. עבור חבילות הליבה הסטנדרטיות, שדרוג מערכת סטנדרטי יבוצע אוטומטית״.
צוות קונפידס ממליץ לכלל בעלי מכונות Ubuntu 18.04 הנמצאות בפלטפורמת Azure לבצע עדכון לליבת המוצר, ולשמור על שגרת עדכונים שוטפת.
העדכון סוגר במוצרים את 4 החולשות הבאות:
-
חולשה ברמת חומרה גבוהה (CVE-2022-42927), אשר עלולה לאפשר גניבת Cross-origin URL entries דרך הפונקציה ()performance.getEntries.
-
חולשה ברמת חומרה גבוהה (CVE-2022-42928), שמקורה בהגדרה לא נכונה של סוגים מסוימים של הקצאות מקום בזיכרון. הדבר עלול להוביל להשחתת זיכרון ולקריסת המערכת.
-
חולשה ברמת חומרה בינונית (CVE-2022-42929), שמקורה בכך שאתר עשוי להשתמש בפונקציה ()window.print באופן שעלול לגרום למניעת שירות (DoS) של הדפדפן. הדבר עלול להתמיד גם לאחר הפעלה מחדש, באופן התלוי בהגדרות השחזור של המשתמש.
-
חולשה ברמת חומרה בינונית (CVE-2022-42932) המשפיעה על Firefox ESR ועל Firefox, ומקורה בבאגים העלולים להוביל להשחתת זיכרון ולהרצת קוד במערכת על ידי תוקף.
צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו לגרסתו האחרונה (Firefox ESR - גרסה 102.4 ומעלה; Firefox - גרסה 106 ומעלה).
התקפות ואיומים
שיטה חדשה שפותחה תאפשר לתוקפים לקחת בעלות על פס ייצור שלם
צוות המחקר T82 מחברת Claroty פיתח שיטה לחילוץ המפתחות הקריפטוגרפיים הפרטיים של בקרי תעשייה מתוצרת Siemens מסוג SIMATIC S7-1200/1500, המשתמשים במנגנוני הגנה שאינם עדכניים. שיטה זו ניתנת ליישום גם באמצעות פורטל האוטומציה הזמין לבקרים, תוך כדי עקיפת כל אחת מארבע הגדרות האבטחה המוטמעות בו. במחקר התגלה שמכיוון שכל הבקרים משתמשים במפתח זהה, הדבר עלול לאפשר לתוקף לקבל שליטה מלאה על פס ייצור. השיטה (CVE-2022-38465, CVSS 9.3) מתבססת על ניצול חולשה קריטית (CVE-2020-15782) שמאפשרת הרצת קוד מרחוק (RCE) וקריאה וכתיבה לזיכרון הבקר. כאשר מבצעים באופן יזום קריאה לפונקציית המערכת לקרוא את המפתח הקריפטוגרפי הפרטי, מעתיקים אותו למקום ידוע בזכרון ובכך משיגים את ערכיו, בהם משתמשים, כאמור, כל הבקרים בפס הייצור. השגת הערכים מאפשרת לפענח את תעבורת הרשת בין הבקרים ולפצח את סיסמאותיהם.
בתגובה לתגלית פרסמה חברת Siemens ידיעון אבטחה הכולל עדכוני אבטחה עבור כל הבקרים (PLC) והפורטלים (TIA) הרלוונטיים. לדברי החברה, ״המוצרים מגנים על המפתח הפרטי הגלובלי המובנה באופן שכבר אינו יכול להיחשב למספק. המפתח משמש להגנה על נתוני תצורה סודיים ותקשורת PG/PC ו-HMI מדור קודם״. תיקוני האבטחה הנדרשים בוצעו על ידי החברה באמצעות יישום תשתית דינמית של מפתח ציבורי (PKI).
צוות קונפידס ממליץ למשתמשי הבקרים והפורטלים לעדכנם באופן מיידי לגרסאותיהם האחרונות.
גרסה חדשה של נוזקת Ducktail תוקפת חשבונות פייסבוק חוקרים מחברת אבטחת הענן Zscaler פרסמו דוח אודות קמפיין בו נעשה שימוש בנוזקת Ducktail, הפעם בגרסת PHP. הנוזקה, המופעלת על ידי קבוצת תקיפה ויאטנמית, מתחזה לגרסאות חינמיות או פרוצות של משחקים, אפליקציות, תוכנות Microsoft Office, טלגרם ועוד, והיא תוקפת עובדי חברות בתפקידים בכירים, המחזיקים בגישה לחשבונות הפייסבוק של ארגוניהם. Ducktail שואבת מידע פיננסי מהמערכת הנתקפת ושולחת נתונים לשרת הפיקוד והבקרה של התוקפים (C2), כשהיא מתמקדת בתשלומים שבוצעו, באמצעי ושיטות תשלום ועוד. כבר ביולי השנה פרסמה חברת WithSecure Labs דוח אודות הנוזקה, אך השוני העיקרי בין הגרסה הקודמת לזו הנוכחית מתבטא בשימוש בקוד הכתוב בשפת PHP, לעומת השימוש ב-Net Binary. בגרסה הקודמת. לדברי Zscaler, נראה שההאקרים העומדים מאחורי הקמפיין מבצעים שינויים ומשפרים את הדרך בה הם גונבים מגוון רחב של מידע רגיש.
צוות קונפידס ממליץ להזין במערכות הניטור של ארגונים את מזהי התקיפה (IOCs) שפורסמו.
האקרים משתמשים בסקריפט PowerShell שאינו ניתן לזיהוי ליצירת דלת אחורית; יותר מ-60 קורבנות עד כה
על פי מחקר של SafeBreach Labs, בהתבסס על תכונות הדלת האחורית, שטרם תועדה בעבר, נראה שהנוזקה מיועדת לריגול סייבר ועוסקת בעיקר בחילוץ נתונים ממערכות שנפרצו. עם זיהויה הראשוני, אותה דלת אחורית של PowerShell לא נתפסה כזדונית על ידי אף ספק בשירות הסריקה של VirusTotal, אך כיסויה נחשף בעקבות טעויות תפעוליות של ההאקרים שהשתמשו בה, דבר אשר אפשר לאנליסטים של SafeBreach לגשת אל פקודות שנשלחו על ידי התוקפים למכשירים נגועים, ולפענחן.
ראשית המתקפה במייל פישינג בעל צרופה זדונית בשם "Apply Form.docm", שלפי תוכנה נראה כי היא עוסקת בבקשת עבודה ב-LinkedIn. המסמך מכיל פקודות מאקרו שמניחות קובץ זדוני בעמדה הנגועה ומריצות את הסקריפט "updater.vbs", אשר יוצר משימה מתוזמנת שמתחזה לעדכון שגרתי של Windows. לאחר מכן, סקריפט ה-VBS מריץ את הסקריפטים "Script.ps1" ו-"Temp.ps1", הכתובים ב-PowerShell ומאוחסנים באופן חבוי במסמך הזדוני, באמצעות שיטת ערפול.
הסקריפט "Script.ps1" מתחבר לשרתי הפיקוד והבקרה של התוקף (C2), שולח להאקרים מזהה קורבן וממתין לפקודה המתקבלת בצורה מוצפנת בשיטת AES-256 CBC. הסקריפט "Temp.ps1" מפענח את הפקודה, מבצע אותה, ולאחר מכן מצפין ומעלה את התוצאה באמצעות בקשת POST לשרת ה-C2. האנליסטים של SafeBreach גילו ששני שלישים מהפקודות שנשלחו היו לחילוץ נתונים, ואילו האחרות משמשות לאיסוף מידע על משתמשים, רשימות קבצים, הסרת קבצים וחשבונות ומשתמשי RDP במערכת.
דלת PowerShell אחורית זו מהווה דוגמה אופיינית לאיומים חמקניים שאינם ידועים, המשמשים במתקפות על מערכות של ממשלות, ארגונים ומשתמשים פרטיים, ועל כל העוסקים במלאכת הגנת הסייבר לתת את הדעת גם על וקטורי תקיפה שאינם ידועים ועשויים לעקוף אמצעי אבטחה וסריקות AV. בעוד שחלק ממנועי ה-AV יכולים לזהות התנהגות זדונית בסקריפטים של PowerShell, האקרים מפתחים את הקוד שלהם ללא הרף, על מנת לחמוק מזיהוי. אי לכך, הדרך הטובה ביותר להתמגן מפני מתקפות אלה היא באמצעות החלת עדכוני אבטחה במהירות האפשרית, הגבלת גישה מרחוק לנקודות קצה, תוך הקפדה על עיקרון ה״מינימום הרשאות״, וניטור תעבורת רשת באופן קבוע.
צוות קונפידס ממליץ לארגונים להטמיע במערכות ההגנה שלהם את מזהי התקיפה (IOCs) המצויים כאן.
השבוע בכופרה
Deadbolt מציעה לקורבנותיה שירות תשלום אוטומטי לרכישת מפתחות הצפנה, הנשלחים אליהם מיד לאחר העברת הסכום הנדרש. כעת, בשיתוף פעולה עם חברת הסייבר המקומית Responders.NU, משטרת הולנד זיהתה כי המערכת שולחת את מפתחות ההצפנה ללא המתנה לאישור רשת הבלוקצ׳יין לעסקה. באמצעות ניצול מאסיבי של חולשה זו ביצעה המשטרה בקשת תשלום לקבוצה ואז ביטלה את העסקה. בכך הצליחה לקבל מהמערכת בחינם מפתחות הצפנה שסייעו לכ-170 ארגונים בהם פגעה הקבוצה. המפתחות זמינים באתרה של Responders.NU.
חברת Trend Micro חושפת את שיטות ההדבקה של קבוצת הכופרה Black Basta
חוקרי החברה הצליחו לקשר אל Black Basta למספר תקיפות בהן נעשה שימוש ב-QakBot, ב-Brute Ratel וב-Cobalt Strike. ב-8 בספטמבר זיהו החוקרים מספר מנגנוני הפצה של הנוזקה QakBot, שהובילה להפצת Brute Ratel כשלב שני בהדבקה ושימשה לתנועה רוחבית. הכלי Brute Ratel זהה במהותו ל-Cobalt Strike, המאפשר הדבקת מחשבים ויצירת חיווי מול שרתי C2 שבשליטת התוקפים. מחקר זה הוא הראשון בו מזוהה הפצה של Brute Ratel באמצעות הדבקה ראשונית ב-QakBot. בהמשך המתקפה הורצו מטעני נוזקה של Cobalt Strike, גם כן לצורך תנועה רוחבית. לאחרונה ישנה עלייה בשימוש הזדוני בכלים מסחריים שנועדו לדמות קבוצות תקיפה במבדקי חוסן של ארגונים. כלים אלה, בהם Cobalt Strike ו-Brute Ratel, מכילים טכניקות וטקטיקות רבות המשמשות תוקפים לפריצה לארגונים ולמינוף את יכולותיהם. בתוך כך, ישנם דיווחים על גרסאות פרוצות של Brute Ratel, שנמכרות בפורומים של האקרים.
צוות קונפידס ממליץ לארגונים להזין במערכות ההגנה שלהם את מזהי התקיפה (IOCs) המופיעים במחקר המלא.
המלחמה במזרח אירופה
נוזקה חדשה פוגעת בארגוני לוגיסטיקה ותחבורה באוקראינה ובפולין
צוות מרכז מודיעין האיומים של מיקרוסופט (MSTIC) חשף ב-11 באוקטובר קמפיין חדש המתמקד בארגונים במגזרים האמורים באמצעות הכופרה Prestige - נוזקה חדשה לחלוטין שצוות החוקרים לא הצליח לקשר את פעילותה לאף קבוצה אחריה הוא עוקב. רשימת החברות שנפלו קורבן לקמפיין תואמת את האינטרסים של קבוצות הפועלות בחסות רוסיה, חלקן אף נפגעו בעבר מנוזקת FoxBlade, שהופצה במהלך סבב הלחימה בין רוסיה ואוקראינה לשם פגיעה במטרות בממשל האוקראיני. במסגרת התקיפות נעשה שימוש בכלים RemoteExec ו-Impacket WMIexec להרצת פקודות על העמדה, ובכלים winPEAS ,comsvcs.dll ו-ntdsutil.exe להשגת הרשאות גבוהות ופרטי חשבונות של משתמשים. לאחר קבלת גישה לחשבונות רגישים באמצעות כלים אלה או תקיפה אחרת שבוצעה קודם לכן, הכופרה מותקנת ומורצת (בהינתן הרשאות גבוהות בעמדה) על ידי יצירת משימה מתוזמנת של Windows, פקודת PowerShell או הפצה באמצעות ה-Domain Controller בעזרת פוליסה החלה על הקבוצות בארגון. לקבצים שהוצפנו מתווספת הסיומת "enc.״, ועל מנת להקשות על שחזורם ועל שחזור המערכת מורצת פקודה המוחקת מהמערכת את קטלוג הגיבוי ואת כל ה-Shadow copies. על מנת להתמגן מפני פעילות הכופרה יש להטמיע את מזהי התקיפה (IOCs) וליישם את המלצות החוקרים, כמופיע כאן.
סייבר בעולם
ג׳יי פרסי, אשר אושפז בבית החולים MercyOne שבמדינת איווה, קיבל את המנה המופרזת של משככי כאבים בזמן שהחלים מניתוח. מבית החולים נמסר למשפחה שהטעות התרחשה משום שמערכות המחשוב של המוסד הושבתו, והצוות נאלץ לעבור לעבודה ידנית, ללא גישה לרישומים ולתיקים הרפואיים של מטופליו. לדברי אם הילד, ״בית החולים מעולם לא הסביר לנו כיצד מערכת מחשוב שהושבתה מובילה לתוצאה כזו״. לדבריה, בני המשפחה חוששים לחזור לבית החולים בעקבות ה״חוויה המחרידה״. האירוע התרחש על רקע מתקפת הסייבר על מערכות CommonSpirit Health, שהחלה לפני מספר שבועות. החברה הנתקפת מפעילה יותר מ-140 מתקנים רפואיים ו-1,000 מרכזי טיפול ב-21 מדינות, אחד מאלה הוא בית החולים MercyOne, בו התרחש האירוע. CommonSpirit אישרה כי מדובר במתקפת כופרה, אך טרם הסבירה כיצד המתקפה משפיעה על פרטיהם האישיים של המטופלים ומדוע מערכות בתי החולים עדיין מושבתות.
מיקרוסופט משתמשת במנגנוני הצפנה פגיעים ב-Office 365
חוקרי חברת WithSecure הפינית זיהו כי מנגנון ההצפנה של מיקרוסופט, המכונה Microsoft Office 365 Message Encryption, או OME, משתמש בשיטה הפגיעה Electronic Codebook להצפנת מידע. ECB היא שיטת הצפנה חלשה, המאפשרת פענוח מידע מוצפן בקלות יחסית, בהינתן קיומו של מאגר מידע נוסף, כל זאת היות ש-ECB מצפינה מידע בבלוקים, וכל בלוק מידע עובר את אותה ההצפנה בדיוק. כתוצאה מהליך זה, בלוקים זהים ייראו זהים גם כאשר הם מוצפנים, דבר המאפשר זיהוי חלקי או מלא של המידע המקורי ושל מפתח ההצפנה. מכיוון ששיטה זו משמשת להצפנת מיילים ב-Office 365, תוקפים בעלי מאגרים גדולים של מיילים מוצפנים עלולים לנצל את החולשה לפיענוחם. לדברי WithSecure, מיקרוסופט אינה מתייחסת לבעיית האבטחה האמורה כחמורה, ולא פרסמה בהקשר זה כל CVE. מכיוון שלמשתמשי Office 365 אין אפשרות להשתמש בשיטת הצפנה חזקה יותר, החוקרים ממליצים להימנע מהסתמכות על OME.
ניצול מתמשך של חולשת Zero-day על שרתי Zimbra
ב-10 באוקטובר פורסמה בפורום הרשמי של חברת Zimbra פנייה אודות תוקפים שהצליחו להעלות קבצים לשרת Zimbra המעודכן לגרסה האחרונה. הפרטים שסופקו בפנייה אישרו בפני Zimbra כי ניצולה של חולשה (CVE-2022-41352, CVSS 9.8) מסוג Zero-day אפשרה לתוקפים לבצע את פעולותיהם. בחקירה שביצעה חברת Kaspersky אומת שקבוצות תקיפה שאינן ידועות מנצלות את החולשה בכל שרתי ה-Zimbra הפגיעים במרכז אסיה. עוד ידוע שלפלטפורמת Metasploit נוספה חבילה המאפשרת את ניצול החולשה על ידי האקרים חסרי ניסיון. החולשה משפיעה על רכיב במערכת המכונה Amavis, שמכיל את הכלי cpio לחילוץ קבצים מסוג ארכיון, ועל מנת לנצלה יש לנצל חולשה אחרת (CVE-2015-1197), אשר עבורה יש בנמצא תיקון. ואולם, באופן שאינו מוסבר, מפתחיהן של מגוון מערכות הפעלה הסירו את התיקון האמור והכניסו בחזרה גרסה פגיעה למאגר העדכונים. בעת ניצול מוצלח של חולשה זאת, תיתכן מתקפת מעבר בין ספריות, המאפשרת גישה לכל תיקיות המערכת.
כאשר הכלי cpio פגיע, ניתן לנצל בו את חולשת ה-Zero-day, אשר בעת העלאת קובץ מוכן מראש למערכת מאפשרת גישה לא מורשית לחשבונות המשתמשים בה, באופן הבא: מייל בעל צרופה עם הסיומת ״tar.״ (תיקיית ארכיון) נשלח לשרת; עם הגעתו, Amavis בודק את הקובץ כדי לוודא שאינו זדוני; לשם חילוץ התיקייה, נעשה שימוש ב-cpio; אם ה-cpio פגיע לחולשת מעבר בין ספריות ותוכן החבילה מכיל Web shell זדוני המחולץ לאחת מן התיקיות הפומביות הפתוחות לעולם לגישה - אזי אם התוקף רוצה להפעיל את הקובץ, הוא גולש לתיקיה אליה הוא חולץ, מפעיל אותו ומקבל גישה ויכולת להריץ פקודות על השרת.
חברת Zimbra פרסמה עדכון אבטחה לשרתיה, אותו יש להתקין בהקדם. במידה ולא מתאפשר לעשות זאת, יש להתקין חבילת pax, למרות שאופציה זו אינה פותרת את הבעיה מהשורש, וייתכנו התנהגויות לא רצויות של cpio. כמו כן, לאחר החלת התיקון, יש לחפש אחר עדויות לניצולה המוצלח של החולשה על השרת, באמצעות בדיקת נתיבים מסוימים במערכת, כמפורט כאן. במידה ונמצאות כאלה, יש ליצור קשר עם מומחים לשם ״חיטוי״ השרת, מכיוון שמחיקת הקובץ אינה מספיקה: לתוקפים עדיין תהיה גישה לקובצי סיסמאות וייתכן וביססו את שליטתם בשרת בדרכים נוספות, מתוחכמות יותר.
צוות קונפידס ממליץ למשתמשים בשרתי Zimbra לעדכנם באופן מיידי, ובמידה והדבר אינו מתאפשר - לבצע את המעקף לפי הוראות היצרן. לאחר מכן, יש לחפש עקבות לניצול החולשה באמצעות מזהי התקיפה (IOCs) שסופקו על ידי Kaspersky.
אירופה: נעצרו חברי כנופייה שגנבו רכבים באמצעות שכפול מפתחות אלחוטיים
בפעולה משותפת של רשויות אכיפת חוק צרפתיות, ספרדיות ולטביות נעצרו חברי הכנופייה, שהתמקדה בגניבת רכבים המונעים באמצעות מפתח אלחוטי (ללא צורך בהכנסת מפתח פיזי לפתח ההנעה). בפעולה, שהתרחשה ב-10 באוקטובר, נעצרו 31 חשודים ב-22 מיקומים בשלוש מדינות, בהם מפתחי תוכנה, מוכרי רכבים והגנבים עצמם, והוחרמו נכסים בשווי של יותר ממיליון אירו. על פי הדיווח, הגנבים התמקדו ברכבים של שתי יצרניות צרפתיות, ששמן לא נחשף. עוד דווח כי במהלך הגניבות הוחלפה התוכנה בתוכנה מזויפת, דבר שאיפשר לגנבים לפתוח ולהניע את הרכב ללא צורך במפתח.
Verizon מודיעה כי פרטים אישיים של לקוחותיה נגנבו, לרבות 4 הספרות האחרונות של אמצעי התשלום
השבוע פרסמה חברת התקשורת כי חשיפת הפרטים לגורם צד שלישי, שהתרחשה בין ה-6 ל-10 באוקטובר, כללה את 4 הספרות האחרונות (בלבד) של אמצעי התשלום, וכן שמות מלאים, מספרי טלפון, כתובות מגורים, פרטי חבילות השירות שנרכשו ועוד. הדבר אפשר לתוקפים לגשת לחשבונות ה-Verizon של הקורבנות ולבצע מתקפת SIM swap, להחליף את ה-PIN code המוגדר בהם ולבצע פעולות נוספות. לדברי החברה, היא ביטלה את כל פעולות שינוי ה-SIM, ולכן לא נדרשת פעולה בנושא מצד הלקוחות. עם זאת, היא ממליצה ללקוחותיה לשנות את ה-PIN code שבשימוש המכשירים ולהפעיל את שירות ה-Number Lock Protection באפליקציה, על מנת להתגונן מפני מתקפות SIM swap עתידיות. זאת ועוד, החברה מפצירה בלקוחותיה לפנות אליה במידה ועולה חשש שנתקפו או שנגרם להם נזק כלשהו כתוצאה מהתקיפה.
צוות קונפידס ממליץ שלא להשתמש ב-SMS כאמצעי זיהוי נוסף, מאחר ומתקפות SIM swap הינן שגורות ותלויות בגורם אנושי ולא טכנולוגי.
בהמשך לדיווח על תקיפתה של ספקית התוכנה, המספקת שירותים ל-NHS (ראו ״הסייבר״, 11.8.22 ו״הסייבר״, 18.8.22), החברה אישרה לראשונה כי ב-4 באוגוסט אירעה תקיפת כופרה שהשביתה מספר שירותים המסופקים לארגון הבריאות הבריטי, בהם גישה לרשומות רפואיות ומערכת ניהול מטופלים. בעדכון שפרסמה החברה ב-12 באוקטובר נאמר שהכופרה בה נעשה שימוש היא LockBit 3.0, הפועלת בשיטת ה״כופרה כשירות״ (RaaS, או Ransomware-as-a-Service). עוד עלה מהדוח שפרסמה Advanced כי הגישה הזדונית הראשונית למערכותיה התבצעה ב-2 באוגוסט, תוך שימוש באישורים ״לגיטימיים״ של צד שלישי, ליצירת גישה מרוחקת לשרת Staffplan Citrix של החברה. משם הרחיבו התוקפים את הרשאות הגישה שלהם ופרסו את תוכנות ההצפנה. מהחברה נמסר כי נתונים הנוגעים ל-16 לקוחות הועתקו והוצאו ממערכותיה, אך אין ראיות המצביעות על כך שהם קיימים מחוץ לשליטת החברה, והסבירות לנזק נמוכה. סמנכ״ל התפעול של Advanced סירב לומר אם התקיפה השפיעה על נתוני מטופלים ואם יש לחברה יכולת טכנית לזהות אם התרחשה דליפת נתונים, אך הוא מסר כי תהליך ההתאוששות מהאירוע צפוי להיות איטי וכי החברה מפעילה את כל המשאבים הדרושים להשבת כלל שירותיה לפעילות תקינה בהקדם האפשרי.
מיקרוסופט מודיעה כי תנהל שירות הגנה חדש מפני מתקפות DDoS לעסקים קטנים ובינוניים
התוכנית החדשה להגנה מפני מתקפות מניעת שירות (DDoS) תפעל על פי מודל של תשלום עבור כל כתובת IP מוגנת, ותספק את אותן היכולות של שירות ה-DDoS Network Protection המיועד לעסקים וארגונים גדולים. תוכנית ההגנה החדשה של מיקרוסופט תכלול תכונות כמו גילוי מתקפה וביצוע מיטיגציה אוטומטית, התרעות, אספקת לוגים של פעולות מיטיגציה שבוצעו ומדיניות אבטחה מותאמת ללקוח. עוד מגיעה התוכנית באופן מובנה ב-Azure Firewall Manager ,Microsoft Sentinel ו-Microsoft Defender for Cloud Integration. בשונה מתוכנית ההגנה לעסקים גדולים, התוכנית המיועדת לעסקים קטנים ובינוניים לא תכלול הנחה על שירותי WAF או תמיכה במענה מהיר למתקפות DDoS. התוכנית זמינה לניסיון באזורים נבחרים, כאשר החיוב עבורה יחל ב-1 בפברואר 2023.
סייבר בישראל
ב-20 באוקטובר הותר לפרסום כי השב״כ עצר את 3 האזרחים, החשודים בביצוע עבירות ביטחוניות חמורות ובמסירת מידע רגיש בהיקף נרחב לארגון החמאס. על פי כתב האישום, בשנת 2004 אחד החשודים, ר.ע., שעבד כמהנדס תוכנה בחברת ״סלקום״, נפגש עם גורמי חמאס בטורקיה בעת שהותו במקום, ולבקשתם העביר לידיהם מידע רגיש אודות תשתיות תקשורת בישראל. ר.ע. שיתף בדבר הפגישה עובד אחר, ש.ע., ששימש יועץ חיצוני ל״סלקום״ בנושאי רשתות תקשורת ומחשוב. על פי כתב האישום, ר.ע. ביקש מש.ע. סיוע בזיהוי נקודות תורפה ברשת חברת הסלולר, על מנת שיתאפשר לארגון החמאס לשבש את פעילותה בעת מלחמה או מבצע צבאי. לבקשתו, ש.ע. העביר לידיו נתונים אודות מערכות אבטחת המידע של ״סלקום״ ועל דרכים לעקיפתן, בידיעה מלאה שמידע זה יועבר לחמאס לצורך ביצוע הפעולות הזדוניות. העצור השלישי הינו ז.ע., אחיו של ר.ע., שנחשד כי עמד בקשר עם איש חמאס ושימש שלוש פעמים לפחות כגורם מתווך להעברת מידע ומסרים בין הצדדים.
סייבר ופרטיות - רגולציה ותקינה
נויברגר: הבית הלבן ירחיב את דרישות אבטחת הסייבר לגופים קריטיים נוספים
לדברי אן נויברגר, סגנית היועץ לביטחון לאומי לענייני סייבר וטכנולוגיות מתפתחות בממשל ביידן, בכוונת הבית הלבן להגביר את דרישות אבטחת הסייבר מגופים הקריטיים לתפקודה היומיומי של ארצות הברית, דרישות שאף צפויות להתרחב בהמשך למגזרים נוספים. נויברגר פירטה את הענפים בהם בכוונת הממשל להרחיב את אמצעי אבטחת המידע והגנת הסייבר, וציינה כי משרד הבריאות האמריקאי מתחיל לעבוד בשותפות עם בתי החולים במדינה על מנת להציב הנחיות הגנת סייבר מינימליות. בהמשך, הוסיפה, יורחב הדבר למכשור רפואי ולשירותי בריאות נוספים. עוד בכוונתו של ממשל ביידן לעסוק באבטחת תשתיותיהם של גופי מים, קבוצות סחר המייצגות יצרניות של מכשור רפואי, מנהל המזון והתרופות האמריקאי (FDA) ועוד. נויברגר הסבירה כי שינויים אלה מגיעים על רקע מתקפות שבוצעו על תשתיות אמריקאיות בשנים האחרונות ואילצו את הממשל לבחון את הסטטוס קוו, בהן מתקפת הכופר על Colonial Pipeline בשנה שעברה (ראו ״הסייבר״, 13.5.21 ו״הסייבר״, 20.5.21) והניסיון לזהם מתקן מים בפלורידה, שבוצע גם הוא אשתקד (ראו ״הסייבר״, 11.2.21). עוד ציינה נויברגר כי "בעשור האחרון דנו רבות בהגברת שיתוף המידע בהקשר של אבטחת סייבר, אך לא דנו במציאות שבה אם אדם מתגורר בשכונה שאינה מאובטחת, כפי שמרחב סייבר ביסודו, ומשאיר את הדלת והחלון פתוחים לרווחה - הוא לא יהיה בטוח כמו שעליו להיות״.
Google תשלם למדינת אריזונה 85 מיליון דולר במסגרת הסכם פשרה בתביעה בגין מעקב אחר מיקום גיאוגרפי של משתמשים בשירותיה
החברה הסכימה לתשלום לשם יישוב תביעת צרכנים בנוגע להפרת פרטיות, בטענה ש-Google אספה בחשאי נתוני מיקום גיאוגרפי של משתמשי Android, גם לאחר שהמשתמשים השביתו, לכאורה, את האפשרות לעקוב אחר מיקומם. התביעה הגיעה בעקבות כתבה שפורסמה בנושא ב-2018 באתר Associated Press, לפיה Google הסתמכה על הגדרות אחרות במכשיר, כמו פעילות באינטרנט ובאפליקציות, על מנת לגשת לנתוני המיקום שלו, והשתמשה במידע זה למטרות פרסומיות. התובע הכללי של אריזונה ציין כי מדובר בהסדר שהינו ״היסטורי״, משום שהוא מהווה את הקנס הגדול ביותר לנפש ש-Google שילמה עד כה בתביעה בנושא פרטיות מידע של משתמשיה והונאת צרכנים. עוד הוסיף התובע כי ״הסדר זה מוכיח שאין שום חברה טכנולוגית, גדולה ככל שתהיה, שתעמוד מעל לחוק״. מ-Google נמסר כי המקרה מבוסס על מדיניות מוצר מיושנת ששונתה לפני שנים, וכי כיום היא מספקת אפשרות פשוטה למחוק את נתוני המיקום. עוד הוסיפה החברה כי היא פועלת ללא הרף למזעור איסוף הנתונים על ידיה.
ההסכם החדש בין ארה"ב לאיחוד האירופי בעניין העברת מידע אישי: לקראת ״פס"ד שרמס 3״?
צו נשיאותי שפרסם הבית הלבן ב-9 באוקטובר מטיל מגבלות על גורמי ממשל ביטחוניים בארצות הברית בכל הנוגע לאיסוף מידע אישי, במטרה לקדם את ההסדר המתגבש בין ארצות הברית לאיחוד האירופי, שנועד לאפשר ביניהם העברת מידע (ראו ״הסייבר״, 29.9.22). צעד זה מעניק לתושבים באיחוד, בארצות הברית ובמדינות אחרות את האפשרות להתנגד לאיסוף מידע אישי אודותם מצד גורמים אלה, כל זאת באמצעות מנגנוני ביקורת והגשת תלונות פורמליות, ובמקרים בהם האיסוף חורג ממטרות הנוגעות לביטחונה הלאומי של ארצות הברית. המהלך בו נאלץ הבית הלבן לנקוט נובע מההבדלים המהותיים בין הרגולציה המגנה על פרטיות המידע האישי של תושבי האיחוד האירופי תחת ה-(General Data Protection Regulation (GDPR והסדרה נוספת, לבין הרגולציה בארצות הברית, שעדיין מבוססת על חקיקה, או היעדר חקיקה, ב-50 המדינות, ללא הסדרה ברמה הפדרלית בנושא פרטיותו של מידע אישי, למרות ניסיונות רבים לקדם חקיקה כזו. הצעד האמריקאי הנוכחי מעורר את השאלה אם תוגש נגד ההסדר המתגבש עתירה מצד עו"ד מקס שרמס, שבעבר הגיש בבית הדין האירופי לזכויות אדם שתי עתירות מוצלחות, ב-2015 וב-2020, נגד העברת מידע אישי של תושבי אירופה לחברות בארצות הברית. באתר ארגון ה-(NOYB (None of Your Business שהקים עו"ד שרמס לטיפול בסוגיות הנוגעות להגנת הפרטיות של מידע אישי, הוא מסביר כעת כי "ננתח את החבילה הזו בפירוט, במשך כמה ימים. ממבט ראשון, נראה שבעיות הליבה לא נפתרו, ובמוקדם או במאוחר היא תחזור לבית הדין לצדק של האיחוד האירופי״.
ה-NIST מפרסם את הדוח השנתי של תוכנית הגנת הסייבר והפרטיות עבור 2021
המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית, הפעיל מאוד בכל הנוגע לקביעת תקנים, מדיניות, והמלצות ל-Best Practices, בין היתר בתחומי הגנת הסייבר והפרטיות, פרסם בסוף חודש ספטמבר את ה-Fiscal Year 2021 Cybersecurity and Privacy Annual Report, המתייחס להתפתחויות בשמונה סוגיות המצויות בטיפול ה-NIST: תקנים בתחום ההצפנה, כלים למדידת רמת הגנת הסייבר בארגון, פיתוח והכשרה של כוח אדם בתחום הסייבר, ניהול זהויות דיגיטליות, "הנדסת" פרטיות, ניהול סיכונים, בניית רשתות דיגיטליות אמינות ובניית פלטפורמות דיגיטליות אמינות. בשנה הנוכחית, ה-NIST מקדם עדכון ל"מסגרת הגנת הסייבר" (Cybersecurity Framework), המיושמת על ידי אלפי חברות בעולם ומשמשת גם כבסיס לתורת הגנת הסייבר של מערך הסייבר הישראלי.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי, תמר מרדיקס וגיא פינקלשטיין.