דו״ח סייבר שבועי
עדכון שבועי 22.12.2022
עיקרי הדברים
-
ישראל: תקדימי: בית משפט השלום בתל אביב אישר החרמת כספים מארנקים דיגיטליים ששימשו בעבר קבוצות טרור בעבר; קמפיין פישינג של קבוצת תקיפה איראנית מכוון נגד ארגונים רפואיים, סוכנויות נסיעות ותיווך ואנשי צבא ישראלים לשעבר; אסדרה מעודכנת של משאב התדרים הישראלי המאפשר פעילות במרחב הסייבר: הרחבת סמכויותיה של ועדת התדרים.
-
חוצים את כל הקווים: האקרים ממשיכים בביצוע מתקפות כופרה, ותוקפים בית חולים לילדים בטורונטו, את ספקית הבריאות הקולומביאנית Keralty, המפעילה רשת בינלאומית של 9 בתי חולים ו-173 מרכזים רפואיים באמריקה הלטינית, בספרד, בארצות הברית ובאסיה, ואת מערכת העיתון The Guardian.
-
המלחמה בין רוסיה לאוקראינה: קמפיין חדש לפריסת נוזקות במערכות מבוססות Windows נגד ממשלת אוקראינה; קבוצת האקרים רוסית זוהתה פועלת נגד חברות נפט אוקראיניות במהלך המלחמה.
-
בית הדין הפלילי הבינלאומי מוסמך לשפוט היבטים סייבריים של פשעים נגד האנושות, פשעי מלחמה והשמדת עם. ארה״ב: מערך המודיעין האמריקאי נערכת ליישום ההסדר החדש עם האיחוד האירופי בנוגע לפרטיות מידע אישי.
-
*אנו ממליצים לעדכן את המוצרים הבאים: Samba (אין ציון חומרה); curl (אין ציון חומרה).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-Samba נותן מענה ל-4 חולשות חדשות
ידיעון אבטחה מתריע מפני ניצול של חולשה קריטית מן העבר במערכות ההפעלה של Cisco
עדכון אבטחה ל-curl נותן מענה לחולשה חדשה המאפשרת עקיפה של HSTS Headers ב-HTT
התקפות ואיומים
הבוטנט הזדוני Glupteba חוזר לפעולה כשנה לאחר ש-Google פגעה קשות בתשתיותיו
האקרים משתמשים בתשתית של פייסבוק לביצוע מתקפות פישינג
חוקרים גילו חבילת PyPI זדונית המתחזה לכזו של חברת אבטחת המידע SentinelOne
נוזקה חדשה למערכות מבוססות Android מתמקדת באזרחים ברזילאי
השבוע בכופרה
העיתון הבריטי The Guardian הודיע כי חווה מתקפת כופר
המלחמה במזזרח אירופה
קמפיין חדש לפריסת נוזקות במערכות מבוססות Windows מסמן כמטרה את ממשלת אוקראינה
קבוצת האקרים רוסית זוהתה פועלת נגד חברות נפט אוקראיניות במהלך המלחמ
סייבר בעולם
ה-CISA מזהירה מפני תוקפים המתמקדים בספקי משלוחי מזון באמצעות תקיפות Business Email Compromise
נתונים של 9,098,506 כרטיסי אשראי נמצאו חשופים ברשת
ה-FBI השבית 48 דומיינים ששימשו כשירותי DDoS להשכרה
פלטפורמת ה-CRM למסעדות SevenRooms אישרה כי נפרצה
ארה״ב: זכיין של T-Mobile נידון ל-10 שנות מאסר ותשלום פיצויים בסך 28.5 מיליון דולר בגין פתיחת חסימות של טלפונים סלולריים
קבוצת ההאקרים הרוסית Fancy Bear פרצה לספקית תקשורת לוויינית אמריקאית
חברת הימורי הספורט DraftKings הודיעה כי 67 אלף ממשתמשיה נפלו קורבן למתקפה שהתבססה על אתרים שהתחזו לפלטפורמה שבבעלותה
ספקית הבריאות Keralty נמצאת תחת מתקפת כופרה המשבשת את פעילותה
טורונטו: בית החולים לילדים SickKids חווה מתקפת סייבר; עד כה הטיפול בחולים לא נפגע
ה-FBI מזהיר מפני מתקפות פישינג והפצת נוזקות באמצעות מנועי חיפוש
נפרץ קוד המקור של חברת ניהול המשתמשים Okta
תמריץ חדש להאקרים לתקיפת תעשיית הספנות: הפקת רווח ממניות בטרם ביצוע תקיפה שתגרום לעיכובים באספקת סחורו
סייבר בישראל
קמפיין פישינג של קבוצת תקיפה איראנית מכוון נגד ארגונים רפואיים, סוכנויות נסיעות ותיווך ואנשי צבא ישראלים לשעבר
נער בן 17 מצא פרצת אבטחה באתר השייך לצה״ל, שהכיל מידע על פרויקטים בעלי רגישות ביטחונית גבוה
סייבר ופרטיות - רגולציה ותקינה
תקדימי: בית משפט השלום בתל אביב אישר החרמת כספים מארנקים דיגיטליים ששימשו בעבר קבוצות טרור
בית הדין הפלילי הבינלאומי מוסמך לשפוט היבטים סייבריים של פשעים נגד האנושות, פשעי מלחמה והשמדת עם
אסדרה מעודכנת של משאב התדרים הישראלי המאפשר פעילות במרחב הסייבר: הרחבת סמכויותיה של ועדת התדרים
קנס בסך 520 מיליון דולר הוטל על חברת Epic Games בגין הפרת הפרטיות של ילדים ועידוד רכישות ללא הסכמה מספקת של צרכנים
הגברת רמת הגנת הסייבר על שרשרת האספקה של ציוד מחשבים: ה-NIST מפרסם הנחיות חדשו
כנסים
הציטוט השבועי
״בשעה זו במתקני המיון הרפואיים של Sanitas, אנשים על הרצפה וסובלים מכאבים עזים. כשאנחנו ניגשים לשאול, אומרים לנו שאין מערכות. אנו קוראים לבדוק את הנושא, מגיע לנו יחס הוגן.״
משתמשת טוויטר מצייצת ממתקן מיון רפואי של ספקית שירותי הבריאות הקולומביאנית הבינלאומית Keralty, אשר חווה מתקפת כופרה על מערכותיה, 28.11.22.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-Samba נותן מענה ל-4 חולשות חדשות
החולשות רלוונטיות לכל גרסאות המוצר ועלולות לאפשר לתוקף להשיג אחיזה מלאה בתחנה פגיעה. שרתי Samba עשויים לשמש כ-Domain Controller ב-Active Directory. אי לכך, עדכון אבטחה זה מגיע על רקע העדכון האחרון של מיקרוסופט ב-8 בנובמבר, שנתן מענה לחולשה העלולה לאפשר העלאת הרשאות בשרת אימות של Windows באמצעות בקשת Kerberos Ticket עם הצפנה חלשה מסוג RC4, למרות תמיכת ה-Kerberos Distribution Center בהצפנות חזקות יותר (AES-256). לאור זאת, יש להתייחס להצפנה על בסיס RC4 כ״חלשה״ ולא מאובטחת. החולשות שנסגרות בעדכון הן:
CVE-2022-37966, CVSS 8.1 - העלאת הרשאות ב-Windows Kerberos.
CVE-2022-37967, CVSS 7.2 - העלאת הרשאות ב-Windows Kerberos.
CVE-2022-38023, CVSS 8.1 - העלאת הרשאות ב-NetLogon RPC.
CVE-2022-37967, CVSS N/A - העלאת הרשאות ב-Windows Kerberos.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.
ידיעון אבטחה מתריע מפני ניצול של חולשה קריטית מן העבר במערכות ההפעלה של Ciscoמערכות ההפעלה Cisco IOS ו-IOS XE נמצאו בעבר פגיעות לחולשה (CVE-2017-12240, CVSS 9.8) מסוג Buffer overflow, שעלולה לאפשר לתוקף להריץ קוד מרחוק (RCE), להשיג שליטה מלאה על מערכות פגיעות ולבצע מתקפת מניעת שירות (DDoS) על עמדות אלה. למרות שהחולשה תוקנה בספטמבר 2017, מאז מרץ 2022 צוות האבטחה של החברה זיהה ניצולים פעילים שלה ברחבי הרשת, במערכות שאינן מעודכנות. מקור החולשה בפגם במנגנון ה-DHCP, שיכול להיות מנוצל על ידי שליחת חבילת DHCPv4 מוכנה מראש למערכת פגיעה, ובכך לקבל עליה שליטה מלאה. מידע אודות תיקון החולשה מצוי בידיעון האבטחה שפורסם אודותיה, הכולל גם שדה מיוחד להזנת הגרסה הנוכחית הקיימת במערכות הלקוחות, על מנת לבדוק אם היא פגיעה לחולשה. מכיוון שאין בנמצא Workarounds רלוונטיים, רק עדכון גרסה של מערכת ההפעלה סוגר את החולשה במוצרים.
צוות קונפידס ממליץ לצוותי אבטחה בארגונים לבצע את הבדיקות הנדרשות, ובמידת הצורך לעדכן את מערכת ההפעלה לגרסה בה החולשה מטופלת.
עדכון אבטחה ל-curl נותן מענה לחולשה חדשה המאפשרת עקיפה של HSTS Headers ב-HTTP
מנגנון ה-HSTS ניתן לעקיפה אם הדומיין בכתובת ה-URL הנתונה משתמש תחילה בתווי IDN, המוחלפים לתווים מקבילים מסוג ASCII בעת המרת IDN (שם דומיין באותיות שאינן לטיניות). לאחר מכן, כאשר נשלחת בקשה נוספת, המנגנון אינו מזהה את מצב ה-HSTS ומבצע תקשורת ב-Cleartext, היות שהוא מאחסן את מידע ה-IDN המקודד, אך מחפש מידע IDN שאינו מקודד. דוגמה לניצול החולשה היא בקשה בשימוש ב-curl שתראה כך:
בקשה ראשונה: curl --hsts hsts.txt https://curl%E3%80%82se
בקשה שנייה: curl --hsts hsts.txt http://curl%E3%80%82se
החולשה משפיעה על פרוטוקול ה-HTTP ועלולה לאפשר ביצוע מתקפת Man-in-the-middle (או MITM) בכך שה-curl ימשיך לתקשר ב-HTTP.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסה האחרונה (7.87.0) ולהקפיד על שימוש ב-״//:https״ בעת הקלדת URL.
התקפות ואיומים
הבוטנט הזדוני Glupteba חוזר לפעולה כשנה לאחר ש-Google פגעה קשות בתשתיותיו
מחקירה שערכה חברת אבטחת המידע Nozomi בנושא עסקאות בלוקצ'יין, רישומי תעודת TLS ודגימות של הבוטנט Glupteba בהנדסה לאחור, עולה כי מתנהל קמפיין חדש של הבוטנט בקנה מידה גדול, שהחל ביוני 2022 ועודנו נמשך. Glupteba היא תוכנת בוטנט זדונית התומכת בבלוקצ'יין ומדביקה מכשירים מבוססי Windows על מנת לכרות מטבעות קריפטוגרפיים, לגנוב אישורי משתמשים וקובצי עוגיות ולפרוס Proxy (שרת המתווך בין לקוח המבקש משאב לבין השרת המספק אותו) במערכות מבוססות Windows ובמכשירי IoT. לאחר מכן, Glupteba מוכרת את ה-Proxy האמור לתוקפים אחרים, לשם שימוש זדוני נוסף. Glupteba מופצת בעיקר באמצעות Malvertising (פרסומות המפיצות נוזקות ברשת), תוך הסוואת ההתקנה הזדונית כהתקנה של תוכנה חינמית או של סרטים וסרטונים, והיא משתמשת בבלוקצ'יין של ביטקוין על מנת לפעול באין מפריע, כל זאת באמצעות קבלת רשימות מעודכנות של שרתי C2 אליהם עליה לפנות לשם ביצוע פקודות. לקוחות הבוטנט מאחזרים את כתובת שרת ה-C2 באמצעות פונקציית גילוי האוספת מידע על שרתים של ארנקי ביטקוין, מאחזרת את עסקאותיהם ומנתחת אותן כדי למצוא כתובת מוצפנת באלגוריתם AES.
אסטרטגיה זו מופעלת על ידי Glupteba מזה מספר שנים, ומגנה על הבוטנט מפני הסרות של התקנות הנוזקה: מכיוון שלא ניתן למחוק עסקאות בלוקצ'יין, למאמצים להסיר את כתובות שרת ה-C2 יש השפעה מוגבלת בלבד על פעולת פעילותו. בחקירתה, Nozomi זיהתה 15 כתובות ביטקוין בהן נעשה שימוש בארבעה קמפיינים של Glupteba, האחרון החל, כאמור, בחודש יוני, חצי שנה לאחר הפגיעה של Google בתשתיות הבוטנט. בקמפיין הנוכחי להפצת הנוזקה נעשה שימוש ביותר כתובות ביטקוין מבעבר, מה שמעניק לבוטנט חוסן גדול יותר. זאת ועוד, מספר שירותי ה-Tor הנסתרים המשמשים כשרתי C2 גדל פי עשרה מאז הקמפיין של 2021, מה שמעיד על חזרה לפעילות רחבה בהרבה. מלבד היקף הפעילות הגדול ועמידותה המשופרת של Glupteba, נראה שהיא אף מגדירה כעת מספר גבוה של כתובות חלופיות, על מנת להתמודד עם ניסיונות ההסרה של חוקרים ושל רשויות אכיפת החוק.
צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את מזהי התקיפה (IOCs) המופיעים במחקר המלא שפורסם
האקרים משתמשים בתשתית של פייסבוק לביצוע מתקפות פישינג
חברת Trustwave SpiderLabs זיהתה מתקפה אותה כינתה Meta-Phish, אשר עלולה להוביל לאובדן של מידע אישי מזהה (PII), אישורי כניסה וקישור לפרופיל הפייסבוק. שרשרת ההדבקה מתחילה במייל פישינג בו מתחזים התוקפים לצוות התמיכה של פייסבוק. תוכן המייל דן בהפרה שביצע, לכאורה, הקורבן, והוא כולל אולטימטום בן 48 שעות, במהלן ניתן לערער על הקביעה. המייל כולל איום לפיו במידה ולא יתקבל ערעור בחלון הזמן המוקצב - החשבון יימחק. ואולם, בשונה ממיילי פישינג רגילים, המציגים קישור שמוביל לאתר זדוני, במקרה זה הקישור מוביל לפוסט אמיתי בפייסבוק שנראה לגיטימי, שכן הפרופיל שפרסם אותו נראה כמו פרופיל ה-Page Support של פייסבוק. אלא שבפועל, הפוסט כולל לינק המוביל לדומיין חיצוני, המתחזה לעמוד של פייסבוק העוסק בהפרת זכויות יוצרים. כאשר המשתמש מזין בו פרטים ומאשר את שליחתם (לרבות כתובת ה-IP שלו ומידע על מיקומו הגיאוגרפי), הנתונים מגיעים לידי התוקפים. Trustwave SpiderLabs זיהתה בחקירתה מספר חשבונות פייסבוק מתחזים נוספים המשתמשים באותה טכניקה של הנדסה חברתית המתמקדת בהתראות על הפרות, לכאורה, שמפנות את הקורבנות לדפי פייסבוק אמיתיים, שבתורם מפנים אותם מחדש לאתרי פישינג זדוניים חיצוניים.
צוות קונפידס ממליץ לגלות ערנות להודעות הכוללות אלמנט של דחיפות ולא לבטוח באמינותו של מייל רק משום שנראה כי הקישור הכלול בו מוביל לעמוד לגיטימי. כמו כן, יש להחיל על חשבונות אימות דו-שלבי (2FA)
חוקרים גילו חבילת PyPI זדונית המתחזה לכזו של חברת אבטחת המידע SentinelOne
רשומת בלוג חדשה מאת קרלו זנקי מחברת ReversingLabs עוסקת בקמפיין המכונה SentinelSneak, המבוסס על חבילת PyPI שמתחזה לחבילת פיתוח מאובטח של SentinelOne. בפועל, מדובר בחבילה זדונית היוצרת דלת אחורית וכוללת יכולות של הדלפת מידע. החבילה, הנראית כחבילה לגיטימית של SentinelOne, מתפקדת במלואה, כאשר הפונקציונליות הזדונית בספרייה אינה מופעלת עם ההתקנה, אלא ממתינה להפעלת התוכנה, במאמץ להימנע מזיהוי של מערכות ניטור והגנה. החבילה שהתגלתה היא רק אחת מני חבילות PyPI מתחזות רבות רבות שמטרתן למנף את המאגר למטרות זדוניות, והיא מדגישה פעם נוספת את האיום הגובר על שרשראות אספקה, במקרה זה על ידי שימוש ב-Typosquatting לדחיפת קוד זדוני לתהליכי פיתוח לגיטימיים על ידי התחזות לחבילות לגיטימיות.
נוזקה חדשה למערכות מבוססות Android מתמקדת באזרחים ברזילאיםהתוקף העומד מאחורי הנוזקה Casbaneiro, המשמשת לגניבת פרטי כניסה לחשבונות בנק וקריפטו בברזיל ובמקסיקו, קושר כעת גם לנוזקה BrasDex, שנצפתה מופעלת נגד משתמשים ברזילאים כחלק מקמפיין חוצה פלטפורמות מתמשך. BrasDex כוללת מערכת לתיעוד הקשות מקלדת (Keylogging), המושכת פרטי כניסה ממספר אפליקציות שמיועדות לקהל ברזילאי, וכן מערכת העברת מידע אוטומטית. BrasDex מתחזה לאפליקציה של חברת השירותים הפיננסיים Banco Santander ומשלבת פעילות ״טרנדית״ חדשה של ניצול API הקיים במערכות Android לצרכי נגישות, לטובת תיעוד הקשות מקלדת של הקורבן, להבדיל מהשיטה הנפוצה של הצבת Overlay מזויף מעל דף הזנת הפרטים האמיתי. עוד מתוכננת הנוזקה לגנוב פרטים כמו יתרת חשבון, על מנת לזייף עסקאות בשלב מאוחר יותרבצורה תכנותית. תכונה נוספת של BrasDex היא התמקדותה בפלטפורמת התשלומים Pix בלבד, שמאפשרת לברזילאים לבצע העברות כספים באמצעות שימוש בכתובת המייל או מספר הטלפון שלהם (בדומה לאפליקציית Bit). אין זו הפעם הראשונה ש-Pix נמצאת על הכוונת של פושעי סייבר, כאשר בספטמבר 2021 חברת Check Point חשפה שתי נוזקות ל-Android שניצלו את האפליקציה. לדברי חברת ThreatFabric, שרת ה-C2 של BrasDex משמש גם לשליטה בנוזקה Casbaneiro, ונראה שקמפיין המשלב בין שתי הנוזקות הוביל עד כה להדבקת אלפי מערכות. במהלך חקירה שערכה, הצליחה ThreatFabric להשיג גישה לממשק ה-C2 המשמש את התוקפים למעקב אחר מכשירים נגועים ולהורדת לוגים מאותם מכשירים, ולאתר בו מעקב שמתבצע אחר קמפיין נוסף, זה של Casbaneiro. שיטת ההדבקה הראשונית בקמפיין המשולב מתבססת על שליחת מייל פישינג המתחזה לכזה שמקורו ב-Correios, שירות דואר ממשלתי בברזיל.
השבוע בכופרה
העיתון הבריטי The Guardian הודיע כי חווה מתקפת כופרה
ב-21 בדצמבר הודיעה מערכת העיתון כי חוותה ״תקרית IT חמורה״, שהיא, ככל הנראה, מתקפת כופרה. על פי הדיווח, התקרית החלה בליל ה-20 בדצמבר והשפיעה על חלק מהתשתית הטכנולוגית של הארגון. המהדורות המקוונות של העיתון אינן מושפעות מהמתקפה, וכתבות ממשיכות להתפרסם באתר העיתון ובאפליקציה. בשעה זו טרם פורסמו פרטים טכניים אודות האירוע, ועובדי העיתון התבקשו לעת עתה לעבוד מהבית.
המלחמה במזרח אירופה
קמפיין חדש לפריסת נוזקות במערכות מבוססות Windows מסמן כמטרה את ממשלת אוקראינה
על בסיס זיהוי מטרות חופפות מן העבר, צוות המחקר של חברת Mandiant סבור כי קבוצת התקיפה UNC4166 עומדת מאחורי מבצע המאופיין בווקטור תקיפה שכולל ניצול של שרשרת אספקה להפצת קובצי התקנה של מערכת ההפעלה Windows 10 בשפה האוקראינית, המכילים נוזקה בעלת תכונות מתקדמות. בין יכולות הנוזקה מצויות חמיקה מזיהוי, איסוף נתונים, פריסת נוזקות נוספות (STOWAWAY ,BEACON ו-SPAREPART) והרצת פקודה באמצעות PowerShell לשם גניבת מידע מהקורבנות. עוד מתאפיינת פעילות הנוזקה בהשחתת קובץ ההתקנה, ובכך שעם התקנת מערכת ההפעלה מנגנוני האימות של מיקרוסופט הבודקים את לגיטימיות המוצר אינם פעילים. הקמפיין מנצל אתרי Torrent להפצת ההתקנות הזדוניות, כאשר הנוזקה מתופעלת באמצעות פקודות משרת C2 של התוקפים, המועברות על ידי תקשורת HTTP לאתר ברשת האפלה דרך משימות מתוזמנות הפועלות כנוזקת דלת אחורית. פעולות אלה נעשות תוך שימוש ב-UUID של העמדה הנגועה לצורך זיהויה והעברת מידע אודות המערכת ואודות שמות התיקיות במחשב ומיקומו הגיאוגרפי. בחלק מהמקרים שתועדו, הנוזקה אף הפעילה את תהליך ה-curl.exe והורידה את הדפדפן Tor אל העמדה הנגועה. בשעה זו, הסיבה לכך אינה ידועה.
צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את מזהי התקיפה (IOCs) המצויים בדוח שפורסם ולגלות ערנות גבוהה לאותנטיות הקבצים בעמדות. יש להוריד קבצים ממקורות ידועים בלבד, ולהוריד מוצרים של חברות רק מאתריהן הרשמיים
קבוצת האקרים רוסית זוהתה פועלת נגד חברות נפט אוקראיניות במהלך המלחמה
קבוצת ההאקרים Trident Ursa, שפעלה במרחב הסייבר במהלך המלחמה המתמשכת במזרח אירופה, החלה את פעילותה נגד אוקראינה בתחילת פברואר, אז זוהו כ-500 דומיינים זדוניים וכ-200 קמפייני פישינג שיוחסו לה. לפי דוח של חוקרי Unit 42, חלק מאותם קמפיינים כוונו נגד חברת נפט אוקראינית גדולה, שבמתקניה שהו חברי נאט״ו, וכללו איומים פרטניים נגד אנשי אבטחת סייבר. עוד זוהה כי הקבוצה השתמשה בטכניקת Fast Flux DNS למעבר מהיר בין שרתים, דבר המקשה על חוקרי סייבר לעקוב אחר תשתיות השרתים שבשימוש התוקפים. בתוך כך, ברשתות החברתיות נצפו פעולות תעמולה שמטרתן להפחיד אנליסטים באמצעות ציוצים כגון ״ברח, אנחנו באים לקראתך״ או ״אנחנו כבר בעיר, היתה לך הזדמנות לברוח״.
צוות קונפידס ממליץ להעלות את המודעות לקמפייני פישינג בקרב עובדי ארגונים, לוודא הפרדת הרשאות בין משתמשי רשתות ארגוניות מאגפים שונים ולחסום בחומת האש גישה לדומיינים זדוניים וכניסה של כתובות IP זדוניות או לא מוכרות.
סייבר בעולם
ה-CISA מזהירה מפני תוקפים המתמקדים בספקי משלוחי מזון באמצעות תקיפות Business Email Compromise
במסמך ייעוץ המיועד למגזר המזון והחקלאות שפרסמו במשותף הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), לשכת החקירות הפדרלית (FBI), המשרד לחקירות פליליות של מנהל המזון והתרופות האמריקאי (OCI FDA) ומחלקת החקלאות של ארצות הברית (USDA) מוצגות דרכי הפעולה של התוקפים נגד המגזר והמלצות להתגוננות מפניהן. לפי ה-FBI, ב-2021 קורבנות של מתקפות Business Email Compromise (או BEC) דיווחו על הפסדים של כמעט 2.4 מיליארד דולר, אך בשונה ממתקפות BEC ״קלאסיות״, בהן תוקפים מנסים לגנוב העברות בנקאיות, במתקפות האמורות נעשה ניסיון לגנוב סחורות פיזיות, באופן הבא: התוקפים שולחים לספקי מזון מייל המתחזה לכזה הנשלח מעובדים של חברות לגיטימיות, תוך שימוש בטכניקות כמו Spoofing או השגת גישה למערכת המייל של חברה אמיתית על מנת לבצע הזמנות של משלוחי מזון בסכומים של מאות אלפי דולרים. החברה שמקבלת את ההזמנה שולחת את הסחורות, אך בפועל לא מועבר לה תשלום עבורן. התוקפים מצדם עשויים לארוז את הסחורות מחדש ולמכור אותן ללא עמידה בתקנות בטיחות המזון ובנהלי תברואה, תוך השמטה, למשל, של מידע חשוב על רכיבים, על אלרגנים ועל תאריכי תפוגה, דבר שעלול לפגוע במוניטין של מותג המזון.
ההמלצות שפורסמו כוללות, בין היתר, אימות פרטי הקשר של שולחים המבצעים פניות מקוונות, עם דגש על קישורים וכתובות המייל של השולחים ושימת לב לסימני פיסוק, לחילופי אותיות ולשינויים בדומיין (למשל ״gov״ במקום ״com״), וכן השוואת אתר החברה לזה המצוי בכתובת שסופקה במקור המקוון והתייחסות חשדנית לבקשות דחופות ולשינויים שנעשים ״ברגע האחרון״ בפרטי קשר, בכתובות ובהוראות העברה. הדוח המלא, עם כלל ההמלצות, מצוי כאן.
צוות קונפידס ממליץ לחברות במגזר המזון ליישם את ההמלצות המופיעות בדוח, וכן לתדרך עובדים בנושא ולרתום אותם לדיווח על פעילויות חשודות.
נתונים של 9,098,506 כרטיסי אשראי נמצאו חשופים ברשת
חוקר אבטחת המידע ג'רמיה פאולר וצוות המחקר של Website Planet גילו מסד נתונים פתוח שאינו מוגן בסיסמה, ואשר הכיל נתונים פיננסיים ומידע אישי מזהה, לרבות מספרי כרטיסי אשראי חלקיים, סוגי הכרטיסים ותאריכי התוקף שלהם, פרטי תרומות (סכום ויעד התרומה), תשלומים חוזרים, תשלומים עבור סחורות ועסקאות והערות. עוד נחשפו נתוני תשלום בצ'קים אלקטרוניים, לרבות מספרי הצ'קים, שמות הבנקים ומידע על תשלומים שנדחו, כולל הסיבות לכך. תיקייה גלויה נוספת הכילה מידע על עסקאות פנימיות, שכלל שמות משתמשים ושמות לקוחות, כתובות פיזיות וכתובות מייל, מספרי טלפון ועוד. צוות המחקר של Website Planet הצליח לשייך את מסד הנתונים ל-Cornerstone Payment Systems שבקליפורניה, ופנה אל הארגון על מנת שיסגור את הגישה אל המסד, כפי שאכן עשה כבר באותו היום. מאחורי פשעי סייבר רבים עומדים מניעים פיננסיים. גישה למידע אישי מזהה ולנתוני כרטיסי אשראי ועסקאות עלולה לאפשר להאקרים להקים פרופילים מזויפים ולפצוח בקמפיין המבוסס על פישינג או הנדסה חברתית.
ה-FBI השבית 48 דומיינים ששימשו כשירותי DDoS להשכרה
לדברי לשכת החקירות הפדרלית (FBI), שירותי מתקפות מניעת השירות (מכונים גם Booters) שהושבתו במסגרת מבצע PowerOFF, ״אפשרו למשתמשים לבצע בתשלום מתקפות DDoS עוצמתיות, שמציפות את המטרות שנבחרו במידע ומונעות מהן גישה לרשת״. במסגרת המבצע אף נעצרו 6 חשודים בהפעלת הדומיינים. חלק מהשירותים שהושבתו כונו על ידי מפעיליהם Stressers, על מנת לשוות להם תדמית של שירות המסייע ללקוחות לבדוק את עמידות אתריהם או השירות שהם מציעים. במקביל, ה-FBI עובד בשיתוף פעולה עם גופי שיטור באירופה, בהם גם משטרת הולנד ומשטרת בריטניה, להפצה ברשת של פרסומות עבור שירותים מסוג זה, על מנת לנטר פעילות עבריינית פוטנציאלית וליידע את הציבור בדבר אי-החוקיות של פעילויות DDoS.
פלטפורמת ה-CRM למסעדות SevenRooms אישרה כי נפרצה
הפלטפורמה, המשמשת מסעדות ובתי מלון, בהם MGM Resorts ,Bloomin' Brands ,Mandarin Oriental ,Wolfgang Puck ועוד, אישרה כי חוותה אירוע פריצה ודלף מידע, לאחר שמידע שנגנב ממנה פורסם למכירה בפורומים שונים. על פי הדיווח, ב-15 בדצמבר תוקף שאינו מוכר פרסם דגימות מהנתונים שבידיו בפורומים של האקרים, וטען כי הצליח לגנוב מידע בנפח 427GB, בין היתר על לקוחות החברה. בדגימה שפורסמה נכללו תיקיות עם שמות של רשתות מסעדות גדולות שהן לקוחות של SevenRooms, ובתוכן מפתחות API, דוחות תשלומים, רשימות הזמנות ועוד. לאחר שמגזין אבטחת המידע BleepingComptuer יצר קשר עם SevenRooms, האחרונה אישרה כי המידע שנמכר אכן שייך לה, והגיע לידי המוכרים באמצעות גישה שאינה מאושרת אל המאגר. לדבריה, מאגר המידע נפרץ על ידי ממשק העברת קבצים של ספק צד ג׳ שפעל ללא מערכת אימות. עוד מסרה החברה כי נתוני כרטיסי אשראי של לקוחות, חשבונות בנק ומספרי ביטוח לאומי לא אוחסנו על השרת שנפרץ, ולכן לא דלפו. בתוך כך, SevenRooms הבהירה כי מערכותיה לא נפרצו באופן ישיר, ונותרו מאובטחות מפני גישה שאינה מאושרת על ידי גורמים מחוץ לארגון. בשעה זו טרם התברר אילו לקוחות ומסעדות הושפעו מהפריצה, אך סביר להניח שבהמשך יימסרו הודעות בנושא ממסעדות שמידע אודות לקוחותיהן נחשף.
ארה״ב: זכיין של T-Mobile נידון ל-10 שנות מאסר ותשלום פיצויים בסך 28.5 מיליון דולר בגין פתיחת חסימות של טלפונים סלולריים
העונש נגזר על ארגישטי חודוורדיאן, בעלים לשעבר של חנות קמעונאית של T-Mobile בקליפורניה, לאחר שהורשע כי בין אוגוסט 2014 ליוני 2019 פתח ושחרר במרמה חסימות של טלפונים סלולריים על ידי פריצה למערכות הפנימיות של T-Mobile, כך נמסר בהודעת משרד המשפטים האמריקאי לעיתונות. החוזה של חודוורדיאן כבעל החנות הופסק על ידי T-Mobile ביוני 2017, עקב התנהגות מחשב חשודה ופתיחה לא מורשית של טלפונים סלולריים. פעילותו של חודוורדיאן כללה מכירת טלפונים בשוק השחור באופן שאיפשר ללקוחות T-Mobile להפסיק להשתמש בשירותי החברה, ובכך נשללו ממנה הכנסות מחוזי שירות ותוכניות תשלומים של לקוחות. הגישה למערכות המחשב הפנימיות של T-Mobile התאפשרה לחודוורדיאן בסיועו של אלן גרבגלו, שותפו העסקי בחנות, באמצעות אישורים שנגנבו במתקפות פישינג שכוונו נגד יותר מ-50 עובדים של T-Mobile. עוד שימשו האישורים הגנובים לאיפוס סיסמאות, באופן שנעל את בעלי החשבונות הלגיטימיים מחוץ למערכת. במסגרתם פעילותם הפלילית פרסמו השניים ״שירותי פרימיום״ לפתיחה ישירה של טלפונים של כל ספקיות המכשירים הסלולריים, כל זאת באמצעים שונים, לרבות מיילים ואתרים ייעודיים, כגון unlocks247.com ,swiftunlocked.com ,unlockitall.com ,tryunlock.com ו-unlockedlocked.com. באמצעות האישורים הגנובים ומספרי ה-IMEI (מזהה מספרי בינלאומי של מכשירים ניידים) שנשלחו על ידי לקוחות דרך האתרים שבשליטת השניים, חודוורדיאן וגרבגלו פתחו מאות אלפי מכשירים מבוססי Android ו-iOS, תוך שימוש בכלים הייעודיים MDU ו-MCare. בעוד שהראשון יכול לשמש רק עובדי T-Mobile מורשים, עבור השימוש ב-MCare לא נדרש אימות, שכן הכלי מתבסס על בלוקים של כתובות IP שהוקצו למיקומי T-Mobile/Metro. על פי כתב האישום, חודוורדיאן אמר ללקוחותיו כי "בין אם ה-iPhone נקי, ממומן, חסום או מושכר, אנו יכולים לבצע פתיחת נעילה נוחה ברמת היצרן בכל מכשירי ה-iPhone וה-iPad שננעלו ב-iCloud, ללא ביטול האחריות על המכשיר״.
קבוצת ההאקרים הרוסית Fancy Bear פרצה לספקית תקשורת לוויינית אמריקאית
לדברי חוקרי הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), שחשפו את התקרית, החברה שנפרצה מספקת שירותים ללקוחות המתפעלים תשתיות קריטיות. במסגרת הפרטים המוגבלים שפורסמו אודות המתקפה, נמסר כי פעולות זדוניות אלה של Fancy Bear (או APT28) מסכנות את ביטחון תעשיית החלל. לדברי מ. ג׳יי. עמנואל, אנליסט תגובה לאירועים מארגון ה-CISA, שחשף את הפריצה בכנס הסייבר CYBERWARCON שהתקיים בחודש שעבר, החוקרים גילו שהתוקפים נמצאו ברשתות הקורבן משך חודשים, תוך ניצול חולשה מ-2018 שאותרה ברשת פרטית וירטואלית, ושהעניקה להאקרים גישה לאותה רשת ויכולת לחטוף אישורים. לשיפור רמת האבטחה של תעשיית החלל, ה-CISA טענה בעבר כי יש להדיר את טכנולוגיות החלל כתשתית קריטית, ובכך להעניק לה גישה רבה יותר למנגנוני שיתוף מודיעין ולמשאבי תכנון אסונות. זו אינה הפעם הראשונה בה האקרים רוסים תוקפים את תעשיית החלל האמריקאית: במאי האחרון ה-CISA ולשכת החקירות הפדרלית (FBI) פרסמו מסמך ייעוץ משותף, בו הן מסבירות ללקוחות ולספקי שירות כיצד לחזק את הגנות הסייבר של רשתות לווייניות, על מנת להתמגן מפני מתקפות רוסיות (ראו ״הסייבר״ 12.5.22).
ב-21 בנובמבר פרסמה החברה כי משתמשים רבים פנו אליה בטענה שהם נתקלים בבעיות בניסיון להתחבר לחשבונותיהם (ראו ״הסייבר״ 24.11.22). ב-16 בדצמבר פרסמה DraftKings דוח עם פרטי חקירת האירוע, לפיו כ-67 אלף משתמשים נפלו קורבן לתקיפה המתבססת על אתרים זדוניים המקושרים, כביכול, לפלטפורמת החברה. לפי הדוח, המשתמשים הזינו את סיסמאותיהם דרך פלטפורמה צד ג׳, שהעבירה את פרטי המשתמשים לתוקפים. באמצעות פרטים אלה משכו התוקפים כספים בסך כולל של כ-300 אלף דולר. בתגובה לתקרית, החברה איפסה את סיסמאותיהם של כל המשתמשים שנפלו קורבן לתקיפה, וחייבה אותם בהחלת אימות דו-שלבי (2FA) על חשבונותיהם. בתוך כך, מייסד החברה פול ליברמן הודיע כי החזיר את הכספים שנמשכו מחשבונות הקורבנות.
ספקית הבריאות Keralty נמצאת תחת מתקפת כופרה המשבשת את פעילותה
Keralty היא ספקית בריאות קולומביאנית שמפעילה רשת בינלאומית המונה 9 בתי חולים ו-173 מרכזים רפואיים באמריקה הלטינית, בספרד, בארצות הברית ובאסיה, ומעסיקה כ-24,000 עובדים ו-10,000 רופאים, המספקים שירותי בריאות ליותר מ-6 מיליון מטופלים. למתקפת הכופרה שחווה Keralty בשבוע האחרון אחראית קבוצת התקיפה RansomHouse, הטוענת כי גנבה מהארגון נתונים בנפח 3TB. לדברי החברה, תקיפת שרתי המחשבים שלה יצרה כשלים טכניים במערכותיה, והיא וחברות הבת שלה, EPS Sanitas ו-Colsanitas, סבלו משיבושים בפלטפורמות ובערוצים הדיגיטליים שלהן ובמערכות זימון התורים. על פי כלי תקשורת מקומיים, מטופלים נאלצים להמתין יותר מ-12 שעות לקבלת טיפול רפואי, חלקם אף מאבדים את הכרתם בזמן ההמתנה. ברשתות החברתיות מטופלים מדווחים כי ״אנשים על הרצפה וסובלים מכאבים עזים. כשאנחנו ניגשים לשאול, אומרים לנו שאין מערכות. אנו קוראים לבדוק את הנושא, מגיע לנו יחס הוגן״. בתוך כך, הרשתות החברתיות מוצפות בתלונות נוספות על השירותים שקרסו. להלן הודעת הכופר התקבלה במחשבי החברה:
ֿ
טורונטו: בית החולים לילדים SickKids חווה מתקפת סייבר; עד כה הטיפול בחולים לא נפגע
בית החולים הקנדי לילדים SickKids פרסם בעמוד הטוויטר הרשמי שלו כי הוא מגיב כעת לאירוע סייבר השמשפיע על כמה ממערכות הרשת שלו, לרבות קווי טלפון. בעקבות התקרית הוכרז בארגון Code Grey (״כשל מערכות״), ובית החולים הפיץ הודעה לפיה ״בטיחות ורווחת מטופלינו ובני משפחותיהם הן בראש סדר העדיפויות שלנו", וכן ״הטיפול בחולים נמשך במלואו, ובשעה זו אין ראיות להשפעה על מידע אישי או מידע בריאותי אישי״. לדברי המוסד, עם היוודע דבר האירוע הוא הפעיל מיד את מרכז הפיקוד לניהולו ופתח בחקירה, אך בשעה זו טרם התבררו מהות התקרית והיקפה. בשלב זה, נראה שהאירוע השפיע רק על מספר מערכות קליניות וארגוניות פנימיות, ועל כמה קווי טלפון ודפי אינטרנט של בתי חולים, שכרגע הגישה אליהם מוגבלת. עוד נמסר כי עם פרוץ התקרית הועבר דיווח לשותפי בית החולים ולממשלה, והארגון חבר למומחים על מנת לסיימו בהקדם. הארגון הפגין את הערכתו לסבלנות ולהבנה שמגלים המטופלים ומשפחותיהם, בזמן שהצוותים הקליניים מבצעים מעבר לפעילות בתנאי השבתה על מנת להבטיח שהטיפול בחולים לא ייפגע.
ה-FBI מזהיר מפני מתקפות פישינג והפצת נוזקות באמצעות מנועי חיפוש
לדברי לשכת החקירות הפדרלית (FBI), תוקפים משתמשים במערכות פרסום של מנועי חיפוש לקידום אתרים המפיצים כופרות ונוזקות וגונבים פרטי כניסה לשירותים בנקאיים ולבורסות קריפטו. באזהרה שפורסמה נמסר כי המתקפות מתבססות על פרסום מודעות המתחזות לעסק או שירות לגיטימיים המקודמים לראש עמוד תוצאות החיפוש, כאשר הקישור המופיע במודעות מוביל לאתר מזויף. בין המודעות הזדוניות ניתן למצוא כאלה המתיימרות לספק קישור להורדת תוכנה לגיטימית, שבפועל מוריד אל מחשב הקורבן תוכנה מתחזה. התמקדות נוספת של הקמפיין היא בגניבת פרטי כניסה לפלטפורמות פיננסיות, ובעיקר לשירותי קריפטו, על ידי הקמת אתרים המתחזים לאתרי בורסות קריפטו ידועות, וגונבים מהמשתמשים פרטי התחברות שמוזנים בהם.
צוות קונפידס ממליץ שלא לגלוש לאתרים המופיעים במודעות שמופיעות לאחר חיפוש במנוע חיפוש, ולתת תשומת לב גדולה יותר ל-URL של אתרים בעת גלישה ברשת.
נפרץ קוד המקור של חברת ניהול המשתמשים Okta
במהלך חודש דצמבר הודיעה GitHub ל-Okta על כניסה חשודה שהתבצעה למאגרי הקוד של החברה. לאחר בדיקה, התברר כי אכן תוקף נכנס אל המאגרים והעתיק מהם את קוד המקור של Okta. זאת ועוד, Okta טוענת כי זיהתה גישה לא מורשית לשירותיה ולנתונים של לקוחות. בעקבות האירועים, החברה פעלה להגבלת הכניסות למאגריה ב-GitHub ולחידוש אישורי האימות שלה בפלטפורמה, וכן הישעתה את כל האינטגרציות שלה עם אפליקציות צד ג׳. אין זה אירוע אבטחת המידע הראשון שחווה השנה Okta, המספקת שירותי גישה והזדהות, כאשר בחודש מרץ הצליחה קבוצת התקיפה $Lapsu לחדור למערכותיה (ראו ״הסייבר״, 24.3.22, ״הסייבר״, 31.3.22 ו״הסייבר״, 28.4.22).
תעשיית הספנות המסחרית מפעילה יותר מ-90,000 ספינות במגזרים שונים, כאשר ההתפתחויות בתחומי הדיגיטציה, האוטומציה והטכנולוגיה הגדילו את יעילות הפעילות הימית, תוך שינוי תהליכים שבוצעו בעבר באופן ידני. ואולם במקביל, התפתחויות אלה יצרו אתגרים במרחב הסייבר וסיכונים לחדירה למערכות כלי שייט. ספינות מסחריות רבות פועלות כיום בעזרת מערכת הפעלה ותוכנה מיושנות. העובדה שמערכות ה-OT (טכנולוגיה תפעולית) הותקנו בכלי השייט עם בנייתם לפני כ-25-30 שנה יוצרת פוטנציאל תקיפה נרחב, כאשר חדירה זדונית לציוד OT מהווה סיכון בעל השלכות חמורות, לרבות תקיפה שתביא לאובדן השליטה בניווט כלי השייט. מכיוון שצוותים המתפעלים כלי שייט אינם קבועים ומשתנים תדיר, לעתים קרובות הם משתמשים במערכות שאינן מוכרות להם, דבר המוליד אף הוא פוטנציאל לנזק רב.
במרץ 2021 התרחש בתעלת סואץ שיבוש חמור במערך התחבורה הימית, כאשר האונייה Ever Given, שעליה מכולות במשקל 220,000 טון, סטתה ממסלולה בעקבות רוחות עזות וחסמה לחלוטין את התעלה, בה עוברים כ-12% מהסחר העולמי בכל שנה. הדבר הביא לשיבושים ועיכובים בעלי השפעה גלובלית עצומה, תוך פגיעה בתעשיות אירופיות מובילות, בהן הבנייה, הסיטונאות והבריאות, ועיכוב סחורות בשווי מוערך של כ-400 מיליון דולר לשעה. לשם המחשה, חברת המכונות Caterpillar שקלה לבצע העברה אווירית של סחורות על מנת להתגבר על החסימה. למרות שבמקרה שאירע בסואץ לא היתה מעורבת מתקפת סייבר, הוא הדגים לתוקפים פוטנציאליים כיצד פגיעה בנתיב סחר משמעותי מובילה להשלכות רחבות על הסחר העולמי. ההשלכות עלולות להשפיע גם על שווקי המניות, בכך שההאקרים משתמשים בידע מוקדם שיש בידיהם על אירועי סייבר מתוכננים על מנת להשיג רווחים באמצעות רכישת מניות לפני ביצוע המתקפה. לדברי ג׳סי האמיל-סטיוארט, דוקטורנטית לאבטחת סייבר באוניברסיטאות בריסטול ובאת׳, ואנדרו סאליי, מנכ"ל ומייסד-שותף של חברת אבטחת הסייבר Reperion, כלי שיט מסחריים הם עמודי התווך של הסחר העולמי, ותפקידם הקריטי ביציבות השווקים הופך אותם לפגיעים ביותר ומגדיל את האיום על הסחר הימי.
סייבר בישראל
קבוצת התקיפה האיראנית Charming Kitten, הידועה גם כ-TA453, נצפתה על ידי חוקרי Proofpoint כשהיא משתמשת בחשבונות מייל פרוצים על מנת להפיל קורבנות בפח. הקבוצה, הפעילה מתחילת 2020 לפחות, ידועה ככזו הפועלת נגד אקדמאים, חוקרים, דיפלומטים, עיתונאים ופעילי זכויות אדם, אך בקמפיין החדש נוספו לסל מטרותיה גם סוכנויות נסיעות, חברות תיווך ואנשי צבא ישראלים. הקמפיין מתבסס על משלוח מיילים המכילים קישורים, שלחיצה עליהם מובילה את הקורבנות אל דומיינים זדוניים, בהם מורדת נוזקת דלת אחורית בשם GhostEcho, שאינה מזוהה על ידי מערכות הגנה. על מנת לשוות למיילים נראות מהימנה, הקבוצה מתחזה למשתמשת בשם Samantha Wolf, ושולחת מיילים העוסקים, למשל, בתאונות דרכים ובתלונות שונות כאשר הם נשלחים לפוליטיקאים, לגופי ממשל ואקדמיה בארצות הברית ובאירופה ולחברות אנרגיה במזרח התיכון.
צוות קונפידס ממליץ לגלות ערנות להודעות מייל חשודות, המכילות משפטים משונים או מנותקים מן ההקשר, כגון ״כל מייל שאתה מקבל מחבריך אפשר שזה אני ולא מישהו שטוען״.
נער בן 17 מצא פרצת אבטחה באתר השייך לצה״ל, שהכיל מידע על פרויקטים בעלי רגישות ביטחונית גבוהה
על פי דיווח של ״כאן 11״, הפרצה נמצאה לאחר שהנער שי מלול גלש בפורטל החירום הלאומי של פיקוד העורף ודרכו הצליח להגיע לאתר השייך למחלקת המיגון של צה״ל, שם מצא מידע אודות פרויקטי תשתיות ופרויקטים שכללו מערכות מכ"ם, מצלמות תרמיות ומחסני נשק ביישובי גבול שונים בכל רחבי הארץ. מלול, שבמקביל ללימודיו התיכוניים עובד בחברת הסייבר Universal Mind, התייעץ בנושא עם מנהליו, וביחד הוחלט לדווח על הפרצה למערך הסייבר הלאומי, שדיווח בתורו לצה"ל. הפרצה שאפשרה גישה לתכנים הרגישים נסגרה, ומדובר צה"ל נמסר כי "לא התבצעה פריצה לפורטל החירום הלאומי של פיקוד העורף. מדובר באתר אחר, שנמצא בשלבי תכנות ובנייה והתכנים שהיו בו הוסרו כבר באותו היום. כמו כן, הנהלים חודדו כדי למנוע מקרים דומים".
סייבר ופרטיות - רגולציה ותקינה
תקדימי: בית משפט השלום בתל אביב אישר החרמת כספים מארנקים דיגיטליים ששימשו בעבר קבוצות טרור
ב-15 בדצמבר פסק בית המשפט כי ניתן לחלט מטבעות קריפטוגרפיים מארנקים דיגיטליים שבהם השתמשו בעבר קבוצות טרור. ההחלטה התקדימית רלוונטית גם לתשלומי כופר הנדרשים במהלך מתקפות כופרה. במקרה הנוכחי, מטבעות דיגיטליים בשווי 116,000 ש"ח חולטו מארנקים דיגיטליים שהיו כלולים בצו התפיסה שפרסם שר הביטחון בני גנץ בדצמבר 2021. בהתאם לצו האמור ולצווי תפיסה נוספים, על כל ארגון ישראלי ששוקל לשלם דמי כופר במסגרת מתקפת כופרה לבדוק היטב את חוקיות התשלום ולוודא שארנק הקריפטו של התוקף אינו נמצא ברשימת הארנקים הדיגיטליים האסורים לשימוש. לדברי גורם ביטחוני, "החלטת בית המשפט מהווה נדבך משמעותי במהלכים התקדימיים של תפיסת נכסים וירטואליים באמצעות צווי תפיסה של שר הביטחון לפי חוק המאבק בטרור. [...] צו התפיסה שנחתם על ידי השר גנץ לפני כשנה כלל כ-150 ארנקים דיגיטליים שהיו מעורבים בהעברת כספי טרור ושהיו קשורים לחברת החלפנות אלמתחידון ברצועת עזה אשר הוכרזה על ידי השר גנץ כארגון טרור בשל הסיוע הפיננסי שהיא מעניקה לארגון הטרור חמאס לקבל כספים מחו"ל".
בית הדין הפלילי הבינלאומי מוסמך לשפוט היבטים סייבריים של פשעים נגד האנושות, פשעי מלחמה והשמדת עם
בתחילת חודש דצמבר התקיימה בהאג האסיפה הכללית השנתית של 123 המדינות החברות ב״אמנת רומא״ העוסקת בהקמת בית הדין הפלילי הבינלאומי (ה-ICC). במסגרת האסיפה, נערך מפגש של הוועדה המיוחדת שדנה בסוגיות הנוגעות ליישום האמנה על פשעים המתבצעים במרחב הסייבר, ועדה אשר הוקמה על ידי מספר מדינות החברות ב״אמנת רומא״, ואשר מטרה היא לברר את תחולתה והיבטיה של האמנה במרחב הסייבר, בהתאם לפשעים המוגדרים בה - השמדת עם, פשעים נגד האנושות ופשעי מלחמה, שכולם עלולים לכלול מרכיבים פליליים המתבצעים במרחב הסייבר (הוועדה פרסמה דוח בנושא זה באוגוסט 2021). יצוין כי בשנת 2007 הרשיע הטריבונל של ה-ICC שעסק בפשעי השמדת העם ברואנדה את שני מנהליה של תחנת הרדיו "אלף הגבעות" (Milles Collines) בעבירות של הסתה להשמדת עם בשידורי הרדיו, שגרמה לרצח של כ-800,000 חברי שבט הטוטסי. כעת מתקיים הליך משפטי נוסף בהקשר זה. למרות שישראל חתמה על ״אמנת רומא״ עם פתיחתה לחתימה, כיום היא אינה חברה בוועדה, לאחר שב-2002 נסוגה מחתימתה המקורית.
אסדרה מעודכנת של משאב התדרים הישראלי המאפשר פעילות במרחב הסייבר: הרחבת סמכויותיה של ועדת התדרים
ב-20 בדצמבר פרסם משרד התקשורת הצעה לתיקון חקיקתי לחוק המסדיר את השימושים במשאב תדרי הספקטרום האלקטרומגנטי בישראל - פקודת הטלגרף האלחוטי [נוסח חדש], התשל"ב-1972. משאב זה מהווה בסיס לכל פעילות במרחב הסייבר, בו מתקיימת העברת מידע שלא באמצעות קווים פיזיים, אלא, בין היתר, באמצעות טלפוניה סלולרית, מיקומי GPS, תקשורת לוויינית, תשתיות אינטרנט ו-WiFi. התיקון המוצע כעת מעדכן את הפקודה, שנוסחה במקור בתקופת המנדט הבריטי, במספר הקשרים: 1. הענקת סמכויות נוספות לוועדת התדרים העליונה, הגוף הלאומי המסדיר את השימושים במשאב, כאשר בין השאר תינתן לה האפשרות להעניק תדרים באופן מהיר כדי לספק משאבי תקשורת מיידיים במצבי חירום, וכן סמכות לדרוש ממשתמשים מידע ונתונים מפורטים יותר. 2. הרחבה של רשימת העילות להטלת קנסות על שימוש חורג ובלתי-חוקי במשאב הספקטרום האלקטרומגנטי. 3. הקלות משמעותיות על ייבוא לישראל של ציוד תקשורת אישי ומסחרי. 4. הרחבת סמכויות ההתערבות של משרד התקשורת בתקשורת הגורמת ל"פגיעה חמורה ומיידית בביטחון המדינה או בביטחון הציבור", או משבשת/מפריעה באופן משמעותי לפעולתם של מכשירי תקשורת אחרים שפועלים כדין. הציבור מוזמן להגיש הערות לתיקון המוצע.
קנס בסך 520 מיליון דולר הוטל על חברת Epic Games בגין הפרת הפרטיות של ילדים ועידוד רכישות ללא הסכמה מספקת של צרכנים
ב-19 בדצמבר הודיעה נציבות הסחר הפדרלית של ארצות הברית (FTC) על הגעה לשני הסכמי פשרה מול חברת Epic Games, יצרנית המשחק Fortnite ואחרים. לפי ההסכמים, החברה תשלם את הקנס האמור לאחר שהפרה את החוק האמריקאי המגן על פרטיותם של ילדים באינטרנט (COPPA); וכן את דיני הצרכנות ההוגנת, כל זאת תוך שימוש ב״'דפוסים אפלים״ להנעה לא הוגנת של צרכים לרכישת מוצרים. בגין הפרת ה-COPPA בלבד נקנסה החברה ב-275 מיליון דולר, הסנקציה הכספית הגדולה ביותר שהוטלה עד כה עקב הפרת דיני ה-FTC. כחלק מהסכם הפשרה, Epic Games תיישם במשחקיה הגדרות ברירת מחדל בנוגע לפרטיותם של ילדים ובני נוער. לדברי יו״ר ה-FTC לינה קאן, "ההגנה על הציבור, ובמיוחד על ילדים, מפני פלישות מקוונות לפרטיות ו׳דפוסים אפלים׳ היא בראש סדר העדיפויות של הנציבות, ופעולות האכיפה הללו מבהירות לעסקים שה-FTC מתעקש לפרק את הפרקטיקות הבלתי-חוקיות הללו".
הגברת רמת הגנת הסייבר על שרשרת האספקה של ציוד מחשבים: ה-NIST מפרסם הנחיות חדשות
החודש פרסם המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית (NIST) הנחיות חדשות לארגונים בנושא אמינותם של מכשירים ממוכנים. במסמך שפורסם, 1800-34 - Validating the Integrity of Computing Devices, מפורטים תהליכים וצעדים בהם יש לנקוט בכל שלב בשרשרת האספקה של ציוד מחשבים בארגונים, על מנת למזער את הסיכונים הגלומים בשימוש במחשבים ובציוד נלווה המסופקים על ידי גורמים צד ג'. להנחיות שלוש מטרות: יצירת תהליכים לאימות תיאורים של ציוד, רכיבים ופלטפורמות המסופקים על ידי יצרני ציוד מקורי (OEMs), אימות תוך כדי עסקה ספציפית המתבצעת בין ה-OEM ללקוח, ואימות עמידת הציוד בתקנים בכל שלבי השימוש בו, לרבות בסביבה התפעולית. התרשים להלן מדגים את הנקודות החשופות בשרשרת האספקה, לתפיסת ה-NIST.
(מקור: NIST ,Validating the Integrity of Computing Devices, עמ' 2)
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי, תמר מרדיקס, שירי מאס ברזילי וגיא פינקלשטיין.