דו״ח סייבר שבועי
עדכון שבועי 23.12.2021
עיקרי הדברים
-
קבוצת תקיפה לא מוכרת בשם Sharp Boys טוענת כי פרצה לאתרי ״למטייל״, ״טיולי״ ו-bus.co.il. ככל הנראה משויכת לאיראן.
-
משרד התחבורה יפעיל מרכז ניטור, שליטה ובקרת אירועי סייבר.
-
נפתחו דיוני ה-Open-ended Working Group של האו"ם בנושא נורמות סייבר: המשלחת הישראלית הציגה דברי פתיחה.
-
פייסבוק חסמה חברות המפתחות תוכנות ריגול והתריעה בפני כ-50,000 איש שהיו על כוונת החברות.
-
*אנו ממליצים לעדכן את המוצרים הבאים: ספריית Log4j בפרויקט Apache (קריטי); מערכת ה-VoIP של Auerswald (קריטי); מערכת Zoho (קריטי); קונסולת ה-VMware Workspace ONE UEM (קריטי); מחשבים ניידים של Lenovo (גבוה); מוצרי Microsoft (גבוה);*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
תוקפים ממשיכים לנצל את חולשת Log4j להפצת נוזקות ולביצוע מתקפות כופרה
עדכון אבטחה לקונסולת ה-VMware Workspace ONE UEM נותן מענה לחולשה קריטית
Western Digital קוראת לעדכן את קושחת מוצרי ה-My Cloud OS לפני שתפסיק לתמוך ב-My Cloud OS 3
2 חולשות שהתגלו בכל המחשבים הניידים של Lenovo מאפשרות לתוקף להשיג הרשאות אדמין
מיקרוסופט מזהירה את לקוחותיה מפני שתי חולשות חדשות ברמת חומרה גבוהה
ה-FBI: האקרים מנצלים חולשת Zero-day ב-Zoho שהתגלתה באוקטובר
עדכון אבטחה למערכת ה-VoIP של Auerswald נותן מענה לחולשה קריטית
התקפות ואיומים
פרטי אשראי של 1.8 מיליון לקוחות נגנבו בפריצת ענק לאתרים למכירת ציוד ספורט
פייסבוק חסמה חברות המפתחות תוכנות ריגול והתריעה בפני 50,000 משתמשים שהיו על כוונת החברות
מתקפות דיוג מתחזות לחברת Pfizer
יותר מחצי מיליון משתמשי אנדרואיד הורידו את הנוזקה Joker
קוד מקור של לקוחות היה חשוף משך 4 שנים עקב פרצת אבטחה ב-Azure
תוקפים גונבים כ-80 מיליון דולר בחודש בקמפיין הונאה חדש
השבוע בכופרה
קבוצת התקיפה PYSA עומדת מאחורי הכמות הגדולה ביותר של מתקפות סחיטה כפולו
סייבר בישראל
קבוצת תקיפה לא מוכרת בשם Sharp Boys טוענת כי פרצה לאתרי ״למטייל״, ״טיולי״ ו-bus.co.il
משרד התחבורה יפעיל מרכז ניטור, שליטה ובקרת אירועי סייבר
סייבר בעולם
CISA: פרסום מקוון עשוי לשמש תחנת מעבר לנוזקות
מתקפות הסייבר של BlackEnergy משאירות חותם על אוקראינה
חולשה באופן בו פועלת רשת התקשורת הניידת משפיעה על כלל משתמשי הסלולר בעולם
עדכון אבטחה ל-BIOS של מחשבי Dell גורם לבעיות רבות בהפעלת המחשבים
ממשלת בריטניה חולקת עם פרויקט Have I Been Pwned כמעט 600 מיליון סיסמאות שדלפו
ארה"ב מחזירה 154 מיליון דולר שנגנבו על ידי עובד חברת Sony
דן לורמן מסכם את שנת 2021 בסייבר
סייבר ופרטיות - רגולציה ותקינה
נפתחו דיוני ה-Open-ended Working Group של האו"ם בנושא נורמות סייבר: המשלחת הישראלית מציגה דברי פתיחה
ארה״ב מעמידה לדין את ראש המודיעין הרוסי לשעבר באשמת פריצה וגניבת מידע פיננסי חסוי לגזירת רווח במרמה מעסקאות בבורסה
משרד התחבורה הישראלי מפרסם מידעון בנושא הגנת הפרטיות
מאגר הנתונים הממשלתי של ישראל: עדכונים שוטפים בנוגע למידע שברשות גורמי ממשל
כנסים
Managing Privacy Risks with the NIST Privacy Framework
הציטוט השבועי
״ישראל רואה בבניית יכולות של הגנת סייבר ובצעדים בוני אמון רכיבי מפתח, ומוכנה לתמוך בהצעות שמטרתן להגביר את היכולת ואת החוסן של מדינות לקדם התנהגות מדינתית אחראית במרחב הסייבר. [...] בכל הנוגע לאופני העבודה שלנו ב-Open-ended Working Group, ישראל תומכת בשיח פתוח ומכיל, הכולל השתתפות של בעלי עניין רלוונטיים בדיונים.״
– מר אמיר שגיא, המתאם לענייני סייבר במשרד החוץ, בדברי הפתיחה של המשלחת הישראלית ל-Open-ended Working Group של האו״ם בנושא הגנת סייבר, 2021. 14.12.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
תוקפים ממשיכים לנצל את חולשת Log4j להפצת נוזקות ולביצוע מתקפות כופרה
בהמשך לידיעה משבוע שעבר (ראו ״הסייבר״, 16.12.21), נמשכים הדיווחים ברשת על ניצול החולשה על ידי קבוצות תקיפה. אחת הבולטות שבהן היא TellYouThePas, ש״התעוררה לחיים״ לאחר שלא הייתה פעילה משך תקופה ארוכה וצייצה כעת בטוויטר כי השתמשה ב-Log4j להחדרת כופרה באמצעות RCE (הרצת קוד מרחוק). הציוץ אומת על ידי חברת המודיעין Sangfor, שמצאה הוכחות לתקיפות, בעיקר נגד מטרות סיניות. בפרסום אחר בטוויטר, הפעם של חברת הסייבר Cryptolaemus, דווח כי החולשה מנוצלת להתקנת הנוזקה הפיננסית Dridex על עמדות Windows. הנוזקה, שבמקור יועדה לגניבת פרטי בנק מקורבנות, מאפשרת כעת גם התקנת כלים זדוניים על עמדות נגועות. באחד הדיווחים החמורים מהשבוע האחרון נמסר כי Log4j שימשה לחדירה לרשת של מחלקת הביטחון הבלגית, במהלכה הושבתו מחשבי הארגון החל מיום חמישי. נכון למועד כתיבת שורות אלה, נראה כי עדיין לא ניתן לשלוח מיילים מהרשת שנתקפה. גורמים בממשלת בלגיה אישרו את דבר התקיפה, אך לא ייחסו אותה לקבוצת תקיפה מסוימת.
צוות קונפידס, הצופה באופן בו חולשת Log4j משפיעה על ארגונים, על חברות ואף על ממשלות, ממליץ לכל אדם וארגון לגלות ערנות ולעדכן בהקדם האפשרי מוצרים העושים שימוש בספרייה הפגיעה. לשם כך, מומלץ להיעזר בסורק שפרסמה הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), המסוגל לאתר שירותים פגיעים, וכן במסמך שפרסמה, המסביר כיצד ניתן לפעול לסגירת החולשות.
עדכון אבטחה לקונסולת ה-VMware Workspace ONE UEM נותן מענה לחולשה קריטית
החולשה (CVE-2021-22054, 9.9 CVSS) הינה מסוג (SSRF (Server Side Request Forgery ועלולה להיות מנוצלת על ידי תוקף מרוחק לשליחת בקשות ללא צורך באותנטיקציה, דבר אשר עשוי לאפשר לו גישה לפרטי רגישים המצויים בעמדת הקורבן.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.
Western Digital קוראת לעדכן את קושחת מוצרי ה-My Cloud OS לפני שתפסיק לתמוך ב-My Cloud OS 3
החברה הודיעה כי מה-15.1.2022 לא תתמוך עוד בגרסה זו של הקושחה ובכל הגרסאות שקדמו לה, לא ישוחררו עבורן עדכוני אבטחה, תבוטל הגישה מרחוק לשטח האחסון שלהן ותתאפשר גישה מקומית בלבד. זאת ועוד, החברה קוראת לעדכן בדחיפות את את קושחת המוצרים התומכים ב-My Cloud OS 5 לגרסתם האחרונה, על מנת להחיל עליהם עדכוני אבטחה חדשים, וכן לגבות את המכשירים שאינם תומכים ב-My Cloud OS 5 ולא יעודכנו בהמשך, לבטל את האפשרות לגשת אליהם מרחוק, לנתקם מרשת האינטרנט ולהגדיר בהם סיסמה חזקה, כדי להגן עליהם מתקיפות עתידיות.
2 חולשות שהתגלו בכל המחשבים הניידים של Lenovo מאפשרות לתוקף להשיג הרשאות אדמין
החולשות מאפשרות לתוקף מקומי ללא הרשאות לנצל Service פגיע בשם ImController, שנמצא במחשבים הניידים של החברה, לרבות סדרת הדגל ThinkPad, ואחראי לניהול מערכת ההפעלה ומספר חלקי חומרה במוצרים. אחת החולשות (CVE-2021-3922), שמקורה ב-Race condition, עלולה לאפשר לתוקף מקומי להשתמש ב-Named pipe של אחד מהתהליכים שיוצר ה-Service. החולשה השנייה (CVE-2021-3969, CVSS 7.1), שהינה מסוג (Time-of-check to time-of-use (TOCTTOU, מאפשרת לתוקף מקומי להעלות הרשאות. השילוב בין שתי החולשות עלול לאפשר לתוקף ״להערים״ על ה-Named pipe של ה-ImController ולטעון קובץ DLL לבחירתו במקום Plug-in של Lenovo, דבר המוביל להעלאת הרשאות. החולשות, שהתגלו על ידי NCC Group, קיבלו מענה בעדכון ששחררה Lenovo, המתבצע באופן אוטומטי בעת הפעלת המחשבים הניידים.
מיקרוסופט מזהירה את לקוחותיה מפני שתי חולשות חדשות ברמת חומרה גבוהה
ב-21 בדצמבר הודיעה החברה ששתי חולשות (CVE-2021-42287, CVSS 8.8; CVE-2021-42278, CVSS 8.8) שהתגלו במהלך חודש נובמבר עלולות לאפשר לתוקף להשתלט בקלות על סביבות Active Directory, כאשר שילובן מאפשר התחזות ל-DC בתהליך האימות מול ה-(KDC (Kerberos Distribution center וקבלת כרטיס אימות (Ticket) בעל הרשאות DC. הדבר מאפשר לתוקף בעל גישה למשתמש רגיל ברשת להעלות את הרשאותיו על נקלה ולהשתלט על סביבת הקורבן. בעקבות הגילוי פרסמה מיקרוסופט מדריך לבדיקת ניצול החולשות ברשתות מחשבים, והיא ממליצה לעדכן במהרה שרתים פגיעים לגרסאותיהם האחרונות. בתוך כך, מספר חוקרים כבר הספיקו ליצור כלים לניצול שתי החולשות וסיפקו בטוויטר הוכחת היתכנות (POC).
ה-FBI: האקרים מנצלים חולשת Zero-day ב-Zoho שהתגלתה באוקטובר
הסוכנות מדווחת כי בחודשיים האחרונים נצפו מקרים רבים בהם קבוצות APT שונות, חלקן בגיבוי ממשלתי, ניצלו את החולשה הקריטית (CVE-2021-44515, CVSS 9.8) המצויה במנגנון ההזדהות של המוצר ManageEngine Desktop Central על מנת לחדור לשרתי הקורבן ולהתקין עליהם Web shells וכלי תקיפה אחרים. כלים אלה משמשים את התוקפים לאיסוף מידע אודות המשתמשים והמערכות בדומיין, למיפוי הרשת, להעלאת הרשאות ולגניבת שמות משתמש וסיסמאות. למרות ש-Zoho שיחררה עדכון הנותן מענה לחולשה, משתמשים שטרם עדכנו את המוצר לגירסתו האחרונה עודם חשופים לחולשה, כאשר בבדיקה שבוצעה על ידי מגזין אבטחת המידע BleepingComputer באמצעות מנוע החיפוש Shodan נמצאו יותר מ-2,900 שרתים כאלה. עוד פרסמה Zoho מדריך שמטרתו לסייע למשתמשים לזהות אם מערכותיהם מצויות בסיכון.
צוות קונפידס ממליץ למשתמשי המוצר לעקוב אחר הנחיות ה-FBI ולעדכנו בהקדם לגרסתו האחרונה.
עדכון אבטחה למערכת ה-VoIP של Auerswald נותן מענה לחולשה קריטית
במהלך מבדק חדירות שבוצע על קושחת המכשיר הפופולרי של יצרנית חומרת הטלקומוניקציה הגרמנית, התגלתה חולשה (CVE-2021-40859, CVSS 9.8) שניצולה עלול לאפשר לתוקף לקבל גישה ניהולית מלאה ברמת אדמין למכשירים. בתגובה פרסמה החברה את העדכון (version 8.2B) והפצירה בלקוחותיה להתקינו גם במידה שאין להם צורך בתכונות המתקדמות הכלולות בעדכון.
התקפות ואיומים
פרטי אשראי של 1.8 מיליון לקוחות נגנבו בפריצת ענק לאתרים למכירת ציוד ספורט
לפי מגזין אבטחת המידע BleepingComputer, הנתונים שייכים לקונים בארבעה אתרי אינטרנט ידועים מאוד בתחום, Tackle Warehouse LLC ,Running Warehouse LLC ,Tennis Warehouse LCC ו-Skate Warehouse LLC. מלבד מספרי כרטיסי האשראי שנחשפו במהלך מתקפת הסייבר (לרבות מספרי CVV), הרשומות הגנובות הכילו שמות מלאים, מספרי חשבונות פיננסיים וסיסמאות של משתמשים. למרות שהפירצה התרחשה ב-1 באוקטובר, הדבר נודע לחברות רק ב-15 בנובמבר ודווח ללקוחותיהן ב-15 בדצמבר.
צוות קונפידס ממליץ למי שביצע רכישה באחד מהאתרים הללו לבטל את כרטיס האשראי בו השתמש ולוודא שאינו משתמש באותה סיסמה באתרים נוספים, למשל שירותי מייל וחנויות אינטרנט אחרות.
פייסבוק חסמה חברות המפתחות תוכנות ריגול והתריעה בפני 50,000 משתמשים שהיו על כוונת החברות
פייסבוק הודיעה כי מנעה את השימוש בפלטפורמות שבבעלותה מ-7 חברות, זאת לאחר חקירה שנמשכה חודשים ואשר העלתה כי החברות, הממוקמות בסין, בישראל, בהודו ובמקדוניה הצפונית, עקבו אחר עשרות אלפי קורבנות מ-100 מדינות, בהם עיתונאים, מתנגדי משטר ופעילי זכויות אדם. פייסבוק שיתפה את ממצאיה עם פלטפורמות אחרות, עם חוקרי אבטחה ועם המשתמשים שאחריהם בוצע מעקב, ושלחה ל-6 מהארגונים שנחסמו מכתב המודיע על הפסקת פעילותם בפלטפורמות לצמיתות. מן החברות שנחסמו נמסר בתגובה כי תוכנות הריגול והפריצה שברשותן שימשו רק ללכידת פושעים ומחבלים.
מתקפות דיוג מתחזות לחברת Pfizer
ניסיונות ההתחזות של קבוצות תקיפה שונות לחברת התרופות שייצרה את אחד מהחיסונים לנגיף הקורונה נועדו לביצוע קמפיין פישינג ממוקד שמטרתו היא, ככל הנראה, לגנוב נתונים פיננסיים ועסקיים מהקורבנות. על פי דיווח שהתפרסם בבלוג של חברת INKY, הקמפיין החל באוגוסט ועושה שימוש בקבצי PDF הנראים מקצועיים ולגיטימיים, כוללים הצעות מחיר, מידע אודות תנאי תשלום, תאריכי יעד ועוד, ושורות נושא הנוגעות להצעות מחיר דחופות ולאספקת ציוד תעשייתי. בכך מצליחים המיילים לעקוף את מערכות ההגנה השונות ולחדור אל תיבת הדואר הנכנס של הקורבן, אשר מתבקש לשלוח את תגובתו לכתובות מייל המתחזות לכתובות לגיטימיות של Pfizer. בפועל, הכתובות כוללות דומיינים שנרשמו בעת האחרונה, כולם דרך חברת Namecheap, המייצרת דומיינים ומקבלת מטבעות קריפטוגרפיים כאמצעי תשלום, מה שמאפשר ללקוחותיה להישאר אנונימיים.
יותר מחצי מיליון משתמשי אנדרואיד הורידו את הנוזקה Joker
המשתמשים הורידו מחנות האפליקציות של Google את אפליקציית המסרונים הלגיטימית Color Message, אשר הכילה את הנוזקה הידועה לשמצה, שמעבירה את פרטי רשימת אנשי הקשר של המשתמש לשרת המצוי בשליטת התוקף ונרשמת בשמם למנויי פרימיום של שירותים שונים בתשלום, ללא ידיעתם. לאחר גילוי התרמית, האפליקציה הוסרה מהחנות של Google. נוזקת Joker, שהתגלתה לראשונה ב-2017, הצליחה לעקוף את הגנות החנות תוך שימוש בשלל טקטיקות של הסוואה וערפול על מנת להקשות על זיהויה. לאחר התקנתה על המכשיר, הנוזקה מסתירה את סמל האפליקציה, מה שמקשה על הסרתה על ידי הקורבן. עוד נמצא כי האפליקציה Color Message מדמה קליקים על מנת לייצר הכנסות נוספות מפרסומות זדוניות, אשר מחוברות לשרתים ברוסיה. לדברי מפתחי אפליקציית Color Message, הם מחויבים ״להבטיח שהאפליקציה תהיה שימושית ויעילה ככל האפשר. מסיבה זו אנו שומרים לעצמנו את הזכות לבצע שינויים באפליקציה או לגבות תשלום עבור שירותיה, בכל עת ומכל סיבה. לעולם לא נחייב אתכם עבור האפליקציה ו/או שירותיה, מבלי להבהיר עבור מה בדיוק אנו גובים את התשלום״.
קוד מקור של לקוחות היה חשוף משך 4 שנים עקב פרצת אבטחה ב-Azure
הפרצה, שנחשפה ב-21 בדצמבר על ידי צוות המחקר של חברת Wiz וקיבלה את הכינוי NotLegit, חשפה קוד מקור של לקוחות שנכתב בשפות PHP ,Python ,Ruby ו-Node, ואשר נפרס (Deployed) באמצעות Local Git. נכון לשעה זו אין עדויות רשמיות לניצול הפרצה, אשר הייתה קיימת מספטמבר 2017. ואולם צוות המחקר הקים אפליקציה ב-Azure, אותה קישר לדומיין שלא היה בשימוש, בניסיון לבדוק אם גורמים זדוניים ינסו לגשת לקבצי ה-Git שלה, כפי שאכן אירע כעבור 4 ימים. עד כה פרסמה מיקרוסופט עדכון הנוגע לאפליקציות PHP, והחלה לעדכן לקוחות שהפרצה רלוונטית להם.
תוקפים גונבים כ-80 מיליון דולר בחודש בקמפיין הונאה חדש
במסגרת הקמפיין מפותים קורבנות למלא סקרים על מותגים שונים, בהבטחת שווא שתוענקנה להם הטבות ומתנות בתמורה להשתתפותם. עד כה מונה הקמפיין כ-10 מיליון קורבנות ב-91 מדינות ברחבי העולם, ונראה כי לפחות 60 רשתות משמשות את התוקפים לביצוע הגניבות באמצעות קישורים המתחזים לאתרים המחלקים מתנות, לכאורה, מטעמם של 121 מותגים שונים. לכל אחת מרשתות התוקפים יש שמות דומיינים רבים, שמרביתם בתאילנד, בהודו ובאינדונזיה. מקבוצת IB, המתמחה באיתור איומי סייבר, נמסר כי ״אותרו 232 שמות דומיינים שונים, אך עד כה לא ידוע כמה מהאתרים הללו פעילים. מספר כה גבוה של דומיינים מאפשר ניתוב מחדש של תעבורת רשת לאתר פעיל, במידה ואתר אחר נחסם. באופן זה התוקפים יכולים להבטיח את פעולתה המתמשכת של תכנית ההונאה שלהם״.
השבוע בכופרה
קבוצת התקיפה PYSA עומדת מאחורי הכמות הגדולה ביותר של מתקפות סחיטה כפולות
צוות מודיעין הסייבר של NCC Group דיווח על מגמות בזירת מתקפות הכופרה בחודש נובמבר, לרבות מגמת עלייה בכמות התקיפות, המשך השימוש הנרחב בטכניקת הסחיטה הכפולה ותקיפת קורבנות ממשלתיים, גזרה בה נרשמה עלייה של כ-400% במתקפות הסייבר. במהלך מתקפת סחיטה כפולה נגנב ומוצפן מידע של קורבנות, ובנוסף לדמי הכופר הנדרשים עבור פתיחת ההצפנה - המידע משמש גם כקלף מיקוח, כאשר קורבן הבוחר שלא לשלם, מסתכן בפרסום המידע. קבוצות מוכרות המשתמשות בטכניקה של סחיטה כפולה הן Conti ,LockBit ו-PYSA, כש-LockBit ו-PYSA הן הדומיננטיות במרחב החל מאוגוסט השנה. בחודש שעבר כוונו הזרקורים אל PYSA, אשר רשמה עלייה חדה של 50% במספר קורבנותיה, ואף עקפה את Conti האגרסיבית בהיקף פעילותה. הנוזקה בה משתמשת PYSA מזליגה מידע מהתשתיות אותן היא תוקפת ומצפינה את הקבצים החשובים של הקורבנות. האיום הקונקרטי הראשון מצד הקבוצה הסתמן מוקדם יותר השנה, בחודש במרץ, אז החלה להשתמש בטקטיקות ואמצעים מתקדמים, דבר אשר הוביל את ה-FBI לפרסם לציבור מכתב המזהיר מפניה. קבוצה נוספת שצוות המודיעין של NCC Group זיהה ככזו המגבירה את פעילותה היא Everest דוברת הרוסית, אשר בנובמבר הציעה גישה תמורת תשלום אל תשתיות קורבנותיה, בהן גם תשתיות ממשלתיות של מדינות מרחבי העולם. מגמה בולטת נוספת בתחום מתקפות הכופרה היא ניצול הולך וגובר של החולשה הקריטית Log4j (ראו ״חולשות חדשות״ בראשית מסמך זה), אשר התגלתה בתחילת החודש. תקיפות כופרה מתאימות עצמן עד מהרה לתנאי השטח המתחדשים, ומתגברות בזריזות על אמצעי ההגנה השונים, המפותחים ומשתדרגים בעצמם. תקופת החגים המתקרבת בחלקים נרחבים של עולם מהווה הזדמנות פז עבור תוקפים המבקשים לנצל את החוסר הנוכחי בכוח אדם ובערנות.
סייבר בישראל
קבוצת תקיפה לא מוכרת בשם Sharp Boys טוענת כי פרצה לאתרי ״למטייל״, ״טיולי״ ו-bus.co.il
על הפריצה לאתרי ״למטייל״ ו״טיולי״ הודיעה הקבוצה בציוצה הראשון בטוויטר, ואף פרסמה ״הוכחה״ לכך באמצעות צילום מסך של המידע שנגנב, לכאורה. עוד פתחו התוקפים חשבון טלגרם, שנועד למכירת המידע, בו גם פרסמו כי פרצו למערכת ה-CRM של האתר bus.co.il וגנבו ממנו יותר מ-4 מיליון רשומות הכוללות פרטים אישיים, לרבות שמות מלאים, תאריכי לידה, כתובות ומספרי טלפון, לצד קבצים נוספים. מרשת ״למטייל״ נמסר: "זיהינו תנועה חשודה באתר והורדנו [אותו] מהאוויר. בודקים אם יש נזק. לא נראה שנגרם נזק, כרגע ממשיכים בבדיקות". המתקפה הנוכחית מזכירה באופיה את תקיפותיה של קבוצת Black Shadow בחודש שעבר, לרבות הפריצה המתוקשרת למאגרי אתר ההכרויות הגאה ״אטרף״. גם אז וגם הפעם פורסמו בקבוצות בטלגרם ״דוגמיות״ מתוך המידע שנגנב, ואל שני הסבבים נלוו מתקפות נוספות על גורמים או אתרים ישראליים. לאור כך, כמו במקרה של Black Shadow, ניתן לייחס את תקיפותיה של Sharp Boys לאיראן.
משרד התחבורה יפעיל מרכז ניטור, שליטה ובקרת אירועי סייבר
שרת התחבורה והבטיחות בדרכים מרב מיכאלי הורתה על הקמת המרכז, שיפעל לסיכול ניסיונות חדירה למערכות ניהול התנועה בישראל והשבתתן, וינטר מערכות מתקדמות בענף ואת שירות התחבורה הציבורית באוויר, בים וביבשה. לדברי השרה מיכאלי, ״תחבורה מתפקדת היא חלק ממערך הביטחון הלאומי. זה מחייב שיפור משמעותי שלה וגם הגנה עליה״. לדברי מנכ"לית משרד התחבורה והבטיחות בדרכים מיכל פרנק, ״ניטור של כל גופי התחבורה תחת קורת גג אחת יגביר את יכולת הזיהוי והניטור של מתקפות כנגד גופי תחבורה שונים, ויאפשר התמודדות טובה יותר מול איומים אלה".
סייבר בעולם
CISA: פרסום מקוון עשוי לשמש תחנת מעבר לנוזקות
ב-13 בדצמבר פרסמה הסוכנות האמריקאית להגנת סייבר ותשתיות כי היא משתמשת במספר שיטות לחסימת פרסומות המופיעות במהלך גלישה באינטרנט, משום שהן עשויות לשמש תחנת מעבר לנוזקות מסוגים שונים, שמטרתן להגיע למחשבים פרטיים של משתמשים וארגונים. אי לכך, ה-CISA דחקה בסוכנויות פדרליות שונות לחסום פרסומות, והסוכנות למערכות מידע הגנתיות (DISA) פרסה טכנולוגיות להגנה מפני נוזקות המשתמשות בפרסום מקוון לשם הפצתן, ומפני איומים אחרים הקשורים לאיסוף נתונים. קלי פלטשר, קצינת המודיעין הראשית של מחלקת ההגנה של ארצות הברית (DOD), אמרה כי ה-DISA ביצעה פריסה של מערכת לאיתור איומים על מכשירים ניידים המשויכים לממשל, אשר מנטרת את המכשירים, את הרשת ואת היישומים העשויים להשתמש בפרסום מקוון כווקטור תקיפה. במקביל, ה-DOD מנסה להשיג אישור להשתמש בתוכנה Sharkseer, אשר מגינה מפני נוזקות שונות באמצעות שימוש בבינה מלאכותית, ונמצאת בבעלותה הבלעדית של הסוכנות לביטחון לאומי של ארצות הברית (NSA).
מתקפות הסייבר של BlackEnergy משאירות חותם על אוקראינה
בעקבות מתקפות הקבוצה והפסקות החשמל שהגיעו בעקבותיהן, צוות החירום לטיפול באירועי מחשב (CERT) של הממשלה המקומית התמקד בפגישתו השנתית, שהתקיימה ב-15 בדצמבר, בצורך למגן את תחום האנרגיה מפני שיבושים נוספים. במפגש נכחו גם ראשי המרכז הממלכתי להגנת סייבר של השירות המיוחד במדינה ונציגי משרד האנרגיה של אוקראינה, חברת הנפט והגז הממשלתית (NJSC Naftogaz) וחברת האנרגיה הלאומית (PJSC NEC Ukrenergo). המשתתפים דנו בצורך בשיתוף פעולה עם מרכזי אבטחת מידע וסייבר מגזריים להבטחת הגנת סייבר על תשתיות קריטיות בתחום האנרגיה, שיתוף מידע על אירועי ואיומי סייבר באמצעות טקסונומיה, חיבור מתקני אנרגיה למערכות ניטור וזיהוי ותגובה לחולשות ולמתקפות. עוד עלה הצורך בקיום הדרכות סייבר על ידי מרכז ייעודי ובקבלת שירותי הגנת סייבר מטעם המרכז הממלכתי להגנת סייבר.
חולשה באופן בו פועלת רשת התקשורת הניידת משפיעה על כלל משתמשי הסלולר בעולם
החולשה, שהתגלתה על ידי שני חוקרים אבטחת מידע מאיחוד האמירויות הערביות, רלוונטית לכל דורות טכנולוגיות הסלולר, מ-2G ועד 4G. החולשה נעוצה בעובדה לפיה כשמשתמש מקיים שיחה בטלפון נייד ונמצא בתנועה, מתבצעת פעולה המכונה Handover (או Handoff) - מעבר מחיבור הנייד לאנטנה אחת לחיבורו לאנטנה אחרת, על מנת לשמור על רצף השיחה. הצורך במעבר נמדד באמצעות אותות של מדי חוזק תקשורת, אותם משדר הנייד לרשת הסלולרית. כאשר מזוהה אנטנה המתאימה יותר למיקום המשתמש - מתבצעת ההחלפה, זאת מבלי לוודא שהאנטנה החדשה אליה מתבצע החיבור הינה אנטנה לגיטימית. בכך מתאפשר לתוקף להתחזות לאנטנת תקשורת של הרשת הסלולרית ולבצע פעולות כמו האזנות, שינוי מידע במכשיר (למשל SMS) ומניעת שירות.
עדכון אבטחה ל-BIOS של מחשבי Dell גורם לבעיות רבות בהפעלת המחשבים
משתמשים רבים שביצעו את העדכון מתלוננים ברשתות החברתיות, באתר Reddit ובאתר הרשמי של החברה שמחשביהם אינם נדלקים. לדבריהם, הם נתקלים במסך כחול שמיד אחריו המחשב נכבה. עד כה זוהתה הבעיה במחשבי (Dell Latitude Laptops (5320 and 5520 וכן בדגמי Dell Inspiron 5680 ו-Alienware Aurora R8 Desktops. משתמשים ברשת הציעו תיקון לא רשמי לבעיה, על ידי חזרה לגרסת ה-BIOS הקודמת. עד כה, מגזין אבטחת המידע BleepingComputer לא הצליח להשיג תגובה מטעם דובר חברת Dell.
צוות קונפידס ממליץ למשתמשי המוצרים שנתקלים בבעיה לפנות ל-Dell ולא לבצע שינויים לא רשמיים במחשביהם.
ממשלת בריטניה חולקת עם פרויקט Have I Been Pwned כמעט 600 מיליון סיסמאות שדלפו
הסיסמאות דלפו בפריצות שונות ובאירועי אבטחת מידע שנחקרו על ידי הממשלה. כמות הסיסמאות ששותפה כעת הגדילה את המאגר המצוי בידי הפרויקט, הפועל ללא מטרות רווח, בכ-38%. המשתמשים הרבים שהמידע האישי שלהם נגנב חשופים לתקיפות פוטנציאליות.
ארה"ב מחזירה 154 מיליון דולר שנגנבו על ידי עובד חברת Sony
ממשלת ארה"ב נקטה בצעדים משפטיים להחרמת ולהשבת הסכום שנגנב על ידי ריי אישי, עובד בחברת Sony Life Insurance Company היושבת בטוקיו ונמצאת תחת חסות ענקית האלקטרוניקה היפנית. על פי התלונה שהגישה הממשלה, העובד הסיט עסקת העברת כספים בין שני חשבונות פיננסיים של החברה באמצעות כתיבת הוראות כוזבות לביצועה, אשר גרמו לכספים להגיע אל חשבון בקליפורניה המצוי בשליטתו. מאוחר יותר המיר את הכסף ליותר מ-3879 ביטקוין, ואף ניסה להניא עובדים אחרים בחברה מלשתף פעולה עם חקירתן של רשויות החוק, זאת באמצעות ניסיון סחיטה. בתום חקירת ה-FBI הוחרם ארנק הביטקוין, לאחר שהושג המפתח האישי המשמש לפתיחתו. הכספים הועברו במלואם אל ארנק הביטקוין של ה-FBI, ומשם אל בעליהם. השלמת החקירה והשבת הכספים התאפשרו בזכות שיתוף פעולה בין החברות Sony ו-Citibank, שמיהרו ליצור קשר עם רשויות החוק, וכן שיתוף פעולה מוצלח בין ה-FBI לבין רשויות החוק היפניות.
דן לורמן מסכם את שנת 2021 בסייבר
בכתבה שפורסמה באתר Government Technology, מומחה הגנת הסייבר הבינלאומי מתאר את 2021 כשנה ההרסנית ביותר מבחינת מתקפות סייבר, אשר כללה מתקפות כופרה שפגעו בצורה חסרת תקדים בעסקים, במוסדות ממשלתיים ואף בתשתיות קריטיות. לדברי לורמן, 2021 תזכר בקרב אנשי הסייבר ״בזכות״ מתקפות הכופרה. הזינוק המשמעותי במתקפות הסייבר החל ב-2020, עם פרוץ מגפת הקורונה, כאשר מגמת העלייה המשיכה ביתר שאת אל תוך 2021, לרבות עליית מדרגה ברמת התחכום של המתקפות. בכתבה משותף סרטון בו נשיא ארצות הברית ג'ו ביידן דן בנושא הסייבר ומתקפות הכופרה, לרבות מתקפות על תשתיות קריטיות, ומציין כי הזהיר את נשיא רוסיה לבל ייתקפו התשתיות הקריטיות של ארצות הברית. נושאים נוספים שבלטו בעולם הסייבר היו המתקפה על שרשרת האספקה העולמית SolarWinds בסוף 2020, ופרסומה של חולשה קריטית בספריית ה-Log4j בסוף 2021, ספרייה בה נעשה שימוש נרחב על ידי המוצר Apache. חולשה זו קפצה לראש רשימת הדאגות של מומחי הסייבר בעולם, סוקרה מקצה לקצה, ונראה כי תמשיך איתנו אל תוך 2022. עוד מסתמן כי תימשך מגמת העלייה במתקפות הכופרה, ובמתקפות הסייבר בכלל.
סייבר ופרטיות - רגולציה ותקינה
נפתחו דיוני ה-Open-ended Working Group של האו"ם בנושא נורמות סייבר: המשלחת הישראלית מציגה דברי פתיחה
ב-13 בדצמבר התקיים המפגש הראשון של אחת משתי קבוצות הפועלות תחת מזכ"ל האו"ם לקידום תהליכים שמטרתם לגבש נורמות לפעילות של מדינות וגופים לא-מדינתיים במרחב הסייבר, תוכנית העבודה של הקבוצה לשנים 2021-2025 מייעדת לשנה הקרובה עיסוק בנושאים הבאים: הרחבת העבודה המשותפת סביב פיתוח כללים, נורמות, ועקרונות החלים על התנהגותן של מדינות במרחב, בניית יכולות הגנת הסייבר של מדינות ויצירת הזדמנויות להמשך המשא ומתן בנושאים הנוגעים להגנת סייבר. פורום ה-OEWG מורכב ממדינות, מארגונים, מחברות פרטיות ומקבוצות אחרות, חלקם כבר הגישו חומרים לקראת השלבים הבאים של תהליך. מדינת ישראל משתתפת במפגשים כחברה בקבוצה, וביום השני לדיונים הציגה את עמדתה הלאומית בפני הפורום. מר אמיר שגיא, המתאם לענייני סייבר במשרד החוץ הישראלי, אמר כי "ישראל רואה בבניית יכולות של הגנת סייבר ובצעדים בוני אמון רכיבי מפתח, ומוכנה לתמוך בהצעות שמטרתן להגביר את היכולת ואת החוסן של מדינות לקדם התנהגות מדינתית אחראית במרחב הסייבר. [...] בכל הנוגע לאופני העבודה שלנו ב-Open-ended Working Group, ישראל תומכת בשיח פתוח ומכיל, הכולל השתתפות של בעלי עניין רלוונטיים בדיונים."
איוון ירמקוב ו-4 אזרחים רוסים נוספים נחשדים כי העבירו את המידע שגנבו לשותפיהם, שהשתמשו בו לביצוע עסקאות בבורסה. מהרווח שהניבו עסקאות אלה הופרשו לירמקוב ולעוזריו 60 אחוזים, במה שהסתכם, ככל הנראה, בעשרות מיליוני דולרים. זוהי הפעם השלישית בה עומד ירמקוב לדין בארצות הברית בגין פריצה מקוונת וגניבת מידע, ובעבר נשפט בזמן שכיהן כראש צוות המודיעין הרוסי. על פי ראיות שהוצגו לבית המשפט, עם שחרורו מהצבא הרוסי החל ירמקוב לעבוד בחברת IT המספקת, בין היתר, שירותי בדיקות חדירות ושירותים המדמים תקיפות של קבוצות APT שונות על ארגונים. במסווה זה פרץ ירמקוב למאגרי המידע האמורים, תוך שהוא מסתיר את עקבותיו על ידי שימוש בשרתי Proxy. לדברי ה-FBI, העמדתם לדין של האזרחים הרוסים היא צעד נוסף במלחמתו הבלתי פוסקת של הארגון בעברייני סייבר.
משרד התחבורה הישראלי מפרסם מידעון בנושא הגנת הפרטיות
המידעון, שפורסם החודש על ידי אגף הסייבר של המשרד, סוקר את דיני הפרטיות המצויים בדין הישראלי והאירופי, מונה חמישה סוגים של פגיעה בפרטיות, מרחיב על היבטים מסוימים של דיני הגנת הפרטיות בישראל ומכיל המלצות לכתיבת תקנון ותנאי שימוש באתרים. עוד מתוארים במסמך ענייני אכיפה וענישה הנוגעים להגנת הפרטיות, לרבות פעילויות אכיפה פליליות ומנהליות ופיקוח. למרות שהמידעון אינו מתמקד בהיבטי פרטיות של שימוש בתחבורה הציבורית בישראל, באוגוסט אשתקד פרסמה הרשות להגנת הפרטיות מדריך בנושא הגנת הפרטיות בגופי תחבורה בעידן הדיגיטלי, המונה את אתגרי הפרטיות הגלומים בשימוש במידע אישי של משתמשי תחבורה ציבורית ואמצעי תחבורה אחרים המהווים "תחבורה חכמה" בת זמננו. בתרשים הבא, הלקוח תוך המדריך שפורסם החודש, מצוינים גורמיו השונים של האקוסיסטם התחבורתי בישראל:
(מקור: רשות הגנת הפרטיות, מדריך בנושא הגנת הפרטיות בגופי תחבורה בעידן הדיגיטלי, עמ' 9)
מאגר הנתונים הממשלתי של ישראל: עדכונים שוטפים בנוגע למידע שברשות גורמי ממשל
האתר data.gov.il מרכז נתונים מתוך 933 מאגרי המידע שברשותם של 57 גופים ממלכתיים בישראל, בהם משרדי ממשלה, רשויות, עיריות, גופי שלטון מקומי וגורמים נוספים, כגון ביטוח לאומי. מאגרי המידע המוצגים לציבור כוללים נתונים המתעדכנים באופן שוטף ומתייחסים לנושאים כלליים, כגון מידע על טיסות, מפלסי הכנרת וים המלח, מאגר רשם המפלגות ופנקס מאגרי המידע. בחודש מאי השנה פרסם מבקר המדינה דוח בנושא הנגשת מאגרי מידע ממשלתיים וציבוריים לציבור, ממנו עלה כי נכון למאי 2019, 32% ממשרדי הממשלה ויחידות הסמך השלימו את מיפוי המאגרים רק באופן חלקי, או שלא ביצעו אותו כלל. בהשוואה למדינות ה-OECD, ישראל ניצבת במקום ה-18 מתוך 34 במדד זמינותו של מידע ממשלתי לאזרחיה.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, אמיר אברהמי, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.