דו״ח סייבר שבועי
עדכון שבועי 24.03.2022
עיקרי הדברים
-
המלחמה בין רוסיה לאוקראינה - נמשכות מתקפות הסייבר בין הצדדים: חבילת הקוד הפופולרית node-icp שונתה על ידי מפתחה על מנת לפגוע במחשבים רוסים ובלרוסים; ה-CERT-UA האוקראיני זיהה שימוש בנוזקת DoubleZero בתקיפות הסייבר במדינה; ביידן וה-FBI באזהרה דחופה למנהלי חברות ועסקים: התכוננו למתקפות סייבר רוסיות.
-
קבוצת $LAPSU תוקפת את Okta ואת מיקרוסופט: מבט מקרוב על קבוצת התקיפה הייחודית.
-
ישראל: סוכלה מתקפת סייבר שנועדה לשבש את נאום זלנסקי; קבוצת LeakTheAnalyst מדליפה שרטוטי מל"טים מחברת בת של ״אלביט״; מערך הסייבר הלאומי מזהיר שכ-66,000 מצלמות אבטחה חשופות להשתלטות מרחוק.
-
מתקפות EDoS: ממניעת שירות לחסימת שירות באמצעות יצירת חיובים ללקוחות.
-
אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Adobe (קריטי); קונטיינרים של CRI-O (קריטי); תוכנת EdgeRover של Western Digital (קריטי); פלטפורמת WordPress (קריטי); פלטפורמת Drupal (גבוה).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה נותן מענה לחולשה קריטית בקונטיינרים של CRI-O
עדכוני אבטחה למוצרי Adobe נותנים מענה לעשרות חולשות, בהן קריטיות
עדכון אבטחה נותן מענה לחולשה קריטית בתוכנת EdgeRover של Western Digital
עדכון אבטחה נותן מענה לחולשות ב-WordPress, בהן אחת ברמת חומרה גבוהה
עדכון אבטחה ל-Drupal נותן מענה לחולשה בספריית Guzzle
עדכון אבטחה ל-OpenShift Container Platform נותן מענה לחולשה המאפשרת הרצת קוד
התקפות ואיומים
SolarWinds ללקוחותיה: הסירו שרתי Web Help Desk החשופים לאינטרנט
ערכת כלים חדשה מאפשרת ביצוע מתקפות פישינג
רשויות מקומיות בצרפת מותקפות על ידי פרצת דלת אחורית חדשה
יצירת אמון על בסיס ״קשר אישי״ וגניבת כלל החסכונות: נוכלי הקריפטו ממשיכים לגבות קורבנות נוספים ברחבי העולם
קבוצת תקיפה דרום קוריאנית מטרגטת מלונות יוקרה בסין
קבוצת התקיפה $LAPSU טוענת שפרצה לשירות Okta על מנת לפגוע בלקוחות החברה
חסרת מעצורים: $LAPSU תוקפת את מיקרוסופט ומדליפה קודי מקור של מגוון מוצרים
$LAPSU: מבט מקרוב על קבוצת התקיפה
מתקפות EDoS: ממניעת שירות לחסימת שירות באמצעות יצירת חיובים ללקוחות
השבוע בכופרה
ה-FBI: נוזקת AvosLocker פוגעת בארגונים בסקטורים קריטיים בארה״ב
Emsisoft פרסמה כלי פענוח לנפגעי הנוזקה Diavol על מנת לסייע להם בשחזור קבצים מוצפנים
שירותי חברת הדלק הרומנית Rompetrol הושבתו עקב מתקפת כופרה של Hive, הדורשת דמי כופר בסך 2 מיליון דולר
הודלף לרשת קוד המקור העדכני של הכופרה Conti
המלחמה במזרח אירופה
כאות תמיכה בעם האוקראיני: חבילת הקוד הפופולרית node-icp שונתה על ידי מפתחה על מנת לפגוע במחשבים רוסים ובלרוסים
אוקראינה פרצה לתחנת הכוח הגרעינית הרוסית ״בלויארסק״ והדליפה קניין רוחני רגיש בעל ערך רב
ביידן וה-FBI באזהרה דחופה למנהלי חברות ועסקים: התכוננו למתקפות סייבר רוסיות
ה-CERT-UA האוקראיני זיהה שימוש בנוזקת DoubleZero בתקיפות הסייבר במדינה
סייבר בישראל
מערך הסייבר הלאומי: ״קרוב ל-66,000 מצלמות ביתיות ומצלמות אבטחה בישראל חשופות להשתלטות מרחוק״
קבוצת התקיפה LeakTheAnalyst מדליפה שרטוטי מל"טים לאחר שתקפה חברת בת של ״אלביט״
במהלך נאום זלנסקי לכנסת: ניסיונות לשבש את השידור באמצעות מתקפת סייבר
סייבר ופרטיות - רגולציה ותקינה
קידום פעילות רגולטורית בקצב מואץ בממשל ביידן: חקיקה, הצהרות והשקעות
היועץ המשפטי של מדינת קליפורניה בעניין יישום חוק הגנת פרטיות צרכן: הזכות לקבל מידע אודות "בניית פרופיל" של הצרכן
חוק הגנת פרטיות חדש לערב הסעודית: צעד נוסף בטרנספורמציה הדיגיטלית של הממלכה
כנסים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה נותן מענה לחולשה קריטית בקונטיינרים של CRI-O
החולשה (CVE-2022-0811), שהתגלתה על ידי חוקרים מחברת CrowdStrike, עלולה לאפשר לתוקף בעל גישה ליצירת Pod בסביבת Kubernetes המשתמשת ב-CRI-O לפגוע בפרמטר הליבה kernel.core_pattern, על מנת לקבל גישה לרכיבים נוספים באותו ה-Cluster ולהריץ קוד עם הרשאות גבוהות על כל Node המצוי באותו ה-Cluster.
צוות קונפידס ממליץ למשתמשי המוצרים הרלוונטיים לעדכנם לגרסאותיהם האחרונות, או לפעול על פי המדריך שפרסמה החברה למעקף של החולשה, המצוי כאן.
עדכוני אבטחה למוצרי Adobe נותנים מענה לעשרות חולשות, בהן קריטיות
העדכונים רלוונטיים למוצרים Acrobat ו-Reader במערכות ההפעלה OS X ו-Windows, וסוגרים חולשות רבות מסוג Use After Free, הנובעות מניהול שגוי של הקצאת הזיכרון במערכת. חולשות אלה עלולות לאפשר לתוקף להריץ קוד מרחוק ובכך להשיג אחיזה בעמדה. זאת ועוד, העדכון נותן מענה לכמה חולשות מסוג Out-of-bounds Write, הנובעות אף הן מניהול שגוי זיכרון המערכת, ועלולות לאפשר לתוקף לכתוב מחוץ לאזור המוקצה לאפליקציה, מה שעשוי להוביל להשחתת מידע, לקריסת עמדת הקצה ולהשתלטות עליה באמצעות הרצת קוד מרחוק.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון אבטחה נותן מענה לחולשה קריטית בתוכנת EdgeRover של Western Digital
עדכון האבטחה רלוונטי לאפליקציה EdgeRover במערכות ההפעלה Windows ו-Mac, המשמשת לניהול קבצי מדיה על מחשבי הקצה של המשתמשים. החולשה (CVE-2022-22998, CVSS. 9.1) עלולה להוות פתח למתקפת Directory Traversal, המאפשרת גישה לתיקיות וקבצים שאינם אמורים להיות נגישים, ובכך עלולה לאפשר העלאת הרשאות ומתקפת מניעת שירות (DDoS).
צוות קונפידס ממליץ למשתמשי המוצר לשדרגו לגרסתו האחרונה.
עדכון אבטחה נותן מענה לחולשות ב-WordPress, בהן אחת ברמת חומרה גבוהה
העדכון לגרסה 5.9.2 של המוצר מתקן 3 חולשות שנמצאו בגרסאות 5.9.0 ו-5.9.1, בהן אחת ברמת חומרה גבוהה ושתיים ברמת חומרה בינונית. החולשה החמורה מבין השלוש (CVSS 8.0) הינה מסוג Cross-site scripting ועלולה לאפשר לתוקף להעלות קוד זדוני ישירות לאתר WordPress, ובכך להשיג עליו שליטה. לשם ניצול חולשה זו, מספיק שיהיו בידי התוקף הרשאות ברמת Contributor. כל שאר גרסאות WordPress מ-3.7 ומעלה עודכנו אוטומטית.
צוות קונפידס ממליץ למשתמשי הפלטפורמה לבחון את העדכונים ולהטמיעם במערכותיהם בהקדם.
עדכון אבטחה ל-Drupal נותן מענה לחולשה בספריית Guzzle
בעקבות חולשה (CVE-2022-24775) שהשפיעה על גרסאות 1.8.3, 2.0.0 ו-2.1.0 של ספריית Guzzle, המנהלת בקשות HTTP, ב-21 במרץ פורסם עדכון לתוכנת בניית ותחזוקת האתרים Drupal, העושה שימוש בספרייה האמורה. העדכון רלוונטי לגרסאות 9.2 ו-9.3 של Drupal, כאשר חולשה במוצר פגיע עלולה לאפשר לתוקף להשתלט על אתר ה-Drupal. זאת ועוד, ב-23 במרץ חוקר האבטחה מילאד קראימי פרסם באתר Packet Storm כי איתר חולשה בגרסה 7x-1.0-beta8 של Drupal. חולשה זו מאפשרת לתוקף להשתיל קוד JavaScript בתוך Avatar ובכך לבצע מתקפה מסוג XSS . נכון לשעה זו לא התקבלה התייחסות רשמית של החברה לחולשה.
צוות קונפידס ממליץ למשתמשי Drupal ולמשתמשי Guzzle לעדכן את המוצרים לגרסאותיהם האחרונות.
עדכון אבטחה ל-OpenShift Container Platform נותן מענה לחולשה המאפשרת הרצת קוד
המוצר של חברת Red Hat, המספק תמיכה לאפליקציית Kubernetes המצויה בשימוש רחב בסביבות ענן, מעודכן כעת בשל חולשה (CVE-2022-0811) שמקורה ב-Kernel ומאפשרת הרצת קוד על עמדה פגיעה.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהתאם להנחיות היצרן.
התקפות ואיומים
SolarWinds ללקוחותיה: הסירו שרתי Web Help Desk החשופים לאינטרנט
בהודעה מטעם החברה נמסר כי בעקבות פניה של לקוח שחווה ניסיון תקיפה על שרת ה- Web Help Desk 12.7.5 שברשותו נפתחה בנושא חקירה, שטרם עלה בידה לשחזר את השתלשלות המקרה. נכון לשעה זו, SolarWinds ממליצה לכלל הלקוחות שהטמיעו את השרת האמור לחסום אליו גישה אינטרנטית, עד לסיום החקירה. במקרים בהם לא ניתן לחסום את הגישה החיצונית לשרת, המלצת החברה היא לוודא כי מותקנת על שרת ה-WHD תוכנת EDR המנטרת וחוסמת פעילות זדונית.
ערכת כלים חדשה מאפשרת ביצוע מתקפות פישינג
הערכה, שפורסמה באתר GitHub, נועדה לפישינג המתמקד ביצירת חלון הרשמה לאתר באמצעות חשבונות Google ,Facebook ופלטפורמות אחרות. במתקפה החדשה, שקיבלה את השם BitB) Browser in the Browser), התוקפים יוצרים חלון חיבור אמין למראה על ידי שימוש בתבניות מוכנות מראש. לצורך כך, פורסמה ערכה המאפשרת לפתוח חלון דפדפן נוסף בתוך החלון הקיים, בדומה לחיבור רגיל לאתר. היתרון הגלום בדבר הוא שבאמצעות ערכת הכלים התוקף יכול לזייף גם את כתובת ה-URL המופיעה בחלון, ובכך להפוך את בדיקת ה-URL של החלון ללא אמינה. למעשה, ערכת הכלים מנצלת את ״ריחוף״ העכבר מעל ל-URL ומשתמשת בהזנת קוד נוסף שמתעלם מה-URL המוצג ב״ריחוף״ ומפנה את המשתמש לאתרו של התוקף בעת לחיצה. כלומר, ה-URL המוצג בחלון עשוי להיות לגיטימי לחלוטין, אך בעת לחיצה עליו תתבצע הפניה לאתר אחר. הקורבן, שאינו מזהה את התרמית, עלול להזין את פרטי הכניסה שלו בחלון המזויף, ובכך להעבירם לידי גורמים זדוניים. מבדיקה שערך לערכה החדשה קובה גרצקי, יוצר כלי הפישינג Evilginx, עולה כי היא עובדת היטב עם המערכת שברשותו, ומכאן שיהיה ניתן להתאימה למעקף מנגנוני אימות דו-שלבי (2FA) במהלך מתקפות פישינג.
רשויות מקומיות בצרפת מותקפות על ידי פרצת דלת אחורית חדשה
רשויות בתחומי הבנייה והנדל״ן ובענפים אחרים מאוימות על ידי קמפיין מייל זדוני המכיל מסמך Word שמתחזה למסמך הכולל מידע בנוגע לרגולציה האירופית הכללית להגנה על מידע (GDPR). המתקפה החלה עת אחד הקורבנות פתח את מסמך ה-Word ואיפשר הפעלת מאקרו (הרצת קוד מתוך המסמך על מנת לבצע פעולות). הדבר הביא להרצת פקודה להורדת קובץ תמונה (ship3.jpg) שהכיל קוד, אשר בתורו הוריד, התקין ועדכן את התוכנה Chocolatey, המשמשת להורדה והתקנה של תוכנות, סקריפטים ועוד. בשלב הבא, הסקריפט השתמש ב-Chocolatey לשם התקנת Python, לרבות החבילה PySocks, מה שאיפשר לתוקף להעביר תעבורה דרך PySocks. לאחר מכן הסקריפט הוריד תמונה נוספת (jpg.7), שהכילה אף היא קוד חבוי ששמר קובץ סקריפט Python בשם MicrosoftSecurityUpdate.py. קובץ זה משמש כ-Backdoor בידי התוקפים, ואף שומר את הקובץ MicrosoftSecurityUpdate.bat, המכיל סקריפט להפעלת הקובץ MicrosoftSecurityUpdate.py בסביבת ה-Python שהותקנה במחשב. לדברי חברת Proofpoint, האלמנטים שמייחדים את המתקפה ממתקפות פישינג אחרות הם השימוש ב-Chocolatey ככלי להעברת והתקנת Python במחשב כפעולות לגיטימיות, השימוש שנעשה לאחר מכן בכלי Python - שנראה כפעולה מאושרת, והשימוש בסטגנוגרפיה ל״החבאת״ קוד זדוני בתמונות ובפקודות Macro, דבר שאינו שכיח במתקפות פישינג. ייחוד נוסף של המתקפה הוא השימוש ב-schtasks.exe כאמצעי להפעלת קבצים במחשב, דבר אשר לדברי Proofpoint לא נצפה על ידה קודם לכן. בשלב זה טרם יוחסה הפעולה לקבוצת תקיפה מסוימת, וטרם התבררה מטרתה, אך הצלחת המתקפה מאפשרת לתוקף לבצע מספר רב של פעולות זדוניות, בהן גניבת מידע, שליטה על המחשב המותקף והתקנת תוכנות או קבצים נוספים.
צוות קונפידס ממליץ לבחון תמיד מיילים שמתקבלים בתיבת הדואר האלקטרוני ולהתייחס אליהם בחשדנות, במיוחד כשמדובר בהודעות עם קבצים מצורפים.
Sha zhu pan הינו סגנון הונאת סייבר המתבסס על ״יצירת קשר אישי״ עם קורבנות דרך אפליקציות היכרויות כדוגמת Tinder ,Facebook Dating ואחרות, ושכנועם להתקין במכשירם אפליקציות מסחר שונות בתחומי המטבעות הקריפטוגרפיים, תוך הבטחת שווא לתשואות כספיות משמעותיות. לרוב, נוכלי הקריפטו שולחים לקורבנות קישור המעביר אותם לדף הורדה תמים למראה של האפליקציה מדוברת. בפועל, האפליקציות המותקנות הן תוכנות המאפשרות לתוקף להקפיא את הכספים המושקעים ולהוציא את הקורבנות משימוש באפליקציות.
(מקור: 21.3.22 ,TheHackerNews.com)
קבוצת תקיפה דרום קוריאנית מטרגטת מלונות יוקרה בסין
הקמפיין אותר על ידי צוות מחקר האיומים של חברת Trellix, שהתבסס על מחקר מקדים שפירסמה Zscaler, בו יוחסו הפעולות לקבוצת ה-APT המכונה DarkHotel. שיטת התקיפה של הקבוצה התמקדה בדיוג חברי הנהלה בדרגים בכירים במטרה לקבל גישה לחשבון בעל הרשאות גבוהות, כאשר בדצמבר האחרון קיבלו 17 בתי מלון באזור מקאו מייל מזויף שהתחזה לכזה אשר נשלח מטעם משרד התיירות הממשלתי. המייל הכיל מסר מניפולטיבי שגרם לנמענים לפתוח קובץ Excel שצורף אליו, ואשר עם פתיחתו (ובתנאי שאושר שימוש במאקרו על ידי משתמש הקצה) הופעל קוד זדוני שבשלב הראשון אפשר איסוף נתונים רגישים מהמחשבים הנגועים, ובשלב מתקדם יותר התיר פתיחה של חיבור לשרת שליטה ובקרה מרחוק (C&C).
קבוצת התקיפה $LAPSU טוענת שפרצה לשירות Okta על מנת לפגוע בלקוחות החברה
הקבוצה, אשר עומדת מאחורי מספר תקיפות גדולות שבוצעו לאחרונה, בהן תקיפת משרד הבריאות הברזילאי, חברת NVIDIA וחברת Samsung (ראו ה״סייבר״ 16.12, ״הסייבר״ 3.3, ״הסייבר״ 10.3 ו-״הסייבר״ 17.3), הודיעה השבוע כי הצליחה לחדור למערכותיה של Okta, המספקת שירות גישה לאפליקציות ולשירותים שונים תוך הזדהות מול הפלטפורמה של Okta בלבד.
התקיפה התבצעה באמצעות השתלטות על עמדת קצה של עובד תמיכה טכנית בחברה, אך לדברי $LAPSU מערכותיה של Okta אינן יעד התקיפה, אלא לקוחותיה. מכיוון שהשירות שמספקת Okta מוגדר כשירות קריטי בכל ארגון, החלה בהלה ברשת עם היוודע דבר הפריצה, כביכול, נוכח האפשרות שבוצעה חדירה לרשתותיהם של לקוחות החברה. בעדכון שפרסמה Okta לאחר חקירה ראשונית, דווח כי ממצאים פורנזיים מעידים על כניסה חשודה לחשבון מסוג Support Engineers בין התאריכים 16-21 בינואר, כאשר לגורם החודר היתה גישה ישירה למחשבו של העובד באותו פרק זמן. להערכת Okta, צילומי מסך פנימיים שפורסמו בקבוצת הטלגרם של $LAPSU נלקחו באותם תאריכים שצוינו בדוח הפורנזי. עוד הוסיפה החברה כי היקף ההרשאות שהיו בידי המשתמש ש״נפרץ״ לא כללו מחיקת והוספת משתמשים או הורדת מידע אודות לקוחות.
לעדכונה של Okta הגיבה קבוצת התקיפה בפוסט בחשבון הטלגרם שלה, בו היא משתלחת בחברה ומנסה לפגוע בתדמיתה המקצועית בתחום אבטחת המידע. בתגובתה מציינת $LAPSU את סוג המחשב אליו השיגה גישה וטוענת כי אפשר לה גישה ללא פחות מ-8,600 ערוצים שונים בפלטפורמת ההתכתבויות Slack. ב״הטרלה״ נוספת טענה הקבוצה כי שמירת סיסמאות התחברות לסביבת AWS בתוך קבוצת Slack אינה פתרון טוב ואינו מתאים לחברה שעוסקת באבטחת מידע. עוד טענה $LAPSU כי הפגיעה בלקוחות Okta טרם הסתיימה, וכי בהתאם להרשאות המשתמש שנפרץ (שינוי סיסמאות ואמצעי אימות נוספים) היא תממש את פוטנציאל התקיפה בקרב לקוחות נוספים.
ב-23 במרץ פרסמה Okta עדכון נוסף, לפיו בסיכום חקירתה ניתן להעריך שכ-2.5% מכלל לקוחותיה עשויים היו להיפגע במהלך התקיפה. לפיכך, החברה יצרה קשר ישיר עם הלקוחות הרלוונטיים, על מנת להסביר להם את הנזק הפוטנציאלי ואת הפעולות שניתן לבצע להמשך פעילותם התקינה. זאת ועוד, החברה קיימה וובינר בנושא בכדי להפיג חששות בקרב קהל לקוחותיה ולנסות ולתקן את הפגיעה בתדמיתה.
צוות קונפידס ממליץ לכלל הקוראים ליישם את המלצות החברה להגדרה נכונה של השירות ולבצע חקירה ידנית בתיעוד האירועים בסביבה, כדי לוודא שאינם נמנים על לקוחות החברה שנפגעו באירוע.
חסרת מעצורים: $LAPSU תוקפת את מיקרוסופט ומדליפה קודי מקור של מגוון מוצרים
כנופיית פשע הסייבר הודיעה השבוע כי פרצה לשרת Azure DevOps של החברה והצליחה להדליף ממנו קוד מקור של מספר פרויקטים. על מנת לבסס את טענתה, $LAPSU פרסמה בעמוד הטלגרם שלה צילום מסך המעיד על הימצאותה בתוך שרתים פנימיים של החברה, וכן קובץ טורנט בגודל 9GB, שהכיל קוד מקור לגיטימי, כתובות מייל ודוקומנטיות שלדברי הקבוצה שימשו למטרות פנימיות ביותר מ-250 פרויקטים של מיקרוסופט. לטענת $LAPSU, הדלף מכיל 90% מקוד המקור של Bing וכ-45% מקודי המקור של Bing Maps ושל Cortana. בתוך כך, לידי מגזין אבטחת המידע BleepingComputer הגיע מידע לפיו ברשות התוקפים נמצא קובץ דחוס במשקל 37GB, המכיל קודי מקור שהודלפו מן החברה, ובעיקר תוכן הנוגע לתחום ה-Web, אך לא מידע על מוצרי החברה הראשיים, כגון Windows Server ,Windows ו-Microsoft Office. מנגד, מיקרוסופט טוענת שרק חלק מהמידע נחשף למתקפה, וכי לא נחשפו מידע או קוד של לקוחותיה. זאת ועוד, ממצאי החקירה שערכה החברה מצביעים על חשיפת חשבון שדרכו בוצעה המתקפה. בגילוי פומבי של מיקרוסופט נמסר כי צוות התגובה שלה הכיל את הפגיעה ומנע מהתוקפים להמשיך בדלף המידע, וכי הקוד שדלף אינו מהווה סיכון אבטחתי למשתמשי הפלטפורמות שנחשפו. עוד פרסמה מיקרוסופט מגוון המלצות למניעת מתקפות דומות בעתיד, בהן חיזוק האימות הדו-שלבי (MFA), העלאת המודעות למתקפות הנדסה חברתית וניטור מדויק והקשחה של סביבת הענן הארגונית. ההמלצות נגזרו מתהליך הפקת הלקחים שביצעה החברה לאחר המתקפה.
$LAPSU: מבט מקרוב על קבוצת התקיפה
הקבוצה, שהופיעה לראשונה בזירה בדצמבר 2021 כאשר ניסתה לסחוט את משרד הבריאות הברזילאי, עלתה לאחרונה רשמית לכותרות, לאחר שפרסמה צילומי מסך של כלים פנימיים מתוך מערכותיהם של מספר תאגידי ענק, בהם NVIDIA, Samsung ו-Vodafone. על פי מקורות שהגיעו למגזין האבטחה Krebs On Security, נראה ש-$LAPSU מגייסת ״עובדים״ באמצעות פלטפורמות מדיה חברתית מאז נובמבר 2021, לכל לפחות. לדברי אליסון ניקסון, קצינת המחקר הראשית של Unit 221B, קבוצת $LAPSU היא כנראה הראשונה המבהירה לעולם שיש שלל מטרות פגיעות במגזרים שאינם רגילים להיות במוקד מתקפות מסוג זה.
לפי מיקרוסופט, תחילה התמקדה הקבוצה ופגעה בחשבונות פרטיים של אנשים לקבלת גישה אליהם, על מנת להסתייע בהם לחיפוש פרצות שיאפשרו גישה למערכות ארגוניות. בשלבים מתקדמים יותר השתמשה הקבוצה גם ב-SIM swap בניסיון לגשת לחשבונות מפתח בארגוני יעד. בתקיפה מסוג זה משחדים או מרמים עובדי חברת סלולר להעביר את מספר הטלפון הנייד של אדם המהווה מטרה למכשירו של התוקף. דבר זה מאפשר לתוקף ליירט כל סיסמה חד-פעמית שנשלחת אל הקורבן באמצעות SMS או שיחת טלפון, ולאחר מכן לאפס את הסיסמאות של כל חשבון מקוון המאפשר זאת באמצעות קישור שנשלח ב-SMS.
עוד נדון על ידי Krebs on Security מי שמכונה WhiteDoxbin ומוביל את $LAPSU,לכאורה. WhiteDoxbin אינו מפורסם בכתבה בשמו האמיתי בשל היותו קטין בן 17, רכש בשנה שעברה את Doxbin, אתר אינטרנט ותיק מבוסס-טקסט, שבו כל אדם יכול לפרסם מידע אישי או למצוא נתונים אישיים של מאות אלפים, שדלפו זה מכבר לרשת. ואולם, WhiteDoxbin לא הצליח לשמור על תפקוד האתר, והחברים בו הביעו אי-שביעות רצון מהאופן בו ניהל אותו. אי לכך, בינואר 2022, נכנע WhiteDoxbin, ויתר על השליטה באתר ומכר את הפורום בחזרה לבעליו הקודמים, בהפסד כספי ניכר. ואולם רגע לפני שעשה זאת, הוא הדליף לציבור את כל מערך הנתונים של Doxbin (לרבות דוקסים פרטיים שטרם פורסמו והיו מצויים באתר כטיוטות) בעמוד טלגרם שפתח. בפרסום המלא ניתן למצוא מידע מקיף נוסף על דרכי הפעולה של הקבוצה.
מתקפות EDoS: ממניעת שירות לחסימת שירות באמצעות יצירת חיובים ללקוחות
מתקפות ה-DoS/DDoS, או מניעת השירות, מוכרות לכל העוסקים בתחום אבטחת הסייבר. אלא שהתקדמות העולם בכיוון שירותי הענן, הצופנים בחובם שלל יתרונות, בהם גמישות והתאמת המשאבים לארגון, המשכיות עסקית, חיסכון כספי ועוד - אך טבעי שגורמי איום בתחום הסייבר יכוונו את תקיפותיהם לשירותים אלה. מתקפת EDoS, אם כן, מנצלת את יתרונות הענן כמשאב זמין, גמיש ומהיר, על מנת לשבש או למנוע את זמינותם של שירותים, של תשתיות התומכות ביישומים ושל מערכות ורשתות של ארגונים, והיא מכוונת בעיקר לשירותי ענן מסוג ״תשתית כשירות״ (IaaS). תקיפת EDoS צולחת כאשר מתאפשר לתוקף להשתלט על משאב בענן ולהתקין עליו תוכנה זדונית המחברת אותו לשרת מרוחק (C&C), שדרכו הוא שולח בקשות המגדילות את משאבי הענן של הלקוח. מתקפה זו קשה לזיהוי, מפני שבזמן שמשאבי הענן מתרחבים, שירותי הענן אינם נפגעים. מלבד זאת, התוקפים משתמשים בכתובות IP מזויפות, המקשות על גילוי המתקפה בשיטות המסורתיות של ניתוח רשת (מלבד כתובות IP בעלות מוניטין שלילי) והאירוע נתפס כהגדלה רגילה במערכת הענן. במודל ה-IaaS, הלקוח מחויב על פי השימוש שעשה במשאבי הענן. לכן, מטרת התוקפים היא לייצר חיובים עצומים ללקוח, עד למצב בו חשבונו יהפוך לבלתי אפשרי לתשלום, או שהשירות ייפסק. בדומה למתקפת DDoS, גם כאן המטרה היא לפגוע בעסקים ולגרום להם להפסדים כספיים.
השבוע בכופרה
ה-FBI: נוזקת AvosLocker פוגעת בארגונים בסקטורים קריטיים בארה״ב
AvosLocker היא נוזקה בה משתמשים שותפים (Affiliates) של קבוצת התקיפה על פי מודל של ״כופרה כשירות״ (RaaS). דוח של לשכת החקירות הפדרלית של ארצות הברית שפורסם ב-17 במרץ מזהיר ארגונים מפני הכופרה, שלאחרונה פגעה במספר קורבנות אמריקאיים ממגזרי הפיננסים, התעשייה והממשל. לדברי ה-FBI, הקבוצה העומדת מאחורי הנוזקה טוענת שהיא מנהלת עם קורבנותיה משא ומתן ישיר בנוגע לתשלום הכופר שהיא דורשת, וכי היא מאחסנת את המידע שנגנב מהקורבנות ומפרסמת אותו במידה שדמי הכופר אינם משולמים. עוד נמסר כי AvosLocker מצפינה קבצים על מחשב הקורבן ומוסיפה לשמם את הסיומת "avos.", וכי מפעיליה מעדיפה תשלום באמצעות המטבע הדיגיטלי Monero. במידה והקורבן מעדיף לשלם בביטקוין, הקבוצה וגובה עמלה בגובה 10-25%. דוח ה-FBI כולל גם מזהי תקיפה (IOCs) ודרכי מיטיגציה, על מנת לסייע לארגונים להתמודד עם האיום.
Emsisoft פרסמה כלי פענוח לנפגעי הנוזקה Diavol על מנת לסייע להם בשחזור קבצים מוצפנים
בינואר האחרון הוכרז באופן רשמי על קשר בין TrickBot, מרשתות הבוטנט הגדולות בעולם, לבין הכופרה Diavol. נוזקת TrickBot הינה נוזקה טרויאנית פופולרית המשמשת לגניבה מידע פיננסי. מאז הופיעה במרחב הסייבר ב-2016 היא משודרגת באופן שיטתי וכיום מצויה בידי קבוצת התקיפה העומדת מאחוריה רשת בוטים המונה יותר ממיליון מחשבים. ברשת זו עושה TrickBot שימוש למטרות זדוניות, בעיקר על ידי קבוצות תקיפה אחרות באמצעות מודל ה״נוזקות כשירות״ (MaaS), הממנף את רשת הבוטים להפצה של נוזקות נוספות, בהן גם Conti ו-Ryuk. בעוד שניתוח גרסה ישנה של הנוזקה שביצעו חוקרי IBM X-Force מחזק את הקשר בין Diavol ל-TrickBot, חוקרי Fortinet שניתחו גרסה חדשה של הנוזקה והשוו בין השתיים גילו מידע חיוני אודות Diavol ואופן פיתוחה, אשר הוביל אותם אל ההשערה לפיה ייתכן ומאחורי רשת הבוטים הזדונית עומדת כנופיית הסייבר Wizard Spider. המפענח החינמי שפותח על ידי Emsisoft ופורסם כעת לצד מדריך רשמי לשימוש בו, אינו מבטיח שהנתונים המפוענחים יהיו זהים לגמרי לקבצים המקוריים, מכיוון שהנוזקה אינה שומרת מידע על הקבצים שהוצפנו. לדברי מפתחי Emsisoft, על מנת שייצור המפתח יצלח - יש להעלות אל המפענח זוג קבצי דגימה: אחד שהוצפן על ידי הנוזקה ואחד מקורי שלא עבר הצפנה, תוך שמירה על שמות הקבצים המקוריים. זאת ועוד, על הקובץ להיות בגודל מינימלי של 20KB, ורצוי שיהיה גדול אף יותר, עקב מגבלות טכניות שאינן מאפשרות לכלי לפענח קבצים גדולים יותר מקובץ הדגימה.
שירותי חברת הדלק הרומנית Rompetrol הושבתו עקב מתקפת כופרה של Hive, הדורשת דמי כופר בסך 2 מיליון דולר
במקביל לידיעה שפורסמה בחשבון הפייסבוק של חברת הבת של KMG העולמית, בה נמסר כי היא חווה מתקפת סייבר קשה, מגזין אבטחת המידע BleepingComputer דיווח כי נרשמה השבתה זמנית של אתר החברה ושל שירות ה-Fill&Go שלה, לניהול ומעקב אחר ציי רכב. בהמשך מסרה Rompetrol כי החזירה את שירות ה-Fill&Go לפעילות תקינה, וכי שירותי המייל שלה לא נפגעו כתוצאה מהמתקפה. זאת ועוד, ממידע ממקור אנונימי שהגיע לידי מערכת BleepingComputer עולה שהתוקפים הצליחו להגיע לרשת ה-IT הפנימית של מזקקת הדלק של החברה, ואולם מ-Rompetrol נמסר שהמזקקה ושירותיה לא נפגעו במתקפה. בתוך כך, קבוצת התקיפה Hive דורשת תשלום דמי כופר בגובה 2 מיליון דולר בעבור מסירת מפתח הצפנה ואי-פרסום המידע שנגנב מהחברה, לכאורה.
הודלף לרשת קוד המקור העדכני של הכופרה Conti
בהמשך לדיווחינו בשבועות הקודמים אודות הדלפות של מידע רב מתוך התכתבויות בין חברי קבוצת התקיפה הרוסית (ראו ״הסייבר״, 3.3.22, ״הסייבר״, 10.3.22 ו-״הסייבר״, 17.3.22), השבוע פרסם החוקר האוקראיני ויטלי קרמז את קוד המקור העדכני של גרסה v3, בה עושה כיום Conti שימוש. בתמונה המצורפת, ניתן לראות את פונקציית ההצפנה מתוך קוד המקור של הקבוצה.
(מקור: BleepingComputer, 21.3.22)
המלחמה במזרח אירופה
כאות תמיכה בעם האוקראיני: חבילת הקוד הפופולרית node-icp שונתה על ידי מפתחה על מנת לפגוע במחשבים רוסים ובלרוסיםnode.ipc הינה ספריית קבצים המשמשת לתקשורת בין תהליכים מקומיים ומרוחקים ותומכת במערכות Linux ,Mac ו-Windows. במהלך השבועיים האחרונים הופץ עדכון לספריית הקבצים (גרסאות 10.1.1 ו-10.1.2) אשר כלל בתוכו קובץ זדוני המזהה כתובות IP שמשויכות לרוסיה ולבלארוס, מוחק במכונה המקושרת אליהם קבצים, ומחליפם באימוג׳י של לב. לאחר דיווחים רבים על בעיות שחוו משתמשים, זוהה הקובץ WITH-LOVE-FROM-AMERICA.txt, אשר הצביע על מקור החבלה. נכון לשעה זו נראה כי מאחורי המתקפה עומד אזרח אמריקאי בשם ברנדון נוזאקי מילר, אשר ביצע אותה מתוך הזדהות עם העם האוקראיני. להלן צילום מסך של אנליסט לאחר הטמעת עדכון התוכנה.
(מקור: MidSpike@)
אוקראינה פרצה לתחנת הכוח הגרעינית הרוסית ״בלויארסק״ והדליפה קניין רוחני רגיש בעל ערך רב
תחנת הכוח הגרעינית ״בלויארסק בזרצ׳ני״, הנמצאת במחוז סברדלובסק שברוסיה, מונה שני כורים גרעיניים, ה-BN-800 וה-BN-600, הוותיק יותר. הכורים מעוררים עניין רב בקרב מדינות כמו יפן וצרפת, אשר מנסות לחקות את הטכנולוגיה הייחודית והחסכונית בדלק עליה מבוססת פעולתם, שאף אינה מייצרת פסולת גרעינית (טכנולוגיה זו מכונה Beloyarsk, ומכאן שם התחנה). במהלך הפריצה, אשר מאחוריה עומדת מחלקת המודיעין הראשית של משרד ההגנה האוקראיני (GURMO), הודלפו מסמכים רבים, בהם חוזים, תרשימים ארכיטקטוניים, הגדרות של מערכות אזעקה ובקרה ועוד. סודות מסחריים אלה הם בעלי ערך רב, ועצם דליפתם עלולה לפגוע ברוסיה קשות, הן מורלית והן כלכלית, בייחוד בזמן מלחמה. בתוך כך, ה-GURMO הדליפה מסמכים רבים לסופר ג׳פרי קאר, מחבר הספר ״Inside Cyber Warfare״, אשר כתב מאמרים אודות הפריצה בניוזלטר שהוא מפיץ.
ביידן וה-FBI באזהרה דחופה למנהלי חברות ועסקים: התכוננו למתקפות סייבר רוסיות
בהצהרה שפרסם נשיא ארצות הברית ג׳ו ביידן מודגש כי ימים אלה הם קריטיים להאצת המאמצים לשיפור אבטחת הסייבר והחוסן הלאומי במדינה, על רקע הדיווחים המודיעיניים לפיהם ממשלת רוסיה בוחנת אפשרויות לתקיפת סייבר נגד ארגונים אמריקאיים. ביידן יוצא בקריאה לחברות בסקטור הפרטי ומפציר בהן להקשיח את הגנות הסייבר שלהן באופן מיידי, על ידי יישום השיטות המומלצות שפרסם הממשל במהלך השנה האחרונה. במסיבת עיתונאים שנערכה לאחר פרסום ההצהרה בהשתתפות מזכירת העיתונות של הבית הלבן ג׳ן פסקי וסגנית היועץ לביטחון לאומי לענייני סייבר וטכנולוגיות מתפתחות במחלקה לביטחון המולדת (NSA), אמרה נויברגר כי הממשל פעל רבות במהלך השנה האחרונה על מנת להיערך להתמודדות עם איום מסוג זה, תוך אזהרות וייעוץ חסרי תקדים למגזר הפרטי וחיוב צעדי אבטחת סייבר בכל מקום בו היתה לממשל סמכות לעשות זאת. לטענתה, מאמצי השנה האחרונה עזרו להניע שיפורים נחוצים ומשמעותיים, אך ישנן עוד פעולות רבות בהן יש לנקוט בכדי להשיג ביטחון מלא בתחום הדיגיטלי, במיוחד עבור השירותים הקריטיים עליהם מסתמכת אמריקה. רוב התשתיות הקריטיות של ארצות הברית מצויות כיום בבעלות המגזר הפרטי ובניהולו, ורק לאותם בעלים ומפעילים יש את היכולת והאחריות להקשיח את המערכות עליהן מסתמכת כלל המדינה. למרות זאת, אמרה נויברגר, חרף אזהרות חוזרות ונשנות אנו ממשיכים להיות עדים לתקיפות של מערכות באמצעות פרצות ידועות שיש להן תיקונים ואשר לא עודכנו בזמן, עובדה המטרידה מאוד את הממשל. אי לכך, הבית הלבן פרסם מסמך הכולל הנחיות והוראות לחברות בסקטור הפרטי ליישום צעדים לשיפור אבטחת המידע שלהן. במקביל, לשכת החקירות הפדרלית (FBI) החלה לעבוד בשיתוף פעולה עם חברות במגזר הפרטי בכדי לעזור להן להתמודד עם איומי סייבר. על פי נאום שנשא ראש ה-FBI כריסטופר ווריי, הוקמו ברחבי ארצות הברית כוחות משימה שתפקידם להישלח לחברות שחוו מתקפת סייבר ולעזור להן בחקירת האירוע, כמו גם בטיפול בתחום הסמכות השיפוטית, על מנת לרדוף כל גורם זדוני במרחב. זאת ועוד, ה-FBI נוהג בשקיפות רבה יותר מול הציבור בנוגע למידע המתגלה לו על קבוצות תקיפה ומקפיד לפרסם אינפורמציה שתעזור לחברות להתגונן טוב יותר.
ה-CERT-UA האוקראיני זיהה שימוש בנוזקת DoubleZero בתקיפות הסייבר במדינה
צוות החירום האוקראיני לטיפול באירועי מחשב חשף ב-17 במרץ כי איתר מקרים של שימוש בנוזקה ההרסנית כנגד ארגונים וחברות בשטח אוקראינה, לאחר שזוהו מספר קבצי ZIP אשר הכילו תוכנות NET. שמתחזות לתוכנות לגיטימיות, אך בפועל מרכיבות את נוזקת ה-DoubleZero. נוזקה זו משמידה במחשב הקורבן קבצים באמצעות שכתוב מחדש של המידע, ומשמידה במערכת ההפעלה את אזורי ה-Registry הבאים:
-
HKCU
-
HKU
-
HKLM
-
HKLM\BCD
בסיום פעולתה, הנוזקה מכבה את המחשב. ה-CERT-UA ייחס את הפעולות לגוף המכונה UAC-0088 וקישר אותן ישירות לנסיונות התקיפה והחבלה כנגד ארגונים האוקראיניים במסגרת הלחימה במדינה.
סייבר בישראל
מערך הסייבר הלאומי: ״קרוב ל-66,000 מצלמות ביתיות ומצלמות אבטחה בישראל חשופות להשתלטות מרחוק״
הסיבה המרכזית לנתון מדאיג זה הינה העובדה שרבים אינם מחליפים את סיסמת ברירת המחדל של המוצר לסיסמה אחרת, חזקה. בפרסום המערך מתואר מקרה בו תוקפים שלחו לקורבן צילומים מתוך ביתו, לאחר שהצליחו לגשת למצלמות האבטחה שלו על ידי שימוש בסיסמת ברירת המחדל של המוצר. כתוצאה מאירוע זה ואחרים, מערך הסייבר הלאומי יצא בקמפיין למיגור התופעה וממליץ על מספר פעולות להתגוננות מפניה, בהן שינוי סיסמת ברירת המחדל של המוצר ושמירת הסיסמה החדשה במקום בטוח, הטמעת עדכוני תוכנה בסמוך לפרסומם, שימוש באמצעי אימות נוסף לקבלת גישה למצלמה ועוד.
קבוצת התקיפה LeakTheAnalyst מדליפה שרטוטי מל"טים לאחר שתקפה חברת בת של ״אלביט״
למרות ש-UAV Engines נתקפה ב-2017, רק כעת בחרו התוקפים לפרסם את המידע שגנבו, הכולל בעיקר נתונים טכניים אודות מנועים שמייצרת החברה. אותה קבוצת תקיפה אחראית גם על פרסום פרטים אישיים של טייסי צה״ל והדלפת מידע מ״רפאל״ בחודש שעבר. בשעה זו לא ברור מה גרם ל-LeakTheAnalyst לפרסם את המידע 6 שנים לאחר התקיפה, או מי עומד מאחוריה.
במהלך נאום זלנסקי לכנסת: ניסיונות לשבש את השידור באמצעות מתקפת סייבר
על פי דיווח רשמי של כנסת ישראל, זוהו וסוכלו כמה ניסיונות תקיפה שכוונו לתשתית התקשורת של המוסד הפרלמנטרי במטרה לשבש את שידור ה-Zoom בו נאם נשיא אוקראינה וולודימיר זלנסקי. טרם נלקחה אחריות על הניסיונות, ומצד ישראל לא הופנתה אצבע מאשימה כלפי אף גורם. על פי הערכות, ייתכן ומדובר בניסיונות רוסים למנוע מזלנסקי להעביר לישראל את המסר שבפיו.
סייבר ופרטיות - רגולציה ותקינה
קידום פעילות רגולטורית בקצב מואץ בממשל ביידן: חקיקה, הצהרות והשקעות
חודש מרץ ראה מספר יוזמות רגולטוריות של הבית הלבן, חלקן נוגעות לתחום הסייבר. ב-15 במרץ חתם נשיא ארצות הברית ג׳ו ביידן על חוק תקציב, הכולל גם קביעות חדשות בנוגע לחובות הדיווח על אירוע סייבר ותשלומי כופר להאקרים. חובות אלה חלות על חברות המפעילות תשתיות קריטיות, שיחויבו לדווח על אירועי סייבר לסוכנות לאבטחת סייבר ותשתיות (CISA), השייכת למחלה לביטחון המולדת (DHS). תוך 24 חודשים, ה-CISA תפרסם הנחיות ספציפיות ליישום חובות אלה. זאת ועוד, חוק התקציב החדש מקצה תקציבים מוגברים לגורמי ממשל לצורך הגברת רמת הגנת הסייבר הלאומית: מתוך תקציב בסך 1.5 טריליון דולר, מאות מיליוני דולרים יוקדשו להגנת סייבר על משרדים וסוכנויות ממשלתיות. שבוע לאחר מכן, ב-21 במרץ, פרסם הנשיא ביידן הודעה בעניין הגנת הסייבר הלאומית של ארצות הברית בהקשר של המלחמה בין רוסיה לאוקראינה, בה הוא מעודד שיתופי פעולה בין המגזר הפרטי לבין הממשל כדי להתגונן מפני איומי סייבר אפשריים. להודעתו זו צירף ביידן מסמך הנחיות בנושא.
היועץ המשפטי של מדינת קליפורניה בעניין יישום חוק הגנת פרטיות צרכן: הזכות לקבל מידע אודות "בניית פרופיל" של הצרכן
החודש התפרסמה חוות דעת תקדימית בנושא, בה מפרש היועץ המשפטי של קליפורניה את זכויותיהם של צרכנים תחת חוק הגנת פרטיות הצרכן (ה-California Consumer Privacy Act). חוק זה קובע את זכותם של צרכנים לקבל מארגונים מידע אודותם שעובד על ידי הארגון לצורך "יצירת פרופיל צרכן המשקף את ההעדפות, המאפיינים, המגמות הפסיכולוגיות, הנטיות, ההתנהגות, העמדות, האינטליגנציה, היכולות והכישורים של הצרכן." מידע מסוג זה מכונה "Inference Data", ומשמש כלי שיווקי חשוב בידי ארגונים לקידום עסקיהם.
חוק הגנת פרטיות חדש לערב הסעודית: צעד נוסף בטרנספורמציה הדיגיטלית של הממלכה
ב-23 במרץ נכנס לתוקפו חוק הגנת המידע האישי הראשון בתולדות סעודיה (החוק טרם תורגם לאנגלית). הרשות שתפקח על יישום החקיקה החדשה במשך השנתיים הראשונות הינה הרשות הסעודית למידע ובינה מלאכותית, ולאחר מכן תישקל העברת הפיקוח למשרד הלאומי לניהול נתונים (NDMO). חקיקתו של חוק זה, הראשון מסוגו בממלכה, מצביעה על החשיבות שמעניקה המדינה לטרנספורמציה הדיגיטלית של המשק הסעודי, בהתאם לאסטרטגיה לאומית. החוק חל על כל פעולה של עיבוד מידע אישי המבוצעת על ידי ארגון בערב הסעודית, כמו גם על עיבוד מידע אישי של תושבי הממלכה על ידי ארגונים הנמצאים מחוצה לה. בהיבט הזה, החוק הסעודי מתבסס על המנגנון שנקבע בתקנות ה-GDPR של האיחוד האירופי. בהמשך יונהגו תקנות אשר ישלימו את אופן יישום החוק בפועל.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.