דו״ח סייבר שבועי
עדכון שבועי 27.10.2022
עיקרי הדברים
-
ישראל: ועדת דוידי קובעת כי אין מקום להטיל איסור גורף על תשלום כופר וכי מנגנון איסור הפרסום הוא טוב ויש לשקול להחילו גם על מתקפות כופרה; אתר הכנסת הותקף על ידי קבוצה רוסית אשר טוענת כי הסיבה למתקפה היא סיועה של ישראל לאוקראינה; ראש ממשלת אלבניה אדי רמה הגיע לביקור מדיני בישראל לשם קבלת סיוע בחיזוק מערך הסייבר של מדינתו.
-
קבוצת תקיפה איראנית המכונה Black Reward הדליפה כ-27GB של מידע מתוכנית הגרעין של איראן.
-
מתקפות הכופרה נמשכות: רשת הסיטונאות הגרמנית METRO חווה מתקפת סייבר המשפיעה על תשתיותיה; קבוצת התקיפה Hive תקפה חברת חשמל הודית ופרסמה מידע רגיש שנגנב ממנה.
-
ה-CISA מזהירה מפני קבוצת הכופרה Daixin, הידועה במתקפות הכופרה שהיא מבצעת נגד מגזר הבריאות הציבורי.
-
*אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Apple (חולשת Zero-day); המוצר VMware Cloud Foundation (קריטי); הדפדפן Google Chrome (גבוה); מוצרי Cisco (גבוה); מערכת ה-Big-IP של F5 (גבוה); ספריית SQLite (גבוה); המערכת Samba (בינוני).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה למוצרי Cisco נותן מענה ל-2 חולשות ברמת חומרה גבוהה
עדכוני אבטחה למוצרי Apple נותנים מענה למספר חולשות, אחת מהן היא חולשת Zero-day
עדכוני אבטחה לדפדפן Google Chrome נותנים מענה למספר חולשות, 3 מהן ברמת חומרה גבוהה
עדכוני אבטחה למספר מוצרים של F5 נותנים מענה לחולשה ברמת חומרה גבוהה במערכת ה-BIG-IP
עדכון אבטחה ל-VMware Cloud Foundation נותן מענה ל-2 חולשות, אחת מהן קריטית
עדכון אבטחה נותן מענה לחולשה בת ניצול בספריית SQLite, שרמת חומרתה גבוהה
עדכון אבטחה ל-Samba נותן מענה לשתי חולשות ברמת חומרה בינוני
התקפות ואיומים
הבוטנט Emotet משמש להעברת נוזקות בטכניקה חדישה
גרסה חדשה של נוזקת URSNIF מספקת Backdoor לנוזקות כופרה ולאיסוף מידע רגיש
עמוד פישינג המתחזה ל-AnyDesk מפיץ את נוזקת Mitsu הגונבת מידע רגיש של משתמשים ומידע פיננסי מארנקי קריפטו
קמפיין חדש המשתמש בטכניקת Typosquatting מחקה 27 אפליקציות על מנת להדביק משתמשי Windows ו-Android בנוזקות
WarHawk: נוזקה חדשה של קבוצת התקיפה ההודית SideWinder תוקפת יעדים בפקיסט
השבוע בכופרה
ה-CISA מזהירה מפני קבוצת הכופרה Daixin, הידועה במתקפות הכופרה שהיא מבצעת נגד מגזר הבריאות הציבורי
רשת הסיטונאות הגרמנית METRO חווה מתקפת סייבר המשפיעה על תשתיותיה
קבוצת התקיפה Hive תקפה חברת חשמל הודית ופרסמה מידע רגיש שנגנב ממנה
חברת הביטוח האוסטרלית Medibank מאשרת שהאקרים ניגשו לכל הנתונים האישיים של 2.8 מיליון לקוחותיה במתקפת כופרה שחוותה
המלחמה במזרח אירופה
ה-CERT האוקראיני מזהיר מפני תקיפות של כופרת Cuba נגד סוכנויות ממשלתיו
סייבר בעולם
מיקרוסופט מאשרת: הגדרה לא נכונה של שרתיה הובילה לדלף מידע של יותר מ-65 אלף חברות
חולשה קריטית במכונות של VMware מנוצלת בקמפיינים רבים המפיצים נוזקות
משטרת ברזיל עצרה חבר בקבוצת התקיפה $Lapsus
קבוצת תקיפה איראנית המכונה Black Reward הדליפה כ-27GB של מידע מתוכנית הגרעין של איראן
חוקרים מצאו ברחבי GitHub אלפי ״הוכחות היתכנות״ זדוניות לחולשות
ה-CISA מוסיפה 9 חולשות ל״קטלוג החולשות הידועות המנוצלות״
קמפיין חדש מנצל את תקופת הניסיון החינמית הניתנת בפלטפורמות CI/CD
הנוזקות MajikPOS ו-Treasure Hunter תוקפות עשרות נקודות מכירה וגונבות פרטי תשלום
האקר אוקראיני נעצר בהולנד בגין מעורבותו בפעילות הנוזקה Raccoon Stealer; ממתין להסגרה לארה״
סייבר בישראל
קבוצת האקרים רוסית שככל הנראה משויכת לקרמלין הפילה את אתר הכנסת בתגובה לסיוע הישראלי לאוקראינה
ראש ממשלת אלבניה אדי רמה הגיע לביקור מדיני בישראל לשם קבלת סיוע בחיזוק מערך הסייבר של מדינת
סייבר ופרטיות - רגולציה ותקינה
ה-NYDFS מטילה קנס בגובה 4.5 מיליון דולר על חברה שהפרה את דרישות הגנת הסייבר שלה
פרסום דוח ועדת דוידי בנושא תשלומי כופר לתוקפים במסגרת אירועי סייבר: "אין מקום להטיל איסור גורף על תשלום כופר" בישרא
כנסים
הציטוט השבועי
״פשיעת הסייבר היא איום ממשי על הביטחון הלאומי נוכח הנזק הכספי המצרפי, וכן בשל השחיקה שהיא גורמת לאורך זמן לרציפות התפקודית, לחוסן הכלכלי, ליכולת להגן על הפרטיות ולאמון הציבור בשלטון החוק. הראייה ההוליסטית והשילוביות בין היתרונות היחסיים של כלל השחקנים, היא זו שתביא את הבשורה.״
גבי פורטנוי, ראש מערך הסייבר הלאומי בכינוס השביעי של ועדת דוידי, 26.10.2022.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה למוצרי Cisco נותן מענה ל-2 חולשות ברמת חומרה גבוהה
אחת החולשות (CVE-2022-20933, CVSS 8.6) מצויה במוצר Meraki MX ועלולה לאפשר למשתמש שאינו מאומת לבצע מניעת שירות, ואילו השנייה (CVE-2022-20822, CVSS 7.1) מצויה ב-Cisco ISE, ועלולה לאפשר למשתמש מאומת לקרוא ולמחוק קבצים על המכשיר. העדכונים שפורסמו מטפלים בחולשות, אך נכון לעכשיו לא קיימים Workarounds עבורן.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם האפשרי לגרסאותיהם האחרונות.
עדכוני אבטחה למוצרי Apple נותנים מענה למספר חולשות, אחת מהן היא חולשת Zero-day
העדכונים רלוונטיים למוצרים Safari ,iOS ,iPadOS ,macOS Big Sur/Monterey/Ventura ,tvOS ו-watchOS. חולשת ה-Zero-day שנסגרת בעדכון (CVE-2022-42827, CVSS 7.5) מנוצלת באופן פעיל ורלוונטית למוצרים iOS ו-iPadOS. החולשה, שהינה מסוג Out-of-bounds Write, מצויה ב-Kernel ועלולה לגרום להשחתת נתונים, לקריסה המערכת ולהרצת קוד עם הרשאות גבוהות (הרשאות Kernel). מקורה בניסיון כתיבה של נתונים מחוץ לגבולות הגישה המותרות לאותו יישום, והיא טופלה באמצעות יישום בדיקה משופרת של גבולות הגישה. החולשה מצטרפת ל-7 חולשות Zero-Day אחרות ש-Apple סגרה מאז תחילת השנה.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות, כמפורט כאן.
עדכוני אבטחה לדפדפן Google Chrome נותנים מענה למספר חולשות, 3 מהן ברמת חומרה גבוהה
גרסה 107.0.5304.54 של המוצר עבור Android, גרסה 107.0.5304.62 עבור Mac, גרסה 107.0.5304.68 עבור Linux וגרסה 107.0.5304.62/63 עבור Windows מטפלות ב-14 בעיות אבטחה, החמורות שבהן עלולות לאפשר העלאת הרשאות באפליקציה מקומית, הרצת קוד שרירותי, מתקפת מניעת שירות (DDoS) ופריצה לתוכנית כתוצאה משימוש לא נכון בזיכרון דינמי. החולשות רלוונטיות לכל גרסאות המוצר הקודמות לאלה החדשות, שתהיינה זמינות בימים הקרובים.
צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו לגרסאותיו החדשות עם פרסומן.
עדכוני אבטחה למספר מוצרים של F5 נותנים מענה לחולשה ברמת חומרה גבוהה במערכת ה-BIG-IP
ניצול החולשה (CVE-2022-41833, CVSS 7.5) מתאפשר כאשר iRule (סקריפט לשימוש מורחב ב-BIG-IP) שמכיל את הפקודה HTTP::collect מוגדר בשרת וירטואלי. במצב כזה, בקשות HTTP שטרם הופיעו עלולת לגרום ל-(Traffic Management Microkernel (TMM להסתיים, ובכך לאפשר לתוקף מרוחק שאינו מאומת לבצע מתקפת מניעת שירות (DDoS), זאת במידה וקיים כשל במערכת ה-BIG-IP או כאשר ה-TMM מופעל מחדש. לצד עדכוני האבטחה שפרסמה F5, היא ממליצה להגדיר את המערכות כבעלות זמינות גבוהה (HA), על מנת למתן את השפעת החולשה.
צוות קונפידס ממליץ לבעלי המוצרים הפגיעים לעדכנם לגרסאותיהם האחרונות.
עדכון אבטחה ל-VMware Cloud Foundation נותן מענה ל-2 חולשות, אחת מהן קריטית
החולשה הקריטית (CVE-2021-39144, CVSS 9.8) שנסגרת בעדכון עלולה לאפשר הרצת קוד מרחוק דרך ספריית הקוד הפתוח XStream. מקור החולשה הוא ב-Endpoint שאינו מאובטח, המשתמש ב-XStream להסדרת קלט ב-VMware Cloud Foundation ועלול לאפשר לתוקף להריץ במכונה קוד דרך משתמש Root. החולשה השנייה (CVE-2022-31678, CVSS 5.3) שתוקנה בעדכון היא מסוג XML External Entity ועלולה להוביל למתקפת מניעת שירות (DDoS).
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסה 6.4.14.
עדכון אבטחה נותן מענה לחולשה בת ניצול בספריית SQLite, שרמת חומרתה גבוהה
חולשה חדשה (CVE-2022-35737, CVSS 7.5) שהתגלתה על ידי חוקרי חברת Trail of Bits בגרסאות 1.0.12-3.9.1 של ספריית SQLite משפיעה על כל אפליקציה המשתמשת בספרייה ורצה על ארכיטקטורת 64 ביט. ניצול החולשה תלוי בצורה בה מתבצעת ההרכבה הסופית של האפליקציה (Compile), כאשר בעת ביצוע Compile ללא Stack Canary (מנגנון הגנה שנועד למנוע Stack overflow) מתאפשר ניצולה להרצת קוד שרירותי ולביצוע מתקפת מניעת שירות (DDoS) על מערכת פגיעה. בעת ביצוע Compile עם Stack Canary לא מתאפשרת הרצה של קוד שרירותי, אך ניתן לבצע מתקפת מניעת שירות (DDoS). הניצול מתאפשר כאשר מחרוזות גדולות מועברות להכלאה של SQLite בפונקציות printf שבשפת C.
SQLite מצויה כיום בשימוש נרחב ביותר, החל ממערכות של ספינות מלחמה ועד לסמארטפונים, ואף בשפות תכנות נוספות. פרויקט SQLite הינו פרויקט Open-source מאובטח מאוד, שלאורך השנים נמצאו בו חולשות מעטות בלבד, רובן חסרות חשיבות. פרטים מלאים על החולשה ועל תהליך זיהויה מצויים ברשומת הבלוג שפרסמה Trail of Bits בנושא.
צוות קונפידס ממליץ לכל העושים שימוש ב-SQLite לעדכן את הספרייה לגרסתה האחרונה - 3.9.2.
עדכון אבטחה ל-Samba נותן מענה לשתי חולשות ברמת חומרה בינונית
Samba היא חבילת התוכנות ההדדית הסטנדרטית של Windows עבור Linux ו-Unix. החולשה הראשונה (CVE-2022-3437, CVSS 5.9) שנסגרת בעדכון שפרסמה החברה היא מסוג Buffer overflow ועלולה לאפשר לתוקף מרוחק לבצע מתקפת מניעת שירות (DDoS) בכל גרסאות המוצר המאוחרות לגרסה Samba 4.0. החולשה השנייה (CVE-2022-3592, CVSS 5.4) היא מסוג Wide links protection broken ועלולה לאפשר לתוקף מרוחק להעלות הרשאות במערכת ולגשת לקבצים מוגבלים בשרת. החולשה רלוונטית לגרסאות 4.17.0 ו-4.17.1 של המוצר.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה - 4.17.2, ולעיין ב-Workaround שבהודעת החברה.
התקפות ואיומים
הבוטנט Emotet משמש להעברת נוזקות בטכניקה חדישה
שיטה חדשה להפצת CoinMiner (נוזקה הכורה מטבעות קריפטוגרפיים באמצעות משאבים של המערכת הנגועה) ו-QuasaRAT (טרויאני המאפשר גישה מרחוק, או RAT, וזמין לציבור ב-GitHub) התגלתה על ידי SpiderLabs באמצעות מלכודות ספאם שהציבה ברשת, כאשר מן הממצאים עולה ש-96% מהספריות המוגנות בסיסמה הופצו על ידי רשת הבוטים Emotet. השיטה החדשה מתבססת על מייל המכיל צרופה שמתחזה לחשבונית בפורמט ZIP או ISO. בפועל, הקובץ מכיל ספרייה מסוג SFX, שמטרתה להריץ ספריית SFX נוספת המוכלת בתוכה. ספרייה שנייה זו מוגנת בסיסמה, אך בשל מבנה הקובץ - הדבר אינו מונע את חילוצה והפעלת הקבצים הנמצאים בתוכה ללא הזנת הסיסמה על ידי המשתמש. תחת זאת, העובדה שהיא מוגנת בסיסמה מקשה על מנגנוני זיהוי של ספקי מייל לזהות את תוכן הספרייה ולחסום את הפצת הנוזקות ברשת. ספריית ה-SFX הראשונה, הכוללת אייקון של PDF על מנת לפתות את הקורבן להפעילה, מכילה קובץ הפעלה, את ספריית ה-SFX הנוספת וכן תמונה או קובץ PDF שנועדו להסיח את דעת הקורבן. עם הפעלת הספרייה הראשונה, היא מחלצת את שלושת הקבצים לתיקיית AppData, תוך שכתוב הקבצים הקיימים בה. לאחר מכן מופעל קובץ ההפעלה שמכיל את הסיסמה לחילוץ הספרייה והוראות לתיקיית היעד עבור החילוץ. בשלב הבא נפתח הקובץ המיועד להסחת הדעת, אשר אמור להסתיר חלון CMD שנפתח עקב פעולותיו של קובץ ההפעלה. כאשר מחולצת ספריית ה-SFX המוגנת בסיסמה, אשר מכילה קובץ EXE, היא מופעלת על העמדה ומדביקה אותה בנוזקה. קובץ ה-EXE, שנוצר בפלטפורמת NET., מטשטש את תוכנו באמצעות פרויקט הקוד הפתוח ConfuserEX.
צוות קונפידס ממליץ לארגונים להתקין מערכות הגנה על תחנות קצה, להעביר לעובדיהם תרגילי מודעות לפישינג על בסיס קבוע. בטרם מורדים למחשב קבצים, יש לוודא שהמייל המכיל אותם נשלח ממקור ידוע ואמין.
גרסה חדשה של נוזקת URSNIF מספקת Backdoor לנוזקות כופרה ולאיסוף מידע רגיש
דוח של חברת Mandiant חושף כי במהלך חודש יוני זוהתה לראשונה נוזקה חדשה אשר קיבלה את השם LDR4, ואשר משתייכת למשפחת הנוזקות URSNIF, שהופיעה במרחב במהלך 2016. הנוזקה פועלת לאיסוף מידע על המערכת (רשומות, מידע רגיש ועוד) ולמעקב אחר תקשורת המערכת ופעולות הדפדפן. מאז 2016 קודי המקור של הנוזקה דלפו ונוצלו לפיתוח נוזקות דומות (IAP ,Dreambot ,RM2 ,RM3). הליך פריסתה במחשב הקורבן מתחיל בלינק המקושר למייל, שלחיצה עליו מובילה לאתר המקושר לדומיין שנראה כאתר השייך לחברה לגיטימית. באתר מופיע CAPTCHA, שמענה עליו מוביל להורדת קובץ Excel המכיל מידע על המייל הראשוני שהתקבל אצל הקורבן. עם פתיחת הקובץ יורד ויורץ עצמאית קובץ DLL שיוצר לתוקף דלת אחורית לתקשורת ולפעולה חופשית. ככל הנראה, נוזקה זו מהווה חלק ממגמה חדשה המתפתחת בקרב קבוצות התקיפה, של יצירת גישה עבור פעילות כופרה עתידית.
צוות קונפידס ממליץ לעיין בדוח שפרסמה חברת Mandiant ולחסום במערכות ההגנה של הארגונים את מזהי התקיפה (IOCs) המופיעים בו.
מומחי אבטחת סייבר מ-(Cyble Research and Intelligence Labs (CRIL זיהו לאחרונה אתר AnyDesk מזויף (hxxp://anydesk[.]ml) המפיץ את Mitsu Stealer, אשר גונבת את כל המידע הרגיש המצוי בדפדפני הקורבנות. אחד ההיבטים המפתיעים ביותר של הנוזקה הוא העובדה שהיא בנויה מקוד הזמין באופן חופשי ב-GitHub. לאחר לחיצה על כפתור ההורדות באתר הזדוני, לכאורה על מנת להוריד את תוכנת AnyDesk, מתחילה שרשרת הדבקה שבמהלכה המשתמש מוריד מהשרת המרוחק שברשות התוקפים את הנוזקה Mitsu Stealer תחת השם Anydesk.exe. אתר הפישינג האמור עוצב באופן מושלם כך שיידמה לאתר הלגיטימי של AnyDesk, עם כל האלמנטים הקיימים באתר המקורי, כגון עמוד מנויים ומדור קריירה, שבלחיצה עליו נפתחות משרות מזויפות.
Mitsu Stealer כתובה בשפת Python ומאפשרת לתוקפים לבצע את זממם באמצעות הנחת קובצי התקנה הנתמכים בשפת ב-Python, כגון “pyd.” וקבצי “dll.”. הקבצים משמשים לגניבת מידע רגיש על ידי חילוצו מהדפדפן, כאשר לאחר מכן נמחקים מהעמדה כל הקבצים שאיפשרו את הגניבה. עם התקנת הנוזקה, היא מונה את התהליכים הרצים במחשב הקורבן ובודקת את שמות התהליכים הקשורים לכלי ניתוח הרשת. אם נמצא תהליך כזה, היא ״הורגת״ אותו לפני תחילת ההדבקה, כדי להימנע מזיהוי. לאחר מכן הנוזקה מתחילה לרוץ ולאסוף מספריות הדפדפן מידע רגיש, כגון שמות משתמשים, סיסמאות, קובצי עוגיות, מילוי אוטומטי ופרופילי משתמשים. הנוזקה מכוונת גם לארנקי מטבעות קריפטוגרפיים וארנקים אחרים, לשם גניבת מידע פיננסי שיוכל להיות מנוצל לרווח כספי. הדפדפנים בהם מתמקדים התוקפים הם:
-
Google Chrome
-
Microsoft Edge
-
Opera GX Stable
-
Opera Stable
-
Mozilla Firefox
צוות קונפידס ממליץ לוודא שתוכנות מותקנות רק דרך אתרים רשמיים, לבחור בסיסמאות חזקות, ליישם אימות רב-שלבי (MFA) בפלטפורמות השונות, לעדכן תוכנות בזמן ולא לפתוח קישורים שאינם מהימנים ממקורות שאינם מוכרים.
Typosquatting היא שיטה המבוססת על שימוש בדומיינים מתחזים על מנת להערים על משתמשים להיכנס לאתרים זדוניים. בקמפיין החדש נעשה שימוש ביותר מ-200 דומיינים המתחזים לכאלה של 27 תוכנות ואפליקציות, על מנת לגרום למשתמשים להוריד נוזקה למערכות מבוססות Windows ו-Android. הדומיינים המתחזים שתועדו הם בעלי דמיון רב מאוד לאלה המקוריים, מלבד החלפת מיקומן של אותיות או תוספת של האות "s", למשל. האתרים המתחזים הם העתקים מדויקים של אלה המקוריים, או דומים להם מספיק על מנת שהמבקרים בהם לא יבחינו בהבדל. לרוב, קורבנות של קמפיינים מסוג זה מגיעים לאתרים הזדוניים עקב טעות הקלדה בשורת ה-URL, דבר נפוץ במיוחד כאשר מקלידים ממכשיר נייד, אך ניתן להגיע אליהם גם דרך מיילי פישינג, הודעות SMS זדוניות ועוד. חלק מהאתרים המתחזים בהם נעשה שימוש בקמפיין התגלו על ידי חברת אבטחת הסייבר Cyble, שפרסמה מאמר המתמקד בדומיינים מזויפים של חנויות פופולריות לאפליקציות Android, כגון APKCombo ו-APKPure, וכן בעמודי הורדה מזויפים של האפליקציות PayPal ,Snapchat ,TikTok ועוד. חלק מהדומיינים שנצפו על ידי Cyble ומשמשים להדבקה בנוזקה הם:
payce-google[.]com - מתחזה לדומיין של ארנק Google.
snanpckat-apk[.]com - מתחזה לדומיין של Snapchat.
m-apkpures[.]com - מתחזה לדומיין של חנות האפליקציות APKPure.
בכל המקרים הללו זיהתה Cyble ניסיון להעברת הנוזקה ERMAC, המתמקדת בגניבת פרטי חשבון של אפליקציות בנקאיות וארנקי קריפטו שונים. בעוד שהדוח של Cyble התמקד באפליקציות Android, מגזין אבטחת המידע BleepingComputer מצא כי קמפיין התקיפה רחב יותר, ואותו תוקף אף מפיץ את נוזקת Vidar Stealer למערכות מבוססות Windows. במקרה זה, מדובר ביותר מ-90 אתרים המתחזים לאלה של 27 אפליקציות פופולריות, כשמטרת הפצת הנוזקה היא לגנוב פרטי חשבונות בנק או קריפטו. חלק מהאתרים שנצפו בקמפיין כמפיצים את הנוזקה הם:
thundersbird[.]org - מתחזה למערכת המייל בקוד פתוח ThunderBird.
codevisualstudio[.]org - מתחזה ל-Visual Studio של מיקרוסופט.
braves-browsers[.]org - מתחזה לדפדפן Brave.
ככל הנראה, השוני בין הנוזקות מצביע על ניסויים שהתוקף עורך על מנת להכריע איזו מהן עובדת טוב יותר.
צוות קונפידס ממליץ לבחון היטב דומיינים של אתרים, לחפש אתרים רק דרך מקורות לגיטימיים ולהימנע מלחיצה על מודעות שמופיעות בתוצאות חיפוש, משום שלעתים מיוצרות מודעות זדוניות כחלק מהתחזות לאתר לגיטימי.
WarHawk: נוזקה חדשה של קבוצת התקיפה ההודית SideWinder תוקפת יעדים בפקיסטן
צוות המחקר של Zscaler חשף את נוזקת ה-Backdoor החדשנית, השייכת לקבוצת התקיפה ההודית המכונה גם Rattlesnake ו-T-APT4. הנוזקה תוקפת יעדים פקיסטנים בלבד, באמצעות בדיקת הזמן המקומי המוגדר על העמדה הנתקפת, והיא מורכבת מ-4 מודולים המאפשרים לה לבצע הורדה והרצה של קבצים, הרצה של פקודות מרחוק, חיפוש והדלפת מידע מן הכונן הקשיח והעברה ישירה של קבצים משרת ה-C2 של התוקפים. ייעודה העיקרי של WarHawk הוא לטעון את Cobalt Strike על העמדה הנגועה באמצעות ניצול קריאות Kernel (ליבה), לשם הזרקת קוד בתהליכים קיימים.
WarHawk מבססת אחיזה ראשונית בעמדה באמצעות הורדת קובץ ISO המתחזה להודעת אבטחה ממחלקת הקבינט של פקיסטן. הקובץ נמצא באתר לגיטימי של של רשות החשמל הרגולטורית הלאומית של פקיסטן, דבר המעיד על חשיפה של שרת האינטרנט של הרשות לתוקפים, והודעת האבטחה מועתקת, למעשה, מהודעת אבטחה לגיטימית שפורסמה על ידי הרשות. לקובץ ה-ISO מצורפים קובץ LNK, קובץ PDF וקובץ EXE זדוני, כאשר לקובץ ה-LNK מצורף אייקון של PDF. כשהקורבן מפעיל את קובץ ה-LNK, זה האחרון מפעיל את קובץ ה-EXE הזדוני ואת קובץ ה-PDF. הפעלת קובץ ה-EXE מבססת את הנוזקה בעמדה. בחקירה מעמיקה של WarHawk התגלה שהתקשורת שלה מתבצעת באמצעות העברת מידע ופקודות בפורמט JSON, לרבות מידע אודות המחשב, פקודות מצד שרת ה-C2 ותוצאות של פקודות שנשלחות בקידוד Base64 ומפוענחות בשרת ה-C2.
פעילות הנוזקה מאופיינת בטכניקות מתקדמות להתחמקות מזיהוי ולגילוי מלכודות (Sandbox), כאשר לפני טעינתו של Cobalt Strike היא בודקת את מספר המעבדים, כמות הזיכרון, נפח כונן האחסון והזמן המקומי של המחשב, כדי להחליט אם לבצע את הטעינה. לאחר מכן, הנוזקה יוצרת עותק של NTDLL.dll בזיכרון וטוענת דרכו את Snitch.exe. בעותק שנוצר לא קיים Hook לאנטי-וירוסים או EDRs, דבר המאפשר לטעינה להתבצע ללא זיהוי של מערכות ההגנה. בשלב הבא, הנוזקה מזריקה קוד זדוני לתוך תהליך קיים של המערכת באמצעות שימוש ב-KernelCallBackTable, שיטה ידועה הלקוחה מרשומת בלוג של חוקר אבטחת מידע, ומאפשרת להריץ קוד דרך התהליך שאליו הוא הוזרק.
צוות קונפידס ממליץ לבדוק את הסיומות של קבצים חדשים המורדים לעמדה בטרם הפעלתם, ולוודא את האותנטיות שלהם ואת מקורם.
השבוע בכופרה
ה-CISA מזהירה מפני קבוצת הכופרה Daixin, הידועה במתקפות הכופרה שהיא מבצעת נגד מגזר הבריאות הציבורי
לדברי הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), קבוצת התקיפה Daixin ידועה במתקפות הכופרה שהיא מבצעת, בעיקר במגזר הבריאות הציבורי, תוך שימוש בטכניקה של סחיטה כפולה, הכוללת גניבת מידע לפני הצפנתו. הקבוצה, אשר החלה לפעול לכל היאוחר ביוני השנה, תקפה מספר ארגוני בריאות ברחבי העולם והצפינה, בין היתר, שרתים האחראים על רישומים רפואיים של מטופלים, לאחר שגנבה מידע רגיש על מטופלים ממערכות הארגונים. את גישתה הראשונית לרשתות משיגה הקבוצה דרך שרתי ה-VPN של הארגונים, כאשר במקרה אחד דווח על ניצול חולשה בשרת ה-VPN לשם השגת גישה אל הרשת הפנימית של הארגון. במקרה אחר דווח כי הקבוצה ניצלה קונפיגורציה שגויה בשרת VPN מיושן והשתמשה בפרטים מדלפי מידע שפורסמו ברחבי האינטרנט על מנת להתחבר אל הרשת הפנימית. לאחר מכן נעשה שימוש בפרוטוקולים SSH ו-RDP על מנת לנוע רוחבית ברשת, להאדיר גישה ולפרוס כופרה על שרתי הארגון.
צוות קונפידס ממליץ לארגונים ממגזר הבריאות וממגזרים אחרים לחסום במערכות ההגנה שלהם את המזהים שפורסמו על ידי ה-CISA, לעדכן את שרתי ה-VPN שלהם ולאכוף מנגנון אימות דו-שלבי (2FA) בהתחברות למערכותיהם.
רשת הסיטונאות הגרמנית METRO חווה מתקפת סייבר המשפיעה על תשתיותיה
רשת החנויות הענקית, המונה 661 חנויות ברחבי העולם, אישרה ב-21 באוקטובר בפרסום באתרה שהיא נמצאת תחת מתקפת סייבר שהחלה ב-17 באוקטובר ומשפיעה על כמה מסניפיה, בהם סניפים המצויים באוסטריה, בצרפת ובגרמניה. המתקפה משבשת שירותים טכניים כגון תשלום מקוון, דבר אשר אילץ את החברה ליצור מערכות תשלום שאינן מקוונות. כמו כן, כתוצאה מהמתקפה התעכבה אספקתן של הזמנות מקוונות. לדברי METRO, היא חוקרת את מקור האירוע בעזרת מומחים חיצוניים והיא הודיעה לרשויות על דבר המתקפה. טרם נמסרו פרטים נוספים על אופי התקרית, אך מכיוון שמדובר ב-IT Outage, ייתכן ומדובר במתקפת כופרה. נכון לכתיבת שורות אלה, החברה הסירה מאתרה את ההודעה המאשרת כי נתקפה.
קבוצת התקיפה Hive תקפה חברת חשמל הודית ופרסמה מידע רגיש שנגנב ממנה
ב- 14 באוקטובר פרסמה חברת Tata Power מסמך בו נחשף כי חוותה מתקפת סייבר על תשתית ה-IT שלה. החברה לא שיתפה מידע נוסף אודות האירוע, אך פרסמה הצהרה לפיה היא "נקטה בצעדים לשחזור ושיקום המערכות. כל המערכות התפעוליות הקריטיות פועלות; עם זאת, כאמצעי זהירות נרחב יושמו גישה מוגבלת ובדיקות מונעות עבור פורטלים ונקודות מגע עם עובדים ולקוחות". קבוצת ההאקרים Hive לקחה אחריות על המתקפה, ואף פרסמה את המידע שגנבה מהחברה. במקביל, חוקר אבטחת המידע ראקש קרישנן פרסם בחשבון הטוויטר שלו צילומי מסך של המידע הגנוב, לרבות מספרי עובד ומספרי תעודות זהות של עובדים, נתונים על משכורות, מספרי כרטיסי אשראי, שרטוטים הנדסיים, רשומות פיננסיות, מידע על לקוחות ועוד.
לדברי החברה, התוקפים ניגשו גם לכמות גדולה של נתוני תביעות בריאות, כל זאת בניגוד להצהרתה משבוע שעבר, לפיה אין כל ראיות שבוצעו גישה לנתוני לקוחות או הצפנת קבצים בטרם נבלמו ההאקרים. בהודעתה האחרונה מסרה Medibank שמחקירה פנימית שערכה עולה שלתוקפים הייתה גישה גדולה הרבה יותר לנתוני לקוחות מכפי שסברה תחילה, וכי מצאה ראיות לכך שחלק מהנתונים שאליהם השיגו התוקפים גישה הוסרו ממערכות החברה שנפרצו, דבר המעיד, ככל הנראה, על גניבתם. התוקפים מצדם יצרו עם החברה קשר לשם סחיטתה, כשהם מספקים מדגם של 100 קבצים גנובים מתוך 200GB שנגנבו, לכאורה, במהלך המתקפה. בתוך כך, על רקע סדרת הפרות מזיקות בעלות פרופיל גבוה בתחום פרטיות המידע שהתרחשו במספר חברות אוסטרליות בשבועיים האחרונים, הממשלה פועלת להנהגת חוקים מחמירים יותר בנוגע להגנה על מידע, ואף הוצעה הצעת חוק להגדלת והחמרת העונשים בגין הפרת פרטיות, ולהענקת סמכויות רחבות יותר לנציב המידע האוסטרלי לפתרון הפרות פרטיות ולאילוץ חברות לשתף את כל הפרטים בדבר הפגיעה. במקביל, ממשלת אוסטרליה מקימה ערוץ לשיתוף נתונים בין נציב המידע לבין רשות התקשורת והמדיה.
המלחמה במזרח אירופה
ה-CERT האוקראיני מזהיר מפני תקיפות של כופרת Cuba נגד סוכנויות ממשלתיות
החל מה-21 באוקטובר, צוות החירום של אוקראינה לטיפול באירועי מחשב (CERT-UA) צפה בגל חדש של הודעות פישינג המתחזות לשירות העיתונות של המטה הכללי של הכוחות המזוינים של אוקראינה, במטרה לגרום לנמענים ללחוץ על קישור המצוי בגוף מייל הפישינג. אי לכך, ה-CERT-UA פרסם התרעה מפני מתקפות פוטנציאליות של כופרת Cuba נגד רשתות קריטיות במדינה. לדברי מגזין אבטחת המידע BleepingComputer, הודעות הפישינג מכילות קישור המעביר את הנמען לדף אינטרנט של צד שלישי, על מנת להוריד, כביכול, מסמך בשם "Наказ_309.pdf". ואולם, עם ההגעה לעמוד מוצגת למשתמש התרעה מזויפת, לפיה עליו לעדכן תחילה את קורא ה-PDF שלו כדי לצפות במסמך, על ידי לחיצה על כפתור "הורד". בפועל, לחיצה על הכפתור מובילה להורדת קובץ הפעלה (AcroRdrDCx642200120169_uk_UA.exe) ששמו דומה לזה של התקנת Acrobat Reader. עם הפעלת הקובץ מותקן ומופעל הקובץ rmtpak.dll, המכיל את הנוזקה RomCom RAT המיוחסת ל-Cuba.
ה-CERT-UA מייחס את הפעילות ל-Cuba על סמך השימוש שעושה RomCom בדלת אחורית ובתכונות נוספות של הקבצים הקשורים לפעילותה, וכן לקבוצת התקיפה (Tropical Scorpius (Unit42, הידועה גם בשם (UNC2596 (Mandiant, שאחראית על הפצת הכופרה של Cuba. דיווח נוסף שפורסם אתמול על ידי BlackBerry מספק כמה פרטים נוספים על השימוש ב-RomCom נגד מוסדות צבאיים באוקראינה, ומציין שקובץ ההפעלה הזדוני ששימש בהתקפות חתום בתעודה דיגיטלית תקפה. לדברי BlackBerry, הנוזקה גבתה קורבנות גם בפיליפינים, בברזיל ובארצות הברית.
סייבר בעולם
מיקרוסופט מאשרת: הגדרה לא נכונה של שרתיה הובילה לדלף מידע של יותר מ-65 אלף חברות
על פי הודעת החברה, מידע של אלפי לקוחות היה נגיש באינטרנט באופן פומבי, עקב גישה לא מאושרת שנגרמה בעטייה של הגדרה לא נכונה ברכיב Azure Blob Storage. הדבר נצפתה לראשונה ב-24 בספטמבר על ידי חברת אבטחת הסייבר SOCRadar, שכינתה את הדלף בשם BlueBleed. עוד נמסר ממיקרוסופט כי החלה להודיע על הדליפה ללקוחות שהושפעו ממנה, אך לא נמסר מידע אודות היקפה. לדברי SOCRadar, מדובר ביותר מ-65 אלף חברות ב-111 מדינות, ובמידע בנפח של כ-2.4TB, הכולל חשבוניות, הזמנות של מוצרים, מסמכים חתומים של לקוחות ועוד. ככל הנראה, מדובר בקבצים משנת 2017 ועד לאוגוסט השנה. במסגרת דלף המידע נמצאו גם פרטים של חברות ישראליות. מנגד, מיקרוסופט טוענת כי המידע שדלף מכיל שמות, כתובות מייל, אנשי קשר ומספרי טלפון, וכי חברת SOCRadar הפריזה בהיקף ההדלפה, היות שבפועל המידע מכיל כפילויות. לדבריה, לא נמצאו ראיות לגישה לא מאושרת אל השרתים לפני ה-24 בספטמבר, אך המידע שדלף עלול לשמש למטרות זדוניות, כגון סחיטה, הנדסה חברתית ועוד. בתוך כך, SOCRadar פרסמה כלי חיפוש חינמי לבדיקת מידע שנחשף בהדלפה, ואשר חושף את הקורבנות ל״סיכוני אבטחה מיותרים״.
חולשה קריטית במכונות של VMware מנוצלת בקמפיינים רבים המפיצים נוזקות
צוות המחקר של Fortinet זיהה מקרים של ניצול החולשה (CVE-2022-22954, CVSS 9.8) באופן פעיל, על אף שכבר בחודש אפריל פורסם עדכון אבטחה שנתן לה מענה (גרסה KB88099). הניצול שנרשם הוא במסגרת קמפיינים המפיצים את הנוזקה Mirai, המיועדת לבוטנטים ומאפשרת שליטה מרחוק על העמדה באמצעות שרת C2, את הכופרה RAR1Ransom, המצפינה את כל תכולת העמדה באמצעות WinRARֿ ולאחר ההצפנה והדחיסה לארכיון מוחקת מן העמדה את קובץ המקור ומותירה מכתב המכיל בקשת דמי כופר בתמורה למפתח ההצפנה, והנוזקה הטרויאנית GuardMiner, הכורה מטבעות קריפטוגרפיים, מבוססת על נוזקת XMRig, שמנצלת את משאבי העמדה עבור הכרייה, ומצוידת במנגנונים מתקדמים להתחמקות מזיהוי: כאשר GuardMiner מזהה שמנסים לחפש את שמות תהליכיה, היא מסירה עצמה מן העמדה הנגועה. עוד נמצא במחקר שכתובות ארנקי הקריפטו של RAR1Ransom ושל GuardMiner זהות, מה שמעיד על כך שהן נפרסות על ידי אותה כנופיית סייבר.
צוות קונפידס ממליץ להקפיד על שגרת עדכונים של מוצרים בהם נעשה שימוש ולגלות ערנות לתהליכים חשודים או לניצול מוגבר של משאבי עמדות.
משטרת ברזיל עצרה חבר בקבוצת התקיפה $Lapsus
ב-19 באוקטובר הודיעה המשטרה הפדרלית הברזילאית שהמעצר התבצע כחלק ממבצע האכיפה Dark Cloud, אשר החל באוגוסט השנה. למרות שבהודעה לא נמסרו פרטים אודות החשוד, נראה כי מדובר בנער ולא בבגיר. לדברי המשטרה, החקירה בנוגע למעורבותו בפעילותה של $Lapsus החלה בדצמבר 2021, בעקבות מתקפה שביצעה הקבוצה על אתר משרד הבריאות של ברזיל, לה קדמו מתקפות על גופי ממשל ברזילאים נוספים (ראו ״הסייבר״, 16.12.21), בהם משרד הכלכלה, משטרת התנועה ועוד. מעצרו של החשוד מגיע לאחר מעצר של 7 חשודים בחברות ב-$Lapsus על ידי משטרת לונדון בסוף חודש מרץ השנה, ומעצר נוסף של חשוד בן 17 מלונדון, שהשתתף בתקיפותיה על Uber ו-Rockstar Games. הקבוצה עלתה בשנה האחרונה לכותרות בעקבות פריצותיה לגופים גדולים, כמו מיקרוסופט, Cisco ,Samsung ,Ubisoft ועוד (ראו, ״הסייבר״, 3.3.22 ו״הסייבר״, 17.3.22).
קבוצת תקיפה איראנית המכונה Black Reward הדליפה כ-27GB של מידע מתוכנית הגרעין של איראן
הקבוצה ה״האקטיביסטית״ הצליחה לפרוץ לרשת הפנימית של הסוכנות האיראנית לאנרגיה גרעינית ואף נהנתה מגישה חופשית למערכת המיילים שלה. הסוכנות שנפרצה אימתה את דבר האירוע בהודעה לתקשורת, ונכון לשעה זו טרם האשימה גוף או מדינה כלשהם כעומדים מאחורי התקיפה. הקבוצה הדליפה בעמוד הטלגרם שלה אלפי קבצים ומסמכים הכוללים, בין היתר, חוזים, תוכניות בנייה ופרטים על ציוד מהכור הגרעיני שבבושהר, כאשר על פי ציוץ בטוויטר של המשתמש vx-underground, נראה שההדלפה כללה גם סרטונים בהם מוצגים צילומים מתוך הכור עצמו. נכון לכתיבת שורות אלה, טרם התברר אם דלפו מסמכים מסווגים העלולים לפגוע בתוכנית הגרעין של איראן ואם קיים ברשות הקבוצה מידע רגיש נוסף, שלא הודלף. למרות שטרם התבררו זהותה האמיתית ומקורה של Black Reward, לטענת הקבוצה היא מבצעת את הפעולות בשם המחאות המתקיימות בעת הנוכחית באיראן.
חוקרים מצאו ברחבי GitHub אלפי ״הוכחות היתכנות״ זדוניות לחולשות
חוקרים במכון ליידן למדעי המחשב שבהולנד מצאו אלפי מאגרים המציעים הוכחות היתכנות (PoC) מזויפת עבור חולשות שונות, חלקן משמשות כ-Droppers לנוזקות נפוצות וחלקן בעלות חלקי קוד זדוניים עצמאיים, המבצעים פעולות שונות. לדברי החוקרים, ההוכחות פורסמו בין השנים 2017-2021, ורובן אינן עובדות, אלא רק מנסות לחלץ מידע מהעמדה עליה הן רצות או להתקין עליה נוזקה, חלקן אף אינן מציעות כל פונקציה הקשורה לניצול החולשה שעל הפרק. מאגרים אלה ב-GitHub מכוונים בעיקר לבודקי חוסן ולאנשי Red teams, ומי שעומד מאחוריהם מנסה, ככל הנראה, לפלס לו דרך קלה יותר אל רשתות ארגונים, על ידי הרצת ״הוכחת היתכנות״ מזויפת. במחקר הורדו מ-GitHub ונחקרו 47,313 מאגרים, מתוכם 4,893 (כ-10%) התגלו כמאגרים זדוניים המקיימים תקשורת עם כתובות זדוניות, מריצים קוד זדוני או מנסים להתקין נוזקה.
ה-CISA מוסיפה 9 חולשות ל״קטלוג החולשות הידועות המנוצלות״
הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה ב-20, ב-24 וב-25 באוקטובר 9 חולשות לקטלוג שהיא מתחזקת, בהתבסס על עדויות לניצולן האקטיבי על ידי תוקפים. החולשות רלוונטיות למוצרים של Linux ,Zimbra ,GIGABYTE ,Cisco ו-Apple. החולשה (CVE-2022-41352, CVSS 9.8) ב-Zimbra מסווגת כקריטית ומצויה במערכת ה-Zimbra Collaboration (ראו ״הסייבר״, 13.10.22); החולשה (CVE-2021-3493, CVSS 7.5) ב-Linux מצויה ב-Kernel ועלולה לאפשר העלאת הרשאות (חולשה זו פורסמה בתחילת 2021 והיא רלוונטית למערכת ההפעלה Linux ולחבילות נוספות); מבין 4 החולשות שנמצאו במוצרי GIGABYTE, החמורה ביותר (CVE-2018-19323, CVSS 9.8) מסווגת כקריטית ועלולה לאפשר קריאה ועריכה של רכיבים ספציפיים; מבין שתי החולשות שנמצאו במוצרי Cisco, החמורה ביותר (CVE-2020-3433, CVSS 7.8), היא ברמת חומרה גבוהה ומקורה ברכיב ה-Cisco AnyConnect Secure Mobility Client, שמצוי על גבי פלטפורמת Windows. החולשה עלולה לאפשר לתוקף מקומי להריץ קוד בהרשאות מערכת; החולשה (CVE-2022-42827, CVSS 7.5) ב-Apple, שרמת חומרתה גבוהה, מצויה ב-Kernel ועלולה לגרום להשחתת נתונים, לקריסת מערכת ולהרצת קוד עם הרשאות גבוהות (הרשאות Kernel). על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפתו לתקיפות סייבר.
צוות קונפידס ממליץ למשתמשי המוצרים של החברות האמורות לעדכנם לגרסאותיהם האחרונות.
קמפיין חדש מנצל את תקופת הניסיון החינמית הניתנת בפלטפורמות CI/CD
צוות המחקר של Sysdig חשף קמפיין תקיפה מאסיבי המתבצע באמצעות פעולות GitHub לכריית מטבעות קריפטוגרפיים ומנצל פלטפורמות CI/CD, בהן GitHub, Heroku, Buddy.works ואחרות. הקמפיין, המכונה PURPLEURCHIN, הוא מסוג Freejacking, ומתבסס על ניצול משאבי מחשוב במהלך תקופת הניסיון החינמית הניתנת לחשבונות בפלטפורמות שונות. במסגרת PURPLEURCHIN נעשה שימוש באוטומציות מתוחכמות לעקיפת מנגנוני ההגנה של ספקי שירותים, כאשר לדברי צוות המחקר הקמפיין מנצל כיום 30 חשבונות GitHub, כ-2,000 חשבונות Heroku וכ-900 חשבונות Buddy. ככל הנראה, המניע העיקרי לקמפיין הוא כלכלי, והוא מתמקד בהרחבת פעילותו והרצת כורים וירטואליים בכמה שיותר סביבות וחשבונות. על פי ההערכות, לאור המשאבים בהם הוא משתמש יידרש שימוש בעלות של 100,000 דולר לייצור מטבע (Monero (XMR אחד. מכאן נובע שנכון לעכשיו PURPLEURCHIN מכוון להכנסות נמוכות בסיכון נמוך, וכורה מטבעות פחות דומיננטיים ומנוטרים מאשר Bitcoin או Monero. עם זאת, הדבר מעלה תהיות בנוגע למטרותיו האמיתיות של הקמפיין.
ניצול החשבונות נעשה באמצעות הרצת סקריפט github-actions.yml, אשר מוסיף מפתח SSH כדי לאפשר שימוש בשורת הפקודה GitHub command line utility ופתיחה של Repository המכניס את נהלי העבודה לתוך ההסתעפות הראשית. שירות ה-Docker מגיע עם תכונות מוגדרות מראש בקובץ ההתקנה ונמצא במאגרי Docker Hub, המכילים מאות קבצי מערכת ייעודיים לכריית המטבעות ומנוהלים תחת שרת ה-C2 שיושב בסביבת הקונטיינר.
עוד נצפו חשבונות המשויכים לקמפיין שנמחקו מ-GitHub, אך לא ידוע אם מדובר בהסרה על ידי ספק השירות, שמנסה למחוק את החשבונות הנגועים, או בפונקציה מתוחכמת שמוחקת את החשבון עם סיום תקופת הניסיון. ממצאים נוספים הינם סקריפט המיועד לפלטפורמת CircleCI, המארחת בקר שמופעל בתוך קונטיינר ומשמש את התוקפים לקבלת סטטיסטיקות אודות כורים פעילים ומצב הארנקים הדיגיטליים שלהם, וכן קישור לחשבון Salesforce ולחשבון Fly.io.
צוות קונפידס ממליץ לכל המשתמשים בסביבות CI/CD וענן לנטרן באופן פעיל על מנת לזהות הדבקות.
הנוזקות MajikPOS ו-Treasure Hunter תוקפות עשרות נקודות מכירה וגונבות פרטי תשלום
מומחי מודיעין האיומים של Group-IB פרסמו דוח המנתח את אופן פעולתן של שתי הנוזקות, שנצפו מדביקות עשרות מסופי תשלום, בעיקר ברחבי ארצות הברית. נוזקות של נקודת המכירה (POS) הן סוג של נוזקות המיועדות למסופי קופה, ואשר הגונבות נתוני תשלום שמאוחסנים בפסים מגנטיים המצויים בגבם של כרטיסי אשראי. בשנים האחרונות ירדה מידת הפופולריות של נוזקות POS בשל מנגנוני ההגנה המוטמעים במערכות מודרניות לעיבוד כרטיסי אשראי במרבית המדינות, אך הן עדיין קיימות ומהוות איום חמור על אנשים ועסקים באזורים שבהם כרטיסי אשראי עם פסים מגנטיים משמשים כמנגנון עיבוד התשלומים העיקרי. אחד מהאזורים הללו הוא ארצות הברית.
לאחר שהמומחים של Group-IB זיהו וניתחו שרת פיקוד ובקרה (C2) של נוזקת POS בשם MajikPOS, הם קבעו שהוא מארח גם פאנל ניהולי של C2 השייך לנוזקת POS אחרת, Treasure Hunter, המשמשת גם היא לאיסוף נתוני כרטיסי אשראי. לאחר ניתוח התשתית הזדונית, החוקרים שלפו מידע על המכשירים הנגועים ועל כרטיסי האשראי שנפגעו בקמפיין, ומצאו כי מפעיליו גנבו יותר מ-167,000 רישומי תשלום, בעיקר בארצות הברית, ועל פי ההערכות יוכלו לשלשל לכיסם עד 3,340,000 דולר ממכירת המידע בפורומים מחתרתיים.
בשל מנגנוני ההגנה הקיימים בתעשיית עיבוד התשלומים, לנוזקות מסוג POS יש מנגנון הצפנת נתונים המיושם בשלבים העיקריים של עיבוד התשלום. לאחר מכן, פענוח הנתונים שהוצפנו מתרחש רק בזיכרון הגישה האקראית (RAM) של מכשיר ה-POS, שבו פרטי תשלום רגישים מאוחסנים כטקסט רגיל. דבר זה הפך את זיכרון ה-RAM למטרתן העיקרית של הנוזקות הללו, כאשר תהליך הוצאתם של פרטי תשלום רגישים מהכרטיס מכונה ״גירוד RAM״. כמעט לכל נוזקות ה-POS יש פונקציונליות הדומה לזו של מכונות לגיטימיות לחילוץ נתונים מכרטיסי אשראי, אך שיטות שונות לשמירה על הגישה למכשירים הנגועים ולעיבוד הנתונים.
צוות קונפידס ממליץ לארגונים ליישם מדיניות סיסמאות קפדנית, לעדכן תוכנות בזמן, להחיל פתרונות הגנה ברשת ולאפשר ב-Firewall תקשורות רק לכתובות ידועות.
האקר אוקראיני נעצר בהולנד בגין מעורבותו בפעילות הנוזקה Raccoon Stealer; ממתין להסגרה לארה״ב
מארק סוקולובסקי (26), החשוד במעורבות בפעילותה של ה״נוזקה כשירות״ (MaaS, או Malware-as-a-Service), נעצר על ידי רשויות אכיפת החוק ההולנדיות והאיטלקיות לאחר שברח מאוקראינה ב-4 במרץ, ויוסגר בהמשך לארצות הברית. סוקולובסקי פעל בפורומים של האקרים תחת מספר חשבונות ושמות, בהם Photix ,raccoonstealer ו-black21jack77777, על מנת לפרסם את השירות. Raccoon Stealer, שהופצה בעיקר במסווה של של תוכנות פרוצות, הינה נוזקה יעילה לגניבת מידע, בעיקר בשל האפשרויות הרחבות שהיא מציעה, בהן גם התאמה אישית. הנוזקה היתה פעילה מאפריל 2019 עד מרץ השנה. למרות שתחילה יוחסה העצירה בפעילותה למותו של מפתחה, כביכול, במלחמת רוסיה-אוקראינה, כעת מתברר שהדבר נעוץ במעצרו של סוקולובסקי. ואולם, גרסה של Raccoon Stealer הכתובה בשפת C++/C נצפתה בפורומים כבר ביוני השנה. לדברי לשכת החקירות הפדרלית (FBI), הנוזקה סייעה לגניבת יותר מ-50 מיליון רשומות מידע, בהן 4 מיליון כתובות מייל, וכן חשבונות בנק, כתובות ארנקי קריפטו, מספרי כרטיס אשראי ועוד. היקף הגניבה הוביל להקמת אתר לבדיקת כתובות מייל מול מאגר המידע של Raccoon Stealer. עוד נמסר מה-FBI כי עלות השימוש בשירותי הנוזקה עמדה על כ-200 דולר לחודש, ששולמו באמצעות מטבעות קריפטו. סוקולובסקי מואשם בקשירת קשר לביצוע הונאה, הונאת סייבר והלבנת כספים וכן בגניבת זהויות. במידה ויימצא אשם, הוא צפוי לקבל עונש מאסר של 27 שנים.
סייבר בישראל
קבוצת האקרים רוסית שככל הנראה משויכת לקרמלין הפילה את אתר הכנסת בתגובה לסיוע הישראלי לאוקראינה
הקבוצה, המכונה Xaknet, ביצעה על האתר מתקפת מניעת שירות (DDoS) שנמשכה מספר דקות, במהלכן האתר לא היה זמין. לטענת הקבוצה, אשר הגיבה בנושא בערוץ הטלגרם שלה, המתקפה הינה תגובה לסיוע הישראלי לאוקראינה, כאשר על פי דיווחים ישראל הזהירה את הכוחות האוקראינים מפני מתקפות של מזל״טים איראנים בשליחות רוסיה. עוד הוסיפה Xaknet שאם מדינת ישראל תמשיך לסייע לאוקראינים - יימשכו המתקפות, תוך ניצול מרבית המשאבים שברשות הקבוצה. לדבריה, בפעמים הבאות היא לא תסתפק במתקפת DDoS בלבד. מן הכנסת נמסר כי מטעמי אבטחה הארגון נמנע מלהגיב לאירועים מסוג זה. מהממצאים שבידי חברת קונפידס עולה כי מערכת ההגנה של אתר הכנסת הורידה את האתר כתוצאה מריבוי בקשות HTTP שנשלחו מצד התוקפים. עוד עולה כי אין קשר בין המתקפה לבין הבחירות שיתקיימו בשבוע הבא.
ראש ממשלת אלבניה אדי רמה הגיע לביקור מדיני בישראל לשם קבלת סיוע בחיזוק מערך הסייבר של מדינתו
הרקע לביקור, שהתקיים ב-23 באוקטובר, הוא מתקפות הסייבר (ראו ״הסייבר״, 21.07.22) החריפות שביצעה איראן נגד אלבניה, ואשר הובילו לניתוק היחסים הדיפלומטיים בין שתי המדינות בחודש שעבר. במהלך המתקפה, שאירעה ב-15 ביולי, הושבתו באופן זמני שורה של אתרי ממשל, לרבות שירותים דיגיטליים שסופקו באמצעותם. ההחלטה על ניתוק היחסים הדיפלומטיים עם איראן התקבלה בתום חקירה נרחבת של האירוע, אשר סיפקה "ראיות בלתי ניתנות לערעור" לכך שאיראן עמדה מאחוריה. לדברי רמה, איראן רתמה אל המתקפה ארבע קבוצות האקרים, שעמדו מאחורי מתקפות סייבר נגד ישראל, סעודיה, ירדן, איחוד האמירויות, כוויית וקפריסין. על פי דיווחים אלבניים, במהלך המתקפה הודלפו ממאגרי המדינה נתונים אישיים של חברי ממשלה.
סייבר ופרטיות - רגולציה ותקינה
פרסום דוח ועדת דוידי בנושא תשלומי כופר לתוקפים במסגרת אירועי סייבר: "אין מקום להטיל איסור גורף על תשלום כופר" בישראל
צוות המשנה של ועדת דוידי במשרד המשפטים, הממונה על התאמת המשפט לאתגרי החדשנות והאצת הטכנולוגיה, פרסה ב-23 באוקטובר דוח בנושא החוקיות של תשלום כופר במסגרת אירועי סייבר במדינת ישראל. בדוח נבחן המצב המשפטי הקיים בישראל, שעד כה אינו אוסר מפורשות על תשלומי כופר לתוקפים, אלא בנסיבות ספציפיות, כגון תשלום לקבוצת טרור, ונסקר המצב הרגולטורי בתחום בארצות הברית, באיחוד האירופי, באוסטרליה, בניו זילנד, בבריטניה, בגרמניה, בצרפת ובקנדה. הדוח בוחן את המצב המשפטי הקיים בארץ גם לאור ההתפתחויות במדינות וגופים אלה. מסקנת צוות המשנה היא ש"...אין מקום להטיל איסור גורף על תשלום כופר" לתוקפים. הדוח מונה 8 המלצות עיקריות, 3 הנוגעות לאיסור התשלום במישור המהותי ו-5 הנוגעות לאיסור הפרסום של מתקפות כופרה. בין היתר, ההמלצות מתייחסות לצורך להביא לתודעה ציבורית רחבה היבטים שונים של מתקפות כופרה, לרבות השפעותיהן השליליות על רמת הגנת הסייבר הכלל-מדינתית, ולעודד את מי שנתקף במתקפת כופרה לדווח על כך לרשויות. עוד צוין הצורך "...לגבש מדיניות ממשלתית כוללת בנושא מתקפות הכופרה". יצוין שבמסגרת הדוח חברי ועדת המשנה לא נתנו את הדעת לתפקידן של חברות הביטוח המנפיקות פוליסות ביטוח סייבר, ומהוות שחקן מרכזי בתהליך ביצוע תשלומי הכופר ובמימונם.
ה-NYDFS מטילה קנס בגובה 4.5 מיליון דולר על חברה שהפרה את דרישות הגנת הסייבר שלה
מחלקת השירותים הפיננסיים של מדינת ניו יורק (NYDFS) הטילה את הקנס על חברת EyeMed ב-18 באוקטובר, לאחר שמצאה שזו לא סיפקה הגנות סייבר מספקות על פרטיות המידע האישי והבריאותי של מאות אלפי לקוחות, לרבות קטינים. המידע האמור הודלף במסגרת מתקפת סייבר על חברת EyeMed ביולי 2020, כאשר הרגולטור קבע כי החברה הפרה את החובות הרגולטוריות בנוגע לאבטחת מידע המופיעות בחקיקה הפיננסית של מדינת ניו יורק. באופן פרטני, כך נאמר, החברה לא הטמיעה כלים לאימות רב-שלבי (MFA) בגישת משתמשים לסביבת הדואר האלקטרוני שלה ולא ניהלה כראוי את הגישה לחשבונות המייל בחברה. נציבת ה-NYDFS אדריאן האריס אמרה כי "ההסדר [שהושג עם EyeMed] מדגים את המחויבות המתמשכת [של ה-NYDFS] להגן על הצרכנים תוך הבטחת הבטיחות והתקינות של מוסדות פיננסיים מפני איומי סייבר."
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.