דו״ח סייבר שבועי
עדכון שבועי 28.01.2021
עיקרי הדברים
-
חולשות יום אפס במוצרי אפל. עדכנו את האייפון שלכם היום.
-
גוגל מדווחת על קמפיין תקיפה צפון קוריאני המכוון לחוקרי אבטחת מידע
-
מבצע של היורופול נגד תשתית התקיפה Emotet
-
מחלוקת בבריטניה סביב עמדת איגוד חברות הביטוח (ABI) התומכת בתשלומי כופרה בביטוח סייבר
-
אנו ממליצים לעדכן את המערכות הבאות: מוצרי אפל, מוצרי SonicWall, נגני VLC, דפדפן Firefox.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
3 חולשות zero-day בעדכונים למוצרי Apple
חולשת Zero-day התגלתה במוצרים של SonicWall
ארבע חולשות נמצאו בנגן המדיה VLC
חולשות ברמת חומרה גבוהה בדפדפן Firefox
התקפות ואיומים
גוגל מדווחת על קמפיין תקיפה צפון קוריאני המכוון לחוקרי אבטחת מידע
נפרצה רשת הלבשת הגברים האמריקאית Bonobos
הרגולטור האוסטרלי של שווקים ושירותים פיננסיים מדווח על גישה לא מורשית לאחד משרתי הארגון
דליפת מידע מבורסת הקריפטו ההודית Buyucoin
תקיפה רוחבית של ענקית ייצור המנופים Palfinger
ברזיל: אחת מדליפות המידע הגדולות בכל הזמנים
ענקית הקמעונאות האסייתית Dairy Farm תחת מתקפת כופר עצומה
אזרח קנדי הורשע בפלורידה בשימוש בתוכנת הכופר NetWalker
סייבר בעולם
נציבות הסחר הפדרלית של ארה״ב מזהירה מפני התחזות
ממשלת רוסיה מזהירה מפני תקיפות המגובות על ידי ממשלת ארה״ב
היורופול מדווחת על בלימת התפשטות נוזקת Emotet
מידע חדש אודות נוזקות SolarWinds
סייבר ופרטיות - רגולציה ותקינה
היום הבינלאומי לפרטיות המידע
הכללת תשלומי כופרה בפוליסות ביטוח סייבר: בריטניה חלוקה סביב עמדת איגוד חברות הביטוח (ABI)
NIST: טיוטת הנחיות חדשה בנוגע לאבטחת המידע של פלטפורמות לשיתוף אינפורמציה בנושאי הגנת סייבר
החרפה בסוגיית ההתערבות הרגולטורית בתכני מדיה חברתית: מחסימת חשבון הטוויטר של טראמפ - לאן?
כנסים
הציטוט השבועי
״Our job is to catch the bad guys with the help of good data״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
3 חולשות zero-day בעדכונים למוצרי Apple
העדכונים רלוונטיים למוצרים Xcode, iCloud for windows, iOS, iPadOS, tvOS ו-watchOS, ונועדו לסגירת חולשות המאפשרות לתוקף להעלות הרשאות, כמו גם להריץ קוד זדוני על מערכת שאינה מעודכנת.
אנחנו ממליצים לבעלי מכשירים המבוססים על תוכנות אלה לבצע עדכון לגרסתם האחרונה
חולשת Zero-day התגלתה במוצרים של SonicWall
יצרנית מוצרי ההגנה פרסמה השבוע הודעה דחופה בדבר זיהוי התקפות רבות על מוצר ה-VPN שלה באמצעות שימוש בחולשה, שטרם יצא לה עדכון. המוצרים הפגיעים לחולשה הם Secure Mobile Access, מוצר פיזי המאפשר חיבור VPN לרשתות מרוחקות, ותוכנת NetExternder VPN, שהינה סוכן המותקן בתחנת הקצה המתחברת לרשת הארגון. לצורך התגברות על החולשה, ב-SonicWall ממליצים להטמיע אמצעי אימות כפול (MFA) ו/או להגביל את אפשרויות החיבור לכתובות IP ספציפיות.
ארבע חולשות נמצאו בנגן המדיה VLC
החמורה שבהן (CVSS 7.8) היא חולשה מסוג Heap-based buffer overflow. כל החולשות שאותרו רלוונטיות לגרסאות 3.0.11.1 ומטה של נגן המדיה, ועלולות לאפשר לתוקף להריץ קוד מרוחק על עמדה פגיעה.
אנו ממליצים לעדכן את המוצר לגרסתו האחרונה, 3.0.12.
חולשות ברמת חומרה גבוהה בדפדפן Firefox
בגרסה החדשה פתרה החברה מספר חולשות ברמת חומרה גבוהה (High), הפסיקה את תמיכת הדפדפן ב-Adobe Flash והוסיפה לו יכולת הגנה מפני Supercookies, מנגנון המאפשר מעקב אחר המשתמש ונותר חבוי בדפדפן גם לאחר מחיקת ה-Cookies. באמצעות בידוד ה-Supercookies מונע דפדפן ה-Firefox מעקב אחר גלישה מאתר אחד לאחר.
התקפות ואיומים
גוגל מדווחת על קמפיין תקיפה צפון קוריאני המכוון לחוקרי אבטחת מידע
הקמפיין, אשר מקורו המשוער בצפון קוריאה, מבוסס על מספר חשבונות טוויטר שדרכם יוצרים התוקפים קשר עם קורבנות פוטנציאליים. באמצעות חשבונות אלה פרסמו התוקפים פוסטים ואף סרטוני YouTube (שנמצאו מזויפים) אודות ניצול חולשה, כאשר על מנת לחזק ולהגביר את מידת אמינותם בעיני חוקרי האבטחה המטורגטים, התוקפים השתמשו בחשבונות זה של זה. לאחר שעלה בידיהם לתקשר עם הקורבנות, התוקפים העבירו לידיהם קישור לקובץ המנצל את החולשה האמורה. בפועל, הקובץ הכיל נוזקה אשר יוצרת בין מחשב הקורבן לבין מחשב התוקף ערוץ תקשורת המאפשר גניבת מידע. נוסף על הקמפיין המתנהל בטוויטר, התוקפים אף פתחו אתר המאוחסן על גבי תשתית זדונית. כאשר מתבצעת כניסה לאתר, מחשב הקורבן נדבק בנוזקה המצויה בקוד האתר, זאת גם במקרים בהם המשתמש מחזיק בדפדפן מעודכן ובמערכת ההפעלה Windows, המעודכנת אף היא. נכון לרגע זה, גוגל אינה יודעת לעמוד על השלכות התקיפה, אך החברה פירסמה את כלל המזהים שנמצאו עד כה.
אנו ממליצים לעדכן את מערכות ההגנה שברשותכם במזהים שפורסמו.
נפרצה רשת הלבשת הגברים האמריקאית Bonobos
הפריצה בוצעה על ידי האקר המכונהShinyHunters והביאה לדליפת 70GB של מידע השייך ללקוחות הרשת. לטענת החברה, לא קיימת עדות לפריצה אל תוך הרשת הפנימית של הארגון, אלא למסד נתונים בו מגובה מידע המאוחסן אצל ספק חיצוני. המידע שדלף כולל שמות מלאים, מספרי טלפון ו-4 הספרות אחרונות של מספרי כרטיסי אשראי, ולמרות שאינו יכול לשרת את התוקפים לגניבת כספים, ניתן להשתמש בו לצרכי ביצוע פישינג ממוקד על בעלי החשבונות.
הרגולטור האוסטרלי של שווקים ושירותים פיננסיים מדווח על גישה לא מורשית לאחד משרתי הארגון
אירוע הסייבר, עליו דיווחה ASIC ב-15 בינואר, נקשר לתוכנה לשיתוף והעברת קבצים בשם Accellion, המכילה קבצים של בקשות לרישיונות למתן אשראי. עד כה לא תועדו ראיות המצביעות על כך שהמידע נפתח או הורד למחשבי התוקף.
דליפת מידע מבורסת הקריפטו ההודית Buyucoin
המידע הגנוב פורסם בפורום האקינג בחינם, על ידי תוקף המכונה ShinyHunters (מוזכר לעיל בכתבה אודות הפריצה לרשת Bonobos), אשר ידוע בפעילותו ברשת, אך לרוב דורש כסף עבור ״עבודתו״. המאגר שהודלף מכיל מידע של 161,487 משתמשים וכולל כתובות מייל, מדינות, Hash של סיסמאות, מספרי טלפון וטוקנים של Google sign-in, במידה והמשתמש בחר לעשות בהם שימוש בעת רישום לאתר. מחברת Buyucoin נמסר כי היא רואה את הנושא בחומרה וכבר פתחה בחקירה.
אנו ממליצים למשתמשי אתר הבורסה להחליף את סיסמתם, גם במידה ונעשה שימוש ב-2FA, ולוודא כי אינם מזדהים באמצעות אותה סיסמה באתרים אחרים.
תקיפה רוחבית של ענקית ייצור המנופים Palfinger
החברה האוסטרית בעלת התפוצה העולמית הודיעה השבוע כי שירתיה נפגעו רוחבית כתוצאה מתקיפת סייבר, וכי בעקבות האירועים נפגעה יכולת החברה לספק מגוון שירותים, ותהליכים החל מתהליך הרכישה ועד לשלב האספקה. כתוצאה מכך נאלצה Palfinger להשתמש בדרכים חלופיות לקיום תקשרות עם לקוחות וגם פנים ארגונית. נכון לרגע זה, החברה ממליצה ללקוחותיה שלא לבצע הזמנות חדשות, עד לעדכון נוסף.
ברזיל: אחת מדליפות המידע הגדולות בכל הזמנים
בברזיל מעריכים כי דליפת מידע שהתפרסמה בשבוע האחרון כוללת לא פחות מ-220 מיליון רשומות אישיות (לרבות של אנשים אשר כבר אינם בין החיים) ו-100 מיליון רשומות של רכבים פרטיים. המידע שדלף כולל תמונות פנים, כתובות, מספרי טלפון, מיילים, תלושי משכורת ועוד. על פי הערכות מומחים, נראה כי המידע דלף מחברת Serasa Experian, המכחישה כל קשר לפרשה. ההדלפה התבצעה בשני שלבים: 1. באוגוסט 2019 הודלפו שמות פרטיים, תאריכי לידה ומגדר של משתמשים. 2. בדליפה מאוחרת יותר נחשף מידע נוסף אודות אותם משתמשים, שכלל מספרי תעודות זהות, רשימות קרובי משפחה, כתובות מלאות, רמות השכלה, סטטוס במס הכנסה ונתונים רגישים אחרים.
ענקית הקמעונאות האסייתית Dairy Farm תחת מתקפת כופר עצומה
הקבוצה, המפעילה יותר מ-10,000 סניפים תחת חברות שונות, נתקפה השבוע בכופרה מסוג REvil ונדרשה לשלם סכום העומד על 30 מיליון דולר. לטענת החברה המתקפה פגעה רק ב-2% משרתיה, והמכונות הפגועות בודדו מהרשת לצורך מניעת התפשטות. עוד הוסיפה החברה כי אין חשש לדליפת מידע, אך מנגד טוען התוקף כי גם שבוע לאחר התקיפה המשיך ליהנות מגישה מלאה למיילים של כל עובדיה.
אזרח קנדי הורשע בפלורידה בשימוש בתוכנת הכופר NetWalker
בשיתוף פעולה בין רשויות אמריקאיות ובולגריות, נתפס השבוע אתר אינטרנט המשתמש בשירות הכופרה NetWalker ומשמש לפרסום נתוני קורבנות בדארקנט. כופרה זו היא מסוג Ransom-as-a-Service, ותוקפים יכולים להשתמש בה בתשלום לצורך לביצוע מתקפות. הפושעים המתפעלים את האתר השתמשו בפלטפורמה שברשותם להפעלת מכבש לחצים על קורבנות התקיפה, במטרה שישלמו את דמי הכופר שנדרשו מהם. הצעיר הקנדי אשר הורשע בארה״ב בשימוש בכופרה, הורשע גם בסחיטה בסכום של 27 מיליון דולר.
סייבר בעולם
נציבות הסחר הפדרלית של ארה״ב מזהירה מפני התחזות
האזהרה מגיעה על רקע ניסיון שנעשה לאחרונה למשוך קורבנות לאתר המתחזה לזה של ה-FTC, באמצעות הבטחה להחזרים כספיים באופן מיידי. המתחזים מבקשים מהקורבנות מידע אישי, אשר עלול לאפשר להם לגנוב את זהותם וכספם. הנציבות הצהירה כי לעולם לא תבקש מידע שכזה.
ממשלת רוסיה מזהירה מפני תקיפות המגובות על ידי ממשלת ארה״ב
באזהרה שפורסמה נטען כי המתקפות צפויות על רקע אירוע ה-SolarWinds, ומפורטות המלצות הקשחה והתמודדות המיועדות לארגונים, בהן העלאת מודעות העובדים למתקפות פישינג, הגבלת גישה לרשתות פנימיות, הימנעות משימוש בשירותי DNS צד ג׳ ועוד.
היורופול מדווחת על בלימת התפשטות נוזקת Emotet
הבלימה הינה פרי של מבצע בו שיתפו פעולה רשויות מרחבי העולם (הולנד, גרמניה, ארה״ב, אנגליה, צרפת, ליטא, קנדה ואוקראינה), בהנחיית היורופול. המבצע הונהג במסגרת ה-EMPACT (European Multidisciplinary Platform Against Criminal Threats). נוזקת Emotet, שהתגלתה לראשונה ב-2014, הינה מהמתוחכמות מסוגה, ובשנים האחרונות היא התפשטה לתשתיות רבות ברחבי העולם ואף נמכרה במתכונת ״נוזקה כשירות״ לגופי תקיפה נוספים. חסימת הנוזקה התאפשרה באמצעות השגת שליטה על תשתית התקיפה הרחבה שלה (מאות שרתים בפריסה עולמית) והשבתתה מבפנים.
מידע חדש אודות נוזקות SolarWinds
הסוכנות לאבטחת סייבר ותשתיות של ארה״ב (CISA) פרסמה מחקר בו היא חושפת רכיב נוסף המצטרף לנוזקות הרלוונטיות למתקפת שרשרת האספקה המכונה ״מתקפת SolarWinds״. נוזקה זו, אשר קיבלה את הכינוי Supernova על ידי חברת האבטחה FireEye, מוחדרת למערכות בהן מותקנת תוכנת SolarWinds, על ידי תוקף שכבר יש לו אחיזה בהן. הנוזקה מתחזה לSolarWinds (בפועל מדובר ב-Web shell) ומאפשרת לתוקף להזריק לזיכרון המכונה קוד #C.
סייבר ופרטיות - רגולציה ותקינה
היום הבינלאומי לפרטיות המידע
היום מצוין היום הבינלאומי להגנת פרטיות המידע, כמדי שנה ב-28 בינואר. כנהוג, ביום זה מדינות, ארגונים בינלאומיים, חברות בינלאומיות וגופי מהמגזר השלישי יוזמים פעילויות שונות להגברת המודעות להגנה על פרטיותו של מידע אישי. יוזמות לדוגמה הן אלה של הרשות הישראלית להגנת הפרטיות, אשר מפרסמת היום לציבור מידע ותכנים בנושא, ושל האגודה לזכויות האזרח, המשיקה וובינר בנושא השימוש בטכנולוגיות לזיהוי פנים ברחבי העולם.
הכללת תשלומי כופרה בפוליסות ביטוח סייבר: בריטניה חלוקה סביב עמדת איגוד חברות הביטוח (ABI)
החלטת ה-ABI לכלול בפוליסות ביטוח סייבר כיסוי עבור תשלום דמי כופר הנדרשים לאחר התרחשות אירוע סייבר חושפת את האיגוד לביקורת ציבורית, כאשר לטענת המבקרים מדיניות ה-ABI תומכת, לכאורה, בפשע מקוון, בכך שהיא מאפשרת לפעילותם הבלתי-חוקית של דורשי הכופרה לצלוח. באירועי כופרה, תוקפים מחדירים למערכות הארגון הנתקף תוכנה זדונית הגורמת להצפנת המחשבים הנגועים ומאפשרת גישה למידע המאוחסן בהם רק לאחר תשלום דמי הכופר, לרוב בביטקוין או במטבע וירטואלי אחר, שאינו מאפשר את זיהוי התוקפים. גופים רבים שנופלים קורבן למתקפת כופרה בוחרים לשלם את סכום הכופר, במיוחד אם אין בידיהם גיבוי לנתונים המוצפנים. ללא כיסוי ביטוחי ייעודי, ארגונים נתקפים עלולים לעמוד בפני חורבן כלכלי.
NIST: טיוטת הנחיות חדשה בנוגע לאבטחת המידע של פלטפורמות לשיתוף אינפורמציה בנושאי הגנת סייבר
המכון הלאומי לתקנים וטכנולוגיה של ארה״ב פרסם השבוע מהדורה חדשה של הנחיותיו בנוגע לשיתוף מידע ברמת אבטחה גבוהה בין ארגונים וגורמי ממשל. בפרסום מופיעה טיוטה להערות הציבור, לקראת גיבוש המסמך הסופי. בשנים האחרונות עולה חשיבותו של אחד ההיבטים של רמת הגנת הסייבר של ארגונים פרטיים וגורמי ממשל: שיתוף מידע רלוונטי ומעשי אודות איומי ואירועי סייבר בזמן אמת. ההנחיה של NIST מתייחסת לנושא זה דרך ארבע סוגיות עיקריות הנוגעות למנגנון שיתוף המידע: (1) ניהול אבטחת המידע שלו; (2) תכנונו; (3) תהליך הקמתו ותחזוקה; (4) סיומו (ראו תרשים להלן). ההנחיה מדגישה את חשיבות הגדרת היקף שיתוף המידע בין הארגונים, דנה בדרכי ניהול הסיכונים הכרוכים בשיתוף ומציגה סוגים שונים של הסכמים שעשויים להיות רלוונטיים לארגונים המשתפים ביניהם מידע. הציבור מוזמן להגיש הערות לטיוטה עד ל-12/03/2021.
החרפת הסוגיה של ההתערבות רגולטורית בתכנים במדיה החברתית: מחסימת חשבון הטוויטר של טראמפ - לאן?
ההתמודדות הרגולטורית עם תכנים בלתי-חוקיים ובלתי-רצויים בפלטפורמות מדיה חברתית מושכת תשומת לב הולכת וגוברת בקרב גורמי הסדרה מדינתיים, וביתר שאת לאור חסימת חשבונות המדיה של נשיא ארה"ב לשעבר דונלד טראמפ, בימים האחרונים לשלטונו. מלבד ההיבט הרגולטורי, הנושא ממשיך להעסיק גם את החברות שבבעלותן הפלטפורמות המדוברות, הקובעות בעצמן את הסטנדרטים לתכנים מותרים ואסורים ברשתותיהן, וכן מדינות, הנוקטות כעת יוזמות שונות בעקבות האירועים. כך, למשל, רוסיה מציעה לקבוע כללים בין-מדינתיים מוסכמים להתמודדות עם תכנים לא-רצויים ובלתי-חוקיים. ארה״ב, מצדה, מקדמת כיוון פעולה שונה, עם ייסודה של תוכנית להתמודדות עם טרור פנים-מדינתי על ידי הנשיא הנכנס ג׳ו ביידן, שכוללת גם הידוק שיתוף הפעולה בין המחלקה לביטחון המולדת וה-FBI בכל הנוגע לטיפול ברשתות חברתיות קיצוניות. עוד הקים הבית הלבן צוות משימה שיפעל ב-100 הימים הראשונים של ממשל ביידן, על מנת לבחון, בית היתר, את הנושאים הללו ואת דרכי התמודדות עמם.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.