דו״ח סייבר שבועי
עדכון שבועי 29.10.2020
עיקרי הדברים
-
מבט מיוחד - סקירת התקפות סייבר על מערכת הבחירות לנשיאות בארה"ב: חשיפת תשתיות תקיפה רוסיות וסיניות, סנקציות על איראן ועוד.
-
מה שהאיראנים ניסו להסתיר - עושה הדלפת ענק מרשות הנמלים האיראנית
-
ה-FBI מזהירה מפני איום כופרה ממשי ומיידי על בתי חולים בארה"ב
-
קבוצת התקיפה Maze משביתה את פעילותה
-
התראות להתחזות לחברות (Squatting) הבאות: Netflix Apple, Santander, Volksbanken Raiffeisenbanken
-
אנו ממליצים לעדכן בהקדם את המוצרים הבאים: מוצר SSMC של HPE, דפדפן Edge של Microsoft, מוצרי QNAP ומוצרי Pulse Secure.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
חולשה קריטית במוצר SSMC של Hewlett Packard Enterprise
עדכון אבטחה לדפדפן Edge של Microsoft
חולשות חדשות במערכת ההפעלה של מוצרי QNAP מאפשרות השתלטות מרחוק
חולשות אבטחה במוצרי Pulse Secure
מבט מיוחד: התקפות סייבר על הבחירות בארצות הברית
הושחת אתר קמפיין הבחירות של הנשיא טראמפ
מתקפת כופר על רשת הניהול של מחוז הול שבמדינת ג׳ורג׳יה עלולה להשפיע על הבחירות לנשיאות
ארה״ב מטילה סנקציות כלכליות על 5 ארגונים איראניים המתערבים בתהליך הבחירות לנשיאות
התקפות ואיומים
דיווחי התחזות לחברות (Squatting) מהשבוע האחרון:
האקרים פרצו למרכז פסיכיאטרי בפינלנד לשם סחיטת מטופלים
מתקפת סייבר על משרדי עורכי הדין Fragomen גרמה לדליפת מידע אישי של עובדי גוגל
קבוצת התקיפה הרוסית Turla חדרה לארגון ממשלתי באירופה
דליפת מידע בשירות Nitro PDF משפיעה על חברות ענק
השבוע בכופרה
סייבר בישראל
שבוע הגנת הסייבר: מערך הסייבר מפרסם תוכן חינמי לקהל הרחב
סייבר בעולם
הדלפת ענק מרשות הנמלים האיראנית
CISA מפרסמת מערך תקיפה צפון קוריאני חדש
אפליקציות צ'אט נפוצות עלולות להדליף פרטי משתמשים
משרד האוצר האמריקאי הודיע על החרמת ארגון החשוד בהפצת נוזקות
מיקרוסופט חשפה תקיפת סייבר איראנית נגד גורמים בוועידת מינכן לביטחון
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות מפרסמת מסמך המלצות לארגונים ישראליים בנוגע למינוי ממונה הגנה על פרטיות
ועדת הסחר בסנאט בארה"ב מתשאלת את פייסבוק, טוויטר וגוגל בנוגע למדיניות הורדת תכנים
ה-ENISA מקדמת ״ארגז כלים״ להקמת פלטפורמה לשיתוף מידע בתחום הסייבר
פינלנד מצטרפת לרשימת המדינות המפרסמות בפומבי את תפיסתן של יישום הדין הבינלאומי במרחב הסייבר
כנסים
הציטוט השבועי
״ארה״ב לא תסבול התערבות זרה בבחירות. ממשלת ארה"ב בכללותה משתמשת בכל הכלים העומדים לרשותה כדי ׳לטרגט׳ את אלה המנסים להתערב בתהליך הדמוקרטי שלנו.״
מייק פומפאו, שר החוץ של ארה"ב, 23 באוקטובר 2020 בהודעה לעיתונות על הטלת סנקציות של 5 ארגונים איראניים
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
חולשה קריטית במוצר SSMC של Hewlett Packard Enterprise
חברת HPE פרסמה עדכון אבטחה למוצר SSMC, המהווה פתרון ניהול למרכזי מידע. החולשה, CVE-2020-7197, בדירוג CVSS 10, מאפשרת ביצוע מעקף למנגנון האותנטיקציה של המוצר, ובכך מעניקה לתוקפים גישה אל כל התוכן המצוי עליו. אנו ממליצים לבעלי עסקים המשתמשים ב-SSMC לעדכנו לגרסה 3.7.1.1 או מאוחרת יותר.
עדכון אבטחה לדפדפן Edge של Microsoft
העדכונים שמופיעים באתר חברת מיקרוסופט פותרים, בין השאר, החולשות CVE-2020-15999, CVE-2020-16000, CVE-2020-16001, CVE-2020-16002 ו-CVE-2020-16003. חלקן מאפשרות לתוקף להשיג שליטה על מערכת בה מותקן דפדפן שגרסתו אינה מעודכנת. טרם פורסמו ציוני ה-CVSS של החולשות החדשות שנתגלו. אנו ממליצים לעדכן את הדפדפן לגרסתו האחרונה, 86.0.4240.111.
חולשות חדשות במערכת ההפעלה של מוצרי QNAP מאפשרות השתלטות מרחוק
החברה מזהירה מפני באגים שזוהו ב-QTS, מערכת ההפעלה של מוצריה, המייצרים חולשות שמאפשרות לתוקף להריץ פקודות מרחוק על המוצרים ובכך להשיג שליטה עליהם. שתי החולשות שהתגלו, CVE-2020-2490 ו-CVE-2020-2492, רלוונטיות לגרסאות הקודמות לגרסה QTS 4.4.3.1421 build 20200907, אותה פרסמה החברה כבר ב-8 בספטמבר השנה. בשל העובדה שנחשפו רק לאחרונה, טרם ניתן לשתי החולשות דירוג CVSS.
אנו ממליצים לוודא כי גרסת ה-QTS במכשירי ה-QNAP שברשותכם עדכנית
חולשות אבטחה במוצרי Pulse Secure
החולשה החמורה ביותר שהתגלתה במוצרי החברה עלולה לאפשר למשתמש מאומת ובעל גישה לממשק הניהול להריץ קוד מרחוק על העמדה, ובכך לאפשר מתקפת Man-in-the-middle. מזהי החולשות הם CVE-2020-8250, CVE-2020-8249 ו-CVE-2020-8248 ודירוג חומרתן הינו CVSS 7.8. החברה פרסמה לאחרונה עדכוני אבטחה לסגירת הפגיעויות, אותן ניתן להוריד מאתר החברה.
אנו ממליצים להתקין את עדכוני האבטחה בהקדם האפשרי.
מבט מיוחד: התקפות סייבר על הבחירות בארצות הברית
ב-3 בנובמבר יתקיימו הבחירות לנשיאות בארצות הברית. בשבועות האחרונים נרשם מספר גבוה של התקפות שמטרתן שיבוש הליך הבחירות, פגיעה באמינותו וזריעת כאוס בקרב המצביעים האמריקאים. בשל חשיבות נושא ההגנה על תהליכים דמוקרטיים, אנו סוקרים בפניכם את האירועים המשמעותיים בזירה זו. להלן עיקרי הדברים:
-
הממשל האמריקאי מאשים את רוסיה ואיראן בניסיון להתערב בבחירות באמצעות מתקפות סייבר. נוסף על כך, Microsoft חושפת תשתית תקיפה סינית, המכוונת להתערבות בבחירות. במסיבת עיתונאים יוצאת דופן שנערכה בשבוע שעבר, ה-FBI וה-CISA הזהירו את הציבור מפני הפצת דיסאינפורמציה הנוגעת לבחירות, זאת בעקבות חששות כבדים לניסיונות של גורמים עוינים להשפיע על ההליך.
-
ארה״ב מטילה סנקציות כלכליות על 5 ארגונים איראניים המתערבים בתהליך הבחירות לנשיאות.
-
בקליפורניה ובאינדיאנה פגעו האקרים רוסים שפעלו מטעם ה-FSB ברשתות המנהלתיות המקומיות, ישנו חשש שדבר זה יפגע בתהליך הבחירות.
-
בלואיזיאנה הוזמן המשמר הלאומי לסייע בהתמודדות עם מתקפות סייבר נגד משרדי ממשל קטנים, בהן השתמשו התוקפים בכלים שנראו בעבר רק בהתקפות שמקורן בקוריאה הצפונית.
-
על בסיס מידע שסיפק ה-FBI, טוויטר הסירה 130 חשבונות איראנים ששימשו לשיבוש השיח הציבורי בארה״ב.
-
גוגל איתרה קמפיין איראני שנשלח לכ-25,000 משתמשים והצליחה לחסום 90% מהמיילים.
-
פיקוד הסייבר האמריקאי ו-Microsoft שיבשו את תשתית התקיפה TrickBot, שהופעלה על ידי ארגוני פשיעה רוסים. התשתית הייתה עשויה לשמש למתקפות כופרה שיפגמו בתהליך הבחירות.
להלן פירוט בנוגע לחלק מההתפתחויות הנ"ל ואחרות.
הושחת אתר קמפיין הבחירות של הנשיא טראמפ
הדבר דווח ברחבי הרשת ב-27 באוקטובר, כאשר מתיעוד הגולשים עולה כי עמוד ה"אודות" הושחת, בין היתר על ידי שנוספו בו טענות בדבר חשיפות של שיחות סודיות ובדבר קונספירציות הנוגעות להתנהלותו של נשיא ארה״ב המכהן. זאת ועוד, התוקפים הציבו באתר את השאלה אם לפרסם מידע שאותו טענו כי גנבו ממכשירים המקושרים לנשיא. הגולשים נתבקשו ללחוץ על כפתור ״בעד״ או ״נגד״, כאשר עבור כל תשובה ביקשו התוקפים תרומות במטבע קריפטו. על פי ה-FBI, התוקפים לא השיגו גישה למידע מכל סוג שהוא, מאחר ואין מידע השמור באתר התדמית שנפרץ. ככל הנראה, התוקפים ניסו לגזור רווח כספי מהתקיפה, לא רק לקדם אידיאולוגיה פוליטית, במתקפה שנמשכה 30 דקות בלבד. לאחר מכן, האתר חזר לתפקוד רגיל.
ארה״ב מטילה סנקציות כלכליות על 5 ארגונים איראניים המתערבים בתהליך הבחירות לנשיאות
ב-23 באוקטובר הודיע שר החוץ של ארה"ב, מייק פומפיאו, על הטלת הסנקציות, שבוע וחצי לפני הבחירות שיתקיימו ב-3 בנובמבר. חמשת הארגונים הם מכון באיאן רסאנה גוסטר, האיחוד האיראני האיסלאמי לרדיו וטלוויזיה, האיחוד הבינלאומי למדיה וירטואלית, משמרות המהפכה (IRCG) וכוח "קדס" של ה-ICRG. בהודעת משרד האוצר האמריקאי על הטלת הסנקציות, מפורטת פעילותו של כל ארגון ומצוין כי הסנקציות מגיעות על רקע פעילות אסורה שיש בה משום השפעות שונות על תהליך הבחירות בארה"ב, ובכלל זה הפצת דיסאינפורמציה לציבור האמריקאי. בתוך כך, נוספו לרשימות הטרוריסטים המזוהים של ארה״ב שמות של שלושה אזרחים איראניים.
ב-21 באוקטובר כינסו שני הגופים מסיבת עיתונאים בנושא האיומים על תהליך הבחירות. דברי ראש ה-FBI התמקדו בשתי תופעות עיקריות, הראשונה היא משלוח מיילים, סרטונים ותכנים אחרים על ידי גורמים איראניים עוינים לבוחרים בארה"ב, בניסיון להשפיע עליהם באופן ישיר. ראש ה-FBI הסביר כי בחלק מהמיילים שנשלחו התחזו השולחים ל-Proud Boys, גוף ימני קיצוני התומך בנשיא טראמפ. התופעה השניה הינה משיכת מידע משרתים שונים על ידי מערך התקיפה הרוסי Energetic Bear, המוכר גם בשם Dragonfly. זאת ועוד, קיימות אינדיקציות לפריצות נוספות לתשתיות קריטיות ולרשתות אחרות, כחלק ממכלול של פעולות מצד גורמים עוינים, שמטרתן לפגוע במהימנות מערכת הבחירות בארה"ב במקומות בהם קיימת תלות במערכות ממוכנות, כגון אתרי קמפיינים, אתרי מפלגות, איסוף נתוני בוחרים ומערכות לספירת קולות.
התקפות ואיומים
דיווחי התחזות לחברות (Squatting) מהשבוע האחרון:
Volksbanken Raiffeisenbanken - הדומיין הראשון נרשם ב-25 באוקטובר, הדומיין האחרון נרשם ב-27 באוקטובר. בין שמות הדומיין: volksbank[.]vin, volksbank[.]support.
Santander - הדומיין הראשון נרשם ב-25 באוקטובר, הדומיין האחרון נרשם ב-27 באוקטובר. בין שמות הדומיין: bancosantander-datos[.]info, bancosantandder-datos[.]info.
Apple - הדומיין הראשון נרשם ב-10 באוקטובר 2019, הדומיין האחרון נרשם ב-23 באוקטובר 2020. בין שמות הדומיין: apple-support[.]network, apple-findmyiphone[.]world .
Netflix - הדומיין הראשון נרשם ב-22 באוקטובר, הדומיין האחרון נרשם ב-26 באוקטובר. בין שמות הדומיין: net2flix[.]world, net1flix[.]world.
את רשימת הדומיינים המלאה ניתן למצוא בקישורים המצורפים. אנו ממליצים להזין את כלל הדומיינים הזדוניים הנ״ל כמזהים (IOCs) במערכות ההגנה של הארגון.
האקרים פרצו למרכז פסיכיאטרי בפינלנד לשם סחיטת מטופלים
בפריצה שהתרחשה בשבוע האחרון, חדרו תוקפים אל רשתות חברת הייעוץ הפסיכיאטרי הפינית Vastaamo, המתפעלת 22 משרדים ומכונים ברחבי המדינה ומעסיקה כ-300 מטפלים. בפעולה זו השיגו ההאקרים גישה למידע אישי אודות מטופלים, ולמרות שטרם פורסמה דרך הפעולה שלהם, בשלב זה כבר ברור כי לא היה שימוש בנוזקת כופרה. יחד עם זאת, התוקפים סוחטים את החברה בדרישה ל-40 מטבעות ביטקוין (450,000 יורו), ומאיימים שאם התשלום לא יועבר, הם יחשפו את המידע האישי המצוי בידיהם. בנוסף לכך, יום לאחר המתקפה פרסמו התוקפים חלק קטן מהמידע שהשיגו לצורך הוכחת היתכנות, ואף החלו במשלוח מיילים למטופלים עצמם, בהם דרישות תשלום הנעות בין 200 ל-500 יורו. יצויין כי על הקורבנות נמנים קטינים, והמידע שעלול להיחשף אודותם כולל פרטים על מצבם הנפשי והבריאותי, סיכומי פגישות עם פסיכיאטרים ותוכניות טיפול. בתוך כך, לפני כיומיים פיטר חבר המנהלים של Vastaamo את מנכ״ל החברה, זאת לאחר שהתברר כי הסתיר דליפות מידע דומות שאירעו בעבר, וכי למרות שידע על כשלים במערך אבטחת המידע - לא עשה דבר בנידון.
מתקפת סייבר על משרדי עורכי הדין Fragomen גרמה לדליפת מידע אישי של עובדי גוגל
ב-23 באוקטובר פרסם משרד עורכי הדין, מהגדולים בארה״ב, הצהרה בדבר התרחשותה של פריצה למאגר נתונים פנימי של החברה, המכיל פרטים אישיים (טופסי I-9) של עובדים ועובדים-לשעבר של ענקית האינטרנט. בין הפרטים שנחשפו לתוקפים מצויים שמות מלאים, כתובות מייל, מספרי דרכונים ותעודות זהות, תאריכי לידה ועוד. בעקבות כך,Fragomen מציעה לקורבנות המתקפה שנה של ניטור כרטיסי האשראי שלהם בחינם, על מנת לסייע להם בזיהוי ניסיונות גניבת זהות והונאות.
קבוצת התקיפה הרוסית Turla חדרה לארגון ממשלתי באירופה
טרם הותר לפרסום שם הארגון. ההתקפה שבוצעה תואמת במדויק את אופן הפעולה המוכר של הקבוצה, המתמקדת בריגול וביעדים ממשלתיים. לשם החדירה לארגון השתמשה Turla בווירוסים טרויאנים מסוג RAT ובמספר פרצות אבטחה מבוססות RPC, בהן HyperStack, Carbon ו-Kazuar. לאחר החדירה, הקבוצה חיברה את עמדות הארגון לשרת Command and Control שבשליטתה, ומשם החלה לרגל אחריו.
דליפת מידע בשירות Nitro PDF משפיעה על חברות ענק
ב-21 באוקטובר חברת Nitro Software שלחה לבורסה האוסטרלית הצהרה, לפיה סבלה מתקרית אבטחה בעלת השפעה נמוכה. ואולם, חברת Cyble מסרה לאתר BleepingComputer כי מדובר באירוע גדול בהרבה ממה שדווח, והודיעה כי זיהתה מכירה פומבית בה מוצעים ה-Data Base של החברה המותקפת, הכולל 70 מיליון רשומות של משתמשי Nitro PDF, ביחד עם 1TB של מסמכים, כל זאת במחיר פתיחה של 80,000 דולר. לשירות Nitro PDF רשומים כ-1.8 מיליון מנויים פרטיים ויותר מעשרת אלפים חברות, בהן Microsoft, Google, ו-Apple.
השבוע בכופרה
ה-FBI מזהירה מפני איום כופרה ממשי על בתי חולים בארה"ב
במהלך השבוע שעבר קיים ה-FBI עם גורמים שונים במוסדות רפואיים שיחות אזהרה מפני תקיפה ממוקדת, זאת לאור דיווח לפיו כנופיית סייבר רוסית תוקפת בתי חולים באמצעות כופרה. במקביל, הופצה אזהרה בכתב. מקור הדיווח הוא בשיחה שהתקיימה בין Krebs on Security לחברה האמריקאית Holds Security, אשר איתרה תקשורת בין קבוצת הכופרה Ryuk לבין אותה כנופיית סייבר רוסית. בשיחות שאותרו דנו שני הגורמים בפריסת הכופרות ביותר מ-400 מתקנים המקושרים למשרד הבריאות האמריקאי, אך בפועל עולה מדיווחים שנכון לשעה זו נתקפו ארבעה מוסדות רפואיים בלבד.
עלייה של 50% בכמות תקפות הכופרה ברבעון השלישי של 2020
מדוח שפרסמה חברת CheckPoint עולה כי במהלך הרבעון השלישי של השנה נרשמה עלייה של 50% בממוצע מתקפות הכופרה היומי ברחבי העולם. עוד פורסם כי המדינות הנתקפות ביותר היו ארה"ב, הודו, סרי לנקה, רוסיה וטורקיה, וכי הכופרות הנפוצות ביותר בשימוש היו Ryuk ו-Maze. על פי הדוח כ-20 ארגונים בשבוע נתקפים על ידי כופרת Ryuk שנעשה בה שימוש לתקיפות ייעודיות על ארגונים (APT).
חברת ה-IT הצרפתית Sopra Steria הותקפה על ידי כופרת Ryuk
החברה הצליחה להטמיע במהרה מוצרי אבטחה ובכך להגביל את האירוע לחלק תחום של רשת המחשוב. בשלב זה החקירה הפורנזית של האירוע טרם זוהו דליפה או השחתה של מידע.
קבוצת התקיפה Maze משביתה את פעילותה
קבוצת התקיפה, הפעילה מאז מאי 2019, שינתה את כללי המשחק בעולם הכופרה בכך שהפעילה שיטת סחיטה כפולה, אשר כללה הן גניבת מידע ואיום לפרסמו והן הצפנה של מידע זה. בשלב זה לא ידועה הסיבה להשבתת הפעילות.
כנופיית הכופרה REvil הרוויחה במהלך 2020 כ-100 מיליון דולרים
מפתחי הכופרה ציינו כי הם מתכננים להמשיך בפעילותם עד שיצליחו להגיע לרווח כולל של 2 מיליארד דולר. כנופיית REvil, המציעה ״כופרה כשירות״, פיתחה קוד אותו היא מוסרת לתוקפים, אשר בתורם משמישים אותו לטובת רווח שממנו REvil גוזרת אחוזים.
סייבר בישראל
שבוע הגנת הסייבר: מערך הסייבר מפרסם תוכן חינמי לקהל הרחב
בעקבות הגידול בשימוש בשירותים דיגיטליים והמעבר לעבודה מרחוק כתוצאה ממשבר הקורונה, חלה עלייה דרמטית בחשיפת הציבור הרחב למתקפות סייבר. במסגרת שבוע הגנת הסייבר, המצוין לראשונה בישראל בתאריכים 25-29 באוקטובר, מציע מערך הסייבר הלאומי, בשיתוף כ-120 ארגונים, מגוון פעילויות מקוונות שמטרתן להניע את הציבור ליישם צעדים בסיסיים ופשוטים לחיזוק הגנת המידע האישי ולצמצום חשיפתו למתקפות סייבר.
לשם כך, המערך יצא בקמפיין נרחב הקורא לאזרחים "לקחת דקה" לטובת העניין והעלה לאוויר אתר ייעודי בעברית ובערבית המציע תכנים רבים, בהם מדריכים וטיפים פשוטים ליישום בנושאים כגון שמירה על חשבונות אישיים, שמירה על מידע, סכנות ברשת, עבודה מהבית, שימוש ברשתות חברתיות ובאפליקציות, פעילויות מקוונות, כדוגמת חדר בריחה וירטואלי, חידות, לומדות וסרטוני הדרכה, וכן הרצאות מקוונות של אנשי סייבר לקהלי יעד שונים ומידע המונגש לאוכלוסיות מבוגרות. האתר והמידע הכלול בו נוצרו בשיתוף פעולה עם חברות וארגונים רבים במשק, בהם חברות סייבר, חברות ביטוח, בנקים, משרדי ממשלה, עמותות, רשויות מקומיות ועוד. הקמפיין מתמקד בחמישה צעדים פשוטים ומיידיים המצמצמים משמעותית את הסיכון לפגיעת סייבר.
לפרטים נוספים ניתן להיכנס לעמוד הפייסבוק של המערך:
https://www.facebook.com/IsraelCyber/
ולאתר שהוקם לרגל שבוע הגנת הסייבר:
http://go.gov.il/cyberweek
האתר ותכניו יעמדו לרשות הציבור ללא תשלום למשך 3 חודשים.
סייבר בעולם
הדלפת ענק מרשות הנמלים האיראנית
ערוץ טלגרם חדש בשם Iran's Secrets, שעלה לאוויר במהלך השבוע שעבר, הדליף עד כה מאות קבצים ומסמכים ממחשבי רשות הנמלים האיראנית. במהלך השבועיים האחרונים סיקרנו ב״הסייבר״ מתקפות שפגעו ברשויות איראניות וצונזרו על ידי הממשל, ואולם כעת, לאור ההדלפות, אושרו היקף המתקפה ועומקה. בניגוד להערכות הקודמות, מהמידע שהודלף עולה כי המתקפה אכן פגעה ברשת הניהולית של רשות הנמלים, דבר אשר אפשר לתוקפים להשיג מידע מכלל נמלי איראן. ואולם המידע שפורסם, הכולל מיילים של בכירים ברשות הנמלים ומאגרי מידע של המערכות התפעוליות (GCOMS) של נמלי שהיד רג'אי, אימאם ח'ומייני, בהונאר ובושהאר, אינו מצביע על פגיעה ברשתות תפעוליות. הסברה היא שחשבון הטלגרם נפתח על ידי התוקפים לאחר שהמתקפה לא יצרה את ההד לו ציפו.
CISA מפרסמת מערך תקיפה צפון קוריאני חדש
במסמך ייעוץ ואזהרה שכתבה הסוכנות במשותף עם ה-FBI וה-CNMF מסוכמות שיטות הפעולה והטכניקות הנמצאות בשימושו של מערך התקיפה החדש שזוהה בקוריאה הצפונית וקיבל את הכינוי Kimsuky. ככל הנראה, המערך פעיל מ-2012 ומשימתו העיקרית היא איסוף מודיעין גלובלי. תוקפי Kimsuky משתמשים בטכניקות פשוטות, הכוללות Spear Phishing, הנדסה חברתית ומתקפות Watering hole, ומכוונים את פעולותיהם בעיקר נגד ארה"ב, יפן וקוריאה הדרומית. הכלי העיקרי בו משתמש המערך הוא BabyShark - כלי פשוט אשר נכתב בשפת Microsoft Visual Basic ומקושר לרוב עם התקפות מקוריאה הצפונית.
אפליקציות צ'אט נפוצות עלולות להדליף פרטי משתמשים
חוקרי אבטחת מידע זיהו באפליקציות Slack, Twitter, Zoom, Facebook Messenger ואחרות חולשות המובילות לשיתוף מידע אישי של המשתמשים, ובכלל זאת מיקום גיאוגרפי, כתובת IP ועוד. במקרים מסוימים החולשות אף עלולות לאפשר הזרקה מרחוק של קוד זדוני לתחנה.
משרד האוצר האמריקאי הודיע על החרמת ארגון החשוד בהפצת נוזקות
הארגון, TsNIIKhM, הינו ארגון רוסי אשר סייע בפיתוח הנוזקה Triton, המאפשרת השתלטות על מערכות שליטה תעשייתיות, ובהפצתה במתקני תשתית קריטיים בארה״ב ובקרב בעלות בריתה במזה״ת. מערכות שליטה תעשייתיות הן מנגנון הגנה שנועד לאפשר את השבתת המערכת בעת חירום, למניעת נזק חומרי ופגיעה בחיי אדם. לפיכך, השתלטות האקרים על מערכות אלה מסכנת חיי אדם ומאיימת בפגיעה חמורה בתשתיות.
מיקרוסופט חשפה תקיפת סייבר איראנית נגד גורמים בוועידת מינכן לביטחון
ב-28 באוקטובר פרסמה החברה כי מערך התקיפה האיראני המכונה Phophorus ביצע תקיפת סייבר נגד 100 אנשי מקצוע מוכרים בתחום הסייבר, אשר הביעו עניין בוועידת מינכן לביטחון, תוך שהוא מתחזה למארגני הכנס. התוקפים שלחו לקורבנות מיילים שבהם הזמנה מזויפת להרשמה לאירוע. בפועל, הקישור המצורף הוביל את הקורבנות לשרת התקיפה. Microsoft מציינת כי כי תוכן המיילים נוסח באנגלית מושלמת כמעט, וכי התקיפה נועדה, ככל הנראה, לצורך ריגול מודיעיני.
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות מפרסמת מסמך המלצות לארגונים ישראליים בנוגע למינוי ממונה הגנה על פרטיות
המסמך, שפורסם ב-29 באוקטובר, הוא ראשון מסוגו שמפרסת הרשות וכולל המלצות ופרקטיקה ראויה (best practices) עבור ארגונים וחברות ישראליים בכל הנוגע לצורך במינוי לתפקיד ובדרישות התפקיד בארגון. עוד מציע המסמך ערכת כלים וקווים מנחים בנושא תחומי האחריות של הממונה על הגנת הפרטיות בארגון. למרות שכיום דיני הגנת הפרטיות בישראל אינם מחייבים מינוי מסוג זה, עמדת הרשות היא כי מדובר בצעד וולונטרי ראוי ונכון עבור ארגונים שאוספים ומשתמשים במידע אישי. לדברי ד"ר שלומית ווגמן, מ"מ ראש הרשות להגנת הפרטיות: "גישת האחריותיות (accountability) שמקדמת הרשות ביחס לניהול מידע אישי שנאסף על אזרחים על ידי ארגונים הינה חלק משינוי תפיסה מהותי וחשוב שמקדמת הרשות להגברת רמת ההגנה על מידע אישי במשק הישראלי". הציבור מוזמן להגיש הערות למסמך עד ה-29 בנובמבר 2020 בשעה 12:00.
ועדת הסחר של הסנאט האמריקאי מתשאלת את פייסבוק, טוויטר וגוגל בנוגע למדיניות הורדת תכנים
אתמול, ה-28 באוקטובר, התכנסה ועדת הסחר, המדע והתחבורה של הסנאט על מנת לבחון את פעילותן של שלוש החברות, לרבות בכל הנוגע למדינויות הורדת התכנים שלהן (ראו, למשל, מדיניותה של פייסבוק בהקשר זה). לטענתם של מספר סנאטורים מן המפלגה הרפובליקנית, מתבצעת בפלטפורמות הללו הורדת תכנים על בסיס פוליטי ויש לבטל את החוק המעניק לחברות חסינות מפני אחריות בהקשר זה (סעיף 230 של ה-Communications Decency Act משנת 1996, המאפשר לספק שירותי אינטרנט להימנע מאחריות על התכנים המתפרסמים בפלטפורמה שברשותו). הדיונים מתוכננים להימשך בוועדת הסחר לאחר הבחירות לנשיאות.
ה-ENISA מקדמת ״ארגז כלים״ להקמת פלטפורמה לשיתוף מידע בתחום הסייבר
סוכנות הסייבר של מדיניות האיחוד האירופי פרסמה השבוע מדריך להקמת מרכזי שיתוף וניתוח מידע (ISACs - Information Sharing and Analysis Centres) לצורך העלאת רמת הגנת הסייבר במגזרים שונים במדינות האיחוד. מרכזים אלה, שמוקמים על ידי מגוון ארגונים על בסיס וולונטרי, מהווים פלטפורמות לקידום שותפויות ציבוריות-פרטיות (PPP) בין בעלי עניין החשופים לאיומי סייבר דומים. לרוב, ISACs נוצרים על ידי ארגונים פרטיים (במיוחד כאלה המפעילים תשתיות קריטיות). תפקידם לאסוף, לנתח ולהפיץ מידע אודות איומים ודרכי ההתמודדות עמם. באיחוד האירופי, שני דברי רגולציה תומכים מפורשות בהקמת ISACs - ה-Cybersecurity Act מ-2019 והדירקטיבה מ-2016 העוסקת בהגנת רשתות ומידע (NIS Directive). פלטפורמות מסוג ISAC פועלות גם במדינות מחוץ לאירופה, למשל בארה"ב. בישראל קיימת פלטפורמה לשיתוף מידע סייברי במגזר הפיננסי - מרכז סייבר לרציפות פיננסית (FC3).
פינלנד מצטרפת לרשימת המדינות המפרסמות בפומבי את תפיסתן של יישום הדין הבינלאומי במרחב הסייבר
עמדתה של פינלנד בנוגע לדרכי היישום של המשפט הבינלאומי במרחב הסייבר פורסמה השבוע על ידי משרד החוץ הפיני. המסמך כולל התייחסות לנושאים שנויים במחלוקת כגון איסור השימוש בכוח באמצעות כלי נשק סייבריים, ריבונות המדינה במרחב הסייבר, אחריותה עבור התוצאות של פעולות אסורות, ושמירה על זכויות אדם במרחב זה. בכך הופכת פינלנד למדינה העשירית ברשימה הולכת וגדלה של מדינות שפרסמו בפומבי את תפיסותיהן בדבר פעילות מדינתית במרחב הסייבר. שאר המדינות שעשו זאת עד כה הן אוסטריה, אוסטרליה, איראן, אסטוניה, ארה"ב, בריטניה, צ'כיה, צרפת והולנד. משמעות הדבר היא, בין היתר, החלטה לאמץ גישה של שקיפות בנוגע לקווים המנחים שקובעת לעצמה כל מדינה ביחס לפעילות סייברית מותרת ואסורה ולהשלכות של חציית הקווים הללו על ידי גורמים עוינים. פרופסור מייקל שמיט, העורך הראשי של מדריך טאלין 2.0 שפורסם ב-2017 ומנתח לעומק סוגיות שונות במרחב הסייבר, מסביר כי המהלך שבו נקטו פינלנד ותשע המדינות שקדמו לה הוא מבורך. מדובר בקידום הבנה טובה ומדויקת יותר של יישום הדין הבינלאומי במרחב הסייבר.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רם דודש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי וגיא פינקלשטיין.