דו״ח סייבר שבועי
עדכון שבועי 30.06.2022
עיקרי הדברים
-
מתקפת סייבר משביתה מפעלי פלדה באיראן; מערך הסייבר מזהיר מפני תקיפות על אתרי תיירות - קבוצת SharpBoys המיוחסת לאיראן מדליפה פרטים של 120,000 משתמשים מאתר תיירות ישראלי; חברת ClearSky גילתה נוזקה חדשה המקושרת לקבוצת התקיפה האיראנית Lyceum.
-
ראש מערך הסייבר מציג: פרויקט ״כיפת הסייבר״ להגנה על המשק.
-
המלחמה בין רוסיה לאוקראינה: נורבגיה תחת מתקפת סייבר של גורמים ״פרו-רוסיים״; בליטא מזהירים מפני מתקפות סייבר רוסיות, המשבשות שירותים של רשויות ציבוריות ושל חברות תחבורה ופיננסים; Killnet תוקפת מוסדות ממשל; דוח של מיקרוסופט: בתיאום עם פעילויות סייבר אחרות, רוסיה מוציאה אל הפועל מבצעי השפעה גלובליים לשם תמיכה במאמציה המלחמתיים.
-
קבוצת הכופרה LockBit משיקה אתר חדש הכולל Bug Bounty לחולשות, טכניקות סחיטה חדשות ותשלום ישירות דרך האתר.
-
אנו ממליצים לעדכן את המוצרים הבאים: מכשירי VoIP של Mitel (חולשת Zero-day); מוצרי NAS של QNAP (קריטי); המוצר Mega Cloud (קריטי); חולשה מנוצלת ב-Polkit (גבוה); מוצרי Citrix (בינוני); מוצרי Mozilla (גבוה).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכוני אבטחה של Citrix נותנים מענה לחולשות ב-Hypervisor
עדכוני אבטחה למוצרי NAS של QNAP נותנים מענה לחולשה קריטית
עדכון אבטחה ל-MEGA Cloud נותן מענה לחולשה קריטית
עדכון אבטחה למכשירי VoIP של Mitel נותן מענה לחולשת Zero-day קריטית העלולה לאפשר הרצת קוד זדוני קוד מרחוק
עדכוני אבטחה למוצרי Mozilla נותנים מענה לחולשות ברמות חומרה שונות
התקפות ואיומים
חברת ClearSky גילתה נוזקה חדשה המקושרת לקבוצת התקיפה האיראנית Lyceum
ה-CISA מזהירה מפני החולשה המנוצלת Polkit
חבילות Python זדוניות אשר גונבות מפתחות AWS וחושפות אותם לציבור התגלו במאגר PyPI
מתקפת הנדסה חברתית מתוחכמת משתמשת באפליקציות WebView2 של מיקרוסופט לעקיפת מנגנון התחברות רב-שלבי
קבוצת התקיפה ToddyCat משתמשת בכלי ריגול מתוחכמים לתקיפת מתקנים ממשלתיים
קבוצות APT ממשיכות לנצל את חולשת Log4Shell, שפורסמה ב-2021
תקיפה מתוחכמת נגד ראוטרים מסוג SOHO
Raccoon Stealer הפופולרית שבה לפעילות - הפעם בגרסה משופרת
קבוצת התקיפה Evilnum מציגה טקטיקות ויעדים חדשים
Revive: נוזקת Android משופרת המצותתת לכל הודעות המשתמש במטרה לגנוב אמצעי זיהוי
השבוע בכופרה
רשת הקמעונאות הברזילאית Fast Shop חווה מתקפת סייבר המשביתה את נכסיה הדיגיטליים; חשש לדליפת נתונים של פרויקט שטרם הושק
קבוצת התקיפה Conti סוגרת את אתרי המשא ומתן ודלף המידע שלה
קבוצת הכופרה LockBit משיקה אתר הכולל Bug Bounty לחולשות, טכניקות סחיטה חדשות ואפשרות לביצוע תשלום ישירות באתר
מיקרוסופט בסקירה מקיפה של עולם ה״כופרה כשירות״: נמשכת מגמת הסחיטה הכפולה
המלחמה במזרח אירופה
דוח של מיקרוסופט: מסקנות מחודשי הלחימה הראשונים באוקראינה בהיבטי סייבר - קריאה לאסטרטגיה לחיזוק הגנות סייבר קולקטיביות
ליטא: המרכז לאבטחת סייבר מזהיר ממתקפות DDoS המשבשות שירותי רשויות ציבוריות וחברות תחבורה ופיננסים; Killnet תוקפת מוסדות ממשל
רוסיה קונסת את Google בעקבות הפצת מידע ״לא אמין״ על המלחמה באוקראינה
סייבר בעולם
מתקפת סייבר על מפעלי פלדה באיראן
מיקרוסופט תפרסם בחודש יולי עדכון לשירותי ה-RRAS וה-VPN לכלל משתמשיה
ה-CISA מוסיפה 8 חולשות ל״קטלוג החולשות המנוצלות הידועות״
ה-CISA מפרסמת את רשימת 25 חולשות התוכנה המסוכנות ביותר לשנת 2022
נורבגיה: מתקפת מניעת שירות השביתה זמנית אתרי שירותים מקוונים
סייבר בישראל
ראש מערך הסייבר מציג: ״כיפת הסייבר״ להגנה על המשק
מערך הסייבר הלאומי וגופי אכיפה החלו בחקירת הונאות באפליקציית ״רב קו״
קבוצת תקיפה איראנית מוכרת טוענת כי פרצה לאתרי בתי מלון ישראלים; ככל הנראה השיגה גישה למאגר מרכזי עם מידע רגיש
סייבר ופרטיות - רגולציה ותקינה
ההשלכות של פסילת פסה"ד Roe v. Wade על הגנת הפרטיות בארה"ב
פורום חדש לפיתוח סטנדרטים להתנהלות ב-Metaverse
קנס בסך 5 מיליון דולר הוטל על ענקית השייט Carnival בעקבות הפרות חמורות בתחום אבטחת הסייבר
כללים חדשים בסין: יותר מ-30 פעולות נאסרו על ״משפיענים״
כנסים
הציטוט השבועי
״כמו שיש הרתעה גרעינית, יש גם הרתעה בסייבר. המדיניות שלנו היא שאם אתה מתעסק עם ישראל - אתה משלם מחיר. אם מישהו תוקף אותנו בסייבר, אנחנו נתקוף בחזרה.״
ראש הממשלה נפתלי בנט, בכנס הסייבר שהתקיים השבוע באוניברסיטת תל אביב.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכוני אבטחה של Citrix נותנים מענה לחולשות ב-Hypervisor
חברת Intel זיהתה ב-Citrix Hypervisor, שהינה פלטפורמה מובילה לתשתית וירטואליזציה לענן, לשרתים ולשולחן העבודה, 4 חולשות, ל-3 מתוכן ניתן ציון החומרה CVSS 5.5. חולשות אלה משפיעות על חלק מחומרת המעבדים של Intel ועלולות לאפשר לקוד המצוי במכונה וירטואלית מתארחת לגשת לחלקי זיכרון קטנים הנמצאים בשימוש במקום אחר במערכת. Citrix פרסמה את העדכונים על אף שמקור החולשות אינו במוצריה, ולמרות שהן אינן רלוונטיות ללקוחות שאינם משתמשים במעבדי Intel. החולשה הרביעית שזוהתה (CVE-2022-26362, CVSS 6.4) רלוונטית לגרסה 7.1 LTSR CU2 של Citrix Hypervisor ועלולה לאפשר לקוד בעל הרשאות גבוהות במכונה הווירטואלית לפגוע במארחה. חולשה זו משפיעה על לקוחות בעלי מכונה מתארחת מסוג PV (פרה-וירטואלי) בלבד, אך Citrix מאמינה שלא יהיה פשוט לנצלה במוצר.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות:
Citrix Hypervisor 8.2 CU1 LTSR: CTX459954
Citrix XenServer 7.1 CU2 LTSR: CTX459953
עדכוני אבטחה למוצרי NAS של QNAP נותנים מענה לחולשה קריטית
לדברי החברה, החולשה (CVE-2019-11043, CVSS 9.8) רלוונטית במידה ופועלות על המוצר גרסאות לא מעודכנות של שפת התכנות PHP בשילוב עם שרת האינטרנט NGINX, כל זאת במערכות הפעלה בגרסאות הבאות:
QTS 5.0.x
QTS 4.5.x
QuTS hero h5.0.x
QuTS hero h4.5.x
QuTScloud c5.0.x
QuTScloud c5.0.x
החולשה עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE) ולקבל גישה לתכולת NAS המשמש לאחסון אינטרנטי. נכון לעכשיו, עדכוני האבטחה שפורסמו סוגרים את החולשות בגרסאות הבאות בלבד:
QTS 5.0.1.2034 build 20220515 וגרסאות מאוחרות יותר.
QuTS hero h5.0.0.2069 build 20220614 וגרסאות מאוחרות יותר.
מ-QNAP נמסר כי עדכונים לסגירת החולשות בשאר גרסאות המוצר יפורסמו בהקדם. את עדכוני האבטחה ניתן להטמיע מתוך פורטל לוח הבקרה של המכשיר או בהורדה ישירה מהאתר.
צוות קונפידס ממליץ לבעלי מכשירים פגיעים לעדכנם בהקדם אם קיים עבורם עדכון מתאים. במידה ולא, מומלץ לעקוב אחר פרסומי היצרן ולהטמיע את העדכון הרלוונטי לכשיפורסם.
עדכון אבטחה ל-MEGA Cloud נותן מענה לחולשה קריטית
חוקרים מאוניברסיטת ציריך חשפו חולשה קריטית בשירות האחסון בענן, העלולה לאפשר לתוקף לפענח מידע של משתמשים. לדברי החוקרים, המתקפה עשויה להתאפשר על ידי השתלטות ישירה על שרתי האחסון של חברת Mega או באמצעות מתקפת Man-in-the-middle על חיבור ה-TLS של משתמש בשירות. קבוצת החוקרים חשפה 5 סוגים של מתקפות ואופנים לניצול החולשה במערכת:
-
צבירת מידע על משתמש בכל התחברות שהוא מבצע לשירות האחסון.
-
לאחר 512 ניסיונות התחברות (לפחות), ניתן לנצל את המידע שנצבר לשם פענוח חלק מהקבצים בחשבון המשתמש, ולנצל חיבורים עתידיים לפענוח שאר הקבצים. ככל שיש יותר התחברויות, הסיכוי לתקיפה עולה.
-
הריסת הפרטיות של כלל המידע המאוחסן.
-
הכנסת קבצים שרירותיים לחשבון משתמש.
-
חולשה במנגנון החלפת המפתחות Legacy chat.
עד כה טיפלה Mega ב-3 מתוך 5 החולשות הללו, ולדבריה תטפל בשתי הנותרות בהמשך.
צוות קונפידס ממליץ למשתמשים בשירות לעדכנו לגרסתו האחרונה ולשנות את הגדרות החשבון לפורמט שאינו תומך בתאימות לאחור.
החולשה (CVE-2022-29499, CVSS 9.8), שהתגלתה על ידי חברת CrowdStrike בעת חקירת ניסיון להחדיר כופרה לארגון, עלולה לאפשר לתוקף להריץ קוד מרחוק על מכשיר הטלפון, וברשת בה אין הפרדה בין רשתות טלפוניה ומחשבים ואבטחה מספקת ניתן לנצל את הרצת הפקודות לתנועה רוחבית ברשת ולהדבקת מחשבים נוספים. עדכון הגרסה של Mitel, הסוגר את החולשה, ניתן להורדה מפורטל הלקוחות של החברה.
צוות קונפידס ממליץ לבעלי מכשירי MiVoice Connect בגרסאות 14.2 ומטה לעדכנם בהקדם לגרסתם האחרונה.
עדכוני אבטחה למוצרי Mozilla נותנים מענה לחולשות ברמות חומרה שונות
החברה פרסמה עדכונים למוצרים הבאים:
19 עדכונים לחולשות ברמת חומרה גבוהה, בינונית או נמוכה במוצר Firefox 102 - בין החולשות שנסגרו מצויה חולשה (CVE-2022-34479) העלולה לאפשר לאתר זדוני ליצור חלון קופץ ולשנות את גודלו על מנת לכסות את שורת הכתובת בתוכן אחר, ובכך לבלבל את המשתמש או לאפשר מתקפות זיוף. באג זה משפיע על Firefox רק עבור משתמשי Linux.
10 עדכונים לחולשות ברמת חומרה גבוהה או בינונית במוצר Firefox ESR 91.11 - בין החולשות שנסגרו מצויה חולשה (CVE-2022-34470) העלולה להביא לקריסה בעת ניווט בין מסמכי XML שונים, שיכולה להיות מנוצלת על ידי תוקפים להשתלת קוד זדוני.
11 עדכונים לחולשות ברמת חומרה גבוהה או בינונית במוצרים Thunderbird 91.11 ו-Thunderbird 102 - בין החולשות שנסגרו מצויות אלה שהוזכרו לעיל וחולשה נוספת (CVE-2022-34484), המהוות נקודות תורפה שזוהו על ידי צוות Mozilla Fuzzing ככאלה העלולות לאפשר השחתת זיכרון ואולי אף להיות מנוצלות להרצת קוד שרירותי.
צוות קונפידס ממליץ לבעלי המוצרים לעיין ברשימת החולשות המלאה ולהטמיע את העדכונים הרלוונטיים להם.
התקפות ואיומים
חברת ClearSky גילתה נוזקה חדשה המקושרת לקבוצת התקיפה האיראנית Lyceum
בדוח שפרסמה חברת הסייבר מופיע מידע מפורט אודות נוזקת Lyceum suicide drone, המיוחסת לקבוצת התקיפה האיראני, שידועה גם בשם SiameseKitten. הנוזקה מתחזה לקובץ עדכון של Adobe, דפוס פעולה אשר נצפה בעבר בקרב אותה קבוצת תקיפה. Lyceum suicide drone מכילה קוד המבצע התחברות של העמדה הנגועה אל שרת הפיקוד והשליטה (C2) של התוקפים באמצעות Reverse Shell, והיא מופעלת על ידי קובץ אב שחתום בחתימה מזויפת של חברת מיקרוסופט ונושא תאריך יצירה מזויף (בשנת 2044) בכדי להתחמק מגילוי.
חתימות קבצים מזויפות בשמה של מיקרוסופט גם הן דפוס פעולה שנצפה בעבר בקרב קבוצות איראניות. לצד הורדת קובץ ה-PDF של Adobe, מורד קובץ EXE אשר מופעל ומוסיף עצמו אל נתיב ה-Startup באמצעות הכנסת ערך לנתיב זה, על מנת לבסס את אחיזתו בעמדה. במסמך ה-PDF שבאמצעותו מפותה הקורבן להוריד את קובץ ה-EXE מוצגות מתקפות של מזל״טים מתאבדים, לכאורה, שבוצעו באיראן נגד מטרות פנים-מדינתיות, והוא דומה למסמך בו השתמשה בעבר קבוצת SiameseKitten. על קווי הדמיון הללו סייעו בידי החוקרים לקשר בין קבוצת התקיפה לבין הנוזקה החדשה. Lyceum suicide drone מורדת מאתר שהדומיין שלו נרשם ב-6 ביוני ומתקשרת עם שרת C2 מרוחק שאינו מוכר. כתובת ה-IP של האתר (83.39.149.19) צמודה לזו של הדומיין (89.39.149.19), דבר המעיד על כך שלתוקפים יש לפחות שתי כתובות באותו טווח כתובות, אחת עבור שרת ה-C2 ואחת עבור האתר.
צוות קונפידס ממליץ להזין את מזהי הנוזקה (IOCs) במערכות ההגנה של ארגונים, להיזהר מלחיצה על לינקים חשודים ולהימנע מלהוריד קבצים מאתרים שאינם מוכרים.
ה-CISA מזהירה מפני החולשה המנוצלת Polkit
החולשה (CVE-2021-4034, CVSS 7.8) רלוונטית למערכות מבוססות Linux, ועל פי הסוכנות האמריקאית להגנת סייבר ותשתיות עלולה לאפשר לתוקף להעלות הרשאות במערכת. החולשה מצויה בכלי השירות pkexec של חבילת ה-Polkit, המאפשר למשתמש להוציא פקודות כמשתמש אחר, עם הרשאות גבוהות יותר, כל זאת בהתאם למדיניות שהוגדרה מראש על ידי Polkit. גרסת ה-pkexec הפגיעה מאפשרת לתוקף להגדיר את משתני הסביבה כך שהכלי יתייחס אליהם כפקודה, ולא כמשתנה בלבד, מה שיאפשר הרצת קוד על העמדה. ניצול מוצלח של החולשה עלול לאפשר למשתמש מקומי ללא הרשאה ייעודית במדיניות Polkit לקבל הרשאות גבוהות בתחנת היעד.
חבילות Python זדוניות אשר גונבות מפתחות AWS וחושפות אותם לציבור התגלו במאגר PyPI
בהמשך לניסיונות ניצול קודמים של המאגר באמצעות חבילות זדוניות (ראו ״הסייבר״, 11.2.21 ו״הסייבר״, 5.8.21), ניצול חדש התגלה כעת במאגר חבילות הקוד הפתוח, הפופולרי בקרב מפתחי תוכנה לצורכי פרויקטים מבוססי Python. לאחרונה זיהתה חברת ניהול שרשרת אספקת התוכנה Sonatype חבילות Python זדוניות מרובות במאגר, ודיווחה עליהן ל-PyPI, שהסירה אותן. חלק מהחבילות הטמיעו קטעי קוד שנוצרו לצורך קריאה וחילוץ של מידע רגיש, כמו מפתחות AWS. לדברי החברה, שתיים מהחבילות - loglib-modules ו-pyg-modules - התחזו בשמותיהן לחבילות לגיטימיות ומוכרות, וכנראה כוונו למפתחים המכירים ומשתמשים בספריות המקוריות, loglib ו-pyg. באשר לשאר החבילות, pygrata-utils ו-hkg-sol-utils, לא ברור מיהו קהל היעד אליו כוונו. מניתוח הקוד הזדוני של החבילות loglib-modules ו-pygrata-utils עולה שקטעים מתוכו מיועדים לקריאת מפתחות AWS ומידע על ממשקי רשת ועל משתני סביבה. עוד עולה כי התוקף משתמש בכתובות לגיטימיות של Amazon להשגת מידע אודות ה-IAM role אשר מנהלים את האישורים של ה-Instance של הקורבן. בשלב מאוחר יותר מתבצעת העלאה של הנתונים הרגישים שנחשפו לנקודת קצה המתארחת בדומיין PyGrata ומפיצה אותם כך שיהיו נגישים לכל דורש. חוקרי Sonatype, שגילו מאות קבצי TXT המכילים נתונים רגישים, פנו למפעיל הדומיין בכדי לשלול טעות אנוש או בדיקות אבטחה לגיטימיות, אך נותרו ללא תשובה. עם זאת, לאחר פנייתם הפכה נקודת הקצה שמפיצה את קבצי ה-TXT לבלתי נגישה לציבור. בשלב זה טרם ברור אם מפתחות ה-AWS נחשפו בזדון או לא, ולא ידועה כוונתם של מפעילי הדומיין.
צוות קונפידס ממליץ למפתחים לגלות ערנות לפני הורדת חבילות ולבדוק את היסטוריית השחרור, תאריך ההעלאה, התיאור וכמות ההורדות של החבילות, נתונים אשר יש ביכולתם לשפוך אור על אמינותן.
מתקפת הנדסה חברתית מתוחכמת משתמשת באפליקציות WebView2 של מיקרוסופט לעקיפת מנגנון התחברות רב-שלבי
Microsoft Edge WebView2 מאפשרת הטמעת דפדפן אינטרנט עם תמיכה מלאה ב-HTML ,CSS ו-JavaScript ישירות באפליקציות מקוריות באמצעות (Microsoft Edge (Chromium כמנוע העיבוד. באמצעות טכנולוגיה זו, יישומים יכולים לטעון כל אתר לאפליקציה מקורית ולגרום לו להופיע כפי שהיה נפתח ב-Microsoft Edge.
השבוע פרסם חוקר אבטחת הסייבר mr.d0x שיטת פישינג חדשה שיצר, המשתמשת ביישומי Microsoft Edge WebView2 לגניבה פשוטה של קובצי עוגיות של אימות של משתמש על מנת להיכנס לחשבונות גנובים, גם אם הם מאובטחים באמצעות אימות רב-שלבי (MFA). מתקפה חדשה זו, המכונה WebView2-Cookie-Stealer, מתבססת על קובץ הפעלה של WebView2, שבהיפתחו מופיע טופס התחברות לגיטימי לאתר אינטרנט בתוך האפליקציה. הקובץ מאפשר למפתח לגשת ישירות אל העוגיות ולהחדיר JavaScript לדף האינטרנט שנטען על ידי אפליקציה, מה שהופך אותו לכלי מצוין להתקנת Keylogger, לגניבת עוגיות ולשליחתן לשרת מרוחק. במתקפתה החדשה שיצר mr.d0x, קובץ ההפעלה פותח טופס ההתחברות לגיטימי של מיקרוסופט באמצעות פקד ה-WebView2 המוטמע. מכיוון שיישום ה-WebView2 יכול להחדיר JavaScript לדף, כל מה שהמשתמש מקליד נשלח חזרה באופן אוטומטי לשרת האינטרנט של התוקף.
לדברי mr.d0x, לשם גניבת העוגיות יוצרת האפליקציה תיקיית Chromium User Data עם הפעלתה הראשונה, ולאחר מכן משתמש היישום הזדוני בממשק ה-WebView2 המובנה ICoreWebView2CookieManager לייצוא קובצי העוגיות של האתר עם אימות מוצלח ושליחתם בחזרה אך שרת הנשלט על ידי התוקף. עם פענוח העוגיות המקודדות בשיטת base64, התוקף מקבל גישה מלאה לעוגיות האימות של האתר והוא יכול להשתמש בהן לכניסה לחשבון משתמש. עוד מצא החוקר שניתן להשתמש באפליקציית WebView2 לגניבת עוגיות עבור פרופיל משתמש קיים של Chrome, על ידי העתקת פרופיל Chromium הקיים שלו. כדי להשתמש בעוגיות שנגנבו, התוקף יכול לפנות לטופס ההתחברות של חשבון שגנב ולייבא את העוגיות באמצעות תוסף Chrome, כדוגמת EditThisCookie. לאחר שהעוגיות מיובאות, כל שיש לעשות הוא לרענן את הדף כדי לעבור אימות אוטומטי באתר. ואולם, הפרט המדאיג יותר במתקפה הוא היכולת לעקוף גם MFA המאובטח על ידי OTPs או מפתחות אבטחה, מכיוון שהעוגיות נגנבות לאחר שהמשתמש נכנס ופתר בהצלחה את אתגר האימות הרב-שלבי.
צוות קונפידס ממליץ להימנע מפתיחת צרופות שאינן מוכרות, ובמיוחד קובצי הפעלה, לסרוק קבצים המורדים מהאינטרנט ולא להזין שמות משתמש וסיסמאות ביישומים שאין ודאות בנוגע ללגיטימיות שלהם.
קבוצת התקיפה ToddyCat משתמשת בכלי ריגול מתוחכמים לתקיפת מתקנים ממשלתיים
ככל הנראה, קבוצת ה-APT אחראית למספר תקיפות שהתמקדו בשרתי Microsoft Exchange המיוחסים למתקנים ממשלתיים וצבאיים ברחבי אסיה ואירופה. על פי החשד, התקיפות החלו בדצמבר 2020, כאשר משנת 2021 נצפה במסגרתן שימוש בחולשת CVE-2021-26855, CVE-2021-27065) ProxyLogon). בהמשך נוספו למטרות הקמפיין מחשבים של דיפלומטים וישויות ממשלתיות שנפגעו בעקבות שליחת הנוזקה לקורבנות דרך הטלגרם. על פי הידוע עד כה, בין דצמבר 2020 לפברואר 2021 הקבוצה תקפה מספר מצומצם של שרתים של שלושה ארגונים בטייוואן ו-ויאטנם. מסוף פברואר 2021 ניכרו הסלמה בתקיפות וניצול של חולשת ProxyLogon.
על פי חברת אבטחת המידע Kaspersky, קבוצת התקיפה משתמשת בכלי הריגול Samurai, שהינו דלת אחורית המאפשרת לתוקף שליטה מרחוק ותנועה רוחבית ברשת הנתקפת, וכן בכלי Ninja Trojan, המאפשר שליטה מרחוק לכמה תוקפים בו-זמנית ללא צורך בהזדהות במערכת, ותוך ביסוס אחיזה בה לאורך זמן. בשעה זו ידוע כי התקיפה מבוצעת במספר שלבים:
-
נוזקת Dropper מותקנת במערכת הקורבן באמצעות שימוש בחולשת ProxyLogon, המאפשרת לתוקף לעקוף את מנגנון ההזדהות ולקבל גישה ברמת אדמין. הנוזקה מתקינה את כל האמצעים הדרושים ויוצרת מפתחות רישום המאלצים את התהליך הלגיטימי svchost.exe להפעיל את כלי הריגול Samurai.
-
מפתחות הרישום מאלצים את התהליך svchost.exe לטעון ספרייה זדונית, הקוראת לייצוא init ב-DLL הנטען (websvc.dll), תוך העברת התוכן של מפתח הרישום.
-
קובץ ה-websvc.dll מפענח את הנתונים שהתקבלו ויוצר ספרייה נוספת הנטענת בזיכרון ומועברת לספרייה חדשה.
-
שימוש בכלי הריגול Samurai, אשר יוצר דלת אחורית.
מ-Kaspersky נמסר כי מאחורי ToddyCat עומדים תוקפים בעלי יכולות טכניות גבוהות, המסוגלים לשוטט ״מתחת לרדאר״, תוך סלילת דרכם אל מערכות הקורבן, וכי הדרך הטובה ביותר להתמודד עם איום זה היא באמצעות הגנה מבוססת שכבות וערנות רבה למקורות מודיעיניים. את מזהי התקיפה (IOCs) להזנה במערכות ארגונים ניתן למצוא כאן, וניתן לזהותה באמצעות ניטור רשת הארגון.
צוות קונפידס ממליץ לעדכן באופן תדיר את שרתי ה-Exchange של הארגון ולבצע ניטור של רשתותיו.
קבוצות APT ממשיכות לנצל את חולשת Log4Shell, שפורסמה ב-2021
הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) ופיקוד הסייבר של משמר החופים הוציאו התרעה משותפת נוספת בנוגע לניצול החולשה הקריטית (10.0 CVE-2021-44228, CVSS) על ידי תוקפים במוצר VMware Horizon ובשרתי UAG. החולשה, שפורסמה כבר בדצמבר 2021 וקיבלה את ציון החומרה הגבוה ביותר האפשרי, ניתנת לניצול במוצרים אלה כאשר הם פונים כלפי חוץ, ורק אם לא הוטמעו בהם עדכון האבטחה או המעקף הנדרשים על ידי היצרן. על ידי ניצול החולשה יכולים התוקפים לשלוח למערכת פגיעה בקשה ייעודית המאפשרת להריץ קוד זדוני, ובהמשך להשיג שליטה במערכת. פרסומה של ההתרעה בפעם השנייה נעוץ בכך שבחודשים האחרונים נצפה שימוש בחולשה על ידי קבוצות APT, שכלל הנחת נוזקות שאיפשרו, בין היתר, שליטה בעמדה פגועה באמצעות שרת מרוחק (C2). באחד מהמקרים המאומתים שנצפו הצליחה קבוצת APT לנוע רוחבית ברשת הקורבן, להשיג גישה לרשת גיבוי ולאסוף ולייצא מידע רגיש. עוד דווח על שימוש בקובץ EXE שלאחר הרצתו מסווה את פעילותו כ-Service לגיטימי של Windows, הפועל בעמדה עם הרשאות גבוהות, תוך יצירת משימה מתוזמנת המריצה את הנוזקה מדי שעה. טרם התברר כיצד הצליחו התוקפים להשיג את אותן הרשאות. במקרה נוסף שדווח עלה בידי התוקפים לנוע רוחבית ברשת תוך שימוש ב-RDP, לעבר עמדות בסביבת פרודקשן.
צוות קונפידס ממליץ להטמיע בדחיפות את עדכוני האבטחה או המעקפים שפורסמו על ידי היצרן, ולבצע חקירה באמצעות ה-IOCs המופיעים כאן, על מנת לגלות אם כבר מתקיימת פעילות זדונית בעמדות שמשתמשות במוצרים הפגיעים. אם זוהתה פגיעה בעמדה, יש לבודד אותה, לבצע חקירה ראשונית של לוגים ושל מידע נוסף, ובהמשך לפנות לצוות ניהול משברי סייבר. עוד מומלץ לדווח על המקרה ל-CISA בפרטי הקשר שצוינו לעיל. על מנת להתגונן מפני המתקפה, יש להטמיע את מזהי התקיפה במערכות ההגנה של הארגון, לבצע סגמנטציה נכונה לעמדות שפונות החוצה, להטמיע WAF בארגון, להשתמש באימות רב-שלבי (MFA) ובסיסמאות חזקות ולהטמיע ניהול נכון של הרשאות לכל משתמש. כמו כן, יש להשתמש במערכת לניהול והטמעת עדכוני אבטחה באופן שוטף, כדוגמת Automox, המוצעת על ידי חברת קונפידס.
תקיפה מתוחכמת נגד ראוטרים מסוג SOHO
חוקרי אבטחת מידע מחברת Lumen חשפו את מה שנראה כעת כחלק קטן ממתקפת APT המיוחסת לקבוצת תקיפה סינית, שזהותה טרם ידועה. המתקפה מנצלת את המעבר לעבודה מרחוק בתקופת הקורונה ומתבססת על השימוש בראוטרים מסוג SOHO (או Small Office/Home Office), שעדכון הקושחות שלהם וניטור פעילותם מתבצעים לעיתים נדירות, אם בכלל. דבר זה אפשר לקבוצת התקיפה להשיג גישה לרשתות פנימיות של ארגונים, לבצע בהן אנומרציה, לבסס אחיזה במכשירים שונים ועוד. חוקרים Lumen אספו נתונים רבים הנוגעים לניצול החולשה בראוטרים של החברות Cisco ,NetGear ,Asus ו-DrayTek, וקבעו כי המתקפות מתמקדות בארגונים בצפון אמריקה ובאירופה. למרות שעד כה נצפו כ-80 ארגונים שהושפעו מהמתקפה, ההערכות הן שמדובר בתקיפה שהיקפה רחב הרבה יותר. להלן שלבי התקיפה:
א. שימוש באוטומציה לניצול חולשה בראוטר ה-SOHO, לשם קבלת גישה ראשונית לארגון. בנוגע לשלב זה הצליחו החוקרים לקבל גישה רק לסקריפט אחד המנצל חולשות (CVE-2020-26878 ו-CVE-2020-26879) בראוטר של חברת JCG. במקרה של ראוטר זה, הסקריפט מאפשר הזרקת שורת פקודה שהפלט שלה מספק לתוקפים פרטי הזדהות מסוימים, אותם הם מנצלים לעקיפת האימות ולמעבר לשלב השני של המתקפה.
ב. בשלב השני מותקנת על הראוטר ZuoRAT, נוזקה המאפשרת ביצוע אנומרציה של רשת הארגונית והטמעת חוקים המאפשרים לתוקפים לראות את כלל התעבורה המתבצעת בארגון וממנו. להערכת החוקרים, מדובר בגרסה משודרגת משמעותית של נוזקת Mirai. ברגע שהנוזקה מתחילה לרוץ, נפתח בראוטר תהליך חדש ששמו בנוי מ-32 אותיות ומספרים רנדומליים, והנוזקה מתחברת לשרת השליטה והבקרה (C2) שברשות התוקפים. בתהליך מועברת לתוקפים כתובת ה-IP החיצונית של הראוטר, ובמידה וזו אינה עוברת בהצלחה, הנוזקה מוחקת את עצמה כדי להימנע מגילוי (אם איננה רצה על Sandbox). זאת ועוד, ביכולתה של הנוזקה לזהות אם נוזקה זהה כבר רצה על הראוטר ולמחוק את העותק המיותר. בשלב זה הנוזקה מבצעת סריקה של הפורטים ברשת ומעבירה לתוקפים דיווח על פורטים פתוחים. מלבד זאת, היא מנטרת חיבורים בפורטים 20, 21, 80, 8080, 443 ו-8443, ומעבירה לתוקפים את פרטי הגישה השונים המוזנים בהם, על מנת להעניק להם הצצה לפעילות הדפדפן של משתמש הקצה העושה שימוש בראוטר.
ג. הטמעת קובץ Loader במחשבי/שרתי Windows, המתקין נוזקה (CBeacon ,GoBecaon או Cobalt Strike) שמאפשרת לתוקפים שליטה מלאה על תחנות ה-Windows ב-LAN באמצעות שרת ה-C2 של התוקפים. כדי למנוע זיהוי של קובץ ה-Loader, התוקפים העניקו לו סרטיפיקט של חברת הטכנולוגיה הסינית Tencent.
ד. בשלב זה מותקן בפועל אחד מהכלים שנזכרו בשלב הקודם, שניים מהם נבנו בצורה מקוסטמת (נכתבו בשפות ++C ו-Go) על ידי התוקפים, ובין היתר מאפשרים הורדה והעלאה של קבצים, הזרקת תהליכים למחשב, ביצוע אנומרציה במכשיר ומתקפות Man-in-the-middle.
החוקרים מייחסים את התקיפה לשחקן סיני, היות והתקשורות שהתבצעו מהראוטרים השונים פנו לכתובות IP סיניות. כמו כן, בניתוח הנוזקות זיהו החוקרים שמות ואותיות סיניים. עוד זוהו מספר ראוטרים של קורבנות ששימשו כ-Proxy C2, כלומר כגורם מתווך המעביר מידע של ראוטרים נגועים אל שרת ה-C2, ככל הנראה במאמץ להסוות את כתובתו של שרת ה-C2 המקורי.
החוקרים ממליצים למשתמשים בשרתים מסוג SOHO לנקוט בפעולות הבאות: א. לבצע איתחולים ועדכוני קושחה לראוטרים באופן תדיר. ב. להתקין EDR על העמדות הנמצאות באותה רשת. ג. להטמיע פתרון SASE, המספק לבעלי עסקים שקיפות על המתרחש ברשת ואופציה להגדיר מדיניויות אבטחה שונות, שיסייעו למיגור התקיפה. ד. להזין בשכבות ההגנה של הארגון את האינדיקטורים לתקיפה של קובץ ה-Windows Loader, המצויים כאן.
(מקור: Lumen, 28.6.22)
Raccoon Stealer הפופולרית שבה לפעילות - הפעם בגרסה משופרת
נוזקת גניבת המידע, המופצת על ידי התחזות לתוכנות לגיטימיות או גרסאות Crack של תוכנות מוכרות, ושכיחה בשימוש בקרב פושעי סייבר בשל הדינמיות המאפיינת אותה, חוזרת אל הזירה לאחר הפסקה בת שלושה חודשים, שככל הנראה נגרמה בשל מותו של אחד ממפתחיה במלחמה באוקראינה. פרויקט ה״נוזקה כשירות״ (Malware-as-a-Service, או MaaS), שלפי פרסומי המפתחים בפורום XSS סיים את שלב הבטא של גרסתו השנייה, עתיד להיות מופץ בשבועות הקרובים בגרסה משופרת ומשוכללת, אשר תכלול, בין היתר, איסוף מידע בסיסי על מחשב הקורבן, גניבת סיסמאות, עוגיות, מידע הממולא באופן אוטומטי ופרטי אשראי מהדפדפן, גניבת מידע משלל ארנקי קריפטו דיגיטליים, בהם MetaMask ,Exodus ו-BinanceChain, גניבת קבצים ספציפיים מהמכונה וקבלת צילומי מסך ורשימת תוכנות המותקנות עליה. בדוח שפרסמה בנושא חברת SEKOIA, הכולל IOCs של ה-Stealer, מצוין כי לנוזקה חסרות עדיין יכולות ״התגנבות״ ובריחה מתוכנות הגנה, וכי נראה שהמפתחים התמקדו בשיפור ביצועי ותפוקת המוצר. עוד מופיעים בדוח TTPs של MITRE ATT&CK, מזהי נוזקה (IOCs) וכתובות IP שתועדו מתקשרות עם שרתי ה-C2 של התוקפים.
צוות קונפידס ממליץ לנטר ולהתגונן מפני Racoon Stealer על ידי הטמעה של מערכת EDR בארגון ועדכון ה-IOCs של הנוזקה במערכותיו. לפרטים נוספים חייגו לחמ״ל הסייבר של ״קונפידס״ 8272*.
קבוצת התקיפה Evilnum מציגה טקטיקות ויעדים חדשים
מאז תחילת 2022, צוות המחקר ThreatLabz של חברת Zscaler עקב מקרוב אחר פעילותה של קבוצת התקיפה Evilnum. בדוח שפרסם כעת בנושא עולה כי עודכנו הטקטיקות והנהלים המשמשים את הקבוצה בקמפייני התקיפה שלה. ההבדל העיקרי שנצפה הוא שבעוד שבקמפיינים מ-2021 וקטור התקיפה המוביל התבסס על קבצי קיצור דרך (LNK) של Windows, שהיו דחוסים ב-ZIP והועברו לקורבנות דרך מיילי פישינג, לאחרונה נראה כי הקבוצה החלה להשתמש במסמכי Office להעברת מטען זדוני היוצר תקשורת עם שרת השליטה והבקרה (C2) של התוקפים. דבר זה מבוצע על ידי הזרקת תבניות שיכולה להתקיים במסמכים מבוססי מאקרו, כאשר למשתמש מופיע הדבר בצורת תבנית מזויפת של מיקרוסופט ובקשה לבצע Enable לקובץ. עוד נעשה שימוש בטכניקת VBA Stomping של הקוד, על מנת להתחמק מניתוח סטטי ולהקשות על ביצוע הנדסה הפוכה לנוזקה. דבר נוסף שנצפה הוא שימוש בקוד JavaScript מעורפל מאוד לפענוח והורדת המטענים הזדוניים העיקריים לנקודת הקצה, כאשר שמות הקבצים והתהליכים נבחרו בקפידה על ידי קבוצת התקיפה והתחזו לשמות של קבצים לגיטימיים של Windows ושל תוכנות אחרות. זאת ועוד, לשם ביסוס אחיזה במערכת, אף הוגדרה משימה מתוזמנת להרצת הנוזקה. לדברי ThreatLabz התגלו מספר דומיינים השייכים לקבוצת התקיפה שלא היו ידועים בעבר, מה שמצביע על כך שהיא הצליחה להישאר מתחת לרדאר משך זמן רב. נוסף על כל אלה, התגלה שבכל קמפיין חדש של Evilnum נרשמו שמות דומיינים חדשים המכילים מילות מפתח ספציפיות שקשורות ליעדי התקיפה, על פי ענף התעשייה הרלוונטי. אם בעבר מרבית קורבנות הקבוצה היו מתחום הפינטק, ובעיקר חברות העוסקות במסחר בבריטניה ובאירופה, במרץ 2022 בוצעה מתקפה כלפי ארגון בין-ממשלתי העוסק בשירותי הגירה בינלאומיים, ככל הנראה על רקע הסכסוך בין רוסיה לאוקראינה.
צוות קונפידס ממליץ להטמיע במערכות ההגנה של ארגונים את האינדיקטורים שפורסמו בדוח ולהימנע מהורדת צרופות ממקורות שאינם ידועים.
(מקור: Zscaler, 27.6.22)
Revive: נוזקת Android משופרת המצותתת לכל הודעות המשתמש במטרה לגנוב אמצעי זיהוי
צוות מומחי אבטחת הסייבר TIR של Cleafy גילה לאחרונה את הנוזקה הבנקאית החדשה Revive, אשר מחקה אפליקציית אימות דו-שלבי (2FA) באמצעותה מחויבים להזדהות משתמשים בספרד המבקשים להיכנס לחשבונותיהם בבנק BBVA. נוזקה זו מבוססת על טרויאני בנקאי קודם, אשר בגרסתו החדשה מתמקד בבנק הספציפי, במקום להדביק ארגונים פיננסיים רבים בו-זמנית. למרות שנוזקת Revive מצויה בשלב הבטא המוקדם שלה, היא כבר מפגינה יכולות מתקדמות, כמו יירוט קודים של 2FA ויירוט OTPs (סיסמה חד-פעמית). אופן פעולתה של הנוזקה מבוסס על הטעיית הנרשמים, המאמינים כי הם מתחברים לכלי 2FA, האמור לסייע להם באבטחת חשבונות הבנק שלהם. Revive מצדה מבקשת את אישור המשתמשים בעת התקנת הכלי, ובכך מקבלת מספר יכולות, כגון שליטה מלאה על המסך, ביצוע הקשות מסך ופעולות ניווט. עם הפעלתה הראשונה של האפליקציה, המשתמש מתבקש לאפשר לה גישה להודעות SMS ולשיחות טלפון, במה שנראה כבקשת הרשאה רגילה מטעם אפליקציית שירות המשתמשת ב-MFA על מנת כדי לספק בקרת גישה. לאחר מכן התוכנה פועלת ברקע כ-Keylogger, אשר מקליט את כל הקלדות המשתמש במכשיר ומדי פעם שולח את הנתונים שאסף לשרת השליטה והבקרה (C2) של התוקפים. במסך המופיע לאחר מתן הרשאת הגישה להודעות ולשיחות, מציגה הנוזקה דף בית גנרי, בו שורה של קישורים המפנים את המשתמש לאתר הלגיטימי של הבנק. בשלב זה טרם ברורות יכולותיה המלאות של הנוזקה וכיצד שחקני איום ישפרו את יכולותיה.
השבוע בכופרה
המתקפה על Fast Shop, מרשתות הקמעונאות הגדולות במדינה, הובילה לשיבושים באתרה הראשי ובאפליקציות שהיא מתפעלת למכשירים ניידים, וכן לסגירה זמנית של החנות המקוונת, ללא פגיעה בחנויות הפיזיות של הרשת. Fast Shop, אשר סוחרת במגוון רחב של מוצרים, בהם מחשבים, סמארטפונים, קונסולות משחק, רהיטים, מוצרי יופי ומכשירי חשמל ביתיים, מפעילה 86 חנויות, ונכסיה הדיגיטליים רושמים יותר מ-6 מיליון ביקורים מדי חודש. במהלך התקיפה הצליחו התוקפים להשיג אחיזה בחשבון הטוויטר של הרשת ופרסמו בו ציוץ לפיו במהלך 72 השעות האחרונות סחטו את Fast Shop לתשלום כופר בעבור אי-הדלפת נתונים, כל זאת לאחר שהשיגו גישה למאגרי המידע של החברה ב-AWS ,Azure ,GitLab ובענן של IBM, וגנבו קוד מקור של האתר ושל האפליקציה ונתוני משתמשים רגישים. מכיוון ש-Fast Shop תשיק בקרוב פלטפורמה מקוונת חדשה המתמקדת במציאות רבודה ובבינה מלאכותית, הגישה ל-GitLab עלולה לחשוף פרטים יקרי ערך הנוגעים לפרויקט. לאחר שהחברה שבה לשלוט בחשבון הטוויטר שנפרץ, היא פרסמה בו הודעה המאשרת את דבר המתקפה ואת סגירת האתר והאפליקציה באופן זמני. עם זאת, הודגש כי אין עדות לפגיעה בנתוני לקוחות וכי החנויות הפיזיות ממשיכות לעבוד כסדרן.
קבוצת התקיפה Conti סוגרת את אתרי המשא ומתן ודלף המידע שלה
בהמשך לדיווחים מחודש מאי על כך ש-Conti החלה בסגירת פעילותה, כעת מדווח מנתח מודיעין האיומים עידו כהן כי הקבוצה סגרה באופן סופי את התשתית האינטרנטית האחרונה שלה, המורכבת משני שרתי Tor ששימשו אותה להדלפת נתונים ולניהול משא ומתן עם קורבנותיה. כזכור, בחודש שעבר תקפה הקבוצה משרדים ממשלתיים בקוסטה ריקה, בפעולה שהביאה את הנשיא רודריגו צ׳אבס להכריז על מצב חירום במדינה (ראו ״הסייבר״, 12.5.22). עם זאת, חוקרים טוענים כי רק המותג ״Conti״ נסגר, בעוד שהסינדיקט עודנו קיים, וכי חברי הקבוצה התפצלו, למעשה, לתאים קטנים יותר שחברו או השתלטו על פעולות של כופרות אחרות, ומונחים על ידי הסינדיקט שבראשו עומדת קבוצה קטנה של מנהלים. התפצלות זו נועדה להקטין את הסיכויים לחיסול המפעל כולו במידה ותא בודד ייתפס על ידי רשויות החוק. בין כנופיות הכופרה שידוע כי פועלים בקרבן חברי Conti ותיקים מצויות Hive ,AvosLocker ,BlackCat ו-Hello Kitty.
מפתחי הכופרה ה״פורה״ ביותר בשנת 2022 השיקו השבוע את את גרסתה השלישית, תחת הסיסמה ״Make Ransomware Great Again", על משקל סלוגן הבחירות של נשיא ארצות הברית לשעבר דונלד טראמפ, אך בשעה זו טרם ידוע על שיפורים או שדרוגים טכניים ביכולות הנוזקה. במקביל, מפתחי LockBit השיקו תוכנית Bug Bounty, במסגרתה מוצע תשלום הנע בין אלף דולר למיליון דולר עבור מציאת פרצות באתר הקבוצה או באגים בכופרה, שעלולים, למשל, לאפשר את פענוח ההצפנה ללא כלי או מפתח ייעודיים שיסופקו מטעם הקבוצה. נוסף להיבטיה הסטנדרטיים של תוכנית ה-Bug Bounty שהוכרזה, היא כוללת גם תשלום עבור הצעת ״רעיונות יצירתיים שיעזרו לקבוצה לפתח ולשדרג את פעילותה״ ועבור מציאת חולשות בתשתית הקבוצה, למשל בשרתי הכופרה או בשירות מסרי ה-Tox, העלולות לאפשר זיהוי או זליגה של מידע רגיש, כגון כתובות IP של שרתי או חברי הקבוצה. עוד מציעה התכנית תשלום בסך מיליון דולר עבור איתור מידע אודות ראש תוכנית השותפים של הקבוצה או מנכ״לים של חברות. נוסף על כל אלה, נראה כי LockBit החלה להציע דרכים שונות לתשלום כופר, אשר בפועל מהוות טכניקות סחיטה חדשות בפני עצמן, כאשר מלבד האופציה החדשה להעברת תשלום כופר דרך אתר הקבוצה, ניתן כעת להאריך את זמן תשלום הכופר ב-24 שעות, להשמיד את כלל המידע של החברה הנסחטת ולהוריד את כלל המידע בכל עת. ככל הנראה, התעריף עבור כל אחת מהאפשרויות ישתנה בהתאם לאופי וכמות המידע שנגנב, ולפרופיל הקורבן.
מיקרוסופט בסקירה מקיפה של עולם ה״כופרה כשירות״: נמשכת מגמת הסחיטה הכפולה
צוות המחקר של מיקרוסופט, המאגד את כמות המידע הגדולה ביותר ממערכות מחשוב ברחבי העולם, מציג בסקירתו יותר מ-35 ״משפחות״ של כופרות ו-250 ״שחקנים״ הפועלים תחת גופים שונים, לרבות מדינות. לאחרונה הפכו מתקפות הכופרה למשמעותיות יותר ויותר, עם הגידול בגובה התשלומים ושכלול יכולות הסחיטה, המתבססות על פגיעה במוניטין של ארגונים ובלקוחותיהם. אחת ההתפתחויות בתחום היא אימוץ של מודל ה-Ransomware-as-a-Service, או RaaS, על ידי קבוצות תקיפה, המאפשר לתוקפים יחידניים להשתמש בכלים של קבוצות תקיפה בתמורה לחלוקה של רווחי המתקפות. מגמה נוספת שעולה מן הסקירה שפורסמה היא הכופר הכפול, בו נסחט מהקורבן כופר לשם פתיחתם של קבצים שהוצפנו במתקפה, וכופר נוסף נדרש בעבור מחיקת דלף המידע ואי הפצתו. רשומת הבלוג שפרסמה מיקרוסופט כוללת המלצות לארגונים בנוגע לדרכי התמודדות עם תקיפות ולצמצום משטחי התקיפה האפשריים.
המלחמה במזרח אירופה
הדוח שפרסמה חברת מיקרוסופט נועד לחדד את הבנת האיומים הקיימים במלחמה המתמשכת באוקראינה, מבחינת הפעילות הסייברית של שני הצדדים, של מדינות אחרות, ושל גופים פרטיים. בהקדמה לדוח מציין מציין נשיא וסגן יו"ר מיקרוסופט בראד סמית׳ כי עד כה הגנות הסייבר, שפועלות גם באוקראינה, מוכיחות עצמן כיעילות בזיהוי ומניעת מתקפות סייבר מצד רוסיה. מעבר לחשיפת מידע טכני ופרטים על מבצעי תודעה נרחבים ומתוחכמים שמבצעת רוסיה כדי לערער את אחדות המערב ולחזק את מאמצי המלחמה שלה, מודגשים בדוח חמישה ממצאים עיקריים בנוגע לארבעת חודשי הלחימה הראשונים:
-
הגנה מפני פלישה צבאית דורשת יכולת חלוקה והפצה של פעולות דיגיטליות ונכסי מידע אל מעבר לגבולות מדיניים.
-
ההתקדמות האחרונה במישור המודיעיני ביחס לאיומי סייבר והגנה על נקודות קצה סייעה לאוקראינה לעמוד ברבות ממתקפות הסייבר הרוסיות.
-
ככל שקואליציה של מדינות התכנסה לשם הגנה על אוקראינה, סוכנויות הביון הרוסיות הגבירו את חדירתן לרשתות של ממשלות אלה ואת פעולות הריגול נגדן, סוגייה שמערבת מדינות רבות מעבר לשתיים העומדות בעימות ישיר.
-
סוכנויות ביון רוסיות מקיימות פעולות השפעת סייבר גלובליות, התומכות במאמצי המלחמה של מדינתן.
-
הלקחים שהופקו עד כה מסכסוך זה מדגישים את הצורך באסטרטגיה מתואמת ומקיפה לחיזוק ההגנות של אוקראינה נגד מגוון פעולות ההרס, הריגול וההשפעה דיגיטלית בהן נוקטת רוסיה.
יצויין כי דוח זה של מיקרוסופט מפורסם על ידי גוף מסחרי ומציג פרספקטיבה של גורם לא-מדיני, לצד שורה של לקחים ומסקנות על בסיס הנתונים שנאספו ונותחו על ידי החברה במבט גלובלי ואסטרטגי. בין היתר, הדוח קורא ליצירת אסטרטגיה מתואמת ומקיפה לחיזוק ההגנות הקולקטיביות, משימה הדורשת שיתוף פעולה בין המגזר הפרטי, המגזר הציבורי, עמותות והחברה האזרחית.
(מקור: מיקרוסופט, Defending Ukraine: Early Lessons from the Cyber War, יוני 2022, עמ' 3)
(מקור: מיקרוסופט, Defending Ukraine: Early Lessons from the Cyber War, יוני 2022, עמ' 23)
ה-NKSC, הפועל תחת משרד ההגנה הליטאי, הודיע ב-23 ביוני כי קיימת עלייה במתקפות מניעת שירות (DDoS) במדינה וכי מרביתן מכוונות נגד רשויות ציבוריות ומגזרי התחבורה והפיננסים. לדברי המרכז, הדבר גורם, בין היתר, להפרעות זמניות בשירותי חברות לוגיסטיות, תשתיות תחבורה, מוסדות פיננסיים, ספקיות אינטרנט, שדות תעופה, חברות אנרגיה, כלי תקשורת מרכזיים ועוד. בהודעה המופיעה באתרו, ה-NKSC קורא למנהלי תשתיות מידע קריטיות ומשאבי מידע מדיניים לנקוט באמצעי אבטחה נוספים, לפעול לפי המלצותיו להתגוננות מפני המתקפות ובמקרה של פגיעה להודיע על כך מיד למחלקה לניהול משברי סייבר (CERT-LT). על פי מקורות נוספים, קבוצת התקיפה העומדת מאחורי הפעולות היא Cyber Spetsnaz, המתמקדת בממשלת ליטא ובתשתיות קריטיות במדינה, זאת בעקבות סירובה של וילנה לאפשר לרכבות רוסיות להוביל בתחומיה משאבים כגון פלדה. כמחאה על סירוב זה, Killnet, קבוצת תקיפה המזוהה עם הממשל הרוסי, פרסמה בערוץ הטלגרם שלה תמונה של דרכון השייך לאזרח ליטאי. בתוך כך, Killnet קיבלה אחריות על מתקפת סייבר על מספר מוסדות ממשלתיים בליטא, שהתרחשה ב-27 ביוני. בחשבון הטלגרם שלה הודיעה הקבוצה שכעת היא מתכוונת לפגוע במערכת חשבונאות מקוונת המשמשת את ליטא ולטביה, וכי מעתה תתמקד בתשתית רשת האינטרנט של ליטא. ״נכון לעכשיו שיבשנו את עבודתה של כל מחלקת הנהלת החשבונות המקוונת בליטא״, כתבו חברי הקבוצה, והוסיפו כי הם ״בהחלט מופתעים שליטא משתמשת במערכת מקוונת להנהלת חשבונות. שרתי Amazon אינם מסוגלים להציל את המצב״.
רוסיה קונסת את Google בעקבות הפצת מידע ״לא אמין״ על המלחמה באוקראינה
רוסקומנדזור, הגוף הפדרלי הרוסי המפקח על תקשורת, מידע וטכנולוגית מידע, לרבות מדיה המונית, קנס את החברה בסכום של 68 מיליון רובל (1.2 מיליון דולר), בטענה כי סייעה בהפצת המידע הלא מבוסס וכי לא נענתה לבקשת הרוסים להסירו מהרשת. לדברי הרגולטור הרוסי, YouTube - פלטפורמת שיתוף הווידאו שבבעלות Google - תרמה להפצה המידע הלא מהימן על המלחמה, ובכך עזרה להכפשת שמו של הצבא הרוסי. עוד טוען הרוסקומנדזור שנכון לעכשיו מצויים ב-YouTube יותר מ-7,000 חומרים שאינם חוקיים, לשיטתו, לצד כאלה המשקפים דעות קיצוניות וקריאה לקיום הפגנות. נוסף לקנס האמור, Google צפויה לקנס בגובה של עד 10% ממחזור הרווחים הרוסי השנתי משלוחתה הרוסית של Google, עקב כישלונה להגביל את הגישה לחומרים האסורים ברוסיה. בחודש מרץ חסם הרוסקומנדזור את הגישה לשירות החדשות של החברה, Google News, על בסיס חוק חדש שקבע נשיא רוסיה ולדימיר פוטין, הפוסל הפצת ״חדשות מזויפות״, עבירה שעלולה לגרור עונש של עד 15 שנה מאסר. מ-Google נמסר בתגובה כי החברה נקטה בפעולות לחסום את ערוצי ה-YouTube הרוסיים Russia Today ו-Sputnik, המפיצים מידע שגוי על מלחמתה של רוסיה באוקראינה. הרוסקומנדזור מצדו מחה על ההחלטה ודרש הסרה מיידית של החסימות. במקביל, בעקבות צו בית משפט מה-24 בדצמבר אשתקד, בחודש מאי האחרון החרימו פקידים רוסיים 7.22 מיליארד רובל (133 מיליון דולר) מחשבונה של Google, על רקע דומה. בעקבות כך, ב-16 ביוני הסניף הרוסי של Google הגיש בקשה לפשיטת רגל, אך השירותים החינמיים של החברה יישארו זמינים לקהל הרוסי.
סייבר בעולם
מתקפת סייבר על מפעלי פלדה באיראן
מפעל ענק לייצור פלדה באיראן ספג במהלך השבוע החולף מתקפת סייבר, עליה לקחה אחריות קבוצת התוקפים Predatory Sparrow (המכונה גם Gonjeshke Darande). בחשבון הטוויטר של הקבוצה נטען כי תקפה שלושה מפעלים במדינה, The Khouzestan ,The Mobarakeh ו-The Hormozgan, הנתונים לסנקציות בינלאומיות עקב חשד לקשרים עם משמרות המהפכה, אך למרות זאת ממשיכים בפעילותם. לדברי Predatory Sparrow, הסיבה לתקיפה היא ״התוקפנות האיראנית״, והיא נעשתה תוך שמירה על חיי אדם. עד כה לא ידוע אם מתקני המפעל ניזוקו, שכן ככל הנראה הם לא היו פעילים בזמן ההתקפה. משרד יחסי הציבור של מרכז הסייבר הלאומי האיראני אישר את קיומן של ההתקפות ביום שני והאשים ״אויבים זרים״ בביצוען. לפי סוכנות הידיעות הרשמית של באיראן, מנכ״ל חברת Khouzestan אמין אברהימי אמר כי צוותים פנימיים הצליחו לסכל את המתקפה לפני שנגרם נזק. לפי מקורות שונים, הסיבה היחידה שלא נגרם נזק משמעותי לקו הייצור של החברות היא שהן אינן פעילות בלילה, עקב מגבלות אספקת החשמל.
מיקרוסופט תפרסם בחודש יולי עדכון לשירותי ה-RRAS וה-VPN לכלל משתמשיה
זאת בהמשך לעדכון החירום שפרסמה החברה לאחר שצצו מספר תקלות בעקבות הטמעת העדכונים שפרסמה ב-14 ביוני, בהן בעיות בהתחברות באמצעות Azure Active Directory למגוון אפליקציות ושירותים, כמו RRAS ,VPN ,Teams ו-Outlook. עד כה הופצו עדכונים לטיפול בבעיות שנגרמו במערכות ההפעלה הבאות:
Windows 11 (KB5014668)
Windows Server 2022 (KB5014665)
Windows 10 version 1809 (KB5014669)
עם זאת, משתמשי גרסאות חדשות יותר של Windows 10 ,Windows 8.1 ו-Windows 7 SP1, וכן מספר גרסאות של שרתי Windows, עדיין סובלים מהבעיות שהתגלו, אשר יקבלו עדכון במהלך Patch Tuesday של חודש יולי. בינתיים, ניתן להשתמש ב-Workaround לטיפול בבעיות בשירות ה-RRAS, באמצעות אופציית ה-NAT של השירות.
צוות קונפידס ממליץ לעקוב אחר הוראותיה ופרסומיה של מיקרוסופט בנושא ולהטמיע את העדכונים בהתאם.
ה-CISA מוסיפה 8 חולשות ל״קטלוג החולשות המנוצלות הידועות״
החולשות, שנמצאו במוצרים של Google ,Red Hat ,Apple ו-Mitel, נוספו לקטלוג שמתחזקת הסוכנות האמריקאית להגנת סייבר ותשתיות על בסיס עדויות לניצולן על ידי קבוצות תקיפה. במוצר Mitel MiVoice Connect נמצאה חולשה קריטית (CVE-2022-29499, CVSS 9.8) העלולה לאפשר לתוקף להריץ קוד מרחוק (RCE), בעטיו של מנגנון אימות מידע שגוי. מוצרים רבים של חברת Apple נמצאו פגיעים ל-5 חולשות בזיכרון (CVE-2018-4344 ,CVE-2019-8605 ,CVE-2020-9907 ,CVE-2020-3837 ,CVE-2021-30983) בדרגת חומרה גבוהה (CVSS 7.8), העלולות לאפשר לתוקף להריץ קוד מרחוק (RCE) בהרשאות מערכת. הפצת ה-Linux הידועה Red Hat נמצאה פגיעה לחולשה (CVE-2021-4034, CVSS 7.8) ברמת חומרה גבוהה, העלולה לאפשר לתוקף לבצע מתקפת העלאת הרשאות, בעטיו של פגם בתוכנת הבסיס pkexec, שמאפשר לבצע ערכים סביבתיים כפקודות בהרשאות מערכת. בדפדפן Google Chrome נמצאה חולשה (CVE-2021-30533, CVSS 6.5) ברמת חומרה בינונית בתוסף חסימת החלונות הקופצים PopupBlocker, העלולה לאפשר לתוקף לעקוף הגבלות ניתוב בדפדפן באמצעות אלמנט HTML מוכן מראש (iframe), המאפשר להציג חלון נוסף בתוך חלון האב של הדפדפן. על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות בקטלוג, ה-CISA ממליצה לכל ארגון לפעול לסגירתן, על מנת לצמצם את חשיפתו לתקיפות סייבר.
צוות קונפידס ממליץ לבעלי המוצרים הרשומים מעלה לוודא שהם מעודכנים לגרסאותיהם האחרונות.
ה-CISA מפרסמת את רשימת 25 חולשות התוכנה המסוכנות ביותר לשנת 2022
בראש הרשימה המופיעה במסמך שפרסמו הסוכנות האמריקאית להגנת סייבר ותשתיות והמכון להנדסה ופיתוח מערכות לביטחון המולדת (HSSEDI) מדורגת חולשת ה-Out-of-bounds Write, שמקורה במצב בו התוכנה כותבת מעבר לסוף קטע הזיכרון שהוקצה לה, או לפניו, מה שעלול להוביל להשחתת נתונים ולקריסת הקוד, ולאפשר לתוקף לכתוב קוד זדוני למיקום בזיכרון המצוי מחוץ לגבולות שהוגדרו לקוד המקורי. חולשה נוספת המופיעה ברשימה היא (Cross-site scripting (XSS, שמקורה במצב בו התוכנה אינה מבצעת בדיקה לקלט שמקליד המשתמש. הדבר עלול לאפשר לתוקף להשתיל קוד זזוני בתוכנה מבלי שזה שיעבור בדיקה כלשהי לפני שיישלח לביצוע. ה-CISA מעודדת משתמשים ומנהלי מערכות לסקור את 25 החולשות המופיעות ברשימה, לעיין בפעולות המיטיגציה המומלצות ולהטמיע את אלה המתאימות לאימוץ בארגון.
נורבגיה: מתקפת מניעת שירות השביתה זמנית אתרי שירותים מקוונים
ב-29 ביוני הודיעו הרשויות בנורבגיה כי מתקפת DDoS שיבשה את פעילותם של אתרים ציבוריים ופרטיים ביממה האחרונה, אך בשעה זו לא נראה כי האירוע גרם לנזק משמעותי. על פי החשד, המתקפה, שכוונה נגד רשת מאובטחת של נתונים לאומיים וגרמה להשעיה של שירותים מקוונים למשך מספר שעות, בוצעה על ידי קבוצת תקיפה פרו-רוסית, ככל הנראה במסגרת המצב הפוליטי המורכב השורר באירופה בחודשים האחרונים. לדברי סופי נייסטרום, מנכ״לית הרשות הנורבגית לביטחון לאומי, בשעה זו המצב אינו ברור עד תום, אך כל השירותים ששובשו שבו לפעול. על פי הידוע כעת, נראה שהמתקפות כוונו נגד מספר חברות נורבגיות גדולות המציעות שירותים בעלי חשיבות גבוהה. בשעה זו נעשים מאמצים לברר אם ניתן לקשר את המתקפה למדינות כלשהן, כאשר לדברי ראש ממשלת נורבגיה יונאס גר סטיורה נראה שמאחורי האירועים עומדות קבוצות בעלות אופי פלילי. על פי מקורות שונים, נראה כי מדובר בקבוצת התקיפה הפרו-רוסית Killnet.
סייבר בישראל
ראש מערך הסייבר מציג: ״כיפת הסייבר״ להגנה על המשק
במסגרת אירועי ״שבוע הסייבר״ שהתקיימו בתל אביב בהובלת מערך הסייבר הלאומי, הציג ראש המערך, גבי פורטנוי, את הפרויקט שמטרתו לפרוס ״כיפת הסייבר״ על המרחב האזרחי, לשם הגנה על המשק. הטכנולוגיות עליו יתבסס הפרויקט כוללות מנגנונים פרו-אקטיביים חדשים, המשלבים בינה מלאכותית וביג דאטה לשם חיזוי ובלימת מתקפות, ולצמצום משמעותי של פעולות עוינות במרחב הסייבר בארץ. על פי נתונים שהוצגו בכנס, בשנה האחרונה בלם המערך כ-1,500 ניסיונות תקיפה שכוונו נגד ישראל, כאשר לדברי פורטנוי עבר הארגון לראייה מגזרית של המשק - על פי תחומים ולא על פי גופים, ומהתמקדות בתוקף להתמקדות באזרחים. דבר זה מקנה למערך זווית ייחודית של הגנה מדינתית והרחבת הכלים המשמשים אותו להגנה על פעילויות נוספות מעבר לתשתיות קריטיות. עוד התייחס פורטנוי להרחבה של מגוון סוגי התוקפים, בהם קבוצות תקיפה, קבוצות ממומנות על ידי מדינות, ארגוני פשיעה ועוד, וכן לעובדה שאיראן, ביחד עם ארגוני החמאס והחיזבאללה, הפכה לאיום מרכזי במרחב הסייבר. פורטנוי הדגיש כי במערך עוקבים ומכירים את צורת עבודתם של גורמי איום אלה, ואמר לסיכום כי באמצעות שיתופי פעולה בין מדינות, גופי ביטחון ממשלתיים, חברות אבטחת מידע ומוסדות אקדמיים יעלה בידי המערך להגן על ישראל במאבק בזירת הסייבר.
מערך הסייבר הלאומי וגופי אכיפה החלו בחקירת הונאות באפליקציית ״רב קו״
עידו נאור, מנכ״ל חברת אבטחת המידע Security Joes, פרסם בחשבון הפייסבוק שלו ידיעה על כך שתוקפים ביצעו חיובים רבים באמצעות שימוש בפלטפורמת ״רב קו אונליין״, המשמשת לרכישת הסדרי נסיעה בתחבורה הציבורית בישראל. לדברי נאור, היות ובאתר ״רב קו אונליין״ אין הגנות סייבר, תוקף יכול לנצל את פרצות האבטחה על ידי שימוש בכלי אוטומטי לשם פיצוח סיסמאות המשתמשים ורכישת כרטיסים בשמם. מכיוון שלא קיימת מגבלת רכישה באתר, ניתן לבצע עשרות עסקאות תוך זמן קצר, מבלי שהדבר יעורר חשד. לאחר ביצוע הרכישות, התוקף מציע למכירה את הכרטיסים בטלגרם ובערוצים נוספים. ברגע שנמצא קונה, הוא מבקש ממנו להוציא הוראה למשיכת מזומן מכספומט באמצעות ב-SMS, זאת על ידי הזנת פרטים מלאים אודות הכספומט הרלוונטי, הסכום הדרוש, התאריך ומספר הטלפון של הקונה. עם הפרטים הללו ניגש התוקף לכספומט ומושך ממנו כסף מזומן. בתמורה, נשלח אל ביתו של הקונה כרטיס ״רב קו״ חדש, הטעון בסכום עליו סוכם מראש עם התוקף, שהינו גבוה יותר מזה ששולם. על מנת להתגונן מפני המתקפה, עידו נאור ממליץ למחוק את פרטי כרטיס האשראי מהאתר ״רב קו אונליין״ ולוודא שחברת האשראי מודעת לנסיונות החיוב ודואגת להפעלת מנגנון אימות דו-שלבי (MFA) בכל אפליקציה או שירות אונליין.
קבוצת התקיפה האיראנית SharpBoys פרסמה השבוע בערוץ הטלגרם שלה כי פרצה למספר ארגונים ישראלים הקשורים למגזר המלונאות והדליפה מהם פרטים של 120,000 משתמשים, כל זאת לאחר שעלתה לכותרות בדצמבר 2021, בעקבות פריצתה לאתרי ״למטייל״ ו-״bus.co.il" והדליפה מידע אישי של כ-3 מיליון ממשתמשיהם בערוץ הטלגרם שלה ובאתרה. בהודעה הנוכחית של קבוצת התקיפה היא טוענת שפרצה אל האתרים הבאים:
-
hotels.co.il
-
trivago.co.il
-
isrotel.com
-
danhotel.co.il
-
minihotel.co.il
עוד טוענת הקבוצה בהודעתה כי השביתה את הגישה לאתר hotels.co.il. מבדיקה שערך צוות קונפידס נראה שהאתר לא היה זמין משך זמן מה, ולאחר מכן חזר להגיב, אך מוצגת בו הודעה לפיה האתר אינו זמין לצורך שדרוג. יממה לאחר מכן שב האתר לאוויר בצורה תקינה, ללא התייחסות לאירוע מטעם הארגון.
זו אינה הפעם הראשונה החודש בה SharpBoys טוענת שהצליחה לפרוץ לארגונים הקשורים למגזר התיירות ולהדליף מהם מידע אישי. לפני כשבועיים פרסמה הקבוצה כי פרצה למספר אתרים ישראלים ממגזר התיירות והדליפה בערוץ הטלגרם שלה את כל המידע שאספה. אנחנו מעריכים שבניגוד לטענת קבוצת התקיפה לא התרחשה פריצה רחבת היקף אל כל אותם אתרים. מאגר המידע המרכזי עליה הצליחה לשים את ידה מכיל מידע רגיש, לרבות כתובות מייל, שמות, תאריכי הזמנות ועוד. בעקבות כך, מערך הסייבר הלאומי פרסם הנחיות לארגונים במגזר לשם הקטנת הסיכון לפגיעה ועצירת רצף האירועים.
צוות קונפידס ממליץ לארגונים מכל המגזרים לעקוב אחר ההנחיות וליישמן ככל שניתן בתהליכי עבודתם.
סייבר ופרטיות - רגולציה ותקינה
ההשלכות של פסילת פסה"ד Roe v. Wade על הגנת הפרטיות בארה"ב
החלטת בית המשפט העליון של ארצות הברית לבטל את פסק הדין Roe v. Wade, ובכך את זכותן החוקתית של נשים בכל מדינות ארצות הברית לבצע הפלה, לא רק פוגעת באופן מובהק בזכויות האזרח של נשים, בבריאותן ובחופש הבחירה שלהן, אלא גם גם מעלה חששות בעניין השלכותיה על הזכות לפרטיות של נשים וגברים כאחד. בהקשר זה, דאגה עיקרית בקרב מחוקקים ותומכי זכויות אזרח היא מפני ניצול נתונים אישיים שעלולים להוביל להעמדה לדין של נשים, רופאים ועובדי מערכת הבריאות שממשיכות וממשיכים בביצוע הפלות. חלק מהחוקים שנחקקים כעת במדינות ארצות הברית מאפשרים "הלשנה" על מטופלים ומטפלים שמבצעים הפלות בניגוד לחוק המדינתי, בין היתר על ידי חברות האוספות מידע אישי של נשים בהקשרים שונים של חייהן (מעקב אחר מועד הווסת החודשית, נסיעות מחוץ למדינת המגורים של האישה ועוד). חברות אלה עלולות "להסגיר" לרשויות החוק נשים שמבקשות לבצע הפלה, כל זאת על ידי שימוש במידע אישי שנשמר במערכות שנועדו לשימושים אחרים לגמרי. מצב זה עשוי להתאפשר מכוח הפרצות בחוק וההגבלות הרופפות שקיימות כיום ביחס לחברות טכנולוגיות בנושאי איסוף נתונים ופרטיות. חברת הקונגרס סוזן דלבן ציינה עם פרסום ההדלפה אודות ביטול פסק הדין, כי ההחלטה "תאיים על נשים במדינה באופנים רבים, שכן חוקי הטכנולוגיה שלנו מצויים בפיגור משמעותי, והמידע האישי של מיליוני נשים נמצא בסיכון. מידע זה כולל נתונים שונים, החל מחיפושים באינטרנט על שירותי בריאות ופוריות, כולל הפלות, מעקב אחר וסת ואפליקציות אחרות לבריאות נשים, וכלה במידע אודות מתקנים רפואיים בהם ביקרה האישה". בינתיים, ארגונים כמו ה-Digital Defense Fund יצרו מדריכים עבור נשים המבקשות לבצע הפלות בכדי לסייע בהגנה על פרטיותן, בהם מדריכים לגלישה בטוחה ללא מעקב, לשליחת הודעות פרטיות ולאבטחת מכשירים באמצעות סיסמאות חזקות.
פורום חדש לפיתוח סטנדרטים להתנהלות ב-Metaverse
ב-21 ביוני הושק ה-Metaverse Standards Forum הגלובלי, שמטרתו לפתח ולתאם סטנדרטים שיאפשרו שיתוף פעולה יעיל יותר בין ספקי שירותים, תוצרים ותהליכים ב-Metaverse. ה-Metaverse הינו רשת משולבת של עולמות וירטואליים במרחב הסייבר, המתבססת על פיתוחים שמייצרים מציאות וירטואלית הוליסטית, בה פועלים המשתתפים באמצעות זהות דיגיטלית שהם מייצרים. קבוצת Khronos, העוסקת בגרפיקה תלת-מימדית, יזמה את הקמת הפורום, שהחברות בו פתוחה בחינם לכל גוף המעוניין בכך. לדברי Khronos, הדבר נועד "לטפח התאמה לדרישות ולסדרי עדיפויות עבור תקני פעילות מותאמת ומשולבת במסגרת ה-Metaverse, ולהאיץ את פיתוחם ופריסתם באמצעות פרויקטים פרגמטיים מבוססי פעולה". פורום זה מהווה את הניסיון הראשון לתאם את הכיוונים בהם יתפתח ה-Metaverse על ידי החברות אשר מייצרות אותו ומאפשרות כניסה אליו. מפגשי הפורום יחלו בשבועות הקרובים.
(מקור: Metaverse Standards Forum, יוני 2022)
קנס בסך 5 מיליון דולר הוטל על ענקית השייט Carnival בעקבות הפרות חמורות בתחום אבטחת הסייבר
הקנס הוטל על החברה ועל חברות הבת שלה על ידי המחלקה הכלכלית של מדינת ניו יורק בגין הפרות משמעותיות של הוראות רגולטוריות שקבעה המחלקה בעניין הגנת סייבר של גופים מפוקחים. ההחלטה מבוססת על ממצאי חקירה שחשפה כי חברת Carnival נכשלה ביישום הגנות סייבר בסיסיות שדורשת הרגולציה האמורה, כישלון שהביא לחשיפת מידע אישי רב של לקוחותיה, בין היתר במהלך ארבעה אירועי סייבר שהתרחשו בין השנים 2019 ל-2021, לרבות שתי מתקפות כופרה. מחקירת המחלקה עלה כי החברה לא השתמשה באימות רב-שלבי (MFA), לא דיווחה למחלקה כנדרש על התרחשות אירוע סייבר באופן מידי ולא ביצעה הדרכות סייבר מתאימות לעובדיה. בכך, Carnival לא עמדה בדרישות החוק, ואפשרה פגיעת תוקפים במערכותיה ובמידע אישי של לקוחותיה. החברה והמחלקה הכלכלית פרסמו כתב הסכמה בעניין תשלום הקנס.
כללים חדשים בסין: יותר מ-30 פעולות נאסרו על ״משפיענים״
ב-23 ביוני פרסמו הרשות הלאומית הסינית לטלוויזיה ורדיו ומשרד התרבות והתיירות הסיני כללים חדשים הקובעים מגבלות על תושבי סין הפועלים כ"משפיענים" בתחומים מקצועיים שונים, בהם בריאות, כלכלה, משפט, חינוך ועוד. על פי הכללים החדשים, מי שמפרסם מידע בתחומים שהוגדרו מחויב הן בהסמכה מקצועית בהם והן ברישיון מטעם המדינה. עוד מחויבים משפיענים להימנע מפעולות כמו פרסום תוכן ה״מחליש״ את הנהגת המפלגה הקומוניסטית הסינית או את השיטה הקומוניסטית, ומ"העלאה מכוונת״ של סוגיות רגישות, המושכות תשומת לב ציבורית. איסור נוסף שנקבע הוא על הצגת אורח חיים הכולל מותרות בערוצי סטרימינג, לרבות תוכן המציג מוצרי יוקרה וכסף מזומן. הצעד הרגולטורי החדש נועד לטפל בתופעת הפייק ניוז הנרחבת בערוצי תקשורת שונים המנוצלים על ידי המשפיעים בסין. בסוף שנת 2021, למשל, פורסם כי לפי מקורות רשמיים יותר מ-700 מיליון מתושבי סין (68% מאוכלוסיית משתמשי האינטרנט במדינה) צורכים תוכן המבוסס על סטרימינג בשידור חי.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.