WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 01.09.2022

עיקרי הדברים

  1. ישראל: קבוצת תקיפה איראנית תוקפת מטרות ישראליות תוך ניצול החולשה Log4j בשרתי SysAid; מתקפת מניעת שירות על אתרי נמלים; הרשות להגנת הפרטיות הפיצה הנחיות למפלגות, לספקים ולמתנדבים לקראת הבחירות לכנסת ה-25.

  2. צרפת: שבועיים לאחר מתקפת הכופרה על בית החולים CHSF שמדרום לפריז: המוסד הרפואי ממשיך לעבוד במתכונת חירום ידנית, ממשלת צרפת הקציבה 20 מיליון יורו לחיזוק אבטחת הסייבר של מוסדות בריאות במדינה.

  3. ה-FBI: עלייה בניצול חולשות המצויות בקוד המשמש בורסות קריפטו.

  4. מונטנגרו: מתקפת סייבר על תשתיות ממשלתיות הובילה להשבתה זמנית של שירותים לאזרחי המדינה. שר הביטחון רסקו קונייביץ׳ האשים את רוסיה במתקפה.

  5. *אנו ממליצים לעדכן את המוצרים הבאים: דפדפן Google Chrome (קריטי); השירות Bitbucket (קריטי); פלטפורמט WordPress (גבוה); אפליקציית ה-Android של TikTok.*

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה לשירות Bitbucket נותן מענה לחולשה קריטית
עדכוני אבטחה לדפדפן Google Chrome נותנים מענה לחולשות ברמות חומרה שונות, בהן אחת קריטית
באג בדפדפן Google Chrome מאפשר לאתרים לכתוב ל-Clipboard באופן העלול להוביל לגניבת כספים; טרם פורסם עדכון אבטחה
עדכון אבטחה ל-WordPress נותן מענה ל-3 חולשות, אחת מהן ברמת חומרה גבוהה
חולשה חדשה באפליקציית ה-Android של TikTok עלולה להוביל לגניבת חשבונות

התקפות ואיומים

פלטפורמת משחק ה-Play-to-Earn החדש Cthulhu World גונבת מידע רגיש ומשתלטת מרחוק על מכשיר הקורבן

הפריצה ל-Twilio: האקרים השיגו גישה לחשבונות אימות דו-שלבי (2FA) של אפליקציית Authy
Agenda: כופרה חדשה הפועלת נגד יעדים באסיה ובאפריקה
חוקרים מ-Check Point גילו נוזקה המבוססת על כורי קריפטו המוסווים כאפליקציות לגיטימיות

השבוע בכופרה

שבועיים לאחר מתקפת הכופרה: ביה״ח CHFS פועל במתכונת חירום ידנית; ממשלת צרפת הקציבה 20 מיליון יורו לחיזוק אבטחת הסייבר של מוסדות בריאות במדינה
קבוצת הכופרה LockBit הודיעה על שיפור אבטחת אתרה בניסיונה להתמודד עם מתקפות DDoS
ה-FBI: עלייה בניצול חולשות המצויות בקוד המשמש בורסות קריפט

המלחמה במזזרח אירופה

ראש מערך הסייבר של בריטניה: פוטין מפסיד במלחמת המידע באוקראינ

סייבר בעולם

נאט"ו חוקרת מכירה של מידע שנגנב מחברה אירופית גדולה לייצור טילים
מונטנגרו: מתקפת סייבר על תשתיות ממשלתיות הובילה להשבתה זמנית של שירותים לאזרחים; שר הביטחון קונייביץ׳ האשים את רוסיה במתקפה
ארה״ב: אתרו הרשמי של מפעל הלוטו של מדינת ניו המפשייר הושבת משך יותר מ-15 שעות עקב מתקפת סייבר
צבא ארה״ב פתח בקמפיין לגיוס ״לוחמי סייבר״ לשורותיו
בריטניה: שחזור קובצי המטופלים שנפגעו במתקפת הסייבר על ה-NHS עלול להימשך יותר משנה
ה-CISA מוסיפה 10 חולשות ל״קטלוג החולשות הידועות המנוצלות״ שלה
LastPass מדווחת ללקוחותיה שחוותה תקרית אבטחת מידע
מידע של יותר מ-2.5 מיליון משתמשים של סטודנטים הזכאים למלגות לימוד נחשף בפריצה ל-Nelnet Servicing
משטרת אוקראינה חשפה רשת של "מוקדים טלפוניים״ ששימשו ל״עקיצה״ של מטבעות קריפטוגרפיים
״נטפליקס הרוסית״ נפרצה: פרטיהם של כ-44 מיליון משתמשים הודלפו לרשת
מיקרוסופט משביתה מערכות Ubuntu בסביבת Azure בשל באג בעדכון גרס

סייבר בישראל

קבוצת תקיפה איראנית חדשה תוקפת מטרות ישראליות תוך ניצול החולשה Log4j
קבוצת ההאקרים העיראקית ALtahrea Team טוענת כי הפילה אתרי אינטרנט של נמלים בישרא

סייבר ופרטיות - רגולציה ותקינה

המשך השתתפותה של ישראל בדיוני האו"ם לקראת גיבוש אמנה בינלאומית חדשה נגד פשע מקוון
ישראל וארה"ב חתמו על מזכר הבנות בנושא הגנת סייבר: קידום שיתוף פעולה להגברת הגנת הסייבר במגזר הפיננסי
הרשות להגנת הפרטיות מפרסמת הנחיות ודגשים להגנת פרטיות המידע האישי, לקראת הבחירות לכנסת ה-25
רגולטור מגזר התקשורת הבריטי OFCOM

כנסים

 

הציטוט השבועי

״האחריות לקיום הוראות חוק הגנת הפרטיות וחוק הבחירות מוטלת בראש וראשונה על המפלגות עצמן. המפלגות הן ׳בעלות המאגר׳ אשר עלולות לשאת באחריות פלילית או אזרחית, גם להפרות שיבוצעו באפליקציה או בידי ספק שירות חיצוני עבור המפלגות או מטעמן.״ 

מתוך מסמך דרישות חוק הגנת הפרטיות לקראת הבחירות לכנסת ה-25.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה לשירות Bitbucket נותן מענה לחולשה קריטית 
החולשה החדשה (CVE-2022-36804, CVSS 9.9) שהתגלתה בשירותים Bitbucket Server ו-Bitbucket Data Center עלולה לאפשר לתוקף בעל הרשאות גישה למאגר פרטי או בעל גישה למאגר ציבורי שאינו דורש הרשאות לבצע מניפולציה באמצעות בקשת HTTP ולגרום להרצת קוד בשרת המארח. על מנת להתחסן מפני החולשה, יש לעדכן את המוצר לגרסאותיו הבאות:
גרסאות (Bitbucket Server and Data Center 7.6 - 7.6.17 (LTS או חדשות יותר
גרסאות (Bitbucket Server and Data Center 7.17 - 7.17.10 (LTS או חדשות יותר
גרסאות (Bitbucket Server and Data Center 7.21 - 7.21.4 (LTS או חדשות יותר
גרסאות Bitbucket Server and Data Center 8.0 - 8.0.3 או חדשות יותר
גרסאות Bitbucket Server and Data Center 8.1 - 8.1.3 או חדשות יותר
גרסאות Bitbucket Server and Data Center 8.2 - 8.2.2 או חדשות יותר
גרסאות Bitbucket Server and Data Center 8.3 - 8.3.1 או חדשות יותר
צוות קונפידס ממליץ לכלל משתמשי המוצר לעדכנו בהקדם לגרסאות האמורות.


עדכוני אבטחה לדפדפן Google Chrome נותנים מענה לחולשות ברמות חומרה שונות, בהן אחת קריטית

העדכונים שפורסמו רלוונטיים למערכות ההפעלה Windows ,Mac ו-Linux ונותנים מענה לחולשה קריטית, ל-8 חולשות ברמת חומרה גבוהה, ל-9 חולשות ברמת חומרה בינונית ול-3 חולשות ברמת חומרה נמוכה. מקורה של החולשה הקריטית (CVE-2022-3038) שנסגרה הוא בשגיאה שנוצרת לאחר שימוש ברכיב שירות הרשת של Google Chrome. החולשה עלולה לאפשר לתוקף מרוחק ליצור דף אינטרנט בעל מבנה מיוחד, להערים על קורבן לבקר בו, להפעיל שגיאה לאחר שימוש ללא תשלום בדף שיצר התוקף ולהפעיל קוד שרירותי במערכת הקורבן.
צוות קונפידס ממליץ לכלל משתמשי הדפדפן לעיין ברשימת העדכונים המלאה ולעדכנו לגרסתו האחרונה בהתאם למערכת ההפעלה שברשותם


באג בדפדפן Google Chrome מאפשר לאתרים לכתוב ל-Clipboard באופן העלול להוביל לגניבת כספים; טרם פורסם עדכון אבטחה

גרסא 104 של הדפדפן Chrome הושקה בטעות עם באג שמסיר את הדרישה לאישור המשתמש לכתיבת מידע אל ה-Clipboard. מפתחיה של Google זיהו זאת, אך נכון לכתיבת שורות אלה טרם שוחרר לתוכנה עדכון רלוונטי, והדפדפן עודנו פגיע. חומרתו של הבאג נעוצה בקלות בה הוא מאפשר לגורמים זדוניים לבצע פעולות כדוגמת זו המתאפיינת בשרשרת הפעולות הבאה: בניית אתר פיקטיבי המציע שירות מסוים, כגון זירת מסחר במטבעות קריפטו, ושינוי כתובתו של ארנק קריפטו הנמצאת ב-Clipboard בעת העתקתה לצורך הפקדת מטבעות לארנק. השינוי המבוצע הוא לכתובת אחרת, שבבעלות התוקף, ורק כאשר הקורבן בוחן את פרטי העסקה, מתחוור לו שכתובת הארנק אליה שלח את המטבעות אינה הכתובת שניתנה לו להפקדת המטבעות. דוגמה זו היא אחת מני רבות לאופן בו ניתן לנצל את הבאג למטרות זדוניות. דוגמה נוספת לכך היא כאשר אתר מציע פתרון לבעיה מסוימת במערכת ההפעלה באמצעות פקודת CLI, אך בפועל מועתקת פקודה שונה שמאפשרת לתוקף גישה אל העמדה. הבאג מהווה איום ממשי למשתמשים, וכל עוד לא יטופל, צפויה בימים הקרובים עלייה במתקפות המנצלות אותו.


עדכון אבטחה ל-WordPress נותן מענה ל-3 חולשות, אחת מהן ברמת חומרה גבוהה 
גרסה 6.0.2 של הפלטפורמה סוגרת חולשה (CVSS 8.0) מסוג SQL Injection, שתי חולשות (4.9, 4.8  CVSS) מסוג Cross -site scripting (או XSS) ו-5 באגים ב-Block Editor. חברת Wordfence, אשר שחררה את עדכון האבטחה, ציינה כי לא סביר שהחולשות ינוצלו, מכיוון שלרוב ניצולן דורש הרשאות גבוהות, כמו אלה שיש לאדמין. ואולם, ליתר ביטחון יצרה החברה חוק ב-Firewall שיגן על לקוחות ה-Premium ,Care ו-Response של Wordfence מפני ניצול החולשות (הגנה זו תהיה זמינה גם למשתמשים החינמיים של הפלטפורמה החל מה-29 בספטמבר). עדכוני האבטחה הוכנסו אוטומטית לכל גרסאות WordPress מ-3.7 ואילך.
צוות קונפידס ממליץ לכל משתמשי הפלטפורמה לעדכנה לגרסתה האחרונה.


חולשה חדשה באפליקציית ה-Android של TikTok עלולה להוביל לגניבת חשבונות

צוות חוקרים ממיקרוסופט חשף את החולשה (CVE-2022-28799, CVSS 8.8), שכבר תוקנה על ידי TikTok, לפני שנצפה ניצולה בפועל. ניצול החולשה היה מאפשר לתוקפים גישה למידע אישי של משתמשים, הפיכת סרטונים פרטיים לציבוריים ואף העלאת סרטונים בשם החשבון המותקף. עוד היו יכולים התוקפים לטעון URL זדוני בתוך דפדפן הרשת המובנה באפליקציה, ובכך לגשת ל-JavaScript Bridges של הדפדפן ולבצע פעולות במערכת. לאפליקציית TikTok שתי גרסאות: האחת עבור מזרח ודרום-מזרח אסיה והשנייה עבור שאר העולם, אשר ביחד רשמו 1.5 מיליארד הורדות. מבדיקתם של חוקרי מיקרוסופט עלה כי שתי הגרסאות היו פגיעות לחולשה, שניצולה מסתמך על מימוש ממשקי JavaScript באפליקציה, שמסופקים על ידי רכיב פנימי של Android בשם WebView. באמצעות שימוש בקריאת ה- addJavascriptInterface" API", הממשק יכול לספק פונקציונליות של Bridge, שמאפשרת לקוד JavaScript מהאתר להפעיל פעולות ספציפיות בתוך האפליקציה (חולשה מסוג זה מכונה JavaScript interface injection).

צוות קונפידס ממליץ למשתמשי TikTok במערכת ההפעלה Android לעדכן את האפליקציה לגרסתה האחרונה ולהימנע מלחיצה על קישורים ממקורות שאינם ידועים. עוד מומלץ לשמור את המכשירים והאפליקציות מעודכנים ולהתקין אפליקציות ממקורות ידועים בלבד. באפליקציות עם ממשק JavaScript מומלץ להטמיע רשימה של דומיינים בטוחים שיוכלו להיפתח בדפדפן המובנה, להשתמש בדפדפן ברירת המחדל של המכשיר לגלישה אל דומיינים שאינם מופיעים ברשימה המאושרת ולעדכן תדיר את רשימת הדומיינים המאושרים.

התקפות ואיומים

פלטפורמת משחק ה-Play-to-Earn החדש Cthulhu World גונבת מידע רגיש ומשתלטת מרחוק על מכשיר הקורבן

בסוג זה של פלטפורמת משחק, ההולך וצובר פופולריות, משתמשים אשר מנצחים במשחקים מקבלים מטבעות דיגיטליים ו/או NFTs, אשר אותם הם יכולים להמיר לכסף. אלא שבד בבד עם הצלחת הפורמט, האקרים החלו לנצל את המשחקים לגניבת מידע רגיש, זהויות וסיסמאות, כאשר ב-25 באוגוסט דווח כי האקרים פיתחו את פרויקט המשחק Cthulhu World, הדומה ל-Alchemic World אך מוריד אל מכשירי הקורבנות 3 נוזקות: Raccoon Stealer ,AsyncRAT ו-RedLine. נוזקות אלה מאפשרות גניבת מידע וסיסמאות ממכשיר הקורבן ואף קבלת שליטה מלאה עליו. לאחר שהתוקפים יוצרים אתר זדוני, משתמשים פיקטיביים ועמוד ומשתמשים בטוויטר ששמם זהה לזה של פלטפורמת המשחק (CthulhuWorldP2E@) מציגים עצמם כאנשי פרסום וכבודקים מטעם הפלטפורמה, ומבקשים ממשתמשים עזרה בבדיקת פרויקט המשחק שבנו, בכך ״שישחקו בו וישאירו פידבק בטוויטר״, בתמורה למטבעות Ethereum ו-NFT. עם קבלת הסכמתו של הקורבן, נשלח אליו קישור עם קוד להורדת המשחק, לכאורה, אשר בפועל מוריד את הנוזקות, שמשתלטות מרחוק על מכשירו, גונבות ממנו מידע רגיש וסיסמאות ומעבירות את כספי הקריפטו שלו לתוקף. עד כה נצפו כ-25 משתמשים המנסים לאתר קורבנות פוטנציאליים במסגרת התרמית.

צוות קונפידס ממליץ לגלות חשדנות בנוגע לפניות של משתמשים המבקשים ״עזרה״ או שיתופי פעולה שונים בפרויקטים בהם מעורבים מטבעות קריפטו, וכן לבדוק בשבע עיניים את הקישורים הנשלחים בפלטפורמות השונות. 


הפריצה ל-Twilio: האקרים השיגו גישה לחשבונות אימות דו-שלבי (2FA) של אפליקציית Authy

מחקירה שביצע ההחברה בעקבות תקיפתה ב-4 באוגוסט (ראו ״הסייבר״, 11.8.22), עולה כי ההאקרים הצליחו להשיג גישה אל 93 משתמשי אפליקציית האימות הדו-שלבי Authy ולרשום בהם מכשירים שבבעלות התוקפים. מספר המשתמשים שאליהם זוהתה גישה בלתי-מורשית מייצג רק שבריר ממספר המשתמשים של Authy, העומד על כ-75 מיליון. טרם התברר אם מטרתם הלבעדית של התוקפים היתה לשים את ידיהם על המשתמשים האמורים, אך בינתיים מסרה Twilio שהסירה את המכשירים הבלתי-מורשים שנרשמו בהם ויצרה קשר עם המשתמשים, על מנת לספק להם הנחיות כיצד לוודא שחשבונם והמידע האישי שלהם מוגנים. עוד העלתה החקירה כי התוקפים ניגשו למידע רגיש של כ-163 משתמשי Twilio לפרק זמן מוגבל. משתמשים אלה קיבלו התראות על גישה בלתי-מורשית. נראה כי המתקפה על Twilio הינה חלק מקמפיין רחב היקף נגד 130 ארגונים, בהם Mailchimp ,Klaviyo ו-Cloudflare.

Agenda: כופרה חדשה הפועלת נגד יעדים באסיה ובאפריקה

הכופרה, שזוהתה על ידי חוקרי חברת Trend Micro, תוקפת בעיקר בתי חולים ומוסדות לימוד, ומכיוון שפותחה באמצעות שפת התכנות Go (או Golang), שפותחה בתורה על ידי Google, הדבר מקשה על חוקרי סייבר לנתחה. הכופרה, שמאפשרת הרצה עצמאית על מערכת הקורבן גם ללא ספריות Go, יוסדה על ידי משתמש ה-Dark web המכונה Qilin, שמבקש מקורבנותיו כופר בסך 50-800 אלף דולר, בהתאם לגודל החברה הנתקפת. עוד נמצא שהנוזקה מותאמת אישית לכל קורבן, וכוללת, בין היתר, פרטים ייחודייים של החברה, מפתחות RSA ותהליכים במחשב הקורבן שיש לנטרל בטרם הצפנת הקבצים. הכופרה רלוונטית למערכת ההפעלה Windows 64-bit ופועלת לאתחול המחשב ולהפעלתו במצב "בטוח״ (Safe mode), בניסיון לעצור את התהליכים הרצים עליו. על פי ממצאיה של Trend Micro, אופן פעילותה של Agenda דומה לזה של הקבוצות Black Basta ו-Black Matter, הפועלות כולן לשינוי סיסמאות ה-Windows ולאתחול המערכת במצב "בטוח״. זאת ועוד, נראה שהתוקף נעזר במשתמש בעל אישורים לגיטימיים לשם כניסה ראשונית - תחילה לשרת ה-Citrix, ולאחר שצלח בכך הוא ממשיך ומתרחב ברשת הפנימית. באמצעות תוכנת RDP, התוקף מתקין בסביבת ה-Active Directory שני כלים לסריקת הרשת הפנימית של הקורבן, Nmap ו-Nping, ולאחר שהוא מוצא את הפורטים הפתוחים ואת כתובות ה-IP הפנימיות ואת ייעודן, הוא פותח קבוצה חדשה (GPO) הכוללת את כל מכשירי הקורבן שמצא בסריקתו, ומתזמן בה את הפצת הנוזקה. עם הפעלת הכופרה, היא מוודאת שהמכשיר פועל במצב ״בטוח״, ואם כן - היא ממשיכה למחיקת ספריית ה-Shadow (המכילה את משתמשי המערכת) ולעצירתן של תוכניות הרצות על מערכת ההפעלה (כגון אנטי-וירוס ואחרות). לאחר מכן הנוזקה יוצרת קובצי הפעלה אוטומטית המשנים את סיסמאות המשתמשים ומאתחלים את המכשירים המושפעים, ופועלת נגד ניטורה, על ידי שינוי סיסמת ברירת המחדל של המשתמשים והחלת אישורי כניסה חדשים.

צוות קונפידס ממליץ לפעול ליישום ה-Best Practice להגנת מערכות בכל פלטפורמה שהיא, לווידוא שהאפליקציות אשר בשימוש הארגון מעודכנות, ולזיהוי פקודות הרצה במערכת המצביעות על פעילות חשודה (כמו התקנה ושימוש בכלים הזדוניים Nmap ו-Nping). עוד מומלץ להחיל אימות רב-שלבי (MFA) עבור כלל משתמשי הארגון ולפעול להסברה ולהעשרה של העובדים בכל הנוגע לפעולות הפישינג הקיימות במרחב הקיברנטי.


חוקרים מ-Check Point גילו נוזקה המבוססת על כורי קריפטו המוסווים כאפליקציות לגיטימיות

בסוף חודש יולי גילו החוקרים את קמפיין כריית מטבעות הקריפטו, שייתכן והדביק אלפי מחשבים ברחבי העולם באמצעות תוכנות חינמיות המוסוות כתוכנות לגיטימיות. התוקף, Nitrokod, מפעיל מ-2019 מפתח תוכנה ממוצא טורקי שמציע גרסאות Desktop לאפליקציות פופולריות שאין להן גרסת Desktop רשמית, למשל Google Translate. לרוב הנוזקות מבית Nitrokod שרשרת הדבקה זהה, הכוללות 7 שלבים, שמתחילים בהורדת הנוזקה, לדוגמה גרסת ה-Desktop הזדונית של Google Translate:

  1. אל המחשב מורד הקובץ GoogleTranslateDesktop.exe, שהינו קובץ התקנה ל-Windows שנבנה באמצעות הכלי החינמי Inno setup לבניית קבצי התקנה. עם הרצתו, מורד מאתר שבשליטת התוקף קובץ RAR מוצפן, שממנו מחולץ למחשב הקובץ GoogleTranslateDesktop2.50.exe באמצעות הסיסמה "asx".

  2. תוכנת התרגום מותקנת, ונבדק אם הקובץ update.exe קיים בנתיב C:\ProgramData\Nitrokod. אם לא, או אם גרסתו אינה 1.0.7.0, הוא מורד אל המחשב. כדי לשמר אחיזה בעמדה, מוגדרת משימה מתוזמנת להפעלת update.exe עם כל הפעלה של המחשב. בסוף ההתקנה, מידע על המערכת הנגועה מועבר לדומיין של Nitrokod בצורת בקשת HTTP GET.

  3. שלב זה מבוצע חמישה ימים, לכל הפחות, מיום ההתקנה, באמצעות שמירה של שני מפתחות רישום: האחד שומר את זמן הפעלת ההתקנה והאחר משמש כמונה. כאשר המונה מגיע ל-4, הקובץ chainlink1.07.exe מחולץ מקובץ RAR מוצפן. מנגנון זה משמש גם כאמצעי לחמיקה מזיהוי על ידי Sandbox, היות והוא דורש לפחות ארבע הפעלות מחדש של המחשב, בימים שונים.

  4. מוגדרות ארבע משימות מתוזמנות, ליום, יומיים, שלושה ימים ו-13 ימים לאחר הגדרתן. לאחר יצירת המשימות מופעלת פקודת PowerShell לניקוי לוגים, כך שנמחקת כל ראיה הנוגעת לשלבים השלישי והרביעי של המתקפה.

  5. הנוזקה בודקת רשימת תהליכים של VM ושל מוצרי אבטחה מוכרים. אם נמצא אחד מהם לפחות, היא נסגרת. מנגד, אם לא נמצא כזה - מבוצעים שינויים ב-Firewall כדי לאפשר חיבור לתוכנה nniawsoykfo.exe, שתרד בהמשך. עוד מבוצעים שינויים ב-Windows Defender, על מנת להחריג פעולות שמבוצעות מהתיקייה Temp ופעולות של nniawsoykfo.exe ו-powermanager.exe. לבסוף, מחולץ הקובץ nniawsoykfo1.8.exe, שמפעיל את השלב הבא.

  6. nniawsoykfo1.8.exe מופעל ומוריד שלושה קבצים: קובץ EXE שאחראי על שליטה בתוכנת הכרייה, הקובץ XMRig.exe, שהינו תוכנת הכרייה, וקובץ sys של XMRig. כדי לשמר אחיזה במערכת, מוגדרת משימה מתוזמנת להפעלת powermanager.exe בכל יום.

  7. הנוזקה powermanager.exe מופעלת ומבצעת אינומרציה לכל מוצרי האבטחה שמותקנים על המחשב הנגוע, כמו גם בדיקה אם מדובר במחשב נייד או נייח. לאחר מכן מבוצע חיבור לשרת ה-C&C של התוקף, אליו נשלח מידע אודות המערכת, שכולל את זמן התקנת הנוזקה, גרסתה ועוד. המידע מועבר בפורמט JSON באמצעות בקשת HTTP POST, ומוצפן בחמישה שלבים. תגובה ה-C&C מתורגמת באותה צורה, אך בכיוון ההפוך, והיא מכילה הוראות לשליטה בנוזקה ובתוכנת הכרייה, שכוללות מידע כמו סט כללים להפעלת התוכנה ופקודות שמועברות אליה, רשימה של תוכנות שבמידה ויימצאו הנוזקה תיסגר ועוד.

צוות קונפידס ממליץ להימנע מהורדת תוכנות שלא פורסמו על ידי היצרן הרשמי. כמו כן, מומלץ לחסום את הדומיינים ומזהי התקיפה (IOCs) המופיעים כאן.

השבוע בכופרה

שבועיים לאחר מתקפת הכופרה: ביה״ח CHFS פועל במתכונת חירום ידנית; ממשלת צרפת הקציבה 20 מיליון יורו לחיזוק אבטחת הסייבר של מוסדות בריאות במדינה

בית החולים שבקורביי-אסון, מדרום לפריז, אשר נתקף ב-21 באוגוסט (ראו ״הסייבר״, 25.08.2022), טרם התאושש מהאירוע ועודנו עובד ללא מערכות מחשוב. ב-26 באוגוסט פרסם המוסד מסמך עדכון אודות מתקפת הסייבר שחווה (ראו להלן תמונה מתוך חשבון הטוויטר של מנהל בית החולים, ז׳יל קאלם), שאלה עיקריו: הפגים הועברו לבתי חולים אחרים בסביבה; חולים ממחלקות הקרדיולוגיה והשיקום הקרדיולוגי הועברו לטיפול נמרץ קרדיולוגי; חולים אחרים הזקוקים לטיפול נמרץ הועברו לבתי חולים אחרים; פעילות מחלקת היולדות נמשכת; טיפולים שנקבעו ל-1 בספטמבר מתקיימים; המחלקה לרפואה דחופה ממשיכה לפעול; מבדיקות שנערכו עלה שהציוד הרפואי לא נפגע; המעבדות מבצעות רק בדיקות חירום, ואחרות מועברות למכונים במיקור חוץ; בדיקות דימות ממשיכות להתקיים, אך תוצאותיהן נכתבות על דף ונצרבות בדיסק (צורבים יסופקו לכל המחלקות הרלוונטיות); בית המרקחת פועל בתפוקה נמוכה יותר ונקט בצעדים מהירים המבטיחים את רציפות אספקת השירותים, התרופות והמכשור הרפואי; בוצע רכש של ציוד חדש לטובת שיקום בית החולים, בדגש על צורבי דיסקים; בנק הדם פעיל, לרבות הקשר עם בנק הדם הצרפתי; מתקבלת תמיכה מבית החולים בפריז בכל הנוגע למידע רפואי; 2 חברות IR מטפלות באירוע 7 ימים בשבוע; בשל מורכבותן של מערכות בית החולים, השיקום צפוי להיות ארוך; החלה בנייה מחדש מאובטחת של ארכיטקטורת ה-IT של המוסד, על פי סדרי העדיפויות הבאים: שחזור יישומים המשמשים את הצוות הרפואי ולאחר מכן שחזור מערכות משאבי האנוש.

בתוך כך, ממשלת צרפת הקציבה 20 מיליון יורו לחיזוק אבטחת הסייבר של מוסדות בריאות במדינה, וב-26 באוגוסט ביקרו בבית החולים שר הבריאות פרנסואה ברון ושר התקשורת ז'אן-נואל בארו, על מנת להתעדכן במצבו ולצפות במתרחש בו. תשתית ה-IT הרעועה של ארגוני בריאות הופכת אותם לפגיעים במיוחד למתקפות, שמספרן ועוצמתן זינקו מאז תחילת משבר הקורונה. לדברי בארו, ״בשבועות הבאים, ואפילו בחודשים הבאים, לא צפויה חזרה לשגרה בבית החולים קורביי-אסון".

את חקירת האירוע מובילה הז'נדרמריה הלאומית של צרפת, שכן תגובה למתקפות כופרה מחולקת בין רשויות אכיפת החוק המדינה באופן הבא: המשטרה הלאומית מטפלת, לרוב בהתקפות של הכנופיות Hive ו-Vice Society, בעוד שהז'נדרמריה מטפלת במתקפות מצד LockBit ו-Ragnar Locker. מקורות במשטרה הצרפתית מפנים אצבע מאשימה כלפי קבוצת הכופרה LockBit, שלטענתם עומדת מאחורי המתקפה ההרסנית, דבר שאותו מאשרים גם חוקרים אחרים, שלטענתם המתקפה התרחשה באמצעות LockBit 3.0. לפי LeMagIT, קיים חשד שהתוקפים הצליחו לגשת לחשבון משתמש בעל גישה למערכת הדיגיטלית Corilus, אשר שימשה כווקטור הפריצה הראשוני. מערכת Corilus הינה מערכת מרכזית לפעילות בית החולים, המשמשת כתיק רפואי (לרבות היסטוריית המטופל, אבחנות חדשות, תרופות ועוד), כפורטל עבור מטופלים, ולפעולות כמו קבלת תוצאות בדיקות, זימון תורים, מילוי טופסי ייעוץ, אחסון מרשמי תרופות והעברתם הישירה לבתי מרקחת וקביעת וקיום פגישות דיגיטליות עם מטופלים. זאת ועוד, לדברי הרשת הצרפתית RMC, התוקפים ביקשו מבית החולים כופר בסך 10 מיליון דולר, וב-La Parisian דווח שבסוף השבוע שעבר מומחי הז'נדרמריה יצרו קשר עם קבוצת התוקפים וניהלו עמם משא ומתן שבמהלכו הצליחו להוריד את גובה הכופר המבוקש למיליון דולר. התקשורת בין הצדדים התנהלה באמצעות תכתובת מייל במערכת ההודעות המוצפנת ProtonMail.

 

 

 

 

 

 

 

 

(מקור: GillesCalmes@ ,26.09.2022)


קבוצת הכופרה LockBit הודיעה על שיפור אבטחת אתרה בניסיונה להתמודד עם מתקפות DDoS

הודעת הקבוצה מגיעה לאחר שחוותה לאחרונה מתקפת מניעת שירות (DDoS), אשר בוצעה, לכאורה, על ידי ענקית האבטחה Entrust (ראו ״הסייבר״, 25.8.22). במהלך המתקפה נמנעה גישה למידע של Entrust שפורסם באתר הקבוצה, לאחר שנגנב מהחברה במהלך מתקפת סייבר שאירעה ב-18 ביוני. Entrust אימתה את דבר התקיפה אך סירבה לשלם כופר, מה שהוביל את LockBit להכריז כי תפרסם את המידע באתרה ב-19 באוגוסט. ואולם, תוכניתה של קבוצת התקיפה השתבשה בעקבות מתקפת ה-DDoS שחוותה.

מוקדם יותר השבוע הודיעה קבוצת הכופרה באמצעות LockBitSupp, הפרופיל הציבורי שלה, ששבה לשגרה עם תשתית גדולה יותר, אשר תאפשר גישה למידע שהודלף ללא הפרעות, וכי כעת הטמיעה באתרה הגנות, הכוללות שימוש בקישורים ייחודיים במכתב הכופרה שמקבלים קורבנות והעלאת כמות שכפולי השרתים. עוד טוענת הקבוצה שאת פרק הזמן בו נעצרו ההדלפות בשל מתקפת ה-DDoS היא ניצלה לחקירת טקטיקת תקיפה חדשה של ״סחיטה משולשת״, להפעלת לחץ רב יותר על הקורבנות לשלם כופר. אי לכך, מ-LockBitSupp נמסר כי הקבוצה מחפשת אחר מבצעי תקיפות DDoS, המכונים DDoSers, וכי מעתה ייכללו במתקפותיה הן הצפנה, הן הדלפת מידע והן מתקפות מניעת שירות, כטקטיקת סחיטה במסגרת פעולותיה.

עוד הכריזה הקבוצה כי תדליף את כל המידע של חברת Entrust, שנפחו עומד על כ-300GB, על מנת ש״כל העולם ידע את סודותיהם״, וכי תשתף את המידע באופן אישי עם כל מי שיפנה אליה לפני שתפרסם אותו בפומבי ב-Torrent. בינתיים, LockBit כבר שיתפה את המידע של Entrust ב-Clearnet, ונראה שעמדה בהבטחתה כשפרסמה בסוף השבוע ב-Torrent קובץ בשם "entrust.com", המכיל 343GB של קבצים מודלפים. 


ה-FBI: עלייה בניצול חולשות המצויות בקוד המשמש בורסות קריפטו

באזהרת לשכת החקירות הפדרלית של ארצות הברית (FBI) מתוארת עלייה בניצול חולשות המצויות בקוד שמשמש בורסות קריפטו כחוזה בין הרוכש למוכר, כאשר מורכבות הקוד והעובדה שהוא פתוח לקהל הרחב (Open-source) מאפשרת לפושעי סייבר לבצע מניפולציות בפלטפורמות הדיגיטליות של הבורסות, לגנוב מטבעות קריפטו ולגרום, בסופו של דבר, להפסדים כספיים של משקיעים. לדברי ה-FBI, ״בין ינואר למרץ 2022, פושעי סייבר גנבו 1.3 מיליארד דולר במטבעות קריפטוגרפיים, כמעט 97% מהם מבורסות קריפטו״. עוד מסביר הארגון כי ההשקעה בבורסות הללו כרוכה בסיכון, וכי בביצוען יש לנקוט באמצעי זהירות, בהם לבדוק את הקוד המשמש את הבורסה, לבדוק את חוזיה ואת הפרוטוקולים הרלוונטיים, לנטר באופן פעיל ארנקים דיגיטליים, לגבש מראש תוכנית פעולה למקרה של אירוע אבטחתי ולעקוב אחר מודיעין איומים בנוגע לחולשות בפלטפורמות.

צוות קונפידס ממליץ לכל המשקיעים בבורסות קריפטו ליישם את ההמלצות המופיעות באזהרה ולהתייעץ עם מומחי השקעות בשווקי המסחר הדיגיטלי לפני ביצוען.

המלחמה במזרח אירופה

 

ראש מערך הסייבר של בריטניה: פוטין מפסיד במלחמת המידע באוקראינה

במאמר שהתפרסם השבוע בשבועון The Economist, ראש מערך הסייבר הבריטי (GHCQ) סיר ג'רמי פלמינג מבקר את השימוש של צבא רוסיה בפעולות במרחב הסייבר לקידום מטרותיו הצבאיות. לדברי פלמינג, "השימוש [של רוסיה] בכלי סייבר פוגעניים היה חסר אחריות וחסר אבחנה. פעולותיה בנוגע למידע הוכיחו את עצמן כמגושמות, ואותגרו על ידי שחרור מידע מודיעיני. ניסיונות הצבא הרוסי להרוס את התשתית הדיגיטלית של אוקראינה ולזרוע מחלוקת באמצעות יכולות סייבר נתקלו בהגנת סייבר אוקראינית תקיפה, מקצועית ויעילה". עוד מציין פלמינג מספר תמורות שחוללה המלחמה ההיברידית, הכוללת מרכיבי סייבר לצד מרכיבים פיזיים, בהן הגברת שיתוף הפעולה בין מדינות וחברות פרטיות, מאמץ מחודש להגדרת נורמות החלות על התנהגות של מדינות במרחב הסייבר בזמן מלחמה והדגשת חשיבותה של הגנת הסייבר ברמה הכלל-מדינתית, כפי שעלה מהמקרה של אוקראינה.

סייבר בעולם

 
 

נאט"ו חוקרת מכירה של מידע שנגנב מחברה אירופית גדולה לייצור טילים

החקירה נפתחה לאחר שהאקרים העמידו למכירה בעבור 15 ביטקוין (כ-273,000 ליש"ט) נתונים רגישים בנפח 80GB הקשורים ל-MBDA Missile Systems, שבסיבה בצרפת. בין הנתונים מצויים שרטוטים של כלי נשק המשמשים את בעלות הברית החברות בנאט"ו במסגרת הלחימה באוקראינה, וכן מצגות, סרטי וידאו, חוזים ונתונים אישיים אודות עובדים שלקחו חלק בפרויקטים של החברה. בתוך כך, הארגון הודה שנתונים השייכים לו כלולים במאגר המוצע למכירה, אך לטענתו אף אחד מהקבצים המסווגים שנגנבו על ידי ההאקרים אינו שייך לו. עוד נמסר כי מקורו של המידע השייך לארגון הוא בפריצה לכונן קשיח חיצוני שנפגע. לדברי MBDA Missile Systems, היא משתפת פעולה עם הרשויות באיטליה, שם התרחשה הפריצה.


מונטנגרו: מתקפת סייבר על תשתיות ממשלתיות הובילה להשבתה זמנית של שירותים לאזרחים; שר הביטחון קונייביץ׳ האשים את רוסיה במתקפה

המתקפה, שבוצעה ב-25 באוגוסט בערב, אילצה את הרשויות להשבית באופן זמני שירותים וחשבונות של אזרחים וחברות, כל זאת כאמצעי זהירות. במקביל, חברת החשמל EPCG שבבעלות המדינה עברה לפעילות ידנית, מחשש שתהווה אף היא מטרה לתקיפה. בכנס של המועצה לביטחון לאומי של מונטנגרו אמר ראש הממשלה היוצא דריטן אבזוביץ׳ כי המתקפה נבעה ממניעים פוליטיים, בעקבות נפילת ממשלתו בשבוע שעבר, ואילו שר הביטחון רסקו קונייביץ׳ האשים את רוסיה במתקפה. מתקפות על תשתיות ממשלתיות כבר התרחשו במדינה על רקע פוליטי ביום הבחירות ב-2016, ובמהלך 2017 על רקע תהליך ההצטרפות של המדינה לנאט״ו. בהתרעת אבטחה שפרסמה שגרירות ארצות הברית בפודגוריצה, בירת מונטנגרו, נכתב כי "המתקפה עשויה לכלול שיבושים בשירות הציבורי, בתחבורה (כולל מעברי גבול ונמל התעופה) ובמגזרי התקשורת״. השגרירות המליצה לאזרחים אמריקאים השוהים במדינה להמעיט בנסיעות ולהחזיק מסמכים פיזיים, למקרה שהמתקפה תסלים. שר החוץ של מונטנגרו רנקו קריבוקפיץ׳ צייץ בחשבון הטוויטר שלו כי ״אנו אסירי תודה לצרפת, בעלת בריתנו בנאט"ו, אשר בטווח קצר הציעה לסייע בהגנה על מונטנגרו מפני התקפות הסייבר ובשימור מערכות החיוניות לשגרת חייהם של אזרחינו.״


ארה״ב: אתרו הרשמי של מפעל הלוטו של מדינת ניו המפשייר הושבת משך יותר מ-15 שעות עקב מתקפת סייבר

על פי דובר ה-New Hampshire Lottery, המתקפה שחווה באתר ב-26 באוגוסט והובילה להשבתתו משך יותר ממחצית היממה לא פגעה במכירות בחנויות. נכון לכתיבת שורות אלה, האתר שב לפעילות כסדרו. הדבר תואם את אחת מהודעות החברה, לפיה על מבקרי האתר להימנע מלחיצה על חלונות קופצים בעת הגלישה בו. 
צוות קונפידס ממליץ לגלות ערנות בעת גלישה באתרים ולא להתפתות ללחוץ על קישורים שאינם מזוהים או אינם צפויים. ניתן למנוע הידבקות בנוזקות על ידי שימוש בתוכנות אנטי-וירוס או EDR. לפרטים חייגו 8272*.


צבא ארה״ב פתח בקמפיין לגיוס ״לוחמי סייבר״ לשורותיו  
ב-27 באוגוסט פורסם בעמוד הסייבר הרשמי של צבא ארצות הברית כרוז הקורא לאזרחי המדינה העוסקים בתחום סייבר, וגם לכאלה שאינם, להתגייס לשורות הארגון על מנת לקחת חלק משמעותי בפעילות הסייבר האמריקאית ההולכת ומתעצמת, הן בתפקידי הגנה והן בתפקידי התקפה. התוכנית שמציע הצבא מאפשרת הרשמה לתפקידים שונים, כאשר למי שיתקבל אליה יוענק שכר מלא כבר בתחילת ההכשרה, לצד בונוסים ענקיים של עד עשרות אלף דולרים למתחייבים למשרה מלאה למשך 3-5 שנים.


בריטניה: שחזור קובצי המטופלים שנפגעו במתקפת הסייבר על ה-NHS עלול להימשך יותר משנה

מתקפת הסייבר שהתרחשה בחודש אוגוסט נגד חברת Advanced (ראו ״הסייבר״, 11.8.22), ספקית התוכנה Adastra למוקדי שיחות החירום 111, המאפשרת הזמנת אמבולנסים, מילוי מרשמי חירום ותזמון פגישות דחופות, גרמה לשיבושים רבים בשירות הבריאות הלאומי הבריטי (NHS) (ראו ״הסייבר״, 18.8.22), לאחר שפגעה, בין היתר, במערכת Carenotes, המשמשת לתיעוד רישומים של חולים. ב-17 באוגוסט נאמר לצוות בית החולים Birmingham Hospital שמרגע ש-Carenotes תחזור לפעולה ייקח עד חמישה שבועות להחזיר את המערכת לתפקוד - שבועיים לכל יום השבתה, ולהעלות בשנית את קובצי המטופלים, בעוד שהשבת המערכות לתפקוד מלא עלולה להימשך יותר משנה. מקורות הנחשבים מהימנים דיווחו לעיתון ה-Independent כי חלק מבתי החולים שנפגעו מוצאים דרכים לעקוף את הבעיה ומעלים דוחות חדשים של מטופלים למערכות נפרדות. עוד נאמר ל-Independent כי צוותי בתי החולים חוששים לבטיחות המטופלים, מפני שלא ניתן לגשת לרשומותיהם, כאשר בעקבות המתקפה כבר אירעו מקרים בהם חולים לא קיבלו את המינון התרופתי הנכון בשל חוסר היכולת לגשת אל הרשומות הרלוונטיות. דובר מטעם ה-NHS מסר כי "השימוש ברשומות אלקטרוניות הינו היבט קטן אך חשוב באבחון וטיפול בחולים. Advanced פועלת לפתרון הבעיות בתוכנה שלה, ובכל מערכות הבריאות המקומיות נכנסו לפעולה תוכניות מגירה איתנות״.


CISA מוסיפה 10 חולשות ל״קטלוג החולשות הידועות המנוצלות״ שלה

הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה את החולשות לקטלוג שהיא מתחזקת בהתבסס על עדויות לניצולן האקטיבי על ידי תוקפים. החולשות מצויות במוצרים של PEAR ,Apple ,Grafana Labs ,WebRTC ,VMware Tanzu ,Apache ו-dotCMS ועלולות לאפשר לתוקף לעקוף אימות, להריץ קוד מרחוק, להעלות קבצים ללא הגבלה ולעקוף Sandboxes. אחת החולשות (CVE-2021-38406, CVSS 7.8), הרלוונטית למוצר DOPSoft 2 של Delta Electronic ורמת חומרתה גבוהה, היא מסוג Out-of-bounds write ועלולה לאפשר לתוקף להריץ קוד מרחוק. חולשה זו נחשפה בספטמבר 2021 ואין לה תיקון, אך לדברי ה-CISA מדובר במוצר End-of-life שיש להפסיק את השימוש בו. אף על פי שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפתו לתקיפות סייבר.

צוות קונפידס ממליץ למשתמשי המוצרים של החברות האמורות לעדכנם לגרסאותיהם האחרונות. 


LastPass מדווחת ללקוחותיה שחוותה תקרית אבטחת מידע

בהודעה שנשלחה ללקוחות מטעם מערכת ניהול הסיסמאות הפופולרית נאמר כי לפני כשבועיים זוהתה פעילות חריגה בסביבת הפיתוח של החברה, וכי לאחר חקירת הנושא לעומקו נמצא שגורם שאינו מורשה השיג גישה לחלקים בסביבת הפיתוח באמצעות פריצה לחשבונו של אחד ממפתחי החברה, ובכך שם את ידו על מקטעים מקוד המקור שלה. בתגובה לאירוע, החברה נקטה בפעולות מיטיגציה מיידיות ויצרה קשר עם חברת סייבר ופורנזיקה לצורך חקירתו. נכון לכתיבת שורות אלה, החברה טוענת כי בלמה את התקרית ושיפרה את אמצעי האבטחה שלה, וכי אין בידיה ראיות לפעילות בלתי מורשית נוספת בסביבת הפיתוח שלה. עוד הדגישה LastPass שאין ראיות לכך שהתקרית כללה גישה לנתוני לקוחות או לכספות של סיסמאות מוצפנות, ושלא נשקפת סכנה לסיסמאות המאסטר של המשתמשים, שכן היא משתמשת בארכיטקטורת Zero-knowledge הסטנדרטית בתעשייה, אשר מבטיחה שלעולם לא תתאפשר גישה לסיסמת האב של לקוחותיה. עוד מסרה החברה שעם התקדמות החקירה תמשיך לפרסם מידע אודות האירוע.

צוות קונפידס ממליץ למשתמשי המוצר להפעיל אימות רב-שלבי (MFA) על חשבונותיהם על מנת להוסיף להם שכבת הגנה, ולהפעיל התראות אודות שינויים המתבצעים בחשבונות, להגברת המעקב והשקיפות בנוגע לנעשה בהם.


מידע של יותר מ-2.5 מיליון משתמשים של סטודנטים הזכאים למלגות לימוד נחשף בפריצה ל-Nelnet Servicing

אחד מהשירותים המוצעים על ידי Nelnet Servicing הוא פורטל אינטרנטי בו משתמשות החברות Edfinancial ו-OSLA, כדי לאפשר לסטודנטים בעלי מלגת לימוד לנהל את פרטיה באופן מקוון. בחודש יוני עלה בידיהם של האקרים להשיג גישה אל מערכות Nelnet Servicing, ככל הנראה על ידי ניצול חולשה, ולהישאר בהן עד ל-22 ביולי. הפריצה השפיעה על כ-2,501,324 משתמשים, כך להערכתה Nelnet Servicing,  שעם זיהוי התקרית חסמה את גישת התוקפים אל מערכותיה והודיעה עליה ל-OSLA ו-Edinancial, שבתורן הודיעו על כך ללקוחותיהן. מחקירה משנית שהושלמה ב-17 באוגוסט עלה שחרף טענתה של Nelnet Servicing כי חסמה את המתקפה ברגע שזוהתה, מידע רגיש של משתמשים נחשף בכל זאת, לרבות שמות מלאים, כתובות פיזיות, כתובות מייל, מספרי טלפון ומספרי ביטוח לאומי (SSN). עם זאת, Nelnet Servicing מבהירה כי לא נחשפו פרטי חשבונות פיננסיים או אמצעי תשלום אחרים. בתוך כך, Edfinancial ציינה כי התקרית השפיעה רק על חלק ממשתמשיה, שכן לא כולם מאוחסנים בשירותי Nelnet Servicing. הגישה הבלתי מורשית למידע הרגיש שנחשף עלולה להוביל למתקפות פישינג רבות, לנסיונות הונאה והתחזויות ולפעולות של הנדסה חברתית, בין היתר למטרת רווח אישי. לאור חומרת המקרה, משרד עורכי הדין Markovits, Stock & DeMarco פתח ב-28 באוגוסט בחקירה לבחינת האפשרות להגשת תביעה ייצוגית. החברות Edfinancial ו-OSLA מציעות למי שמידע אישי שלו נחשף בפריצה גישה חינם למשך שנתיים לשירות הגנה מפני גניבת זהויות דרך חברת Experian, והן שלחו ללקוחותיהן מכתבים שכוללים הוראות לביצוע התהליך.


משטרת אוקראינה חשפה רשת של "מוקדים טלפוניים״ ששימשו ל״עקיצה״ של מטבעות קריפטוגרפיים

רשת המוקדים שהופלה פעלה במסווה של מרכז סיוע אשר לעתים אף התיימר לעזור לקורבנות עוקץ להשיב מטבעות אבודים בתמורה לעמלה, והיוותה תשתית לביצוע מעשי נוכלות נגד אזרחים אוקראינים ואירופים במגזרי הקריפטו, הזהב והנפט. במהלך מבצע בין-יבשתי שניהלה משטרת אוקראינה, נתפסה קבוצה שהשתמשה בתוכנה מתקדמת ובציוד טכנולוגי מורכב שאפשרו התחזות למספרי טלפון של בנקים לאומיים. לדברי המשטרה, באמצעות התחזות לעובדי בנקים ולסוחרי קריפטו, חברי הקבוצה חילצו מידע מסווג אודות כרטיסי אשראי בנקאיים של אזרחים. הנוכלים הקימו מבעוד מועד אתרים ופלטפורמות למסחר במטבעות זרים, במטבעות קריפטו, בזהב ובנפט, על מנת להבטיח קבלה של רווח מהיר, והשתמשו במידע אישי של קורבנות של גניבות קודמות במגזר הקריפטו על מנת לזכות באמון הקורבנות ולהוליך אותם שולל, עד לביצוע העברות כספים לחשבונות שבשליטת התוקפים. רשויות החוק האוקראיניות אימתו את הדברים לאחר שביצעו חיפושים בצו בית משפט במספר מקומות בהם על פי החשד התקיימה פעילותו של אותו ״מוקד טלפוני״. במהלך המבצע הוחרמו ציוד טכנולוגי ורשומות מידע של קורבנות, ונעצרו חשודים אשר נחקרים כעת על חלקם בפשע מאורגן, במרמה ובשימוש והפצה של נוזקות. החשודים צפויים לעמוד למשפט בגין סעיפים שבצדם עונש של עד 12 שנות מאסר. 


״נטפליקס הרוסית״ נפרצה: פרטיהם של כ-44 מיליון משתמשים הודלפו לרשת

חברת הסטרימינג הרוסית Start אישרה השבוע את דבר הפריצה, כאשר בהודעתה הרשמית בטלגרם נכתב כי תוכן המידע שהודלף לא יהיה לתוקפם לעזר רב, היות והוא רלוונטי ל-2021 ו״אין בו פרטי סיסמאות חשופות או מידע פיננסי אחר, כמו כרטיסי אשראי״. ואולם, מקורות אחרים בתקשורת הרוסית טוענים שחשיבות המידע שהודלף גדולה בהרבה מכפי שתוארה בהודעתה של Start, וכי המידע מכיל סיסמאות מגובבות ב-MD5, כתובות IP, תאריכי הרשמה לשירות ותאריכי התחברות אחרונים. נראה כי בהודעתה ניסתה Start ״לכבות שריפות״, באמצעות טענות כמו זו לפיה לא דלפו לרשת סיסמאות חשופות, כאשר בפועל סיסמה ממוצעת ב-MD5 ניתנת לפיענוח תוך מחצית השעה. מידע זה, בשילוב עם כתובות IP, כתובות מייל ומידע שדלף בפריצות אחרות, יכול לסייע לתוקף באופן משמעותי למעקב אחר קורבנות ותקיפתם.

מיקרוסופט משביתה מערכות Ubuntu בסביבת Azure בשל באג בעדכון גרסה

בציוץ שפרסמה השבוע החברה בחשבון הטוויטר שלה דווח כי זיהתה תקלה במערכות Linux מסוג Ubuntu, בתרגום כתובות (DNS) לאחר שדרוג גרסה ל-237-3ubuntu 10.54. לדברי החברה, התקלה, שהחלה ב-30 באוגוסט ב-9 בבוקר (שעון ישראל), השפיעה על כל סביבות הענן שלה בכל המדינות בהן היא מספקת את השירות, והיא קיימת במגוון שירותים, בהם Azure Kubernets ,Azure Sentinel ,Container Apps ועוד. מיקרוסופט פרסמה דף עדכון מערכות המתעדכן בזמן אמת בנוגע למצב השירות במדינות השונות. נכון לכתיבת שורות אלה, לא נראה שהתקלה קיימת באזור גיאוגרפי כלשהו.

סייבר בישראל

 

קבוצת תקיפה איראנית חדשה תוקפת מטרות ישראליות תוך ניצול החולשה Log4j

הקבוצה, שקיבלה את הכינוי MERCURY, התגלתה על ידי מרכז מודיעין האיומים של מיקרוסופט (MSTIC) וצוות המחקר של Microsoft 365 Defender, אשר מעריכים כי היא מקושרת למשרד המודיעין והביטחון האיראני. לדברי החוקרים, MERCURY מנצלת את חולשת Log4j (ראו ״הסייבר״, 16.12.21) לביצוע מתקפות הזרקת קוד מרחוק לשרתי SysAid ולאפליקציות VMware, כאשר לאחר החדירה לארגון היא מחליפה את אישורי הכניסה ונותרת ברשתותיו באמצעות שימוש בכלי פריצה ידועים ומותאמים אישית. לדברי חוקרי מיקרוסופט, החדירה דרך ניצול חולשות בשרתי SysAid החלה ב-23 ביולי, כאשר  ב-28 ביולי מערך הסייבר הלאומי הוציא התרעה בנושא ניסיונות תקיפה של שרתים אלה ( ראו ״הסייבר״, 4.8.22).

 בין הטכניקות והכלים של הקבוצה, כפי שנחשפו על ידי החוקרים:

  1. קמפיין פישינג שתחילתו בתיבות מייל שנפרצו ובשיחות מייל קודמות עם הקורבנות.

  2. שימוש בשירותי שיתוף קבצים מסחריים בענן. 

  3. שימוש באפליקציות לגישה מרחוק לצורך השגת הרשאות המאפשרות העברת קבצים בקלות, בעיקר סקריפטים של PowerShell, אל סביבת הקורבן.

  4. נטייה להשתמש בכלי פרוקסי של Venom, בתוכנת Lingo Reverse Tunneling ובסקריפטים של PowerShell ״תוצרת בית״.

  5. פנייה למגוון ארגונים במזרח התיכון, בעיקר לכאלה העומדים בקשרים עסקיים עם הקורבנות.

ברשומת בלוג שפרסמו החוקרים מופיע ניתוח מפורט של פעילותה של MERCURY, לרבות כלים המשמשים בהתקפות ממוקדות, שהכרתם עשויה לסייע בזיהוי הפעילות הזדונית. בתוך כך, מיקרוסופט פנתה ישירות ללקוחות שנפגעו, ומזהי התקיפה של MERCURY כבר הוטמעו ב-Microsoft Defender Antivirus וב-Microsoft Defender for Endpoint. על מנת להתגונן מפני פעולות הקבוצה, מיקרוסופט ממליצה להזין את מזהי התקיפה (IOCs) במערכות הניטור של ארגונים, לחסום את כתובות ה-IP של גורם האיום, להשתמש באימות דו-שלבי (2FA), לבדוק את חשבונות ה-Active Directory המורשים להתחבר מרחוק (בעיקר כאלה ללא MFA), לעיין במדריך ההתגוננות מפני חולשת Log4j ולבדוק אם SysAid נמצא בשימוש בארגון. במידה וכן, יש להטמיע את עדכון האבטחה הרלוונטי של המוצר. 

קבוצת ההאקרים העיראקית ALtahrea Team טוענת כי הפילה אתרי אינטרנט של נמלים בישראל

הקבוצה פרסמה בערוץ הטלגרם שלה כי ביצעה מתקפת מניעת שירות (DDoS) נגד אתרי האינטרנט של נמלי יפו, חיפה, אילת ועכו. נכון לשעה זו, כל האתרים פעילים ולא ידוע על פגיעה בנתונים רגישים של משתמשים.

 

 

 

(מקור: ALtahrea, 31.8.22)

סייבר ופרטיות - רגולציה ותקינה

 

המשך השתתפותה של ישראל בדיוני האו"ם לקראת גיבוש אמנה בינלאומית חדשה נגד פשע מקוון

השבוע נפתח הסבב השלישי של דיוני הוועדה המיוחדת שהוקמה על ידי העצרת הכללית של האו"ם במטרה לגבש אמנה בינלאומית חדשה להתמודדות עם פשע מקוון (ראו ״הסייבר״, 17.3.22). סדרת הדיונים של הוועדה יצאה אל הדרך בחודש מרץ 2022, והיא מתוכננת להימשך מספר שנים בהשתתפותן של עשרות מדינות, בהן ישראל, כמו גם ארגונים בינלאומיים וקבוצות עניין. בסבב הנוכחי יידונו העקרונות הכלליים המוסכמים שיהוו בסיס לאמנה העתידית, שיתוף פעולה בינלאומי להעמדה לדין של חשודים בפשע מקוון, אמצעים למניעת פשע מקוון ודרכי יישום של הוראות האמנה העתידית, כאשר להנחיית המדינות בגיבוש עמדותיהן בכל אחד מהנושאים הללו הוכן מסמך מפורט. את נייר העמדה הראשון שפרסמה ישראל בנוגע לחלק מהנושאים מהנושאים ניתן למצוא כאן. האמנה המתגבשת אינה הראשונה בתחומה, וקדמה לה האמנה נגד פשע מקוון שנחתם בבודפשט ב-2001, אליה הצטרפה ישראל ב-2016. 


ישראל וארה"ב חתמו על מזכר הבנות בנושא הגנת סייבר: קידום שיתוף פעולה להגברת הגנת הסייבר במגזר הפיננסי

ב-25 באוגוסט הודיעו משרדי האוצר של ישראל ושל ארצות הברית על השלמת מזכר ההבנות הדו-צדדי, המתבסס על דיונים שהחלו בנובמבר 2021, בעת ביקורו בישראל של סגן שר האוצר האמריקאי וולי אדיימו. הביקור אתשקד הסתיים בהקמת צוות משימה משותף לשתי המדינות שמטרתו טיפול בנושאי הגנת סייבר, ובמיוחד במתקפות כופרה (ראו ״הסייבר״, 25.11.21). המזכר שנחתם כעת מתמקד בהגנה על תשתיות קריטיות לאומיות וגלובליות במגזר הפיננסי ומעמיק את שיתוף הפעולה בנושא באמצעות פיתוח מתודולוגיות עבודה שיכללו תרגילי סייבר פיננסיים משותפים. לדברי שר האוצר אביגדור ליברמן, "אנו מעמיקים היום את השותפות ארוכת השנים בין ישראל וארה"ב ופורסים כיפת ברזל למערכת הפיננסית להגנה מפני איומי סייבר. יחד, נערך לשמירת על רציפות אספקת שירותים פיננסים חיוניים עבור אזרחי ישראל ולשמירה על פעילות תקינה של המערכת הפיננסית כולה״.


הרשות להגנת הפרטיות מפרסמת הנחיות ודגשים להגנת פרטיות המידע האישי, לקראת הבחירות לכנסת ה-25 

הרשות להגנת הפרטיות הודיעה כי פרסמה שלושה מסמכים הכוללים הנחיות מפורטות בנושא הגנת מידע אישי במסגרת הבחירות לכנסת ה-25, שיתקיימו ב-1 בנובמבר. המסמכים מיועדים לשלושה קהלים: מפלגות המתמודדות בבחירות, גורמים שמספקים שירותים טכנולוגיים למפלגות ועובדים ומתנדבים בתקופת הבחירות. במסמכים מופיעות דרישות הדין בנוגע לשמירת פרטיות המידע הכלול בפנקס הבוחרים ומידע אישי אחר בתקופת הבחירות, בכל אחד מההקשרים האמורים. לדברי הרשות, "לקראת הבחירות לכנסת ה-25, [היא] מבקשת להזכיר למפלגות ולציבור הרחב את המגבלות החלות על שימוש במידע מפנקס הבוחרים ובסוגים אחרים של מידע אישי [שנאסף], בהתאם להוראות חוק הבחירות לכנסת [נוסח משולב], התשכ"ט-1969 […] וחוק הגנת הפרטיות, התשמ"א-1981". בהנחיותיה למפלגות, הרשות מדגישה כי האחריות על קיום הוראות חוק הגנת הפרטיות וחוק הבחירות מוטלת בראש ובראשונה עליהן, וכי לאור הרגישות הגבוהה של המידע שנמצא בידיהן והנזק שעלול להיגרם מדליפתו, עליהן לנקוט בכל אמצעי האבטחה המחמירים הנדרשים בטיפול בפנקס הבוחרים. ההנחיה כוללת נספח דגשים והמלצות אבטחת מידע, בו מצוינים אמצעים להגנת הפרטיות של מידע אישי, כגון מנגנונים מומלצים להזדהות וניהול הרשאות, אופן ההתחברות למערכות שונות, אופן ניהולו ושמירתו של מידע וחובת הדיווח במקרה של חשד לאירוע אבטחת מידע. במכתב שנלווה להפצת הנחיות הרשות למפלגות, כתב ראש הרשות עו"ד גלעד סממה כי ״השמירה על המידע באופן המותאם להוראות חוק הגנת הפרטיות, נועדה להגן על ציבור הבוחרים ואף להעניק הגנה מפני פגיעה פוטנציאלית של גורמים עוינים למדינת ישראל במימוש ההליך הדמוקרטי". לפי הרשות, פרסום ההנחיות נעשה בעקבות ״אירועי אבטחת מידע שהתרחשו לאחרונה באתרי המפלגות, ואף במערכות בחירות קודמות״. בין היתר, הכוונה היא לפרסום מידע אישי של מתפקדי ליכוד באתר המפלגה ללא הסכמת הבוחרים.


רגולטור מגזר התקשורת הבריטי OFCOM מטיל על ספקי שירותי טלקום חובות בתחום הגנת הסייבר

ממשלת בריטניה מקדמת רגולציה חדשה באמצעות תקנות הנלוות לחוק שחוקק בנובמבר 2021, ה-Telecommunications (Security) Act. הרגולציה החדשה נועדה להעניק לחברות טלקום בריטיות רמת הגנת סייבר מהגבוהות בעולם, ולחייב הקשחת רשתות תקשורת במדינה נוכח איומי סייבר. התקנות החדשות, אשר אושרו על ידי הממשלה לאחר התייעצות עם הציבור, קובעות, בין היתר, חובות הנוגעות לאבטחת תפקודים קריטיים, להגנה על תוכנות וציוד שתפקידם לנטר מערכות ושירותים, לפיתוח יכולות לזיהוי פעילות חריגה ולניהול סיכונים בשרשראות האספקה של חברות תקשורת. התקנות אמורות להיכנס לתוקף באוקטובר, כאשר OFCOM ייפקח על יישומן, עם סמכות להטלת קנס רגולטורי של עד 10% ממחזורה השנתי של חברה המפרה אותן או (כשההפרה מתמשכת) - עד 100,000 פאונד ליום. חברות התקשורת בבריטניה מחויבות להיערך לציות לתקנות החדשות עד מרץ 2024. 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו:

רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.