דו״ח סייבר שבועי
עדכון שבועי 02.12.2021
עיקרי הדברים
-
עיצום כספי בסך 10.7 מיליון ש"ח על הוטל על שירביט בגין הפרות של הוראות הממונה בתחום ניהול סיכוני הסייבר.
-
חברת IKEA חווה מתקפת פישינג על כתובות מייל פנימיות של הארגון.
-
ענקית השירותים הימיים SPO דיווחה כי נפגעה ממתקפת כופר.
-
ה-FBI החרים 2.3 מיליון דולר משותף של קבוצת הכופרה REvil.
-
אנו ממליצים לעדכן את המוצרים הבאים: דפדפן Mozilla (קריטי); המוצר VMware vCenter (יום אפס);
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-Mozilla נותן מענה לשתי חולשות קריטיות
חולשת Zero-day התגלתה בגרסה קודמת של VMware vCenter
התקפות ואיומים
חולשת Zero-day המעניקה הרשאות אדמין התגלתה במערכות המבוססות על Windows 10
התגלה Trojan בחנות האפליקציות של Huawei
השוק השחור Cannazon הושבת לאחר שחווה מתקפת מניעת שירות
קבוצת התקיפה APT37, הממומנת על ידי קוריאה הצפונית, מכוונת לגורמי אופוזיציה במדינה
קמפיין נוזקה אשר רץ מ-2019 משפיע על מדינות במזרח התיכון
Panasonic: חשש לדלף מידע אישי של לקוחות החברה עקב פריצה לרשתותיה
Google: האקרים תוקפים משתמשי ענן שאינם מאובטחים לשם כריית מטבעות דיגיטליים
קמפיין הפישינג FluBot מתפשט מחדש דרך הודעות SMS
AT&T תשתית בוטנט תוקפת לקוחות של רשת
נפרצה חברה אמריקאית המחזיקה במידע גנטי רגיש; מידע אישי שנאסף במשך שמונה שנים נגנב
Proofpoint מזהה שימוש מוגבר של שחקני APT ב-RTF Injection
IKEA חווה מתקפת פישינג על כתובות מייל פנימיות של החברה
עמותת Planned Parenthood מדווחת כי הותקפה ונדלף מידע אישי של לקוחות
השבוע בכופרה
ה-FBI החרים 2.3 מיליון דולר משותף של קבוצת התקיפה REvil
ספקית השירותים הימיים SPO דיווחה כי נפגעה ממתקפת כופר
סייבר בישראל
כך הפכה ישראל למעצמת הסייבר המובילה בעולם
רשת iDigital חוותה מתקפת סייבר
פרצת אבטחה באתר דואר ישראל
עיצום כספי של 10.8 מיליון ש״ח הוטל על חברת הביטוח "שירביט"
סייבר בעולם
איטליה: הרשות לתחרות קנסה את Google ואת Apple בגין איסוף אגרסיבי של מידע
Emotet מתפשטת דרך App Installer
מבצע משולב בראשות האינטרפול הוביל ל-1,003 מעצרים בתחום פשיעת הסייבר ביותר מ-22 אזורי שיפוט
סייבר ופרטיות - רגולציה ותקינה
דוח חדש של ה-NIST בנושא ניהול סיכוני סייבר: המשך מגמת הגברת התודעה של ארגונים
הבהרות מה-EDPB בנוגע להעברת מידע מעבר לגבולות האיחוד האירופי
המועצה להגנת הפרטיות מתנגדת להתחדשות השימוש באיכוני שב"כ
הצעה לחוק סייבר מסוג אחר בבריטניה: חובת החלפת סיסמאות במכשירים אלקרוניים
כנסים
הציטוט השבועי
ד"ר משה ברקת, הממונה על שוק ההון, ביטוח וחיסכון, בעקבות העיצום הכספי שהוטל על חברת ״שירביט״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-Mozilla נותן מענה לשתי חולשות קריטיות
עדכוני האבטחה רלוונטיים לכל גרסאות מערכת ה-NSS של המוצר שפורסמו החל מאוקטובר 2012 (גרסה 3.14 ומעלה), ועד לגרסאות 3.68.1 ו-3.73 המתוקנות. החולשות (CVE-2021-43527), שהתגלו על ידי חוקר מטעם Google בשם טראוויס אורמנדי. החולשות עלולות לאפשר לתוקף לעקוף את מנגנוני האבטחה של המוצר, להזריק ולהריץ קוד מרחוק ולאחסן קוד זדוני בספריות השונות בקוד.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסאות 3.68.1 ו-3.73.
חולשת Zero-day התגלתה בגרסה קודמת של VMware vCenter
החולשה, הרלוונטית לגרסה 7.0.2.00100 של המוצר (וייתכן שגם לגרסאות מתקדמות יותר שלו), עלולה לאפשר ביצוע מתקפות XXS, SSRF ו-Arbitrary File Read. הקוד הפגיע נמצא בקובץ:
/etc/vmware/vsphere-ui/cm-service-packages/com.vmware.cis.vsphereclient.plugin/com.vmware.h4.vsphere.client-0.4.1.0/plugins/h5-vcav-bootstrap-service.jar
מכיוון שטרם פורסם עדכון הנותן לחולשה מענה, רצוי לשקול אם לעשות שימוש ב-Plug-in המכיל את הקוד הפגיע.
צוות קונפידס ממליץ למשתמשי המוצר לעקוב אחר פרסומם של עדכוני אבטחה מטעם VMware. תמונות הממחישות את החולשה ואת הקוד הפגיע ניתן למצוא כאן.
התקפות ואיומים
חולשת Zero-day המעניקה הרשאות אדמין התגלתה במערכות המבוססות על Windows 10
חוקר האבטחה הפרטי עבד אלחמיד נסרי מצא כי הפרצה (CVE-2021-24084, CVSS 5.5) עוקפת עדכון אבטחה שנועד לטפל בפרצה קודמת, אותה גילה גם כן. החולשה מאפשרת קבלת גישה לקבצים ושינויים דרך חיבור לדומיין במקום העבודה או הלימודים. זאת ועוד, באמצעות שימוש בחולשה נוספת (CVE-2021-36934, CVSS: 7.8) ניתן להעלות הרשאות במערכת ולהריץ עליה קוד בהרשאות אדמין. יש לציין כי החולשה ניתנת לניצול רק במערכות בהן נוצר גיבוי לכונן C, ונוסף על כך קיים משתמש מקומי עם הרשאות אדמין. Microsoft טרם פרסמה עדכון אבטחה רלוונטי, אך קיימים עדכונים לא רשמיים של חברת 0patch אשר נותנים מענה לחולשה.
התגלה Trojan בחנות האפליקציות של Huawei
ב-23 בנובמבר מצאו מנתחי הנוזקות של Doctor Web עשרות משחקים ב-AppGallery שבהם סוס טרויאני האוסף מידע על משתמשים, לרבות מספרי טלפון, מיקומים על פי GPS ועוד. יותר מ-9 מיליון משתמשים הורידו את המשחקים הזדוניים, רבים מהם ילדים, מה שמגדיל את הסכנה למידע המצוי במכשיר. לאחר שקבוצת האנליסטים הביאה את הדבר לידיעת Huawei, החברה הסירה את האפליקציות הרלוונטיות מן החנות.
השוק השחור Cannazon הושבת לאחר שחווה מתקפת מניעת שירות
Cannazon היה לאחד מהשווקים השחורים הגדולים בדארנקט למסחר במריחואנה. לאחר שבתחילת נובמבר חווה מתקפת DDos, האופיינית לאתרים ברשת האפלה, מנהלי Cannazon צמצמו את פעילות האתר באופן משמעותי, עד שלבסוף, ב-23 בנובמבר, הודיעו כי ישביתו אותו לאלתר. למרות שהבטחה זו מומשה 6 ימים לאחר מכן, עולה כעת החשש שיוקמו אתרי הונאה אשר יתחזו לאתר הפופולרי וימשכו אליהם את משתמשיו.
קבוצת התקיפה APT37, הממומנת על ידי קוריאה הצפונית, מכוונת לגורמי אופוזיציה במדינה
ממחקר עדכני של חברת אבטחת הסייבר הרוסית Kaspersky עולה כי הקבוצה, המכונה גם Temp.Reaper ו-ScarCruft, מבצעת קמפיין תקיפה מבוסס Spear Phishing למטרות מעקב אחרי עריקים צפון קוריאניים, עיתונאים המסקרים את קוריאה הצפונית וכן גורמים בקוריאה הדרומית. על פי Kaspersky, התקיפה מתחילה בשיחת פייסבוק בין התוקף לבין הקורבן בנושא קוריאה הצפונית. לאחר מכן התוקף שולח לקורבן הודעת פישינג במייל, אליה מצורף קובץ RAR המוגן בסיסמה. הקובץ מכיל קוד מאקרו, שעם הרצתו יוצר קשר עם שרת C&C, אליו מועבר תוכן ממכשיר הקורבן. ממחקר שנערך בנוגע לאחד מקורבנות התקיפה עלה כי הנוזקה שהותקנה בעמדתו אספה ממנה צילומי מסך, אותם הזליגה החוצה דרך שרת ה-C&C. הנוזקה, שזוהתה כ-Chinotto (על פי שמות התיקיות בתוכן מוקמה), מסוגלת לתקוף מכשירי Windows ו-Android כאחד, שכן על אף שמדובר בשתי פלטפורמות שונות - הן חולקות מבנה C&C זהה, המבוסס על תקשורת HTTP. בכך שולטת הנוזקה על כלל הנוזקות המותקנות דרך סט אחד של פקודות C&C. את מזהי קמפיין התקיפה ניתן למצוא כאן. APT37 פעילה לכל הפחות משנת 2012, ובמהלך 2017-2018 תקפה סוכנויות ממשלתיות ביפן, בווייטנאם ובמדינות במזרח התיכון. זאת ועוד, הקבוצה אחראית לניצול חולשת Zero-day ב-Adobe Flash שהתגלתה ב-2018, אשר בנוגע אליה פרסמה CERT הקוריאנית התראת אבטחה.
קמפיין נוזקה אשר רץ מ-2019 משפיע על מדינות במזרח התיכון
הקמפיין זוהה במהלך ציד איומי סייבר שהתרחש בפברואר האחרון על ידי חוקרים מ-Securelist, ויוחס ל-WIRTE, אשר החלה לפעול במזרח התיכון לפני כשנתיים. תהליך החדירה של הקבוצה לרשת היעד מתחיל בפישינג ממוקד שמטרתו לגרום לקורבן ללחוץ על קובץ אקסל, המכיל מאקרו שמוריד אל העמדה נוזקה בשם Ferocious. הקבוצה תוקפת גופים ממגזרים רבים, בהם מוסדות פיננסיים, ממשלתיים, דיפלומטיים, משפטיים וצבאיים וחברות טכנולוגיות. הקבוצה משתמשת בתוכנות לגיטימיות, דבר המקל עליה להסתתר, ועל פי ההשערות יש לה קשר לגורם המכונה Gaza Cybergang, הפוגע בעיקר במוסדות ממשלתיים.
Panasonic: חשש לדלף מידע אישי של לקוחות החברה עקב פריצה לרשתותיה
ענקית האלקטרוניקה היפנית, שחשפה פרצת אבטחה גדולה במערכותיה, אישרה כי ב-11 בנובמבר הצליחו תוקפים לחדור לרשתותיה באמצעות ספק צד ג׳, וכי מחקירה פנימית שניהלה עולה כי התוקפים הצליחו לגשת לשרת הקבצים של החברה. לאחר זיהוי החדירה, Panasonic דיווחה על האירוע לרשויות הרלוונטיות ונקטה באופן מידי בצעדים לאבטחת רשתותיה, לרבות פעולות למניעת גישה חיצונית. במקביל, Panasonic חברה למומחים חיצוניים לחקירת דלף המידע, בניסיון לקבוע אם נחשף מידע אישי של לקוחות החברה או מידע רגיש הקשור לפעילותה, ופרסמה התנצלות על כל אי-נוחות הנגרמת כתוצאה מהאירוע. בתוך כך, גופי החדשות היפניים Mainichi ו-NHK מסרו כי על פי נתונים המצויים ברשותם עלה בידי התוקפים לקבל גישה למידע רגיש, כגון פרטי לקוחות, מידע אישי של עובדים וקבצים טכניים של Panasonic הנוגעים לפעילותה המקומית. עוד מסרו גופי החדשות כי לתוקפים הייתה גישה לשרת החברה משך יותר מארבעה חודשים, החל מה-22 ביוני ועד ל-3 בנובמבר, בטרם גילתה זאת Panasonic עקב תעבורת רשת חריגה. במהלך שלוש השנים האחרונות, כמעט כל חברות הטכנולוגיה הגדולות ביפן סבלו מפריצות לרשתותיהן על ידי קבוצות ריגול הפועלות בחסות סין, והחשד הוא שגם מאחורי התקרית הנוכחית עומדים אותם גורמים.
Google: האקרים תוקפים משתמשי ענן שאינם מאובטחים לשם כריית מטבעות דיגיטליים
התוקפים מנצלים חולשות אבטחה במטרה להפיץ תוכנות זדוניות המיועדות ברובן לכריית מטבעות דיגיטליים, כך פורסם לאחרונה בדוח של צוות הגנת הסייבר של Google. זאת ועוד, כמה ממקרי הפגיעה נועדו להרחיב את הסריקות למציאת חולשות נוספות במקורות אחרים ברשת ולזיהוי ותקיפה של מערכות נוספות. מרבית המקרים שתועדו התאפשרו עקב הגדרה שגויה של נהלי אבטחת מידע במשתמשי הענן. למרות שנראה כי מרבית הפעולות לא נועדו למטרת גניבת מידע רגיש, ייתכן בהחלט שנוכח התרבות מטרות האיומים - גניבת מידע אישי תימנה בעתיד על מטרות התקיפות. עוד נרשמו במסגרת האירועים קמפייני פישינג ומתקפות כופרה.
קמפיין הפישינג FluBot מתפשט מחדש דרך הודעות SMS
הקמפיין, שרץ לראשונה בפינלנד ביוני האחרון, חזר לפעול ולשלוח הודעות הקוראות לקורבנות ללחוץ על קישור, בו הם מתבקשים להוריד למכשיר הטלפון שלהם קובץ נוזקה. נוזקה זו גונבת מידע מהמכשיר ומשתמשת במספר הטלפון של הקורבן לשם המשך הפצתה. במקרה של הורדת הקובץ, ייתכנו חיובים נוספים מצד ספק השירותים הסלולריים עקב שימוש של התוקפים במנוי הקורבן. הקמפיין, שמכוון בעיקר למשתמשי אנדרואיד, אך פוגע גם במשתמשי iOS בהיקף מצומצם, עושה שימוש בסימנים מיוחדים (/, @, ₪, %, +) על מנת להימנע מגילוי על ידי חברות התקשורת. המרכז לאבטחת מידע של פינלנד ממליץ לקורבנות הקמפיין להשיב את הגדרות המכשיר הסלולרי ל-Factory Settings, ובמידה ומותקנת עליו אפליקציית בנקאות, מומלץ ליצור קשר עם הבנק.
AT&T תשתית בוטנט תוקפת לקוחות של רשת
ב-27 באוקטובר זיהו מערכות ההגנה של Netlabא360 תקיפה של מכשירי רשת של חברת Edgewater, כולם בבעלות ענקית התקשורת האמריקאית AT&T, תוך ניצול חולשה קריטית (CVE-2017-6079, CVSS 9.8) בת ארבע שנים באמצעות טכניקות שאינן שכיחות. בגרסה הראשונית של תשתית התקיפה של הבוטנט, שקיבל את הכינוי EwDoor, גילו חוקרי Netlabא360 מנגנון C2 אשר פונה לשני דומיינים שונים, אחד מהם לא היה בבעלות התוקפים ונרכש על ידי החוקרים באופן שעשוי לאפשר אומדן של ממדי התשתית. התוקפים, שנתקלו בקשיים בהפעלת המנגנון, עדכנו אותו תוך פרק זמן קצר מאוד וסגרו את ההפניה לדומיין שנרכש על ידי החוקרים. עד כה הצליחו החוקרים לזהות כ-5,700 מכשירים שנדבקו בבוטנט, כולם מסוג EdgeMarc Enterprise Sessions Border Controller וממוקמים בתוך שטח ארצות הברית. עוד זוהו 3 גרסאות שונות של EwDoor, הכוללות פונקציות מרכזיות של עדכוניים עצמאיים, סריקת פורטים, ניהול קבצים, Backdoor, מניעת שירות (DDos) והרצת פקודות מרחוק. נכון לשעה זו, נראה כי מטרתה העיקרית של התשתית היא ביצוע DDoS וגניבת מידע רגיש. מ-AT&T נמסר כי החברה פועלת לסגירת החולשה וכי מבדיקה שביצעה לא עלה שנגנב מידע אישי של לקוחותיה.
נפרצה חברה אמריקאית המחזיקה במידע גנטי רגיש; מידע אישי שנאסף במשך שמונה שנים נגנב
חברת DCC - DNA Diagnostics Center, שבסיסה באוהיו, עוסקת במחקר ובדיקות DNA ומחזיקה במידע רגיש מאוד, לרבות בדיקות אבהות, פוריות, קורונה, קשרים משפחתיים ועוד. בהצהרה שפרסמה לציבור נמסר כי בין החודשים מאי-יולי השנה בוצעה גישה שאינה מאושרת לרשתות החברה, במהלכה התרחשה גניבת מידע המונית, לרבות מספרי כרטיסי אשראי, מספרי חשבונות פיננסיים, מספרי זהות וכן סיסמאות לפלטפורמת ה-DCC. עוד נמסר כי לא נגנב כל מידע גנטי, וכי המידע שנחשף נלקח מתיקיות גיבוי ישנות המתוארכות לשנים 2004-2012, והיו מצויות במערכת חיצונית שהשימוש בה הופסק ב-2012. מערכת חיצונית זו אינה מקושרת למערכות ומאגרי מידע ש-DCC משתמשת בהם כיום. לדברי החברה, המידע שנגנב שייך, למעשה, למערכת של ארגון לאומי לבדיקות גנטיות, ועל כן האירוע משפיע על ארגון זה ולא על DCC. עוד הובהר כי החברה משתפת פעולה עם מומחי סייבר חיצוניים על מנת להשיג גישה לקבצים ולמנוע את הפצתם ברשת. נכון לעכשיו, לא ידוע על שימוש שנעשה במידע הגנוב. מרבית קורבנות האירוע יקבלו על כך התרעה והוראות להפעלת מעקב בחינם אחר טרנזקציות בחשבון הבנק שלהם ואחר גניבת זהויות. עוד נאמר לקורבנות שעליהם להיות דרוכים ולעקוב אחר הפעילות השוטפת בחשבונות הבנק שלהם.
Proofpoint מזהה שימוש מוגבר של שחקני APT ב-RTF Injection
במאמר שפורסם על ידי החברה היא צופה את המשך העלייה בטכניקה זו, הנהנית מאחוזי זיהוי נמוכים בקרב אנטי-וירוסים, ומכאן מסוכנותה. התוקפים מנצלים את אחד ממאפייני הפורמט של קבצים מסוג RTF, המכונה Template, אשר נועד להצביע על מיקום של תבנית (Path) שבהתאם לה ייפתח התוכן של הקובץ המקורי. ל-Template זה מזריקים התוקפים כתובת URL זדונית, אשר גורמת להרצה של קוד זדוני על המחשב.
IKEA חווה מתקפת פישינג על כתובות מייל פנימיות של החברה
ענקית הרהיטים השוודית נפלה קורבן למתקפה מסוג Reply-Chain Email, בה תוקף משתלט על כתובת מייל לגיטימית מתוך דומיין ההחברה ושולח בשמה הודעות עם תוכן זדוני וקישורים שבעזרתם הוא מתקין נוזקות על מכשירי הנמען. הנמען, שמקבל את ההודעה ממקור שנראה לגיטימי, אינו חושד שמדובר בנוזקה, ולכן הסיכוי להצלחת התקיפה במתווה זה גבוה יותר ביחס למתקפת פישינג רגילה. התקיפה, שהחלה ב-26 בנובמבר, התמקדה בעיקר בתיבות מייל פנימיות של עובדים בחברה, אך כוונה כם כנגד ספקים ושותפים חיצוניים לארגון. במיילים שנחשפו מתוך הרשת הפנימית של IKEA מופיעה אזהרה של צוות ה-IT של החברה לעובדיה מפני האירוע המתמשך ומפני פתיחת מיילים חשודים המכילים צרופות שאינן מזוהות. מן המיילים שנחשפו עולה גם ש-IKEA עושה שימוש ב-Microsoft Exchange, דבר המחזק את ההשערה לפיה התקיפה מבוססת על ניצול של חולשת ProxyLogon, שאפשר כניסה לרשת הפנימית ושליחת מיילים עם צרופות זדוניות. נכון לכתיבת שורות אלה, לא ידוע על חשיפת פרטי לקוחות או שותפים במסגרת התקיפה. מ-IKEA טרם נמסר אם ההתקפה הוכלה או עדיין מתרחשת.
עמותת Planned Parenthood מדווחת כי הותקפה וחוותה דלף מידע אישי של לקוחותיה
במכתב ששלחה למטופליה ב-30 בנובמבר, יידעה אותם העמותה כי ב-17 באוקטובר זיהתה פעילות חשודה ברשתותיה, אשר בעקבותיה כיבתה מיד את כל מערכות הארגון ופנתה לרשויות החוק ולחברת סייבר חיצונית, שיסייעו לה בחקירת המקרה. עוד דיווחה העמותה כי ממצאי החקירה עלה כי תוקפים שהו במערכותיה מה-9 באוקטובר, וכי עלה בידיהם לגנוב ממנה פרטים של מטופלים, בהם שמות, כתובות, מידע ביטוחי, תאריכי לידה ומידע קליני, לרבות אבחונים, הליכים ומרשמים רפואיים. לדברי העמותה, למרות שאין בידיה ממצאים המעידים על שימוש שנעשה במידע, על המטופלים לגלות ערנות בנוגע לחשבונותיהם הרפואיים, ולוודא שאינם מחויבים עבור שירותים שלא קיבלו או רכשו. במידה וחיוב שגוי מופיע, Planned Parenthood הנחתה את המטופלים ליצור קשר עם ספק שירותי הבריאות וחברת הביטוח שלהם. עוד הוסיפה העמותה כי היא פועלת לחיזוק והקשחה של אמצעי האבטחה שברשותה, על מנת להבטיח שהמידע בו היא מחזיקה מאובטח, וכי בכוונתה לרכוש עוד משאבים ולשכור אנשי מקצוע נוספים לצרכי הגברת אבטחת המידע. העמותה התנצלה על התקרית והדגישה כי מטופלים יוכלו לפנות אליה לבירורים, במידה ויש להם חששות נוספים. לפי דיווחים שונים, במהלך התקיפה דלף ממערכות החברה מידע אודות 400,000 ממטופליה.
השבוע בכופרה
ה-FBI החרים 2.3 מיליון דולר משותף של קבוצת התקיפה REvil
על פי הודעת הארגון, מדובר בכ-40 מטבעות ביטקוין שהיו מצויים בארנק דיגיטלי מסוג Exodus, אשר היה שייך לאלכסנדר סיקרין, שותף של קבוצת REvil ו-GandCrab. על פי הדיווחים, סיקרין השתמש בתוכנות הכופרה של הקבוצות לתקיפת חברות וגופים אמריקאיים, והתחלק עמן ברווחים. למרות שה-FBI לא ציין כיצד השיג את המטבעות, נראה כי הפעולה התאפשרה באמצעות גישה לכתובת הפרטית או לסיסמה של הארנק.
ספקית השירותים הימיים SPO דיווחה כי נפגעה ממתקפת כופר
לדברי Swire Pacific Offshore, התוקפים הסתננו לרשתותיה והצליחו לגנוב מהן מידע, לרבות פרטים על עובדים. עוד נטען כי פעילותו השוטפת של הארגון לא נפגעה, וכי הוא פועל ביחד עם אנשי מקצוע לחקירת האירוע, להבנת השלכותיו בטווח הקרוב והרחוק וליידוע הרשויות והגורמים הרלוונטים בדבר התרחשותו. על ביצוע המתקפה לקחה אחריות כנופיית Clop, שאף פרסמה באתרה צילומי מסך המעידים על גישה שבוצעה למידע.
סייבר בישראל
כך הפכה ישראל למעצמת הסייבר המובילה בעולם
40% מכלל ההשקעות בתחום הסייבר במגזר הפרטי בעולם מושקע בחברות ישראליות וכשליש מחברות הסייבר והסטארט-אפים הפרטיים ששווים לפחות מיליארד דולר הם ישראליים - ולא בכדי. בניסיון לעמוד על הגורמים לכך, נראה כי בחירות אסטרטגיות חכמות והצורך בהתגוננות הפכו את ישראל למובילה עולמית בתחום הסייבר. בראיון לאתר החדשות ISRAEL21c ציין ראש מערך הסייבר לשעבר אביתר מתניה כי ביקורו של ראש הממשלה לשעבר בנימין נתניהו ביחידת הסייבר הצה״לית 8200 הניבה תכנית לאומית בתחום הסייבר, שיסודותיה בממסדים התעשייתיים והאקדמאיים בישראל. לדברי מתניה, נתניהו רצה שישראל תהיה אחת מחמש המדינות המובילות בעולם בתחום, אך בפועל התוצאה הייתה טובה יותר. בישראל שישה מרכזי מחקר אוניברסיטאיים העוסקים בענף הסייבר, וסטארט-אפים בתחום נהנים מתמיכה ממשלתית משמעותית, מרביתם נוסדו על ידי יוצאי יחידות סייבר של צה״ל, ששאפו ליישם את מומחיות הסייבר שלהם במגזר הפרטי. לדברי מתניה, גורם זה היווה את המקפצה הגדולה של ישראל בזירת הסייבר העולמית.
רשת iDigital חוותה מתקפת סייבר
על פי דיווח במגזין ״גלובס״, המתקפה על הרשת המשווקת את מוצרי Apple בישראל שיבשה את פעילותה באופן חלקי, כאשר לקוחות לא יכלו לברר את סטטוס הזמנתם או לבצע ביטול עסקאות דרך מוקד השירות. תחילה טענה החברה כי אין מדובר במתקפת סייבר, וציינה כי מקור התקלה אינו ידוע לה, אך בהודעה מאוחרת יותר אישרה כי אכן חוותה תקיפה של האקר, בהדגישה כי המתקפה לא עצרה את פעילותה ברשת, אלא רק גרמה לעיכובים באספקה למחסנים. עוד מסרה iDigital כי שבה זה מכבר לפעילותה השוטפת, אך מוקד שירות הלקוחות הטלפוני שלה מתופעל על ידי חברה חיצונית, שטרם מומשקה עם המערכת לאחר התקיפה.
טעות אנוש במערך הפיתוח של המוסד הובילה לפרצה בעלת פוטנציאל פגיעה גבוה ולהפניית לקוחות אל אתר חיצוני העובד בשיתוף פעולה עם דואר ישראל. אלא שנראה שאותו קישור שימש מפתחים כ-Placeholder בשלב הפיתוח בלבד, ובדרך כלשהי זלג אל האתר הרשמי של דואר ישראל והיה זמין לכלל המשתמשים. מי שלחץ על הקישור הגיע לדומיין אשר לא רק שמעולם לא היה בבעלות דואר ישראל, אלא שאף הוצע למכירה ויכול היה להירכש על נקלה על ידי גורם זדוני ולהתפתח לקמפיין פישינג באמצעות הקמת אתר דמה לסליקת כרטיסי אשראי, המגובה בתנועה גבוהה שהגיעה ישירות מהאתר הרשמי של דואר ישראל. הפרצה נסגרה מיד עם פניית אתר החדשות גיקטיים לחברת דואר ישראל, שמסרה, כאמור, כי מדובר בטעות אנוש וכי הנושא מצוי בבדיקה.
עיצום כספי של 10.8 מיליון ש״ח הוטל על חברת הביטוח "שירביט"
בהמשך לאירוע הסייבר שהתרחש בחברה אשתקד, במהלכו אירע דלף מידע של נתונים רגישים של חלק ממבוטחיה, הוחלט ברשות שוק ההון, ביטוח וחיסכון להטיל על ״שירביט״ עיצום כספי בגובה 10.72 מיליון שקלים, זאת לאחר ביקורת מקיפה שביצעה הרשות בחברה במהלך 2020, בכל הנוגע לניהול סיכוני הסייבר. בביקורת נמצאו הפרות משמעותיות ונרחבות של הוראות הממונה בתחום, הן בהיבטים טכנולוגיים והן בהיבטי ממשל תאגידי וניהול שוטף. עוד נמצא כי החברה לא הקצתה משאבים נאותים לתחומי מערכות המידע והגנת הסייבר, ולא נמצאו מנגנוני בקרה ופיקוח רלוונטיים נאותים. על פי הרשות, החברה לא פעלה בהתאם לנהלים, לתוכניות העבודה ולתוכניות סקרי הסיכונים שעל פיהם הייתה אמורה לפעול, לרבות אלה אותם הגדירה בעצמה. מן הביקורת עלה גם כי מערכות טכנולוגיות מרכזיות ומהותיות לניהול סיכוני הסייבר בארגון לא הופעלו בצורה נאותה, לא עודכנו, לא טויבו או לא הותקנו כלל. ד״ר משה ברקת, הממונה על שוק ההון, ביטוח וחיסכון, אמר כי ״הטלת העיצום נעשית בסופו של תהליך ביקורת מקיף ומקצועי על מערך ניהול סיכוני הסייבר בשירביט חברה לביטוח בע״מ. הביקורת משדרת מסר ברור לפיו הרשות מצפה כי גופים מוסדיים ינהלו את סיכוני הסייבר ברמה גבוהה, וכי היא תמשיך לפעול בנחישות ובעקביות להבטיח טיפול נאות בסיכונים אלה״.
סייבר בעולם
איטליה: הרשות לתחרות קנסה את Google ואת Apple בגין איסוף אגרסיבי של מידע
גובה הקנס שהוטל על כל אחת מהחברות עומד על 10 מיליון יורו. לטענת הרשות, החברות הפרו את ״קוד הצרכנים״ במדינה, בכך שלא הדגישו במידה מספקת בפני הצרכנים שהמידע שמוזן על ידיהם משמש את שני הגופים למטרות פרסומיות. עוד נטען כי החברות לא סיפקו למשתמשים פרטים על האופן בו הן אוספות מידע ועל סוג המידע שנאסף. הקביעה כי איסוף המידע הוא ״אגרסיבי״ הוחלה על ידי הרשות האיטלקית גם על הגדרות ברירת המחדל שלו. חברת Apple מסרה למגזין אבטחת המידע BleepingComputer כי תערער על ההחלטה, שכן לטענתה היא מתנהלת בשקיפות רבה מול הצרכנים בכל הנוגע למדיניות הפרטיות שלה.
Emotet מתפשטת דרך App Installer
הבוטנט של הנוזקה המפורסמת ממשיך להתפשט תוך ניצול שירותים של שרתי אחסון האפליקציות Azure, כאשר השרת שהפיץ את הנוזקה היה באוויר משך 21 שעות, החל מה-30 בנובמבר, עד שהורד על ידי מיקרוסופט. לביצוע המתקפה מנצלים התוקפים את ה-App Installer של ה-Windows 10, ותחילתה בשליחת מייל שנראה כי התפתח לכדי שרשור ארוך. אל המייל מצורף קובץ הנראה כקובץ PDF, אשר לחיצה עליו מובילה לעמוד Drive מזויף של Google, בו נכתב כי לא ניתן לטעון את הקובץ. ל-App Installer, המכיל מידע על חתימת הקובץ ועל הקישור להורדתו, נראה כאילו הקובץ חתום על ידי Adobe, ועל כן Windows מאשר אותו כאפליקציה בטוחה להורדה. העדכון ששחררה מיקרוסופט ב-1 בדצמבר בניסיון לתת מענה לבעיה גרם ל-FP רבים, ועל כן פורסם גם עדכון מספר 1.353.1888.0, אך נכון לרגע זה לא ידוע אם הוא נותן מענה לכל הבעיות הרלוונטיות.
צוות קונפידס ממליץ למשתמשי Windows לעדכן את המוצר לגרסתו האחרונה.
מבצע משולב בראשות האינטרפול הוביל ל-1,003 מעצרים בתחום פשיעת הסייבר ביותר מ-22 אזורי שיפוט
המבצע, שכונה HAECHI-II והחל ביוני השנה, נמשך כארבעה חודשים וכלל שיתופי פעולה עם יחידות משטרה מיוחדות מ-20 מדינות, בהן הונג קונג ומקאו. במהלך המבצע התמקדו הרשויות בעיקר בפושעים העוסקים בהונאות שונות ברשת, בהן תרמיות רומנטיות, הונאות בתחום ההשקעות, וכן הלבנת כספים הקשורה להימורים מקוונים שאינם חוקיים. עם תום המבצע התאפשר לחוקרים לסגור כ-1,660 תיקי חקירה ולזהות דרכי פעולה חדשות של הפושעים שנתפסו. מבצע זה הינו השני בפרויקט כלל עולמי ראשון מסוגו, הפועל מזה שלוש שנים בתמיכת קוריאה הדרומית, ומטרתו לסכל פשיעה במרחב הסייבר. בין היתר כלל המבצע פיילוט רשמי לסיכול הלבנת כספים, Anti-Money Laundering Rapid Response Protocol, שהוכח כקריטי להצלחת הפעולה ופיתוחו צפוי להסתיים בשנה הבאה. בין המסקנות שעלו מן המבצע הייתה ההבנה שמגמת העלייה בפשיעת הסייבר שהתרחשה עם פרוץ מגפת הקורונה אינה מראה סימני דעיכה, והיא ממשיכה להאמיר, תוך כניסתן אל הזירה של טקטיקות מתוחכמות ויצירתיות יותר. בפרסום הרשמי המופיע באתר האינטרפול ניתן למצוא דוגמאות לדרכי הפעולה בהן נקטו הרשויות במהלך המבצע, וכן הוכחה ליעילות הפיילוט האמור.
סייבר ופרטיות - רגולציה ותקינה
דוח חדש של ה-NIST בנושא ניהול סיכוני סייבר: המשך מגמת הגברת התודעה של ארגונים
בנובמבר פרסם המכון הלאומי לתקינה וטכנולוגיה של ארצות הברית דוח המציג תקן חדש (NISTIR 8286A) שעוסק בזיהוי והערכה של סיכוני סייבר במסגרת ניהול הסיכונים הכללי של ארגונים. המסמך החדש, הכולל דוגמאות ומידע בנוגע לסובלנות לסיכון, לתיאבון לסיכון ולשיטות לקביעת סיכונים בארגונים, תומך במסמכי תקינה קודמים של ה-NIST בתחום, לרבות NISTIR 8286, העוסק בשילוב בין הגנת סייבר לבין ניהול סיכונים ארגוני בחברות, NISTIR 8286B, הקובע את סדרי העדיפות בניהול סיכונים אלה, ו-NISTIR 8170, המנחה רשויות פדרליות בסוגיות שונות, בהן ניהול סיכוני סייבר.
הבהרות מה-EDPB בנוגע להעברת מידע מעבר לגבולות האיחוד האירופי
מועצת הרגולטורים האירופית להגנת מידע פרסמה ב-19 בנובמבר טיוטה להערות הציבור, העוסקת בהנחיות להעברת מידע אישי מעבר לגבולות האיחוד, סוגייה מורכבת העולה מפרשנות סעיפי האסדרה הכללית להגנה על מידע (GDPR) העוסקים בהעברות מסוג זה. מהלך זה נועד להגדיר את העקרונות החלים על המושג ״העברה״ (Transfer) בהקשר של מידע אישי, למרות שב-GDPR עצמה המושג אינו מוגדר. ה-EDPB מציעה שלושה תבחינים לקביעת מצב של "העברה": (1) הבקר (Controller) או המעבד (Processor) שמייצא את המידע האישי כפוף ל-GDPR בפעילות העיבוד הנתונה; (2) היצואן חושף את המידע האישי על ידי שידורו או הפיכתו לזמין בדרך אחרת לבקר אחר, לבקר משותף או למעבד, המהווים יבואנים של המידע; (3) היבואן נמצא במדינה שלישית, ללא קשר לשאלה אם פעילויות העיבוד שלו כפופות ל-GDPR. כאשר 3 התבחינים מתקיימים, זרימת הנתונים נחשבת להעברת מידע בינלאומית תחת ה-GDPR, ויחולו עליה החובות הקבועות בפרק V של האסדרה. יש לציין שבמצב כזה הצדדים (היצואן והיבואן) יידרשו להבטיח את קיומה של רמה הולמת של הגנת מידע מבחינת ה-GDPR במדינה המקבלת א המידע. הציבור מוזמן להגיש התייחסות לטיוטה עד ל-31.1.2022.
המועצה להגנת הפרטיות מתנגדת להתחדשות השימוש באיכוני שב"כ
ב-29 בנובמבר פרסמה המועצה, שהינה גוף ציבורי הפועל במסגרת חוק הגנת הפרטיות, תשמ״א-1981, את התנגדותה לחידוש האיכונים. ב-28 בנובמבר, יממה לפני פרסום עמדת המועצה, קבינט הקורונה אישר מחדש את השימוש באיכוני השב״כ, על מנת לסייע בהתמודדות עם וריאנט הנגיף המכונה "אומיקרון". לפי עמדת המועצה להגנת הפרטיות, ממדי התחלואה הנוכחיים אינם מצדיקים שימוש בכלי קיצוני זה, שהוחל לראשונה בתחילת 2021. במסגרת עתירה לבג"ץ מחודש מרץ השנה, נקבע כי יש לצמצם את השימוש בכלי, העלול להביא ל"פגיעה דרקונית בזכות לפרטיות ובדמוקרטיה".
הצעה לחוק סייבר מסוג אחר בבריטניה: חובת החלפת סיסמאות במכשירים אלקטרוניים
הצעת החוק החדשה, ה-Product Security and Telecommunications Infrastructure Billֿ, הוגשה על ידי הממשלה הבריטית ב-24 בנובמבר, כאשר מטרתה, בין היתר, להגביר את רמת הגנת הסייבר על מוצרי אלקטרוניקה המשווקים לצרכנים פרטיים. החוק יאפשר לממשלה לאסור על שימוש בסיסמאות ברירת מחדל אוניברסליות המסופקות על ידי יצרנים, לאלץ יצרנים של מוצרי אלקטרוניקה צרכניים לנהוג בשקיפות כלפי לקוחותיהם בכל הנוגע לתיקונים שהם מבצעים בליקויי אבטחה ולייצר מערכת דיווח ציבורית משופרת ביחס לנקודות תורפה שנמצאו במוצרים מסוג זה. סיסמאות ברירת מחדל, כגון המילים ״סיסמה״ או ״אדמין״, מקלות מאוד על האקרים המבקשים לפרוץ למערכות. על פי הצעת החוק, כל הסיסמאות המובנות במכשירים חדשים יצטרכו להיות ייחודיות, ולא יהיה ניתן לאפסן להגדרות אוניברסליות של היצרן. השרה לתקשורת, נתונים ותשתיות דיגיטליות ג'וליה לופז התייחסה לנושא באמרה כי "הצעת החוק שלנו תציב חומת אש סביב טכנולוגיה יומיומית, מטלפונים ותרמוסטטים ועד למדיחי כלים, לצגי תינוק ולפעמוני דלת, ותטיל קנסות עצומים על מי שיעבור על תקני האבטחה החדשים והמחמירים".
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, סער אביבי, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.