דו״ח סייבר שבועי
עדכון שבועי 03.03.2022
עיקרי הדברים
-
המלחמה בין רוסיה לאוקראינה: תקיפות סייבר רוסיות השמידו מערכות מחשוב של אוקראינה טרם הכניסה הקרקעית; חשש לזליגת אירועי סייבר לארגונים ברחבי בעולם; מתקפת סייבר משבשת את הרכבת הבלארוסית כדי לפגוע בפריסת הכוחות הרוסיים; אוקראינה מגייסת האקרים בעולם לתקוף מטרות רוסיות; דליפת ענק של ארגון הכופרה Conti מספקת הצצה נדירה לפעילותו. דיווח מיוחד.
-
טויוטה יפן עוצרת את הייצור במפעלים עקב מתקפת סייבר על ספקית; צפוי עיכוב בייצור 13,000 רכבים.
-
מבטחת המשנה וברוקרית הביטוח העולמית Aon חוותה מתקפת סייבר.
-
ישראל: מערך הסייבר הלאומי קיים תרגיל נרחב בתחום האנרגיה וחתם על הסכם לשיתוף פעולה עם ארצות הברית במגזר התחבורה.
-
אנו ממליצים לעדכן את המוצרים הבאים: VoipMonitor (קריטי); Google Chrome (גבוה); Mozilla VPN (גבוה); Zoho ManageEngine Key Manager (בינוני).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-Mozilla VPN נותן מענה לחולשה ברמת חומרה גבוהה
עדכון אבטחה ל-Zoho ManageEngine Key Manager נותן מענה לחולשה ברמת חומרה בינונית
עדכון אבטחה ל-Google Chrome נותן מענה ל-28 חולשות, חלקן ברמת חומרה גבוהה
עדכון אבטחה ל-VoipMonitor נותן מענה לחולשות קריטיות
התקפות ואיומים
נוזקה חדשה בשם Electron Bot מאפשרת שליטה על חשבונות ברשתות חברתיות כדי לקדם נכסים דיגיטליים
Palo Alto חשפה תקיפת APT המנצלת את Zoho CRM לתקיפת תעשיות ביטחוניות אמריקאיות מ-2019 ומשתמשת בשתי דלתות אחוריות
קבוצת תקיפה הפועלת בחסות הממשל האיראני תוקפת ארגונים ממשלתיים ופרטיים ברחבי העולם למטרות ריגול
נחשף קמפיין ריגול עולמי לתקיפת רשתות מוקשחות המיוחס לסין
חוקרי סייבר הצליחו לבנות שיבוט של Apple AirTag שעוקף את טכנולוגיית ההגנה מפני מעקב אחר המכשיר
Axis Communications מפרסמת פרטים אודות מתקפת סייבר שהביאה לשיבוש חמור במערכותיה ולהשבתת חלק משירותיה
מתווה תקיפה ייחודי המאפשר השבתת שירות רחבה תופס תאוצה בקרב תוקפים
השבוע בכופרה
חברת NVIDIA חווה מתקפת סייבר - ומגיבה במתקפת נגד; חשש לדליפת מידע רגיש
טויוטה יפן עוצרת את הייצור במפעלים עקב מתקפת סייבר על ספקית; צפוי עיכוב בייצור 13,000 רכבים
קנדה: חברה ממגזר הבריאות נתקפה בו-זמנית על ידי שתי קבוצות כופרה ידועות
מבטחת המשנה וברוקרית הביטוח העולמית Aon חוותה מתקפת סייבר
סייבר בישראל
מערך הסייבר הלאומי קיים תרגיל נרחב בתחום האנרגיה
המלחמה במזרח אירופה
שימוש בכוח נאט"ו במרחב הסייבר: סיוע אפשרי לאוקראינה?
במסגרת העימות בין רוסיה לאוקראינה: נוזקת Wiper חדשה עלולה לזלוג לארגונים ברחבי העולם; גם מערך הסייבר הישראלי מתריע בנושא
האקרים בלארוסיים ביצעו מתקפות פישינג בחסות ממשלתית נגד אנשי הצבא האוקראיני
Anonymous: ״השבתנו את אתרי הממשל הרוסי״
סגן ראש ממשלת אוקראינה קורא להצטרפות ל״צבא ה-IT״ של מדינתו
דוח של Check Point חושף מגמות במרחב הסייבר במלחמה במזרח אירופה: עלייה של מאות אחוזים במתקפות של רוסיה על אוקראינה
ה-FBI וה-CISA מתריעות: סבירות גבוהה למתקפות נגד ארגונים אוקראינים
מחלקת המבצעים המיוחדים של רוסיה נפרצה על ידי כוחות סייבר של אוקראינה
Anonymous לא עוצרת: טוענת שפרצה לרשת הרכבת הבלארוסית כדי לפגוע בפריסת הכוחות הרוסיים
הודלפה תקשורת פנימית של קבוצת הכופרה Conti, אשר תומכת בפלישה הרוסית ומזהירה את ארה״ב לבל תתערב
אוקראינה ביקשה מ-ICANN להטיל על ה-DNS הרוסי סנקציות שיביאו להשבתת האינטרנט במדינה
סקירה: רכיבי סייבר בקונפליקט המתמשך בין רוסיה ואוקראינה
סייבר ופרטיות - רגולציה ותקינה
הסנאט האמריקאי מקדם הצעת חוק פדרלית ראשונה שתחייב דיווח על אירוע סייבר
הסוכנות להגנת סייבר של האיחוד האירופי מעדכנת את מסמך המסגרת להגנת סייבר
כנסים
הציטוט השבועי
״למרות שבאופן בלתי צפוי היו עד כה פחות תקיפות סייבר בסכסוך, המערב עדיין נמצא בסיכון גבוה יותר לתקיפות סייבר משמעותיות - להבדיל ממתקפות קטסטרופליות - מאשר לפני הפלישה.״
קירן מרטין, אוניברסיטת אוקספורד
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-Mozilla VPN נותן מענה לחולשה ברמת חומרה גבוהההחולשה (CVE-2022-0517) שנסגרה בעדכון עלולה לאפשר לתוקף להעלות הרשאות על ידי העלאת קובץ קונפיגורציית OpenSSL המכיל קוד זדוני מתיקייה שאינה מאובטחת, ובאמצעותו להריץ פקודות מערכת בהרשאות SYSTEM.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.
עדכון אבטחה ל-Zoho ManageEngine Key Manager נותן מענה לחולשה ברמת חומרה בינונית
החולשה (CVE-2022-24446, CVSS 4.3) רלוונטית לגרסה 6.1.6 של המוצר ועלולה לאפשר לתוקף לראות את כל שרתי ה-SSH ואת פרטי המשתמש, אפילו אם אין שרת או משתמש SSH המשויכים אליו.
אנו ממליצים למשתמשי המוצר לעדכנו לגרסתו האחרונה.
עדכון אבטחה ל-Google Chrome נותן מענה ל-28 חולשות, חלקן ברמת חומרה גבוהה
העדכון, הרלוונטי עבור מערכות ההפעלה Windows ,Mac ו-Linux, סוגר בדפדפן חולשות שרמת חומרתן נעה בין CVSS 4.0 ל-CVSS 8.9, ואשר עלולות לאפשר לתוקף להריץ קוד מרחוק ולקבל הרשאות גבוהות במערכת. בשלב זה עוכב פרסום ציון החומרה של כמה מהחולשות, עד שמשתמשים רבים יספיקו לעדכן את המוצר שברשותם. העדכון יוטמע על ידי Google בימים ובשבועות הקרובים.
עדכון אבטחה ל-VoipMonitor נותן מענה לחולשות קריטיות
ב-18 בפברואר הודיעה החברה שהעדכון למוצר שפורסם בינואר נותן מענה לשתי חולשות שקיבלו את ציון החומרה CVSS 9.8 ועלולות לאפשר לגורמים זדוניים להעלות הרשאות במערכת ולהריץ בה פקודות מרחוק. הסיבה לעיכוב בפרסום הפרטים נבעה, ככל הנראה, מהרצון לאפשר למשתמשים לעדכן את המוצרים שברשותם מבלי לסכנם.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.
התקפות ואיומים
נוזקה חדשה בשם Electron Bot מאפשרת שליטה על חשבונות ברשתות חברתיות כדי לקדם נכסים דיגיטליים
הנוזקה, שהתגלתה לאחרונה על ידי חברת Check Point, מאפשרת לתוקף להשתלט על מערכת הקורבן בעזרת Backdoor ולהשתמש באמצעות בוט במדיות המותקנות במכשירו. כך, למשל, יכול התוקף לשלוט במשתמש הפייסבוק של הקורבן ולהזרים לחיצות על מודעה מסוימת לשם הפקת רווח (Click fraud), לצפות בתכנים, לכתוב תגובות, ללחוץ ״לייק״ לעמודים ולתכנים ב-YouTube, ליצור משתמשים חדשים, להעלות דירוגים של מוצרים ברשת ועוד. הבוט עוצב באופן המאפשר לו להתנהג כמשתמש לגיטימי, לרבות שימוש בעכבר ובמקלדת, כאשר בקוד הנוזקה ניתן הערך המירבי לקידום נכסים דיגיטליים בבולגריה. Electron Bot מופצת באמצעות אפליקציות המצויות בחנות האפליקציות של מיקרוסופט ומסוות עצמן כתוכנות לגיטימיות, כאשר החוקרים, למשל, ביצעו את מחקרם על תוכנה המתחזה למשחק הפופולרי Temple Run. כשמשתמש מוריד את המשחק למכשירו, הוא אכן מורץ כצפוי, אך במקביל רץ ברקע הקוד הזדוני של התוקף. בעת ההרצה האפליקציה יודעת לזהות אם מותקנת בעמדה תוכנת אנטי-וירוס נוספת על ה-Microsoft Defender, ובמידה שכן היא עוצרת את שלב ההדבקה השני (הורדת הנוזקה אל המחשב), על מנת שהתוקף ישמור על דירוג גבוה של האפליקציה בחנות האפליקציות. עד כה נתקפו בנוזקה כ-5,000 מכשירים, רובם משוודיה, בולגריה, רוסיה, ברמודה וספרד. למרות שלאחר ש-Check Point דווחה על ממצאיה למיקרוסופט והאפליקציות הורדו מהחנות במהרה, הן מופצות גם בדרכים אחרות. את ניתוח הנוזקה המלא ואת רשימת האפליקציות שזוהו כזדוניות ניתן למצוא כאן.
צוות קונפידס ממליץ להימנע מהורדה של תוכנות בעלות מספר קטן של ביקורות או הורדות, ולחפש תוכנות מאושרות, בעלות מספר גבוה של הורדות, הנושאות את שמו המקורי של המוצר.
החוקרים זיהו קמפיין תקיפה של קבוצת APT המכוון נגד ארגונים בארצות הברית ממגזרים רבים, לרבות ספקים בטחוניים אמריקאיים, ומנצל חולשות ב-Zoho ManageEngine ADSelfService Plus וב-ServiceDesk Plus. הקמפיין, שקיבל את הכינוי TiltedTemple, כולל שימוש בנוזקה המאפשרת לתוקפים לגשת למערכת הקורבן ולשמר בה אחיזה לאורך זמן באמצעות שתי דלתות אחוריות, השנייה מביניהן, SockDetour, קשה יותר לאיתור ומשמשת חלופה למקרה בו הדלת הראשונה תאותר על ידי כלי הגנה. הדלת האחורית השנייה מותקנת על ידי התוקפים על שרת FTP של NAS, שמרבים להשתמש בו עסקים קטנים. Palo Alto ממליצה לעדכן את השרתים הללו באופן תדיר, על מנת להתמגן מפני פעילות הקבוצה.
קבוצת תקיפה הפועלת בחסות הממשל האיראני תוקפת ארגונים ממשלתיים ופרטיים ברחבי העולם למטרות ריגול
מן האזהרה שפרסם ה-US-CERT (צוות החירום האמריקאי לטיפול באירועי מחשב) ביחד עם גופי ביטחון אחרים עולה כי התקיפות מכוונות כלפי רשתות ממשלתיות ומסחריות במגזרי התקשורת, ההגנה, השלטון המקומי, הגז והנפט באסיה, באפריקה, באירופה ובארצות הברית. מאחורי התקיפות עומדת קבוצת ה-ATP האיראנית MuddyWater, השייכת לרשות המודיעין והביטחון במדינתה, ומטרתה לגשת לרשתות ארגונים לשם גניבת מידע לטובת הממשל האיראני ומכירתו לשחקנים אחרים. על מנת להשיג גישה ראשונית לרשתות קורבנותיה, MuddyWater מנצלת חולשות ידועות ומשתמשת ב-Spear Phishing המתמקד בשכנוע הקורבן להוריד קובץ ZIP המכיל קובץ אקסל עם מאקרו, שמתקשר עם שרת השליטה מרחוק (C2) של התוקפים. לחלופין, קובץ ה-ZIP עשוי להכיל קובץ PDF, אשר עם פתיחתו יוצר קובץ זדוני על מחשב המשתמש. לאחר מכן הקבוצה מפיצה כופרה ומדליפה מידע השייך לארגון הנתקף, כאשר לביסוס אחיזה ברשתות היא משתמשת בטכניקות כמו זיוף קבצי DLL על מנת לשטות בתוכנות להריץ תהליכים זדוניים, ובשימוש באובפוסקציה על מנת למנוע זיהוי של תהליכים זדוניים על ידי מערכות הגנה. עוד משתמשת MuddyWater בסטים שונים של נוזקות לטעינת נוזקות נוספות, להטמנת Backdoors ולאקספילטרציה של מידע. למשל, קבוצת התקיפה משתמשת בווריאנט חדש של הנוזקה PowGoop לטעינת מערך הנוזקות שלה, כמו גם בקוד הקצר Small Sieve, הנכתב בשפת פייתון ומאפשר Backdoor לרשת המשתמש.
צוות קונפידס ממליץ למנהלי אבטחה בארגונים להזין במערכות ההגנה שלכם את ה-IOCs המופיעים בקישור זה.
נחשף קמפיין ריגול עולמי לתקיפת רשתות מוקשחות המיוחס לסין
חברת Broadcom Software חשפה את הקמפיין בו מופצת הנוזקה Daxin, במטרה לפגוע בממשלות ובתשתיות קריטיות בהן יש לסין אינטרס לחבל. לדברי צוות המחקר, הנוזקה היא בעלת רמת תחכום חסרת תקדים וישנן ראיות משמעותיות לכך שיש ביכולתה לאפשר לתוקף לבצע מספר רב של התקשרויות ולאסוף מידע אודות העמדה הנתקפת. זאת ועוד, על העמדות שנפגעו בקמפיין נמצאו כלים רבים המשויכים לקבוצות ריגול סיניות. Daxin מגיעה בתצורה של דרייבר ל-Windows, הפועלת ברמת Kernel. פורמט זה אינו שכיח במקרה של נוזקות, ובאמצעות יכולות התקשרות מתוחכמות עם שרת השליטה והבקרה (C2) של התוקפים - הנוזקה מסוגלת ״לחטוף״ חיבורי תקשורת לגיטימיים ולהשתמש בהם לתקשורת דו-כיוונית של קבלת פקודות ושליחת מידע מהתוקף ואל התוקף. באופן זה ניתן לעקוף חוקי Firewall מבלי לדעתם מראש, על ידי ״התלבשות״ על תקשורת לגיטימית שכבר מאושרת. מאפיין ייחודי זה של הנוזקה מאפשר לה לפעול מתחת לרדאר של מוצרי הגנה שונים. בעוד שהמתקפות האחרונות שבהן נצפה שימוש ב-Daxine אירעו בנובמבר האחרון, דגימתה הראשונה תועדה כבר ב-2013. מכיוון שכבר למן ההתחלה נצפו יכולותיה המתקדמות של Daxine, הסברה היא כי כבר אז עמדה מאחוריה קבוצת מפתחים בעלת מיומנות ויכולות בעלות בסיס מדיני. הניתוח המלא של הנוזקה מצוי בפרסום הרשמי של צוות החוקרים של Symantec, המהווה חלק מ-Broadcom Software.
חוקרי סייבר הצליחו לבנות שיבוט של Apple AirTag שעוקף את טכנולוגיית ההגנה מפני מעקב אחר המכשיר
Find My היא אפליקציית המעקב של Apple, המאפשרת למשתמשים לעקוב אחר מיקום ה-GPS של המוצרים iOS ,iPadOS ,macOS ,watchOS ,AirPods ו-AirTags, כמו גם של משתמשים אחרים שבחרו לשתף את מיקומם דרך חשבון ה-iCloud שלהם. כעת, חברת Positive Security מפרסמת שיצרה AirTag חמקני שיכול לעקוב בהצלחה אחר משתמש אייפון משך יותר מ-5 ימים מבלי להפעיל הודעת מעקב המובנית כחלק ממנגנון ההגנה של אפליקציית Find My. ברשומת בלוג שפרסמה החברה היא מפרטת כיצד ניתן לעשות זאת, במטרה להעלות את המודעות לנושא ולעודד את Apple לשלב את סיכוני ה-AirTags במודל האיומים שלה.
Axis Communications מפרסמת פרטים אודות מתקפת סייבר שהביאה לשיבוש חמור במערכותיה ולהשבתת חלק משירותיה
החברה השוודית המייצרת מצלמות רשת, מערכות בקרת גישה ומכשירי מעקב ברשת חוותה ב-20 בפברואר מתקפת סייבר שבעטייה חלק משירותיה עדיין אינם זמינים. לאחר חקירת האירוע בשיתוף עם מומחי סייבר, ובעיצומה של חזרה הדרגתית לאספקת שירותים קריטיים ללקוחות, החברה מודיעה כעת כי ״לא נמצאו שרתים מוצפנים, אך נמצאו תוכנות זדוניות ואינדיקציות לכך ששרתי קבצים פנימיים נפגעו [במתקפה].״ עוד נמסר כי לא נמצאה כל עדות לפגיעה במידע של לקוחות, וכי השלכות האירוע מוגבלות, ״מלבד המבוכה הכללית ואובדן התפוקה בזמן ניקיון השרתים והחזרת השירותים״. בהתבסס על ממצאי החקירה שפורסמו, נראה שהתוקפים השתמשו בהנדסה חברתית להשתלטות על חשבון של עובד בחברה ולכניסה למערכת מבלי להיחשף. בתוך כך, חברת Axis מדגישה כי הטמיעה כעת מנגנוני הגנה נוספים, להפחתת הסיכוי שטעות אנוש עתידית תשפיע משמעותית על אבטחת שירותיה.
מתווה תקיפה ייחודי המאפשר השבתת שירות רחבה תופס תאוצה בקרב תוקפים
מחקר משותף של האוניברסיטאות מרילנד וקולורדו מציג מתווה תקיפה המתבסס על ניצול חולשה במנגנוני ה-Content filtering ליצירת מתקפת DRDoS) Distributed Reflective Denial of Service). לפי פרסום של Akamai, השבוע זוהו עשרות תקיפות המבוססות על המתווה, כאשר במקרים מסוימים החברה דגמה לא פחות מ-1.5 מיליון פקטות בשניה (MPPs) הקשורות לתקיפה. מאחר והמתווה דומה מאוד לתקיפות ידועות מסוג SYN flood, מערכות ההגנה הרלוונטיות (WAF) אמורות לזהות אותו. ואולם ליתר ביטחון, Akamai ממליצה על הוספת חוקים ידניים מסוימים שימנעו את הצלחתה של התקפה אפשרית.
השבוע בכופרה
חברת NVIDIA חווה מתקפת סייבר - ומגיבה במתקפת נגד; חשש לדליפת מידע רגיש
קבוצת התקיפה $LAPSU, הפועלת מדרום אמריקה ואינה מתבססת על הצפנת קבצים אלא על גניבת מידע מחברות וסחיטתן, טוענת כי הצליחה לפרוץ לרשת הארגונית של יצרנית כרטיסי המסך המובילה ולגנוב ממנה מידע רגיש. מנגד, נראה כי עלה בידיה של NVIDIA לפרוץ אל מערכות קבוצת התקיפה ולהצפין את המידע שנגנב. למרות זאת, לטענת התוקפים הם מחזיקים בגיבויים למידע הרגיש, הכולל פרטים על טכנולוגיות חדשות וסודיות ש-NVIDIA פיתחה, בהן LHR שנועד למנוע כרייה של מטבעות קריפטוגרפיים. פרסום מידע זה עלול להוביל לפיתוח דרך לעקיפת הטכנולוגיה החדישה. בכיוון השני, הפריצה של NVIDIA למערכותיה של $LAPSU התאפשרה, ככל הנראה, בשל העובדה שה-VPN המשמש עובדים להתחברות לרשת הארגונית דורש מהמשתמשים לרשום את מכשירם במערכת ניהולית (MDM) המעניקה למנהליה שליטה מלאה על עמדה רשומה (זוהי, אגב, אותה הדרך בה $LAPSU התחברה אל הרשת של NVIDIA). בתגובה להתקפת הנגד, $LAPSU פרסמה את כל הסיסמאות וה-NTLM Hashes של עובדי NVIDIA, ואיימה כי תפרסם מידע סודי נוסף אם החברה לא תענה לדרישת הכופר ולדרישה נוספת: להפוך את קוד המקור של הדרייברים שלה לקוד פתוח, על מנת שמשתמשי המוצרים יוכלו להסיר את מגבלת העיבוד הקיימת בהם. בתוך כך, $LAPSU מאיימת כי תהפוך בעצמה את כל טכנולוגיית כרטיסי המסך שלה לפרויקט Open-source על ידי הדלפתה, דבר אשר יאפשר לכל המעוניין לנצל את הקוד לצרכיו. NVIDIA אישרה מצדה כי הותקפה, אך לא מסרה פרטים רבים על האירוע. קבוצת התקיפה $LAPSU עלתה לכותרות לראשונה במתקפה על הממשל הברזילאי בדצמבר האחרון, במהלכה נגנבו כ-50TB של מידע.
טויוטה יפן עוצרת את הייצור במפעלים עקב מתקפת סייבר על ספקית; צפוי עיכוב בייצור 13,000 רכביםיצרנית הרכב היפנית הודיעה ב-28 בפברואר על הפסקת פעילות מפעליה למשך יממה, דבר אשר השפיע משמעותית על פס הייצור. בתוך כך, דבר התקיפה אושר על ידי ספקית רכיבי הפלסטיק Kojima, אשר לפי מקור המקורב לחברה עוסקת כעת בהערכה של הנזק שנגרם.
קנדה: חברה ממגזר הבריאות נתקפה בו-זמנית על ידי שתי קבוצות כופרה ידועות
חברת הגנת הסייבר Sophos חשפה כי ספקית שירותי בריאות קנדית נפגעה בתחילת דצמבר האחרון על ידי קבוצת הכופרה Karma, ולאחר מכן על ידי קבוצת הכופרה Conti. בעוד ש-Karma הסתפקה בגניבת הקבצים, וכפי שהסבירה בקובץ דרישת דמי הכופר לא השתמשה בהצפנה מאחר ומדובר בארגון ממגזר הבריאות. בתקיפתה של Conti, שהתרחשה במקביל, המידע נגנב והוצפן כאחד. שתי הקבוצות חדרו לארגון בדרך זהה, על ידי ניצול חולשה בשרת Microsoft Exchange שלא היה מעודכן ושימוש ב-ProxyShell לקבלת גישה והנחת כלים ברשת.
מבטחת המשנה וברוקרית הביטוח העולמית Aon חוותה מתקפת סייבר
מן החברה נמסר כי האירוע, שהתרחש ב-25 בפברואר, פגע במספר מצומצם של מערכות, וכי היא עדיין נמצאת בשלבים ראשוניים של הערכת השפעת המתקפה על תפקודה. נכון לשעה זו לא נמסרו פרטים נוספים על האירוע, אך נראה שעל פי המידע המצוי בידי החברה היא אינה צופה שהוא ישפיע עליה כלכלית.
סייבר בישראל
מערך הסייבר הלאומי קיים תרגיל נרחב בתחום האנרגיה
התרגול המקיף שהובילו מערך הסייבר ומשרד האנרגיה התקיים ב-28 בפברואר בהשתתפות גופי האנרגיה, המים והתשתיות, יחידות פרטיות המספקות חשמל, בתי זיקוק, חברות הפקת גז טבעי וגורמים נוספים. התרגיל, בו לקחו חלק ראש מערך הסייבר הלאומי גבי פורטנוי ומנכ״ל משרד האנרגיה ליאור שילת, ודימה מתקפת סייבר על משק האנרגיה בעלת השפעות מיידיות וארוכות טווח, וכלל גם דיון וקבלת החלטות הנוגעות למקרה חירום בתחום הסייבר. בתוך כך, ב-2 במרץ חתם מערך הסייבר הלאומי על שני הסכמים עם המחלקה לביטחון המולדת של ארצות הברית (DHS), במטרה להעמיק את שיתוף הפעולה בין המדינות בתחומי הגנת הסייבר והטכנולוגיות המתפתחות. מטרת אחד ההסכמים היא לקדם טכנולוגיות חדישות להגנת סייבר, לחזק את שיתוף המידע בתחום ולהוביל חילופי מומחים לזיהוי ולצמצום סיכונים לטכנולוגיות מתפתחות, כגון בינה מלאכותית, מחשוב קוונטי, הצפנה, ניווט ושימושי לוויין. ההסכם השני שנחתם הוא מזכר הבנות בין מערך הסייבר הלאומי למינהל אבטחת התחבורה האמריקאי (TSA), שנועד לקדם במגזר התחבורה את מאמצי שיתוף הפעולה בתחום הגנת הסייבר, בדגש על ביטחון מגזר התעופה האזרחית. המזכר כולל הסכמות אודות שיתוף מידע, מודיעין ואיומים, תקנים ומתודולוגיות, מחקרים ותרגילים משותפים ומחקר ופיתוח. שני ההסכמים מצטרפים להסכם קיים בתחום הביומטריה, עליו חתם מערך הסייבר לפני כשנה וחצי מול המשרד לביומטריה וזהות ב-DHS.
המלחמה במזרח אירופה
שימוש בכוח נאט"ו במרחב הסייבר: סיוע אפשרי לאוקראינה?
מימד הסייבר מהווה חלק אינטגרלי מהמלחמה בין רוסיה לאוקראינה: שתי המדינות מחזיקות בכלי נשק סייברים, וגורמים נוספים - מדינתיים ושאינם מדינתיים - פועלים אף הם באמצעות כלים כאלה במסגרת העימות. מלבד זאת, קיימות הערכות לפיהן בשלב כלשהו של המלחמה נאט"ו עשוי להתערב, במסגרת סמכויותיו כארגון אזורי שנועד לספק הגנה קולקטיבית על המדינות החברות בו. למרות שאוקראינה אינה חברה בנאט"ו, הארגון התכנס זה מכבר על מנת לדון בצעדים שבסמכותו לנקוט, כאשר עוד בספטמבר 2014 הבהיר שסעיף 5 של אמנת נאט"ו, המסמיך את הארגון להגן על המדינות החברות בו במקרה של מתקפה פיזית, יופעל גם בהתרחש מתקפת סייבר. אי לכך, מתקפה רוסית על אחת מהמדינות החברות בנאט״ו תאפשר לארגון להגיב - גם במישור הפיזי וגם במרחב הסייבר.
נוזקת ה-Wiper, שעל איתורה הודיעה חברת אבטת המידע ESET בציוץ בחשבון הטוויטר שלה, משמשת תוקפים לניסיונות פגיעה במערכות המחשוב של ארגונים באוקראינה, ועלולה להוות איום ישיר על פעולותיהם היומיומיות של ועל זמינותם הנכסים הקריטיים שלהם. בעקבות ההודעה, הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) המליצה לארגונים להגביר את ערנותם ואת מוכנותם נוכח האפשרות של זליגת הנוזקה לארגונים מחוץ לאוקראינה. בהמשך לכך, מערך הסייבר הלאומי של ישראל פרסם עדכון בנושא והמלצה לחסימה ולמעקב אחר מזהים שנמצאו קשורים לנוזקה.
האקרים בלארוסיים ביצעו מתקפות פישינג בחסות ממשלתית נגד אנשי הצבא האוקראיני
מהודעה שפרסם מערך הסייבר האוקראיני (CERT-UA) בפייסבוק ב-25 בפברואר עולה כי קמפיין פישינג נרחב הופעל נגד הכתובות i.ua ו-meta.ua, השייכות לצבא האוקראיני. עוד נכתב בהודעה כי לאחר שהקורבן נופל במלכודת הדיוג, התוקפים מקבלים גישה לכל ההתכתבויות שלו באמצעות פרוטוקול IMAP, ולאחר מכן שולחים הודעות פישינג נוספות לכתובות המצויות ברשימת אנשי הקשר שלו. ה-CERT-UA ייחס את הפעולות לקבוצת התקיפה UNC1151, שלדברי חברת Mandiant מקושר לבלארוס ומורכב מקצינים במשרד הביטחון הבלארוסי.
Anonymous: ״השבתנו את אתרי הממשל הרוסי״
שישה אתרים ממלכתיים רוסיים, לרבות אתר הקרמלין ומשרד ההגנה, היו מושבתים משך מספר שעות במהלך ה-25 בפברואר בעקבות מתקפת סייבר, כך על פי שמועות. גם ביום המחרת, חלק מהאתרים עדיין לא היו זמינים. לטענת קבוצת ההאקרים Anonymous, היא זו האחראית להשבתה. לדבריה, ״Anonymous מבצעת פעולות על מנת להמשיך ולהשבית את אתרי הממשל הרוסי כדי לשתף מידע עם העם הרוסי לשם שחרורו ממכונת הצנזורה הממלכתית של פוטין״. עוד הוסיפה הקבוצה כי היא עושה כל שביכולתה לשמירה על גישתם של אזרחי רוסיה לרשת האינטרנט. הקרמלין מצדו הכחיש כי האתרים הושבתו בעקבות תקיפה.
סגן ראש ממשלת אוקראינה קורא להצטרפות ל״צבא ה-IT״ של מדינתו
מיכיילו פדרוב, המכהן גם כשר הטרנספורמציה הדיגיטלית של אוקראינה, קרא בציוץ בטוויטר לבעלי מיומנויות דיגיטליות להצטרף לצבא ה-IT שבונה ממשלתו, בציינו כי יהיו די משימות עבור כולם. עוד הוסיף כי כל המשימות יפורסמו בערוץ טלגרם ייעודי, וכי המשימה הראשונה כבר מופיעה בו. בציוץ אחר פנה השר לאיילון מאסק בבקשה לחבר את אוקראינה לשירותי האינטרנט הלוויני המהיר ״סטארלינק״ שבבעלותו, על מנת למנוע מרוסיה לנתק את אוקראינה מהאינטרנט במהלך הפלישה. בתגובה השיב מאסק כי שירותי האינטרנט ״סטארלינק״ הופעלו באוקראינה.
מהדוח של מחלקת המחקר של החברה עולה כי בשלושת הימים הראשונים ללחימה עלה היקף מתקפות הסייבר על אוקראינה ב-198%, בעוד שבמתקפות הסייבר המכוונות כלפי רוסיה נרשמה עלייה של כ-4% בלבד. עוד נמדדה עלייה של פי 7 בכמות מיילי הפישינג הכתובים באוקראינית וברוסי,ת ונמצא כי בחמשת השבועות האחרונים מיילים זדוניים בשפות הללו היוו כ-12% מסך כל המיילים מסוגם. מגמה נוספת שזיהו החוקרים היא ניצול המצב באוקראינה להפצת מיילים זדוניים המבקשים מקורבנותיהם להעביר ״תרומות״ למען נפגעים מקומיים באמצעות שליחת כספים לארנקי קריפטו, במקום לארגונים מוסמכים ורשמיים.
ה-FBI וה-CISA מתריעות: סבירות גבוהה למתקפות נגד ארגונים אוקראינים
לשכת החקירות הפדרלית והסוכנות לאבטחת סייבר ותשתיות של ארצות הברית מתריעות מפני תוקפים שמטרתם לפרוס נוזקות במערכותיהם של גופים אוקראיניים על מנת לשבש את פעילותם היומיומית ולמנוע גישה לנכסיהם הקריטיים. פרסומם של הארגונים האמריקאיים כולל גם המלצות ואסטרטגיות אפשריות להתגוננות מפני המתקפות האמורות. עוד פרסמה ה-CISA מסמך המתעדכן תדיר בהנחיות טכניות להגנה על ארגונים ופרטים אודות פעילויות סייבר זדוניות נוספות שעלולות להשפיע על אוקראינה.
מחלקת המבצעים המיוחדים של רוסיה נפרצה על ידי כוחות סייבר של אוקראינה
חיילי הסייבר האוקראינים פרצו לרשת המחשבים של ה-FSB הרוסי, אשר פעל על אדמתם, והורידו מידע אודות 171 חברי היחידה, שינו נתוני חשבונות פיננסיים ופרסמו תמונות פנימיות מבתי השימוש של מתקני היחידה. עוד פרסמו ההאקרים צילומי מסך המוכיחים כי השיגו גישה למערכת החשבונאות המשמשת את היחידה הרוסית, כמו גם מסמכים נוספים.
Anonymous לא עוצרת: טוענת שפרצה לרשת הרכבת הבלארוסית כדי לפגוע בפריסת הכוחות הרוסיים
קבוצת ההאקרים טוענת כי פגעה ברשת הפנימית של מסילות הברזל של בלארוס וחסמה את כל שירותיה, וכי לא תבטל את החסימה עד שהחיילים הרוסים יעזבו את שטח המדינה. על ידי האטת מערך הרכבות ואילוצו לעבור לפעולה באמצעות שליטה ידנית, Anonymous מקווה להעניק לאוקראינים שהות להדוף את המתקפה הרוסית. בתוך כך, נרשמו שיבושים בגלישה לאתרי האינטרנט של הרכבת, אך יצויין כי ההפרעה לתחבורה אינה מסכנת את אוכלוסיית המדינה. השבוע פתחה Anonymous במלחמה נגד רוסיה ונגד מדינות התומכות בפעולה צבאית באוקראינה, כאשר עד כה גנבה מיילים בנפח של כ-200GB מיצרנית הנשק הבלארוסית Tetraedr, אשר סיפקה תמיכה לוגיסטית לנשיא רוסיה ולדימיר פוטין במהלך הפלישה לאוקראינה.
הודלפה תקשורת פנימית של קבוצת הכופרה Conti, אשר תומכת בפלישה הרוסית ומזהירה את ארה״ב לבל תתערב
חוקר אבטחת המידע האוקראיני ויטלי קרמז, העוקב בשנים האחרונות אחר פעילות כנופיית הסייבר, הדליף התכתבויות פנימיות בין חברי הקבוצה בנפח של כ-1TB. המידע שדלף חושף חוקרי אבטחת מידע ואת רשויות החוק למידע רגיש מאוד אודות Conti, אשר הביעה סולידריות עם פעילותה של רוסיה על אדמת אוקראינה. ואולם, לאחר הבעת ההזדהות, Conti פרסמה ״פוסט תיקון״ בו צוין כי חברי הקבוצה אינם תומכים בצד זה או אחר בקונפליקט, אך יפגעו קשות בתשתיות קריטיות של ארצות הברית, במידה וזו תבחר להתערב בעימות במזרח אירופה. דלף המידע של Conti, המעסיקה עובדים רבים, מספק הצצה נדירה לצורת העבודה של הכנופייה הידועה.
אוקראינה ביקשה מ-ICANN להטיל על ה-DNS הרוסי סנקציות שיביאו להשבתת האינטרנט במדינה
נציג אוקראינה ב-Internet Council for Assigned Names and Numbers פנה -28 בפברואר אל נשיא הארגון בבקשה להטיל סנקציות על רוסיה באמצעות חסימת הדומיינים העיליים ru ,su ו-рф וביטול תעודות ה-SSL שלהם, פעולות שפירושן השבתת האינטרנט הרוסי. זאת ועוד, הנציג האוקראיני ביקש מהארגון להשבית את גם ארבעת שרתי ה-DNS Root הממוקמים ברוסיה. בתגובה, ה-RIPE NCC (רשם האינטרנט האזורי) השיב מטעם ה-ICANN כי הארגון מאמין שאין לפגוע בדרכי תקשורת בעקבות סכסוכים פוליטיים או מלחמות וכי עליו להישאר נייטרלי ולא לקחת צד בסכסוכים.
סקירה: רכיבי סייבר בקונפליקט המתמשך בין רוסיה ואוקראינה
מוקדם בבוקר ה-24 בפברואר כוחות רוסים יזמו פעולה התקפית נגד מטרות מרובות ברחבי אוקראינה. פלישה זו ייצגה את שיא העימות שהתגבש בחודשים האחרונים, על רקע סכסוך שנמשך עוד מ-2014 וכולל מספר רכיבי סייבר מעניינים, בהם אירועי ה-CyberBerkut ב-2011 סביב הבחירות באוקראינה, תקרית הסייבר ב-2015 שפגעה באתרי הפצת חשמל אוקראינים, אירוע ה-Industroyer/CrashOverride ב-2016, שהתמקד בפגיעה באספקת החשמל האוקראינית, והתקרית ההרסנית של NotPetya ב-2017, אשר ככל הנראה תוכננה להתמקד במוסדות אוקראינים, אך השפיעה על ארגונים רבים ברחבי העולם. האמור לעיל מייצג רק את האירועים המרכזיים, שהתרחשו לצד קמפיינים נפוצים ומתמשכים הקשורים לישויות רוסיות, מקמפייני דיוג ועד לאירועי הפרעה תקופתיים, כגון תקריות מניעת שירות מבוזרות (DDoS). על רקע זה, אנליסטים ופרשנים ציפו למרכיב סייבר בולט שילווה את הלחץ ההולך וגובר של רוסיה במהלך הפלישה לאוקראינה בתקופה שמסוף 2021 ועד לפברואר 2022, אך ההשפעות החזויות לא התממשו באופן מהותי. במקום "שריפות סייבר" להפלת רשתות תקשורת, שירותים חשמליים או מערכות הגנה אוויריות, האירועים היחידים הידועים או הבולטים במערכה בחודשים האחרונים כללו אירוע של הכופרה WhisperGate, אשר תופעלה בינואר 2022 בסמוך לאירועי DDoS והשחתה שהתמקדה בממשל ובמוסדות פיננסיים באוקראינה, ואירועי DDoS נוספים ב-15-16 בפברואר, ששוב התמקדו בממשל ובארגונים פיננסיים באוקראינה. אירוע WhisperGate נוסף התרחש רגע קט לפני הפלישה, וכוון לגורמים שונים באוקראינה, בליטא ובלטביה, במקביל לסבב נוסף של פעילות DDoS. למרות שאירועים אלה בהחלט מדאיגים, קשים ומפריעים, נראה שהם נופלים משמעותית בהיקפם ובהשפעתם מתקריות סייבר שנרשמו בעבר באוקראינה. למרות האמור לעיל, אין להתעלם מהאפשרות של "טעות מפעיל" מצד הרשויות ברוסיה או בתזמון שגוי של האירועים. כך או כך, עד כה נראה כי ייתכן שתוכננו פעולות סייבר להגברת השפעות הפלישה, לזריעת בלבול, לפגיעה בתקשורת ולהסבת סבל גדול יותר לעם האוקראיני, אך מסיבות שונות תכניות אלה לא התממשו. מכאן עולה כי אין לראות בכלי הסייבר ״נשק קסמים״, אלא רכיב אחד של פעולות תוקפניות כוללות, הדורשות תיאום בין גורמים שונים למיקסום יעילותן. בהקשר של פעולות הסייבר הרוסיות באוקראינה בעת האחרונה, נראה שתזמון מוצלח יותר או תכנון ותיאום טובים יותר יכלו על נקלה להעצים את השפעת האירועים לכדי תקריות מפריעות ומזיקות הרבה יותר.
סייבר ופרטיות - רגולציה ותקינה
הסנאט האמריקאי מקדם הצעת חוק פדרלית ראשונה שתחייב דיווח על אירוע סייבר
ב-1 במרץ הצביע הסנאט פה אחד על הצעת חוק שתחייב חברות בארצות הברית בעלות תשתיות קריטיות לדווח על אירוע סייבר למחלקה לביטחון המולדת (DHS) תוך 72 שעות. הצעת החוק, המכונה Strengthening American Cybersecurity Act of 2022, כוללת מספר יוזמות חקיקתיות שבעבר לא צלחו, והיא קובעת, בין היתר, שבמקרה של העברת תשלום כופרה לתוקפים - יש לדווח על כך תוך 24 שעות. הצעת חוק תקדימית זו גובשה על רקע מתקפות הסייבר הרבות שחוות חברות אמריקאיות, כמו גם החשש מפני מתקפות נוספות במסגרת המלחמה בין רוסיה לאוקראינה. גרי פיטרס, יושב ראש ועדת הסנאט לביטחון המולדת, שיבח את שתי המפלגות, הדמוקרטית והרפובליקנית, על תמיכתן בהצעה, ואמר כי הוא סבור ״שהדבר חשוב במיוחד כרגע, מכיוון שאנו עומדים בפני סיכון מוגבר להתקפות סייבר מצד רוסיה ומצד פושעי הסייבר להם היא נותנת מחסה - כנקמה על תמיכתנו באוקראינה". הצעת החוק תוגש בקרוב להצבעה בבית הנבחרים, ולאחר מכן היא צפויה להיחתם על ידי הנשיא ג׳ו ביידן.
הסוכנות להגנת סייבר של האיחוד האירופי מעדכנת את מסמך המסגרת להגנת סייבר
במהלך חודש פברואר עדכנה ENISA את המסגרת הכלל-אירופית להגנת הסייבר שמספקת רשת מוקדי החירום המכונים CSIRTs. מכיוון שמטבעם אירועי סייבר חוצים גבולות לאומיים ותגובה אפקטיבית להם מחייבת שיתוף פעולה, המסגרת נועדה לשפר את היכולת הגלובלית לנהל אירועים כאלה ולהגיב להם בזמן אמת, תוך התמקדות ב-CSIRTs במדינות האיחוד ובאיזורים נוספים. בין היתר, המסגרת המעודכנת מתבססת על הדירקטיבה האירופית מ-2016 בנושא הגנת רשתות ומידע (ה-NIS) ועל חוק הגנת הסייבר (ה-Cybersecurity Act) של האיחוד האירופי משנת 2019.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.