דו״ח סייבר שבועי
עדכון שבועי 07.01.2021
עיקרי הדברים
-
חברת המנועים Kawasaki Heavy Industries נפגעה ממתקפת סייבר
-
חברות Adobe מודיעה על סיום ההפצה והתמיכה ב-Flash Player
-
הבית הלבן מודיע על תוכנית לאומית להגנת סייבר במגזר הימי
-
שלוש רשויות ישראליות ממליצות לאמץ זכות לניוד מידע בדין הישראלי
-
אנו ממליצים לעדכן את המערכות הבאות: דפדפן גוגל כרום, דפדפן מוזילה, מכשירים של חברת Zyxel, מוצרי TP-Link.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
פרצה ביותר מ-100 אלף מכשירים של חברת Zyxel
פגיעות קריטית במוצרי TP-Link, עד כה ללא עדכון
התקפות ואיומים
באג ב-Google Docs אפשר גניבת צילומי מסך
חברת המנועים Kawasaki Heavy Industries נפגעה ממתקפת סייבר
ציוד מסוג ADC של Citrix עלול לשמש לביצוע מתקפות DDoS
האקר מוכר מסדי נתונים של 26 חברות
נחשפו רשומות הסלולר של לקוחות T-Mobile
נוזקה חדשה כורה מטבעות וירטואליים
השבוע בכופרה
קבוצת התקיפה הסינית APT27 מתמקדת במתקפות כופרה
שנה חדשה, כופרה חדשה
סייבר בעולם
מיקרוסופט מעדכנת את הציבור אודות חקירה פנימית של התהליך Solorigate
מפעילת הסלולר האיטלקית ho. Mobile מאשרת שחוותה תקיפת סייבר
Adobe מודיעה על סיום ההפצה והתמיכה ב-Flash Player
סייבר ופרטיות - רגולציה ותקינה
הממשל הפדרלי האמריקאי הקים צוות משימה לטיפול במתקפות ה-SolarWinds
הבית הלבן מודיע על תוכנית לאומית להגנת סייבר במגזר הימי
שלוש רשויות ישראליות ממליצות לאמץ זכות לניוד מידע בדין הישראלי
כנסים
הציטוט השבועי
״התוכנית הלאומית להגנת סייבר ימי מאחדת משאבי הגנת סייבר הימיים, את בעלי העניין והיוזמות הקיימות למתן מענה אגרסיבי לאיום במרחב הסייבר הימי בטווח הקרוב, והיא משלימה לאסטרטגיה הלאומית לביטחון הימי.״
הצהרה של היועץ לביטחון לאומי לבית הלבן רוברט סי או'בריאן בנוגע לתכנית הסייבר הלאומית הימית
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
פרצה ביותר מ-100 אלף מכשירים של חברת Zyxel
הפרצה, שהתגלתה לאחרונה, רלוונטית ל-Firewalls, ל-VPN Gateways ול-AP Controllers בדגמים מסוימים של החברה, ומתבטאת בקיומו של חשבון מובנה ברמת מנהלן, אשר עלול להיות מנוצל על ידי תוקפים לצורך קבלת הרשאות Root במכשיר. שמו של החשבון הוא zyfwp והסיסמה אליו שמורה על המכשירים ב-Plain Text.
המכשירים הפגיעים הם:
סדרת ATP - קושחה ZLD V4.60
סדרת USG - קושחה ZLD V4.60
סדרת USG Flex - קושחה ZLD V4.60
סדרת VPN - קושחה ZLD V4.60
NXC2500
NXC5500
לשם התמודדות עם הפרצה, אנו ממליצים: (1) לבחון ולהתקין בהקדם את עדכוני האבטחה ZLD V4.60 Patch1 הזמינים באתר החברה עבור סדרות המוצרים ATP, USG, USG Flex ו-VPN (על פי פרסומי החברה, מוצרים אלה המבוססים על גרסאות קושחה הקודמות לגרסה 4.60, או עושים שימוש ב-SD-OS, אינם פגיעים). (2) לעקוב אחר פרסומי החברה, לקראת פרסום עדכון אבטחה עבור סדרת מוצרי NXC, הצפוי להתפרסם באפריל 2021. לכשיצא, מומלץ לבחון אותו ולהתקינו. (3) לוודא כי ממשקי הניהול של הארגון, ובפרט ממשק הניהול מבוסס ה-Web, אינם נגישים מרשת האינטרנט.
פגיעות קריטית במוצרי TP-Link, עד כה ללא עדכון
על פי פרסום החברה, הפגיעות מתבטאת בהגדרות לא נכונות בממשק האינטרנטי של חלק ממוצריה, המאפשרת חשיפת סיסמאות של משתמשי המכשיר. בכך, הפגיעות מאפשרת לתוקף גישה מלאה לניהול המכשיר כאדמיניסטרטור. נכון לרגע זה, לא פורסם עדכון אבטחה לסגירת החולשה.
אנו ממליצים לבעלי מוצרי TP-Link לבדוק האם המכשירים שברשותם פגיעים, ובמידה וכן - לעקוב אחר פירסומי היצרן בדבר עדכוני אבטחה.
התקפות ואיומים
באג ב-Google Docs אפשר גניבת צילומי מסך
הבאג אותר על ידי Sreeram KL, חוקר אבטחת מידע הודי, במודול מתן משוב (Submit Feedback) המאפשר לשנות את ניתוב היעד של מקבל המשוב. התקיפה התאפשרה בשל היעדר הגדרת X-Frame-Options תחת הדומיין של Google Docs. לחוקר הוענק סכום של 3133 דולר עבור מציאת הבאג, כחלק מתוכנית ה-Google’s Vulnerability Reward Program.
חברת המנועים Kawasaki Heavy Industries נפגעה ממתקפת סייבר
השבוע הודיעה החברה היפנית כי בתחילת יוני זיהתה גישות לא מורשות לאתרה הראשי הממוקם ביפן, על ידי אתרים מרחבי העולם. הדיווח מגיע לאחר חקירה מעמיקה, שאחת ממסקנותיה היא שכל הנראה התבצע דלף של מידע פרטי של לקוחות וספקים. עוד מסרה החברה כי היא מצרה על העיכוב בדיווח, וכי תדווח על הממצאים לגורמים שייתכן ופרטיהם דלפו.
ציוד מסוג ADC של Citrix עלול לשמש לביצוע מתקפות DDoS
לאחרונה פרסמה החברה כי בציוד נעשה שימוש להגברת תעבורה במספר מתקפות מניעת שירות מבוזרות שהתרחשו ברחבי בעולם. ניצול ה-ADC לצורך התקיפה מתבצע באמצעות פרוטוקול DTLS (Datagram Transport Layer Security), שהינו גרסה של הפרוטוקול TLS, המשמש בתעבורת UDP.
חברת Citrix טוענת כי לא זיהתה חולשה בציוד המאפשרת את התקיפה, אך פועלת למציאת פתרון ועתידה לפרסם עדכון בתאריך 12 בינואר 2021, אנו ממליצים לעקוב אחר פרסומי החברה וליישם המלצות רלוונטיות במידה והנכם עושים שימוש במוצרים אלו.
האקר מוכר מסדי נתונים של 26 חברות
ההאקר, המכונה Shiny Hunter, מציע למכירה את מרכולתו, הכוללת פרטים אודות כ-360 מיליון משתמשים, בפורום ידוע לשמצה בדארקנט. בעוד שמרבית מסדי הנתונים שבידיו אינם מוצפנים כלל, חלקם ידרשו מהרוכשים לבצע פעולות שונות לחשיפת הטקסט המופיע בהם. בתוך כך, חלק מהחברות שמהן נגנבו מסדי הנתונים החלו בחקירת האירוע, בזמן שאחרות מכחישות את דבר הפריצה.
אנו ממליצים להירשם לאתר haveibeenpwned.com, השולח הודעה במייל לארגונים שמידע השייך להם נגנב (כולל פרטים אודות המידע שככל הנראה נחשף), זאת על סמך כתובת המייל עמה מתבצע הרישום. בהתקבל הודעה כזו מהאתר, תדרשו לשנות את הסיסמה לחשבון המייל שלכם.
נחשפו רשומות הסלולר של לקוחות T-Mobile
ענקית הסלולר העולמית פרסמה כי בפעם השנייה בתוך שנה הצליחו תוקפים לשים את ידיהם על ה-CPNI של החברה (Customer Proprietary Network Information), הכולל מספרי טלפון ורשומות שיחות, לרבות מועד השיחות, משכן והמספרים שאליהם בוצעו השיחות. מן החברה נמסר כי בתקיפה נפגעו רק 0.2% מתוך 100 מיליון לקוחותיה, וכי לא נחשפו פרטים כגון מספרי תעודות זהות, סיסמאות ומידע פיננסי.
נוזקה חדשה כורה מטבעות וירטואליים
הנוזקה, הכתובה בשפת Go בעלת מאפיינים של תולעת, התגלתה בתחילת דצמבר 2020, והיא מורידה את כלי כריית המטבעות XMRig לשרתי Windows ולינוקס. הנוזקה מפיצה את עצמה באמצעות מתקפת Brute Force על שירותים כגון MySQL ,Tomcat ,Jenkins ו-WebLogic בעלי סיסמאות חלשות.
לשם התמגנות מפני הנוזקה, אנו ממליצים: (1) להשתמש בסיסמאות חזקות. (2) להשתמש באמצעי זיהוי נוסף (2FA), כאשר הדבר מתאפשר. (3) לצמצם גישה לאינטרנט לשירותים כגון אלה המוזכרים לעיל. (4) להקפיד על התקנת עדכוני תוכנה. (5) להוסיף למערכות הרלוונטיות את המזהים המצוים בקובץ שפורסם על ידי מערך הסייבר.
השבוע בכופרה
קבוצת התקיפה הסינית APT27 מתמקדת במתקפות כופרה
לאחרונה חוו מספר ענקיות הימורים מתקפות כופרה על רשתתיהן, אשר בוצעו באמצעות תוכנות צד ג׳, שאליהן הושגה גישה דרך תוכנת צד ג׳ נוספת. בחקירת התקיפות התגלו, בין היתר, אינדיקטורים של קבוצת התקיפה APT27, אשר עד כה התמקדה בקמפיינים של ריגול רחבי היקף, וכעת נראה כי היא מרחיבה את כיווני פעולתה.
Babuk Locker, המתמקדת בארגוני Enterprise, היא הכופרה הראשונה לשנת 2021. בימים הספורים שעברו מאז תחילת השנה, כבר עלה בידה של הכופרה לרשום מספר קורבנות, כאשר על פי האתר BleepingComputer, טווח דמי הכופר המבוקש על ידי מפעיליה נע בין 60,000 ל-80,000 מטבעות ביטקוין. מבדיקה שביצע האתר עולה כל קובץ כופרה בו עשו התוקפים שימוש הוכן במיוחד עבור החברה הנתקפת, וכלל מכתב כופר ייחודי, Tor URL ייחודי וסממנים אינדיווידואליים נוספים. זאת ועוד, חוקר האבטחה Chuong Dong, שפרסם דוח אודות הכופרה, טוען כי Babuk Locker נכתבה על ידי חובבנים, אך עושה שימוש באלגוריתם ההצפנה היעיל Elliptic-curve Diffie–Hellman, אשר אינו מאפשר את שחזור הקבצים בחינם.
סייבר בעולם
מיקרוסופט מעדכנת את הציבור אודות חקירה פנימית של התהליך Solorigate
במסגרת החקירה, שמתבצעת על רקע הדיווח על פריצה ל-Solarwind, זיהתה החברה פעילות חשודה מצד משתמשים פנימיים בודדים, אחד מהם אף ניגש לחלקי קוד באפליקציות שונות. על פי דיווח החברה, לאותו משתמש לא היו הרשאות גבוהות, ועל כן לא היה באפשרותו לבצע שינוי תוכן בקוד או במערכות פיתוח אחרות. עוד מסרה החברה כי לא התרחשה זליגה לסביבת הייצור שלה או לשירותים ו/או מידע של לקוחות.
מפעילת הסלולר האיטלקית ho. Mobile מאשרת שחוותה תקיפת סייבר
על פי פרסום החברה, כמה ממאגרי המידע שלה, המכילים פרטים מזהים ותכונות טכנולוגיות של כרטיסי SIM המשויכים לחשבונות של לקוחותיה, נגנבו על ידי האקרים. לאחר שהמידע הועמד למכירה ונמכר בפועל בדארקנט, ho. Mobile הציעה ללקוחותיה להחליף את כרטיסי ה-SIM שברשותם בחינם, ואף הפצירה בהם לעשות כן, עקב החשש שהתוקף יבצע מתקפת SIM Swap וישתלט על מספרי הטלפון של הקורבנות.
Adobe מודיעה על סיום ההפצה והתמיכה ב-Flash Player
החל מה-31.12.2020 לא ניתנת תמיכה בכלי, היות ודפדפנים מודרניים מייתרים את הצורך בהתקנת תוסף צד ג׳, החשוף לפגיעויות. החל מה-12 בינואר תחסום Adobe את האפשרות להריץ קבצים ב-Flash Player.
אנו ממליצים להסיר את התוכנה מעמדות הקצה, שכן המשך השימוש בתוכנה שאינה נתמכת עוד עלול לחשוף את העמדה לתקיפות.
סייבר ופרטיות - רגולציה ותקינה
הממשל הפדרלי האמריקאי הקים צוות משימה לטיפול במתקפות ה-SolarWinds
ב-5 בינואר פורסמה על ידי ארבעת הארגונים הפדרליים הרלוונטיים - ה-ODNI, ה-NSA, ה-FBI וה-CISA - הודעה משותפת בדבר הקמת צוות ה-Cyber Unified Coordination Group, להתמודדות עם מתקפות הסייבר המכוונות כלפי תוכנת SolarWinds. עד כה קבע הצוות כי החקירות שבוצעו מצביעות על כך שאת התקיפות מבצע שחקן APT ("איום מתמשך מתקדם") שהוא "ככל הנראה רוסי במקורו". ההודעה מתייחסת לפגיעה בכ-18,000 לקוחות ממשלתיים ופרטיים של המוצר, ונמסר בה כי צוות המשימה נוקט, "בכל הצעדים הדרושים להבנת היקף הקמפיין המלא ולתגובה בהתאם."
הבית הלבן מודיע על תוכנית לאומית להגנת סייבר במגזר הימי
ב-5 בינואר הודיע רוברט אובריאן, יועצו של הנשיא טראמפ לביטחון לאומי, על פרסום התוכנית, שהיא הראשונה מסוגה בארה"ב. התכנית מגדירה יעדים אסטרטגיים להגנת סייבר במגזר, הכוללים, בין היתר, סיכוני סייבר וסטנדרטים רלוונטיים להגנת סייבר (כולל כאלה שיפותחו בהמשך על ידי ה-NIST), מנגנונים לשיתוף מידע הרלוונטי להגנת סייבר במגזר ופיתוח כוח אדם ממוקד, כנדרש. בנספחים לתוכנית קיימת התייחסות לתיאור הסביבה המבצעית ואיומי הסייבר במגזר הימי. להלן טבלת איומי הסייבר העיקריים במגזר, הכלולה בנספח C.
שלוש רשויות ישראליות ממליצות לאמץ זכות לניוד מידע בדין הישראלי
צוות עבודה משותף של הרשות להגנת הפרטיות, הרשות לתחרות והרשות להגנת הצרכן ולסחר הוגן ממליץ על אימוץ זכות כללית בדין הישראלי לניוד מידע (Data Portability) אישי של נושאי מידע. בנייר מדיניות שפורסם השבוע על ידי הצוות, מוסבר כי ההמלצה היא לגבש המשגה משפטית שתקבל יישום בחקיקה ובחקיקת משנה, באופן שבו הדין הישראלי יעניק לצרכן היחיד אפשרות לקבל אינפורמציה מדוייקת בנוגע למידע האישי שנאסף אודותיו על ידי גופים רלוונטיים. עוד ממליצות הרשויות שמימוש הזכות יבוצע באופן מקוון. להערכת הצוות, זכות לניוד מידע תשפיע באופן חיובי על הצרכן הפרטי בתחומי חיים רבים: "הזכות לניוד מידע מעניקה לצרכנים אוטונומיה ושליטה על המידע האישי שנאסף אודותיהם ומייצרת איזון ביחסי-הכוחות בין צרכנים לבין ספקי שירותים דיגיטאליים." הציבור מוזמן להעיר על נייר המדיניות עד ל- 24.1.2021.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.