עדכון שבועי 07.04.2022

עדכוני אבטחה למוצרי Apple נותנים מענה לחולשה ברמת חומרה גבוהה 

העדכונים סוגרים שתי חולשות עיקריות אשר תקפות, ככל הנראה, לכמה מוצרים; האחת (CVE-2022-22675, CVSS 7.5), שהינה ברמת חומרה גבוהה, רלוונטית ל-macOS ,iOS ,iPad ו-iPod ועלולה לאפשר לתוקף להריץ קוד על המכשיר בהרשאות מערכת גבוהות, ואילו השנייה (CVE-2022-22674, CVSS 3.1), שהינה ברמת חומרה נמוכה, רלוונטית למוצרי macOS. לדברי Apple, מדיווחים עולה כי ייתכן והחולשה הראשונה נוצלה על ידי תוקפים. 

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות:

• watchOS 8.5.1

• macOS Monterey 12.3.1

• iOS 15.4.1 

• iPadOS 15.4.1

• tvOS 15.4.1

​

עדכוני אבטחה ל-GitLab נותנים מענה לחולשות ברמות חומרה שונות, בהן אחת קריטית

העדכונים, הרלוונטיים למוצרים GitLab Community Edition ו-GitLab Enterprise Edition, סוגרים חולשה (CVE-2022-1162, CVSS 9.1) העלולה לאפשר לתוקף לנצל סיסמה שהוגדרה מראש ברמת הקוד (Hardcoded) עבור חשבונות הנרשמים ל-GitLab באמצעות שימוש בתוכנה צד ג׳ לביצוע אימות (כגון OAuth ,LDAP ו-SAML). עוד נסגרות בעדכונים שתי חולשות ברמת חומרה גבוהות, 9 חולשות ברמת חומרה בינונית ו-5 חולשות ברמת חומרה נמוכה.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות (14.9.2, 14.8.5 ו-14.7.7).

​

עדכון אבטחה ל-Firewall של Zyxel נותן מענה לחולשה קריטית

העדכון רלוונטי למספר מוצרי חומת אש של החברה, בהם גם ZyWALL, וסוגר חולשה (CVE-2022-0342, CVSS 9.8) העלולה לאפשר לתוקף לעקוף את מנגנוני האימות של מערכת ההפעלה של המכשירים ולקבל שליטה מלאה על המוצרים בהרשאות מנהל. החולשה, שטרם ידוע אם נוצלה בפועל, מצויה במוצרים הבאים:

• USG/ZyWALL - יש לעדכן לגרסה ZLD V4.71.

• USG FLEX - יש לעדכן לגרסה ZLD V5.21 Patch 1.

• Zyxel ATP - יש לעדכן לגרסה ZLD V5.21 Patch 1.

• Zyxel VPN - יש לעדכן לגרסה ZLD V5.21.

• Zyxel NSG - קיים עדכון זמני (Hotfix) בדמותה של גרסה V1.33p4_WK11. עדכון קבוע מתוכנן להתפרסם בחודש מאי.

צוות קונפידס ממליץ לבעלי המכשירים לעדכן את מערכות ההפעלה שלהם בהקדם.

​

עדכון אבטחה ל-Google Chrome נותן מענה לחולשת Zero-day ברמת חומרה גבוהה

העדכון לגרסה 100.0.4896.75 של המוצר רלוונטי למשתמשי Windows ,Mac ו-Linux וסוגר חולשה (CVE-2022-1232) מסוג Zero-day המצויה בספרייה V8 של JavaScript.  החולשה עלולה לאפשר לתוקף ליצור דף אינטרנט בעל מבנה ייחודי, שבמידה ויצליח לגרום לקורבן להיכנס אליו - יתאפשר לו לנצל חולשה מסוג Type Confusion להרצת קוד מרחוק על עמדת הנתקף.

צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו בהקדם לגרסתו האחרונה.

​

עדכון אבטחה ל-Rockwell Automation נותן מענה לחולשה ברמת חומרה גבוהה

החולשה (CVE-2022-1118, CVSS 8.6), שניצולה דורש אינטראקציה עם משתמשים, עלולה לאפשר לתוקף להריץ קוד זדוני מרחוק על ידי יצירת אובייקט זדוני מסודר שפתיחתו על ידי משתמש מקומי ב-Connected Components Workbench עשויה להביא להרצת הקוד. העדכון רלוונטי למוצרים הבאים:

• Connected Component Workbench - גרסאות v13.00.00 ומוקדמות יותר.

• ISaGRAF Workbench - גרסאות v6.0 עד v6.6.9.

• Safety Instrumented Systems Workstation - גרסאות v1.2 ומוקדמות יותר.

החברה ממליצה למשתמשים לעדכן את המוצרים לגרסה v20.00 או מאוחרות יותר, ובמידה והעדכונים אינם זמינים - לבצע פעולות מיטיגציה ידניות המפורטות בקישור זה. נוסף על כך, היא קוראת ליישום המלצות הסוכנות לאבטחת סייבר ותשתיות (CISA) לשם הקטנת החשיפה לחולשה. החברה פרסמה ללקוחותיה הודעה בנושא והדרכות תפעול המפורטות בקישור זה (יש צורך במשתמש מערכת לצפייה בהודעה).

​

עדכוני אבטחה קריטיים למוצרי חברת VMware

העדכונים נותנים מענה למספר חולשות אשר נמצאו במוצריה של החברה: חולשה (CVE-2022-22954, CVSS 9.8) המאפשרת לתוקף להחדיר נוזקה לתבנית צד שרת המקנה לו יכולת הרצת קוד מרחוק; חולשות (CVE-2022-229555, CVSS 9.8; CVE-2022-22956, CVSS 9.8) המאפשרות לתוקף לעבור את מנגנון האימות בכניסה לפלטפורמה ולבצע בה כל פעולה שיבקש; חולשות (CVE-2022022957, CVSS 9.1; CVE-202222958, CVSS 9.1) המאפשרות לתוקף בעל גישה אדמיניסטרטיבית למערכת לבצע דסריאליזציה של נתונים ובכך להריץ קוד מרחוק על מערכות הקורבן; חולשה (CVE-2022-22959, CVSS 8.8) המאפשרת לתוקף לבצע Cross-site request forgery, דבר שיכול לגרום לדפדפן לבצע פעולות שאינן רצויות ביישום אינטרנטי אליו מחובר המשתמש; חולשה (CVE-2022-22960, CVSS 7.8) המאפשרת הסלמת הרשאות בשל נוכחות הרשאות שאינן מותאמות בסקריפטים המשמשים לתמיכה במערכת; וחולשה (CVE-2022-22961, CVSS 5.3) המאפשרת חשיפת מידע מהמערכת. 

צוות קונפידס ממליץ למשתמשים במוצרי החברה לעדכנם לגרסאותיהם האחרונות, כדלקמן:

• VMware Workspace ONE Access - חשוב במיוחד עבור הגרסאות: 21.08.0.1, 21.08.0.0, 20.10.0.1, 20.10.0.0.

• VMware Identity Manager - vIDM - חשוב במיוחד עבור הגרסאות: 3.3.6, 3.3.5, 3.3.4, 3.3.3.

• Vmware vRealize Automation - vRA 

• VMware Cloud Foundation - חשוב במיוחד עבור הגרסאות: 4.X, 3.X ,8.X.

• vRealize Suite Lifecycle Manager

​

עדכון אבטחה למוצר ADAudit של ManageEngine נותן מענה לחולשה קריטית מסוג Unauthenticated Remote Code Execution 

מקורה של החולשה (CVE-2022-28219) בשרשור של חולשות XXE, Java deserialization ו-Path Traversal, והיא מאפשרת למנף אותן לקבלת יכולת להריץ קוד מרחוק ללא צורך באימות, ובכך להשיג אחיזה מלאה על תחנה פגיעה. החולשה נסגרת בעדכון מספר 7060, שפורסם על ידי החברה ב-30 במרץ.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהתאם להוראות היצרן. 

​

עדכון אבטחה למוצרי Citrix נותן מענה לחולשה ברכיב ה-Hypervisor

החברה, העוסקת בפתרונות למחשוב ענן ו-וירטואליזציה, דיווחה על מציאת חולשה (CVE- 2022-26357) ברכיב, העלולה לאפשר לקוד בעל הרשאות גבוהות המצוי על גבי מכונה וירטואלית להביא לקריסתו של המארח ו/או לחוסר תגובה מצדו. החולשה רלוונטית רק למערכות הכוללות מעבדים של חברת אינטל, ואינה משפיעה על לקוחות שלא הקצו התקן PCI פיזי למכונה וירטואלית.

צוות קונפידס ממליץ למשתמשי מוצרי Citrix להטמיע בהקדם האפשרי את התיקונים (Hotfix) הבאים: 

• עבור Citrix Hypervisor 8.2 יש להתקין את Hotfix XS82ECU1007.

• עבור Citrix Hypervisor 8.2 יש להתקין את Hotfix XS82E039.

• עבור XenServer 7.1 יש להתקין את Hotfix XS71ECU2073.

קבוצת התקיפה הצפון קוריאנית Lazarus שתלה באפליקציה לניהול ארנקים דיגיטליים קוד זדוני המאפשר שליטה מלאה בחשבונות

הקבוצה השתמשה באפליקציית DeFi כפלטפורמה להטמעת קוד זדוני המוסווה כקובץ של הדפדפן Google Chrome ואשר מעתיק ומשנה את קבצי התוכנה המקורית DeFi Wallet. לאחר השינוי, הקוד מריץ את האפליקציה כאפליקציית המקור והתוכנה הזדונית המושתלת שומרת בנתוניה את זהות הקורבן (נתוני רשת, אפליקציות, סיסמאות ועוד). בפרסום המלא של קספרסקי מצויינים IOCs של הנוזקה, אותם ניתן להזין במערכות הגנה לשם זיהויה. בתמונה להלן מופיע צילום מסך של האפליקציה הזדונית.

​

​

​

​

​

​

​

​

​

​

​

(מקור: Bank Info Security, 1.4.22)

​

חולשה בת 15 שנים העלולה לאפשר תקיפת שרשרת אספקה התגלתה ב-PEAR PHP

PEAR, או PHP Extension and Application Repository, הינה Framework ומערכת הפצה לרכיבי PHP. החולשה שנחשפה בה מאפשרת לגורמים זדוניים לבצע מתקפות על ידי השגת גישה לא מורשית לחשבונו של מפתח ופרסום גרסאות קוד המכילות קוד זדוני. זאת ועוד, החולשה אף מאפשרת השגת גישה לשרת ה-PEAR המרכזי. הבעיה המרכזית שנחשפה כעת בתוכנה, בה הותקן פיצ׳ר ה-PEAR ב-2007, נוגעת לשימוש בפונקציה לא מאובטחת של איפוס סיסמה, המכונה ( )mt_rand ומאפשרת לתוקף לגלות סיסמת איפוס תקינה תוך פחות מ-50 ניסיונות. תגלית זו הינה הפעם השנייה בפרק זמן של שנה בה נחשפת בעיית אבטחה בשרשרת האספקה ​​של PHP, כאשר בסוף אפריל 2021 נחשפו במנהל החבילות של Composer PHP חולשות קריטיות העלולות לאפשר לתקוף להריץ פקודות שרירותיות במערכת הקורבן.

​

משתמשי Trezor, המספקת חומרה לתחום המטבעות הדיגיטליים, נפלו קורבן למתקפת פישינג מתוחכמת הגונבת את כספם

במהלך השבוע החולף דיווחו משתמשי החברה כי קיבלו מייל מטעמה, כביכול, בהם נקראו להוריד אפליקציה זדונית הדומה לזו של Trezor ומשויכת לדומיין trezor[.]us, במקום לדומיין האמיתי של החברה, trezor.io. עם הכניסה לקישור הזדוני, התבקש הקורבן להכניס את קוד מפתח ה-Seed הפרטי שלו, פעולה אשר הביאה לגניבת כל כספיו הדיגיטליים אליהם מאפשרת הפלטפורמה גישה. מחקירת האירוע עלה כי בוצעה פריצה ל-Mailchimp, חברת צד ג׳ המספק פלטפורמת שיווק וניוזלטרים, כל זאת באמצעות ניצול של עובדיה בהתבסס על שיטות של הנדסה חברתית. בעקבות הפריצה התאפשר לתוקפים לשלוח מיילים בשם דומיינים של Trezor שאומתו. בתגובה, Trezor השביתה באופן מיידי את האתרים החשודים, פרסמה אזהרה ברשתות החברתיות בכל הנוגע למתקפה, ביקשה מלקוחותיה להפיץ את דבר הפישינג למקרוביהם ופרסמה הוראות הפעלה למזעור נזקים. החברה מפצירה במי שנפל קורבן למתקפה להעביר את כלל נכסיו לחשבון חדש ולשים לב לכל מייל חדש המגיע לתיבת הדואר שלו. עוד הבהירה שכל מי שרק הוריד את האפליקציה אך לא נכנס לחשבונו - כספו לא נגנב. בתמונה להלן מופיע צילום מסך של המייל הזדוני שקיבלו לקוחות החברה.

​

​

​

​

​

​

​

​

​

​

​

​

​

                                 (מקור: josearkaos@, 3.4.22)

​

ערכת הכלים החדשה Borat RAT מאפשרת שילוב בין מתקפות DDoS וכופרה

מחקר חדש של חברת Cyble חושף כי בניגוד לכלים קודמים מסוג (RAT (Remote Access Trojan, הכלי החדש מאפשר שילוב של מתקפות מניעת שירות (DDoS) וכופרה באמצעות דשבורד המרכז עבור התוקף את כלל הפעולות הזדוניות הניתנות לביצוע באמצעות הנוזקה. בבדיקה שערך מגזין אבטחת המידע BleepingComputer נמצא כי קובץ ה-exe של הכלי החדש הוא מסוג AsyncRAT, המאפשר גישה מרחוק לצרכי ניטור ושליטה על מחשבים דרך חיבור מוצפן, ולכן נראה כי כותב הנוזקה התבסס על כלי אחרון זה. בין הפעולות האפשריות לביצוע באמצעות Borat RAT (המפורטות גם בתמונות להלן) מצויות ניטור הקשות במקלדת הקורבן והעברת המידע לתוקף, הדבקת עמדות בווירוס כופרה והצפנת המידע המצוי בהן, לרבות יכולת לשחרר את הצפנת הקבצים, ביצוע מתקפות DDoS, הקלטת אודיו ו-וידאו, שליטה מרחוק, שימוש ב-Reverse proxy לשמירה על אנונימיות התוקף ועוד. Cyble ממליצה על הפעולות הבאות לשם הגנה על מחשבים מכלי התקיפה החדש:

• שימוש בסיסמאות חזקות בשילוב אימות דו-שלבי (2FA).

• הפעלת עדכון אוטומטי במחשבים ניידים ובמכשירים אחרים המחוברים לרשת.

• הימנעות מפתיחת קישורים וקבצים המצורפים למיילים לפני אימות מקורם.

• ביצוע גיבויים ושמירתם באמצעים שאינם מחוברים לאינטרנט. 

​

​

​

​

​

​

​

​

(מקור: Cyble, 31.3.22)

​

תוכנת ריגול זדונית חדשה התגלתה ב-Android

התוכנה הזדונית Process Manager, שהתגלתה על ידי Lab52, משתמשת בתשתית אירוח משותפת שנצפתה בעבר בשימוש קבוצת ה-APT הרוסית Turla, העוסקת בעיקר בריגול אחר מדינות באירופה ובארצות הברית. ואולם, בשלב זה אין די ראיות לייחוס התוכנה ל-Turla, ואף נראה שרמת התחכום שלה נמוכה ואינה תואמת את זו של הקבוצה הרוסית. בעת התקנתה של Process Manager, התוכנה מבקשת הרשאות רבות המאפשרות לה גישה לתכנים רגישים במיוחד, בהם מיקום, גישה למצלמה, ליומן השיחות וליומן אנשי הקשר, קריאה ושינוי של אחסון חיצוני, קריאה ושליחת הודעות SMS, הקלטת אודיו, הגדרות נעילת המסך ותפוגת סיסמת נעילת המסך, הגדרת ה-Proxy ועוד הרשאות רבות המסכנות את פרטיות המשתמשים. התוכנה מסווה עצמה באמצעות אייקון בצורת גלגל שיניים, כך שהיא נראית כחלק מאפליקציות המערכת, אך לאחר קבלת ההרשאות היא מסירה את האייקון ופועלת ברקע. בהמשך, התוכנה שולחת את המידע שאספה ממכשיר הקורבן לשרת שליטה ובקרה מרוחק (C&C). את הניתוח המלא של Process Manager, כולל רשימת IOCs, ניתן למצוא באתר חברת Lab52.

צוות קונפידס ממליץ למשתמשי Android לבדוק היטב את ההרשאות המוענקות לאפליקציות ולחסום אליהן גישה במידה ונראה שיש בהן סכנה לפרטיות. נוסף על כך, מומלץ לבדוק בסרגל ההתראות אם מופיעות אזהרות בנוגע להרשאות שניתנו לאפליקציות.

​

קבוצת סייבר הפועלת בחסות הממשלה הסינית תוקפת ארגונים ברחבי העולם באמצעות  נגן מדיה פופולרי  

חוקרים של חברת Symantec חשפו קמפיין סייבר זדוני ארוך טווח המכוון למטרות בעלות ערך גבוה, בהן ממשלות, מערכות משפט, מוסדות דת וארגונים פרטיים הנמצאים בטווח גיאוגרפי רחב, לרבות אירופה, אסיה וצפון אמריקה. הקמפיין, המיוחס לכנופיית הסייבר Cicada (או APT10) המזוהה עם הממשל הסיני ופועלת מזה 15 שנים, מצוי במעקב מאמצע 2021, ולמרות שהעדות האחרונה לפעילותו נרשמה בפברואר 2022, החוקרים מניחים כי עודנו פעיל. במסגרת הקמפיין נעשה שימוש בתוכנת VLC Media Player לטעינת נוזקות, ככל הנראה באמצעות שימוש ב-(RAT (Remote Trojan Horse וב-Sodamaster, תוכנה זדונית המאפשרת לתוקפים שליטה מרחוק על מחשב, איסוף פרטים מתוכו, חיפוש אחר תהליכים רצים והוצאת מידע משרתים. על פי עדויות המצויות בידי החוקרים, נראה כי בחלק משרתי ה-Microsoft Exchange שנפרצו במהלך הקמפיין החלה המתקפה בניצול של חולשה ידועה בשרתים שלא היו מעודכנים. לאחר הכניסה אליהם השתמשו התוקפים ב-VLC בתור טוען נוזקות, תוך ניצול גרסה ״נקייה״ של התוכנה, אשר במקביל לה הופעל מטען זדוני בפורמט DLL, באופן שהסווה את פעילות הנוזקה בתוך פעילות לגיטימית. מתקפה מסוג זה, המכונה DLL side-loading, הינה שכיחה בקרב האקרים בניסיונם להחביא פעילות זדונית. לאחר הרצת הנוזקה השיגו תוקפי Cicada שליטה מרוחקת על השרתים הנגועים באמצעות שרת WinVNC והפעילו את שירות הדלת האחורית Sodamaster, אשר השימוש בו מאפיין את פעילות הקבוצה כבר מ-2020. שירות זה פועל על זיכרון המערכת ולא כקובץ, וכולל אמצעים מתקדמים המאפשרים לו לחמוק מזיהוי המתבסס על דפוסים המאפיינים נוזקות, כמו רישום ב-Registry.

הרשת הקמעונאית הבריטית The Works הודיעה כי חוותה אירוע סייבר

החברה, אשר בבעלותה כ-500 חנויות ברחבי אנגליה ואירלנד המציעות למכירה ספרים, צעצועים, מתנות ומוצרים רבים אחרים, נאלצה לסגור מספר נקודות ממכר עקב אירוע סייבר שמהלכו קיבלו התוקפים גישה למערכות המחשוב של החברה וגרמו להפרעות ולהגבלה חלקית של פעילותה העסקית, לרבות בעיות בכמה מהקופות בחנויות. בתוך כך, משלוחי הסחורות לחנויות הרשת הושעו זמנית והצפי למועד קבלת משלוחים שהזמינו לקוחות נדחה. לדברי החברה, המשלוחים לחנויות צפויים להתחדש בקרוב, ופעילותה המקוונת מתחדשת בהדרגה. נכון לשעה זו, The Works אינה צופה שהאירוע ישפיע עליה כלכלית ולטענתה ״לקוחות החברה יכולים להמשיך לבצע רכישות בבטחה, הן בחנויות הפיזיות והן באינטרנט. כל נתוני אמצעי התשלום מעובדים בצורה מאובטחת מחוץ לכותלי החברה באמצעות רשתות צד שלישי, ולכן אין כל סכנה שתתבצע גישה לנתונים אלה שלא במסגרת תקינה. מרגע שנודע לחברה על האירוע היא נקטה במספר פעולות מיידיות להגנה על החברה ועל לקוחותיה, ומונו מומחי הגנת סייבר אשר חקירותיהם ועבודות השחזור שלהם עודן בעיצומן״. לדברי The Works, טרם ניתן לקבוע את מידת הפגיעה בנתוניה, אך כאמצעי זהירות היא הודיעה על האירוע לנציבות המידע הבריטית (ICO).

חברת Atanto הפסידה 42.1 מיליון דולר עקב מתקפת כופרה  

מן הדוחות הכספיים לשנת 2021 שפרסמה ספקית ה-CRM, הנחשבת לאחת הגדולות בתחומה ופועלת בעיקר בדרום אמריקה, עולה כי אשתקד הפסידה הכנסות בגובה 34.8 מיליון דולר עקב מתקפת הכופרה שחוותה ועוד 7.3 מיליון דולר עקב פעולות הקשורות לניסיונות למתן את השפעת האירוע, לרבות הוצאות עבור שיפור הגנת סייבר, הגנה על נתונים וזיהוי איומים בזמן אמת. לחברה, הפועלת ב-13 מדינות ומעסיקה כ-154,000 עובדים, יותר מ-400 לקוחות תאגידים רב-לאומיים בתחומי התקשורת, הבנקאות, הקמעונאות והמנהל הציבורי. ב-22 באוקטובר 2021 הודיעה Atanto כי נפרצה וכי עליה להשהות את פעולת מערכותיה בברזיל על מנת להכיל את האיום ולעצור את התפשטותו, אך בפועל שבה לפעילות בהדרגה תוך 24 שעות. ואולם, לאחר שסירבה לשלם לקבוצת התקיפה LockBit דמי הכופר, המסמכים שנגנבו ממנה הודלפו.

סייבר בעולם

Apple וחברת האם של פייסבוק Meta מסרו מידע להאקרים שזייפו מסמכים משפטיים

על פי הדיווח, החברות מסרו להאקר שהתחזה לרשות רשמית מידע של לקוחות אשר כלל פרטי משתמש בסיסיים, כגון כתובות, מספרי טלפון וכתובות IP. הבקשות המזויפות הגיעו מכתובות מייל רשמיות השייכות לרשויות אכיפת חוק במספר מדינות, ולעתים אף כללו מסמכים רשמיים וחתימות מזויפים, על מנת לשוות למיילים חזות אמינה. במרבית המקרים, בקשות לקבלת פרטי משתמשים מחברות מדיה חברתית צריכות לכלול צו או זימון מבית משפט החתום על ידי שופט. ואולם ההאקר, שככל הנראה היה בקיא בפרטי החוק, ביקש את המידע כ״בקשת חירום״, אשר אינה מצריכה צו וחתימת שופט. הדבר הגדיל את סיכוייו לקבל את המידע, היות ובקשות חירום מוגשות בעיקר במקרים שבהם קיימת סכנה מיידית. עוד דווח כי בין יולי לדצמבר 2022, חברת Apple קיבלה 1,162 בקשות חירום מזויפות, 93% מתוכם נענו בחיוב, ובין ינואר ליוני 2021 חברת Meta קיבלה 21,700 בקשות חירום מזויפות, 77% מתוכן נענו בחיוב. בתוך כך, חברת Discord דיווחה כי אף היא קיבלה בקשות חירום מזויפות ומסרה לפונים את המידע המבוקש. נכון לשעה זו, חוקרי אבטחת מידע חושדים כי התוקפים הם נערים מארצות הברית ומאנגליה, וכי אחד מהם הוא הנער העומד מאחורי קבוצת התקיפה $LAPSU (ראו ״הסייבר״, 31.3.22). קבוצה אחרת החשודה במעורבות בתקיפה  היא Recursion Team.

​

אישומים ראשונים כנגד חלק מהנערים אשר קושרו לקבוצת התקיפה $LAPSUS

משטרת לונדון הודיעה כי שניים מבין 17 הנערים בני 16 עד 21 החשודים במעורבות בפעילות כנופיית הסייבר מואשמים במספר עבירות, בהן גישה לא מורשית למחשב, הונאה באמצעות מצג שווא ומניעת גישה לנתונים (ראו ״הסייבר״, 31.3.22). אחד הנערים אף הואשם בסעיף נוסף של ביצוע פעולות לגישה בלתי מורשית של תוכנה. למרות שכל הנערים שוחררו תחת אזהרה להמשך החקירה, קבוצת $LAPSUS הודיעה כי הנערים שנעצרו אינם משתייכים אליה, אך גם כי כמה מחבריה ״חזרו מחופשה״. בתוך כך, הקבוצה ממשיכה לתקוף מטרות בעלות ערך, ובהתבסס על צ'אטים בטלגרם המתנהלים במספר שפות, בהן אנגלית, רוסית, טורקית, גרמנית ופורטוגזית, נראה כי חבריה נמצאים במספר מדינות. לאחרונה פרסמה הקבוצה דלף מידע בנפח 70GB משרתי ענקית שירותי התוכנה Globant, אשר מסרה כי היא חוקרת את האירוע ונוקטת בצעדים להכלתו ולמניעת אירועים נוספים. במקביל, לשכת החקירות הפדרלית (FBI) מבקשת את עזרת הציבור באיתור חברי הקבוצה אשר פרצו לרשתות מחשבים השייכות לחברות טכנולוגיה אמריקאיות, ואף פרסמה עם הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) אזהרה משותפת מפני מתקפות Vishing (פישינג באמצעות התחזות קולית) של הקבוצה. קבוצת $LAPSUS הפכה תוך זמן קצר לשחקן ידוע לשמצה ולמטרה חמה עבור סוכנויות ממשלתיות רבות ברחבי העולם עקב תקיפת ענקיות טכנולוגיה בעלות פרופיל גבוה והדלפות רחבות היקף של קודי מקור של מוצריהן. $LAPSUS, שקבוצת הטלגרם שלה מונה כיום כ-58,000 מנויים, מציגה גישה יוצאת דופן בפעולותיה, שנראה כי מאחוריהן עומד הרצון להתפרסם, כמו גם מניע מדיני, להבדיל מגזירת רווח כספי, כל זאת חרף טענת הקבוצה שמניעיה כלכליים בלבד. התמקדותה של $LAPSUS בהתקפות פשוטות עם עלות כלכלית נמוכה ופוטנציאל גבוה ביותר לתשואה גדולה ומהירה (מתקפות המבוססות על הנדסה חברתית, פישינג ו-Vishing) מאופיינת בעקשנות ובהתמדה, והיא חודרת למערכות ארגונים באמצעות מזהים אותנטיים וחוסר הקפדה על אנונימיות, שכולל לא רק הימנעות מכיסוי יסודי של עקבות הקבוצה אלא אף פרסום הפריצות במדיה החברתית. לדברי בריאן קרבס בבלוג אבטחת המידע Krebs on Security, אם קבוצות תקיפה בעלות ״כיסים עמוקים יותר״ המכוונות את פעולותיהן לנכסים מדיניים או קריטיים יאמצו את שיטותיה של $LAPSUS, התוצאות יהיו קשות מאוד. בניגוד לקבוצות תקיפה ״רגילות״, $LAPSUS אינה דוגלת בתנועה בתוך סביבת הארגון ובהתבססות בה לאורך זמן, אלא בפריצות באמצעות נתוני משתמשים אותנטיים ומתקפות מהירות מאוד שאורכות עד 6 שעות, להוצאת כמה שיותר מידע מהארגון הנתקף ובזריזות. לכן, היכולת להתגונן מפני מתקפות כאלה היא נמוכה. לאור כל אלה, קרבס טוען שקיומה של הקבוצה צריך להוות נורה אדומה המדגישה לא רק איומי סייבר בחסות מדינות אלא גם איומים המגיעים מקבוצות בני נוער. בתוך כך, מיקרוסופט - אשר חוותה גם היא פריצה של $LAPSUS - פרסמה רשומת בלוג המכילה מדריך להקשחת הסביבה הארגונית למניעת מתקפות דומות.

​

גרמניה סגרה את ה-Hydra הרוסי, השוק הגדול ברשת האפלה; ארצות הברית הוסיפה את הפלטפורמה לרשימת הסנקציות 

רשת אפלה (דארקנט) היא רשת נפרדת המתקיימת על בסיס רשת האינטרנט, ואשר הגישה אליה אפשרית באמצעות תוכנות מיוחדות. מכיוון שרשת אפלה מקנה אנונימיות למשתמשים, מתקיימות בה פעילויות בלתי-חוקיות רבות, שאתגרי האכיפה נגדן גדולים במיוחד. פלטפורמת Hydra, שהיתה לרשת הדארקנט בעלת מחזור הרווחים הגדול בעולם, הושקה ב-2015 למטרת מכירות בלתי-חוקיות של סמים, חומרים פרוצים, מסמכים מזויפים ושירותים דיגיטליים אחרים. זאת ועוד, הפלטפורמה שימשה פושעי סייבר להלבנת הון. כעת, לאחר מאמץ בינלאומי משותף של המשטרה הפדרלית של גרמניה (BKA), המשרד הגרמני המרכזי למאבק בפשעי סייבר (ZIT) ומספר רשויות בארצות הברית, ב-5 באפריל נסגרה פלטפורמת Hydra, בעקבות הליך אכיפה שארך שש שנים ואשר בסיומו ה-BKA הוריד את שרתי האתר מהרשת והחרים כ-23 מיליון יורו במטבעות ביטקוין. הפלטפורמה הלא-חוקית, שבסיסה ברוסיה, כללה כ-19,000 חשבונות ושירתה כ-17 מיליון משתמשים. בתוך כך, ארצות הברית הטילה על Hydra סנקציות כחלק ממאמץ בינלאומי רחב למניעת התפשטותם של שירותי סייבר בלתי-חוקיים, סמים ומוצרים אסורים נוספים שהיו זמינים ברשת זו - בנוסף לסנקיות שמוטלות על ידי המשרד האמריקאי לבקרת נכסים זרים (OFAC) על בנקים וחברות רוסיות. בחקירה שערך OFAC נמצאו הכנסות בסך 8 מיליון דולר מתוכנות כופרה, שהועברו דרך חשבונות המטבע הווירטואלי של Hydra. זאת ועוד, לדברי חוקרי בלוקצ'יין, ב-2019 היתה Hydra המקור לכ-86% מהביטקוין הלא-חוקי שהתקבל ישירות מהבורסה הרוסית למטבעות דיגיטליים. בעוד שב-2016 עמדו הכנסותיה של Hydra על פחות מ-10 מיליון דולר, ב-2020 הן האמירו לכדי יותר מ-1.3 מיליארד דולר.

​

עדכון נוסף של ה-CISA ל״קטלוג החולשות המנוצלות הידועות״  

בהמשך לדיווחה של הסוכנות האמריקאית לאבטחת סייבר ותשתיות בחודש שעבר על הוספת 95 חולשות לקטלוג החולשות הידועות המנוצלות שהיא מתחזקת (ראו ״הסייבר״, 10.3.22), השבוע התעדכן המאגר ב-4 חולשות נוספות, לאחר זיהוי ודאי של שימוש בהן על ידי קבוצות תקיפה. החולשות שנוספו הן חולשה (CVE 2022-2296, CVSS 9.8) ב-Spring Framework, שתי חולשות (CVE-2022-22675, CVE-2022-22674) במוצרי Apple וחולשה קריטית (CVE-2021-45382, CVSS 9.8) בנתבי D-Link.