WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 07.04.2022

עיקרי הדברים

  1. המלחמה בין רוסיה לאוקראינה: אוקראינה עולה להתקפה - פרסומים לפיהם האקרים ממחלקת המודיעין הראשית של משרד ההגנה האוקראיני (GURMO) תקפו את חברת הגז הרוסית Gazprom וגרמו לשריפה גדולה; קבוצת אנונימוס ממשיכה לתקוף גם היא מטרות ברוסיה והדליפה מידע של הכנסייה הרוסית האורתודוקסית ושל חיילים רוסים.

  2. ישראל: Cybereason חושפת קמפיין ריגול של חמאס; מערך הסייבר הלאומי מפרסם המלצות הגנה מפני מתקפות סייבר. 

  3. גרמניה סגרה את ה-Hydra Market הרוסי, שוק הרשת האפלה הגדול בעולם - ארה״ב מטילה עליו סנקציות.

  4. המענה לפס״ד "שרמס 2": עוד על האסדרה החדשה בין ארה"ב לאיחוד האירופי בעניין העברת מידע אישי.

  5. אנו ממליצים לעדכן את המוצרים הבאים: מוצרי חברת VMware (קריטי); מוצרי GitLab (קריטי); מוצרי Firewall של Zyxel (קריטי); מוצר ADAudit של ManageEngine (קריטי); דפדפן Google Chrome (גבוה); מוצרי Apple (גבוה); מוצרי Citrix Hypervisor.

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה למוצרי Apple נותנים מענה לחולשה ברמת חומרה גבוהה
עדכוני אבטחה ל-GitLab נותנים מענה לחולשות ברמות חומרה שונות, בהן אחת קריטית
עדכון אבטחה ל-Firewall של Zyxel נותן מענה לחולשה קריטית
עדכון אבטחה ל-Google Chrome נותן מענה לחולשת Zero-day ברמת חומרה גבוהה
עדכון אבטחה ל-Rockwell Automation נותן מענה לחולשה ברמת חומרה גבוהה
עדכוני אבטחה קריטיים למוצרי חברת VMware
עדכון אבטחה למוצר ADAudit של ManageEngine נותן מענה לחולשה קריטית מסוג Unauthenticated Remote Code Execution
עדכון אבטחה למוצרי Citrix נותן מענה לחולשה ברכיב ה-Hypervisor

התקפות ואיומים

קבוצת התקיפה הצפון קוריאנית Lazarus שתלה באפליקציה לניהול ארנקים דיגיטליים קוד זדוני המאפשר שליטה מלאה בחשבונות
חולשה בת 15 שנים העלולה לאפשר תקיפת שרשרת אספקה התגלתה ב-PEAR PHP
משתמשי Trezor, המספקת חומרה לתחום המטבעות הדיגיטליים, נפלו קורבן למתקפת פישינג מתוחכמת הגונבת את כספם
ערכת הכלים החדשה Borat RAT מאפשרת שילוב בין מתקפות DDoS וכופרה
תוכנת ריגול זדונית חדשה התגלתה ב-Android
קבוצת סייבר הפועלת בחסות הממשלה הסינית תוקפת ארגונים ברחבי העולם באמצעות  נגן מדיה פופולרי
הרשת הקמעונאית הבריטית The Works הודיעה כי חוותה אירוע סייבר

השבוע בכופרה

חברת Atanto הפסידה 42.1 מיליון דולר עקב מתקפת כופרה

המלחמה במזרח אירופה

מבט על החוקר האוקראיני שהדליף את המידע על קבוצת התקיפה Conti
קבוצת ההאקרים Anonymous במתקפת סייבר מקיפה נגד רוסיה
האקרים ממחלקת המודיעין הראשית של משרד ההגנה האוקראיני (GURMO) תקפו את חברת הגז הרוסית Gazprom וגרמו לשריפה גדולה
חברת WatchGuard מפרסמת פעולות מיטיגציה ליחידות Firewall מתוצרתה שהודבקו בבוטנט Cyclops Blink המיוחס לרוסיה

סייבר בעולם

Apple וחברת האם של פייסבוק Meta מסרו מידע להאקרים שזייפו מסמכים משפטיים
אישומים ראשונים כנגד חלק מהנערים אשר קושרו לקבוצת התקיפה $LAPSUS
גרמניה סגרה את ה-Hydra הרוסי, השוק הגדול ברשת האפלה; ארצות הברית גם הוסיפה את הפלטפורמה לרשימת הסנקציות
עדכון נוסף של ה-CISA ל״קטלוג החולשות המנוצלות הידועות״

סייבר בישראל

מערך הסייבר הלאומי מפרסם המלצות הגנה על ארגונים ואזרחים
קבוצת התקיפה APT-C-23 המשויכת אל ארגון הטרור החמאס ותקפה בישראל בכירים למטרות ריגול - משדרגת את יכולותיה

סייבר ופרטיות - רגולציה ותקינה

המענה לפס״ד "שרמס 2": עוד על האסדרה החדשה בין ארה"ב לאיחוד האירופי בעניין העברת מידע אישי
משרד החוץ של ארה״ב מחדש פעילות בתחום דיפלומטיית סייבר" על ידי פתיחת מחלקה חדשה
הכנס השנתי של הרשות להגנת הפרטיות: הדגשת הצורך ברפורמה חקיקתית וסיכום שנתי של פעילות הפיקוח של הרשות
חקיקת סייבר חדשה באוסטרליה: על תשתיות קריטיות ליישם תכנית לניהול סיכוני סייבר ולדווח על מפגעים
מפגשי ה-OEWG: ישראל ממשיכה להשתתף במו"מ בקבוצת הסייבר של האו"ם - בצל המתח הפוליטי הנובע מלחמת רוסיה-אוקראינה

כנסים

 
 

הציטוט השבועי

״מערכות היחסים החזקות של ה-FBI באוקראינה הן משאב עבור ממשלת ארצות הברית, שנבנה באמצעות שנים של שיתוף פעולה עם עמיתינו שם. סוגים אלה של שותפויות הם שאפשרו לבית הלבן לייחס לרוסיה בפומבי כל כך מהר את מתקפות הסייבר האחרונות באוקראינה ערב הפלישה הנוספת.״ 

בריאן א. וורנדרן, סגן ראש מנהל חטיבת הסייבר של ה-FBI, בהצהרה בפני ועדת בית המשפט בוושינגטון, 29 במרץ 2022.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה למוצרי Apple נותנים מענה לחולשה ברמת חומרה גבוהה 

העדכונים סוגרים שתי חולשות עיקריות אשר תקפות, ככל הנראה, לכמה מוצרים; האחת (CVE-2022-22675, CVSS 7.5), שהינה ברמת חומרה גבוהה, רלוונטית ל-macOS ,iOS ,iPad ו-iPod ועלולה לאפשר לתוקף להריץ קוד על המכשיר בהרשאות מערכת גבוהות, ואילו השנייה (CVE-2022-22674, CVSS 3.1), שהינה ברמת חומרה נמוכה, רלוונטית למוצרי macOS. לדברי Apple, מדיווחים עולה כי ייתכן והחולשה הראשונה נוצלה על ידי תוקפים. 

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות:

  • watchOS 8.5.1

  • macOS Monterey 12.3.1

  • iOS 15.4.1 

  • iPadOS 15.4.1

  • tvOS 15.4.1

עדכוני אבטחה ל-GitLab נותנים מענה לחולשות ברמות חומרה שונות, בהן אחת קריטית

העדכונים, הרלוונטיים למוצרים GitLab Community Edition ו-GitLab Enterprise Edition, סוגרים חולשה (CVE-2022-1162, CVSS 9.1) העלולה לאפשר לתוקף לנצל סיסמה שהוגדרה מראש ברמת הקוד (Hardcoded) עבור חשבונות הנרשמים ל-GitLab באמצעות שימוש בתוכנה צד ג׳ לביצוע אימות (כגון OAuth ,LDAP ו-SAML). עוד נסגרות בעדכונים שתי חולשות ברמת חומרה גבוהות, 9 חולשות ברמת חומרה בינונית ו-5 חולשות ברמת חומרה נמוכה.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות (14.9.2, 14.8.5 ו-14.7.7).

עדכון אבטחה ל-Firewall של Zyxel נותן מענה לחולשה קריטית

העדכון רלוונטי למספר מוצרי חומת אש של החברה, בהם גם ZyWALL, וסוגר חולשה (CVE-2022-0342, CVSS 9.8) העלולה לאפשר לתוקף לעקוף את מנגנוני האימות של מערכת ההפעלה של המכשירים ולקבל שליטה מלאה על המוצרים בהרשאות מנהל. החולשה, שטרם ידוע אם נוצלה בפועל, מצויה במוצרים הבאים:

  • USG/ZyWALL - יש לעדכן לגרסה ZLD V4.71.

  • USG FLEX - יש לעדכן לגרסה ZLD V5.21 Patch 1.

  • Zyxel ATP - יש לעדכן לגרסה ZLD V5.21 Patch 1.

  • Zyxel VPN - יש לעדכן לגרסה ZLD V5.21.

  • Zyxel NSG - קיים עדכון זמני (Hotfix) בדמותה של גרסה V1.33p4_WK11. עדכון קבוע מתוכנן להתפרסם בחודש מאי.

צוות קונפידס ממליץ לבעלי המכשירים לעדכן את מערכות ההפעלה שלהם בהקדם.

עדכון אבטחה ל-Google Chrome נותן מענה לחולשת Zero-day ברמת חומרה גבוהה

העדכון לגרסה 100.0.4896.75 של המוצר רלוונטי למשתמשי Windows ,Mac ו-Linux וסוגר חולשה (CVE-2022-1232) מסוג Zero-day המצויה בספרייה V8 של JavaScript.  החולשה עלולה לאפשר לתוקף ליצור דף אינטרנט בעל מבנה ייחודי, שבמידה ויצליח לגרום לקורבן להיכנס אליו - יתאפשר לו לנצל חולשה מסוג Type Confusion להרצת קוד מרחוק על עמדת הנתקף.

צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו בהקדם לגרסתו האחרונה.

עדכון אבטחה ל-Rockwell Automation נותן מענה לחולשה ברמת חומרה גבוהה

החולשה (CVE-2022-1118, CVSS 8.6), שניצולה דורש אינטראקציה עם משתמשים, עלולה לאפשר לתוקף להריץ קוד זדוני מרחוק על ידי יצירת אובייקט זדוני מסודר שפתיחתו על ידי משתמש מקומי ב-Connected Components Workbench עשויה להביא להרצת הקוד. העדכון רלוונטי למוצרים הבאים:

  • Connected Component Workbench - גרסאות v13.00.00 ומוקדמות יותר.

  • ISaGRAF Workbench - גרסאות v6.0 עד v6.6.9.

  • Safety Instrumented Systems Workstation - גרסאות v1.2 ומוקדמות יותר.

החברה ממליצה למשתמשים לעדכן את המוצרים לגרסה v20.00 או מאוחרות יותר, ובמידה והעדכונים אינם זמינים - לבצע פעולות מיטיגציה ידניות המפורטות בקישור זה. נוסף על כך, היא קוראת ליישום המלצות הסוכנות לאבטחת סייבר ותשתיות (CISA) לשם הקטנת החשיפה לחולשה. החברה פרסמה ללקוחותיה הודעה בנושא והדרכות תפעול המפורטות בקישור זה (יש צורך במשתמש מערכת לצפייה בהודעה).

עדכוני אבטחה קריטיים למוצרי חברת VMware

העדכונים נותנים מענה למספר חולשות אשר נמצאו במוצריה של החברה: חולשה (CVE-2022-22954, CVSS 9.8) המאפשרת לתוקף להחדיר נוזקה לתבנית צד שרת המקנה לו יכולת הרצת קוד מרחוק; חולשות (CVE-2022-229555, CVSS 9.8; CVE-2022-22956, CVSS 9.8) המאפשרות לתוקף לעבור את מנגנון האימות בכניסה לפלטפורמה ולבצע בה כל פעולה שיבקש; חולשות (CVE-2022022957, CVSS 9.1; CVE-202222958, CVSS 9.1) המאפשרות לתוקף בעל גישה אדמיניסטרטיבית למערכת לבצע דסריאליזציה של נתונים ובכך להריץ קוד מרחוק על מערכות הקורבן; חולשה (CVE-2022-22959, CVSS 8.8) המאפשרת לתוקף לבצע Cross-site request forgery, דבר שיכול לגרום לדפדפן לבצע פעולות שאינן רצויות ביישום אינטרנטי אליו מחובר המשתמש; חולשה (CVE-2022-22960, CVSS 7.8) המאפשרת הסלמת הרשאות בשל נוכחות הרשאות שאינן מותאמות בסקריפטים המשמשים לתמיכה במערכת; וחולשה (CVE-2022-22961, CVSS 5.3) המאפשרת חשיפת מידע מהמערכת. 

צוות קונפידס ממליץ למשתמשים במוצרי החברה לעדכנם לגרסאותיהם האחרונות, כדלקמן:

  • VMware Workspace ONE Access - חשוב במיוחד עבור הגרסאות: 21.08.0.1, 21.08.0.0, 20.10.0.1, 20.10.0.0.

  • VMware Identity Manager - vIDM - חשוב במיוחד עבור הגרסאות: 3.3.6, 3.3.5, 3.3.4, 3.3.3.

  • Vmware vRealize Automation - vRA 

  • VMware Cloud Foundation - חשוב במיוחד עבור הגרסאות: 4.X, 3.X ,8.X.

  • vRealize Suite Lifecycle Manager

עדכון אבטחה למוצר ADAudit של ManageEngine נותן מענה לחולשה קריטית מסוג Unauthenticated Remote Code Execution 

מקורה של החולשה (CVE-2022-28219) בשרשור של חולשות XXE, Java deserialization ו-Path Traversal, והיא מאפשרת למנף אותן לקבלת יכולת להריץ קוד מרחוק ללא צורך באימות, ובכך להשיג אחיזה מלאה על תחנה פגיעה. החולשה נסגרת בעדכון מספר 7060, שפורסם על ידי החברה ב-30 במרץ.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהתאם להוראות היצרן. 

עדכון אבטחה למוצרי Citrix נותן מענה לחולשה ברכיב ה-Hypervisor

החברה, העוסקת בפתרונות למחשוב ענן ו-וירטואליזציה, דיווחה על מציאת חולשה (CVE- 2022-26357) ברכיב, העלולה לאפשר לקוד בעל הרשאות גבוהות המצוי על גבי מכונה וירטואלית להביא לקריסתו של המארח ו/או לחוסר תגובה מצדו. החולשה רלוונטית רק למערכות הכוללות מעבדים של חברת אינטל, ואינה משפיעה על לקוחות שלא הקצו התקן PCI פיזי למכונה וירטואלית.

צוות קונפידס ממליץ למשתמשי מוצרי Citrix להטמיע בהקדם האפשרי את התיקונים (Hotfix) הבאים: 

  • עבור Citrix Hypervisor 8.2 יש להתקין את Hotfix XS82ECU1007.

  • עבור Citrix Hypervisor 8.2 יש להתקין את Hotfix XS82E039.

  • עבור XenServer 7.1 יש להתקין את Hotfix XS71ECU2073.

התקפות ואיומים

קבוצת התקיפה הצפון קוריאנית Lazarus שתלה באפליקציה לניהול ארנקים דיגיטליים קוד זדוני המאפשר שליטה מלאה בחשבונות

הקבוצה השתמשה באפליקציית DeFi כפלטפורמה להטמעת קוד זדוני המוסווה כקובץ של הדפדפן Google Chrome ואשר מעתיק ומשנה את קבצי התוכנה המקורית DeFi Wallet. לאחר השינוי, הקוד מריץ את האפליקציה כאפליקציית המקור והתוכנה הזדונית המושתלת שומרת בנתוניה את זהות הקורבן (נתוני רשת, אפליקציות, סיסמאות ועוד). בפרסום המלא של קספרסקי מצויינים IOCs של הנוזקה, אותם ניתן להזין במערכות הגנה לשם זיהויה. בתמונה להלן מופיע צילום מסך של האפליקציה הזדונית.

(מקור: Bank Info Security, 1.4.22)

חולשה בת 15 שנים העלולה לאפשר תקיפת שרשרת אספקה התגלתה ב-PEAR PHP

PEAR, או PHP Extension and Application Repository, הינה Framework ומערכת הפצה לרכיבי PHP. החולשה שנחשפה בה מאפשרת לגורמים זדוניים לבצע מתקפות על ידי השגת גישה לא מורשית לחשבונו של מפתח ופרסום גרסאות קוד המכילות קוד זדוני. זאת ועוד, החולשה אף מאפשרת השגת גישה לשרת ה-PEAR המרכזי. הבעיה המרכזית שנחשפה כעת בתוכנה, בה הותקן פיצ׳ר ה-PEAR ב-2007, נוגעת לשימוש בפונקציה לא מאובטחת של איפוס סיסמה, המכונה ( )mt_rand ומאפשרת לתוקף לגלות סיסמת איפוס תקינה תוך פחות מ-50 ניסיונות. תגלית זו הינה הפעם השנייה בפרק זמן של שנה בה נחשפת בעיית אבטחה בשרשרת האספקה ​​של PHP, כאשר בסוף אפריל 2021 נחשפו במנהל החבילות של Composer PHP חולשות קריטיות העלולות לאפשר לתקוף להריץ פקודות שרירותיות במערכת הקורבן.

משתמשי Trezor, המספקת חומרה לתחום המטבעות הדיגיטליים, נפלו קורבן למתקפת פישינג מתוחכמת הגונבת את כספם

במהלך השבוע החולף דיווחו משתמשי החברה כי קיבלו מייל מטעמה, כביכול, בהם נקראו להוריד אפליקציה זדונית הדומה לזו של Trezor ומשויכת לדומיין trezor[.]us, במקום לדומיין האמיתי של החברה, trezor.io. עם הכניסה לקישור הזדוני, התבקש הקורבן להכניס את קוד מפתח ה-Seed הפרטי שלו, פעולה אשר הביאה לגניבת כל כספיו הדיגיטליים אליהם מאפשרת הפלטפורמה גישה. מחקירת האירוע עלה כי בוצעה פריצה ל-Mailchimp, חברת צד ג׳ המספק פלטפורמת שיווק וניוזלטרים, כל זאת באמצעות ניצול של עובדיה בהתבסס על שיטות של הנדסה חברתית. בעקבות הפריצה התאפשר לתוקפים לשלוח מיילים בשם דומיינים של Trezor שאומתו. בתגובה, Trezor השביתה באופן מיידי את האתרים החשודים, פרסמה אזהרה ברשתות החברתיות בכל הנוגע למתקפה, ביקשה מלקוחותיה להפיץ את דבר הפישינג למקרוביהם ופרסמה הוראות הפעלה למזעור נזקים. החברה מפצירה במי שנפל קורבן למתקפה להעביר את כלל נכסיו לחשבון חדש ולשים לב לכל מייל חדש המגיע לתיבת הדואר שלו. עוד הבהירה שכל מי שרק הוריד את האפליקציה אך לא נכנס לחשבונו - כספו לא נגנב. בתמונה להלן מופיע צילום מסך של המייל הזדוני שקיבלו לקוחות החברה.

                                 (מקור: josearkaos@, 3.4.22)

ערכת הכלים החדשה Borat RAT מאפשרת שילוב בין מתקפות DDoS וכופרה

מחקר חדש של חברת Cyble חושף כי בניגוד לכלים קודמים מסוג (RAT (Remote Access Trojan, הכלי החדש מאפשר שילוב של מתקפות מניעת שירות (DDoS) וכופרה באמצעות דשבורד המרכז עבור התוקף את כלל הפעולות הזדוניות הניתנות לביצוע באמצעות הנוזקה. בבדיקה שערך מגזין אבטחת המידע BleepingComputer נמצא כי קובץ ה-exe של הכלי החדש הוא מסוג AsyncRAT, המאפשר גישה מרחוק לצרכי ניטור ושליטה על מחשבים דרך חיבור מוצפן, ולכן נראה כי כותב הנוזקה התבסס על כלי אחרון זה. בין הפעולות האפשריות לביצוע באמצעות Borat RAT (המפורטות גם בתמונות להלן) מצויות ניטור הקשות במקלדת הקורבן והעברת המידע לתוקף, הדבקת עמדות בווירוס כופרה והצפנת המידע המצוי בהן, לרבות יכולת לשחרר את הצפנת הקבצים, ביצוע מתקפות DDoS, הקלטת אודיו ו-וידאו, שליטה מרחוק, שימוש ב-Reverse proxy לשמירה על אנונימיות התוקף ועוד. Cyble ממליצה על הפעולות הבאות לשם הגנה על מחשבים מכלי התקיפה החדש:

  • שימוש בסיסמאות חזקות בשילוב אימות דו-שלבי (2FA).

  • הפעלת עדכון אוטומטי במחשבים ניידים ובמכשירים אחרים המחוברים לרשת.

  • הימנעות מפתיחת קישורים וקבצים המצורפים למיילים לפני אימות מקורם.

  • ביצוע גיבויים ושמירתם באמצעים שאינם מחוברים לאינטרנט. 

(מקור: Cyble, 31.3.22)

תוכנת ריגול זדונית חדשה התגלתה ב-Android

התוכנה הזדונית Process Manager, שהתגלתה על ידי Lab52, משתמשת בתשתית אירוח משותפת שנצפתה בעבר בשימוש קבוצת ה-APT הרוסית Turla, העוסקת בעיקר בריגול אחר מדינות באירופה ובארצות הברית. ואולם, בשלב זה אין די ראיות לייחוס התוכנה ל-Turla, ואף נראה שרמת התחכום שלה נמוכה ואינה תואמת את זו של הקבוצה הרוסית. בעת התקנתה של Process Manager, התוכנה מבקשת הרשאות רבות המאפשרות לה גישה לתכנים רגישים במיוחד, בהם מיקום, גישה למצלמה, ליומן השיחות וליומן אנשי הקשר, קריאה ושינוי של אחסון חיצוני, קריאה ושליחת הודעות SMS, הקלטת אודיו, הגדרות נעילת המסך ותפוגת סיסמת נעילת המסך, הגדרת ה-Proxy ועוד הרשאות רבות המסכנות את פרטיות המשתמשים. התוכנה מסווה עצמה באמצעות אייקון בצורת גלגל שיניים, כך שהיא נראית כחלק מאפליקציות המערכת, אך לאחר קבלת ההרשאות היא מסירה את האייקון ופועלת ברקע. בהמשך, התוכנה שולחת את המידע שאספה ממכשיר הקורבן לשרת שליטה ובקרה מרוחק (C&C). את הניתוח המלא של Process Manager, כולל רשימת IOCs, ניתן למצוא באתר חברת Lab52.

צוות קונפידס ממליץ למשתמשי Android לבדוק היטב את ההרשאות המוענקות לאפליקציות ולחסום אליהן גישה במידה ונראה שיש בהן סכנה לפרטיות. נוסף על כך, מומלץ לבדוק בסרגל ההתראות אם מופיעות אזהרות בנוגע להרשאות שניתנו לאפליקציות.

קבוצת סייבר הפועלת בחסות הממשלה הסינית תוקפת ארגונים ברחבי העולם באמצעות  נגן מדיה פופולרי  

חוקרים של חברת Symantec חשפו קמפיין סייבר זדוני ארוך טווח המכוון למטרות בעלות ערך גבוה, בהן ממשלות, מערכות משפט, מוסדות דת וארגונים פרטיים הנמצאים בטווח גיאוגרפי רחב, לרבות אירופה, אסיה וצפון אמריקה. הקמפיין, המיוחס לכנופיית הסייבר Cicada (או APT10) המזוהה עם הממשל הסיני ופועלת מזה 15 שנים, מצוי במעקב מאמצע 2021, ולמרות שהעדות האחרונה לפעילותו נרשמה בפברואר 2022, החוקרים מניחים כי עודנו פעיל. במסגרת הקמפיין נעשה שימוש בתוכנת VLC Media Player לטעינת נוזקות, ככל הנראה באמצעות שימוש ב-(RAT (Remote Trojan Horse וב-Sodamaster, תוכנה זדונית המאפשרת לתוקפים שליטה מרחוק על מחשב, איסוף פרטים מתוכו, חיפוש אחר תהליכים רצים והוצאת מידע משרתים. על פי עדויות המצויות בידי החוקרים, נראה כי בחלק משרתי ה-Microsoft Exchange שנפרצו במהלך הקמפיין החלה המתקפה בניצול של חולשה ידועה בשרתים שלא היו מעודכנים. לאחר הכניסה אליהם השתמשו התוקפים ב-VLC בתור טוען נוזקות, תוך ניצול גרסה ״נקייה״ של התוכנה, אשר במקביל לה הופעל מטען זדוני בפורמט DLL, באופן שהסווה את פעילות הנוזקה בתוך פעילות לגיטימית. מתקפה מסוג זה, המכונה DLL side-loading, הינה שכיחה בקרב האקרים בניסיונם להחביא פעילות זדונית. לאחר הרצת הנוזקה השיגו תוקפי Cicada שליטה מרוחקת על השרתים הנגועים באמצעות שרת WinVNC והפעילו את שירות הדלת האחורית Sodamaster, אשר השימוש בו מאפיין את פעילות הקבוצה כבר מ-2020. שירות זה פועל על זיכרון המערכת ולא כקובץ, וכולל אמצעים מתקדמים המאפשרים לו לחמוק מזיהוי המתבסס על דפוסים המאפיינים נוזקות, כמו רישום ב-Registry.


הרשת הקמעונאית הבריטית The Works הודיעה כי חוותה אירוע סייבר

החברה, אשר בבעלותה כ-500 חנויות ברחבי אנגליה ואירלנד המציעות למכירה ספרים, צעצועים, מתנות ומוצרים רבים אחרים, נאלצה לסגור מספר נקודות ממכר עקב אירוע סייבר שמהלכו קיבלו התוקפים גישה למערכות המחשוב של החברה וגרמו להפרעות ולהגבלה חלקית של פעילותה העסקית, לרבות בעיות בכמה מהקופות בחנויות. בתוך כך, משלוחי הסחורות לחנויות הרשת הושעו זמנית והצפי למועד קבלת משלוחים שהזמינו לקוחות נדחה. לדברי החברה, המשלוחים לחנויות צפויים להתחדש בקרוב, ופעילותה המקוונת מתחדשת בהדרגה. נכון לשעה זו, The Works אינה צופה שהאירוע ישפיע עליה כלכלית ולטענתה ״לקוחות החברה יכולים להמשיך לבצע רכישות בבטחה, הן בחנויות הפיזיות והן באינטרנט. כל נתוני אמצעי התשלום מעובדים בצורה מאובטחת מחוץ לכותלי החברה באמצעות רשתות צד שלישי, ולכן אין כל סכנה שתתבצע גישה לנתונים אלה שלא במסגרת תקינה. מרגע שנודע לחברה על האירוע היא נקטה במספר פעולות מיידיות להגנה על החברה ועל לקוחותיה, ומונו מומחי הגנת סייבר אשר חקירותיהם ועבודות השחזור שלהם עודן בעיצומן״. לדברי The Works, טרם ניתן לקבוע את מידת הפגיעה בנתוניה, אך כאמצעי זהירות היא הודיעה על האירוע לנציבות המידע הבריטית (ICO).

השבוע בכופרה

חברת Atanto הפסידה 42.1 מיליון דולר עקב מתקפת כופרה  

מן הדוחות הכספיים לשנת 2021 שפרסמה ספקית ה-CRM, הנחשבת לאחת הגדולות בתחומה ופועלת בעיקר בדרום אמריקה, עולה כי אשתקד הפסידה הכנסות בגובה 34.8 מיליון דולר עקב מתקפת הכופרה שחוותה ועוד 7.3 מיליון דולר עקב פעולות הקשורות לניסיונות למתן את השפעת האירוע, לרבות הוצאות עבור שיפור הגנת סייבר, הגנה על נתונים וזיהוי איומים בזמן אמת. לחברה, הפועלת ב-13 מדינות ומעסיקה כ-154,000 עובדים, יותר מ-400 לקוחות תאגידים רב-לאומיים בתחומי התקשורת, הבנקאות, הקמעונאות והמנהל הציבורי. ב-22 באוקטובר 2021 הודיעה Atanto כי נפרצה וכי עליה להשהות את פעולת מערכותיה בברזיל על מנת להכיל את האיום ולעצור את התפשטותו, אך בפועל שבה לפעילות בהדרגה תוך 24 שעות. ואולם, לאחר שסירבה לשלם לקבוצת התקיפה LockBit דמי הכופר, המסמכים שנגנבו ממנה הודלפו.

המלחמה במזרח אירופה

מבט על החוקר האוקראיני שהדליף את המידע על קבוצת התקיפה Conti

בשבוע שעבר פרסמה רשת ה-CNN ראיון עם חוקר אבטחת המידע שהדליף, לכאורה, מידע קריטי השייך לקבוצת התקיפה Conti (ראו ״הסייבר״, 3.3.22, ״הסייבר״, 10.3.22, ״הסייבר״, 17.3.22 ו״הסייבר״, 24.3.22), לאחר שלטענת הרשת אמינותו אומתה על סמך ראיות לפיהן הוא בעל הגישה לחשבון הטוויטר שהדליף לראשונה את המידע על קבוצת התקיפה הרוסית. לדברי החוקר, המכונה בכתבה בשם הבדוי ״דנילו״, גמלה בלבו ההחלטה להביא להדלפת המידע לאחר שמפעילי Conti הצהירו, מיד עם תחילת המתקפה על אוקראינה, כי הם תומכים בממשלת רוסיה. לטענת דנילו הוא החזיק בגישה למחשבי ושרתי Conti עוד משנת 2016 (כאשר הקבוצה או חלק ממפעיליה עוד פעלו תחת שם אחר), אך סירב לספר כיצד השיג גישה זו. עוד סיפר דנילו כי ה-FBI פנה אליו בבקשה שיעצור את ההדלפות, מחשש שחשיפת אופן פעולתה של הקבוצה יגרום לשינויים בה ובכך יקשה על ה-FBI לעקוב אחר פעילותה. 

קבוצת ההאקרים Anonymous במתקפת סייבר מקיפה נגד רוסיה 

הקבוצה, אשר תומכת באוקראינה במסגרת המלחמה במזרח אירופה וכבר תקפה בעבר אתרים וארגונים ממשלתיים רוסים (ראו ״הסייבר״, 3.3.22, ״הסייבר״, 10.3.22 ו״הסייבר״, 17.3.22), ממשיכה בפעולותיה, כשהפעם על הכוונת שרתי הכנסייה הרוסית האורתודוקסית, מהם הדליפה מידע בנפח 15GB, לרבות נתונים השייכים לאגף הצדקה של הארגון, וכ-57,500 מיילים. הנתונים פורסמו באתר Distributed Denial of Secrets, אך בשל אופיים הגישה אליהם התאפשרה רק לחוקרים ולעיתונאים. במתקפה אחרת חשפה הקבוצה מידע אישי של כ-120,000 חיילים רוסים, בטענה שעל כל חייל שנחשף לעמוד למשפט בגין פשעי מלחמה. המידע האישי שפורסם כלל תאריכי לידה, כתובות מגורים, מספרי דרכונים ושיוך יחידתי בצבא הרוסי. עוד הודיעה Anonymous על הדלפת 25GB של נתונים השייכים למפעל הרוסי "ליפטסק", המייצר רכיבים למערכות טילים נגד מטוסים וציוד צבאי נוסף, ועל פריצה למספר חברות פרטיות הנמצאות בבעלות אוליגרכים רוסים. כמו כן, הקבוצה תקפה מדפסות לא מאובטחות של אזרחים לשם הפצת מסרים נגד הממשל הרוסי. לדברי Anonymous, הקבוצה תמשיך לתקוף גופים מדיניים ועסקים ברוסיה, עד שזו תחדל מפעולותיה נגד אוקראינה. במקביל, חבריה מדריכים את אזרחי רוסיה כיצד להתקין במכשיריהם תוכנת מקור פתוח (TOR) אשר תאפשר להם לעקוף את האכיפה הממשלתית ולהגיע לחדשות ומידע אמינים, בניגוד לתוכן אליו הם מוגבלים כעת.

האקרים ממחלקת המודיעין הראשית של משרד ההגנה האוקראיני (GURMO) תקפו את חברת הגז הרוסית Gazprom וגרמו לשריפה גדולה

במהלך חדירת ההאקרים לרשת המחשבים של חברת הגז נגנבו אלפי מסמכים ונתקפה מערכת הלחץ בצינורות, דבר אשר הביא לביקוע ולדליקה בשני צינורות לפחות. תקיפות אלה מהוות את המקרה הראשון בו מדווח לציבור על נזק פיזי שנגרם בעקבות תקיפת מחשבים במהלך מלחמת רוסיה-אוקראינה. להלן שרשרת אירועי התקיפה: ב-1 באפריל תקפו שני מסוקים אוקראינים מחסן נפט רוסי הממוקם בבלגורוד; על פי דיווח של סוכנות החדשות הרוסית רי״א נובוסטי, ב-3 באפריל עובד בחברת הנפט והגז Sakhatransneftegaz JSC שבאזור יקוטיה שברוסיה (שם נמצאת גם סוכנות החלל הרוסית האחראית גם על מעקב אחר לוויינים בשימוש צבאי) גילה דליפה גז תת-קרקעית כתוצאה מלחץ גבוהה; ב-4 באפריל נבקע חלק מצינור הגז הראשי של Sakhatransneftegaz JSC המכונה Urengoy-Center-2, דבר אשר לפי דיווח בעיתון המקומי AiF-Prikamye גרם לשריפה גדולה במחוז ליסבנסקי שליד הכפר מטוויבה. אף אחד מהאירועים לא גבה אבידות בנפש. בפועל, תקיפת צינור גז ונפט הנה תקיפה נגד מערכות ICS לשליטה תעשייתית, כאשר לרוב מדובר במערכות SCADA לניטור ובקרת מכונות ותהליכים. בדוח שפרסם ה-CRS (שירות המחקר של הקונגרס) מזוהות מספר שיטות תקיפה אפשריות כנגד צינורות גז או נפט: 

  • הרצת פקודות שאינן מאושרות לשליטה בציוד (כגון ציוד ניטור או שליטה על לחץ).

  • שליחת מידע שגוי למערכות שליטה על מנת להתניע פעולות שגויות.

  • שיבוש מערכות שליטה על ידי חסימה של תעבורת מידע ברשת. 

  • עריכה לא מאושרת של מערכות שליטה (כגון שינוי התראות על לחץ והגדרות נוספות במערכת).

  • פגיעה במשאבים ובשירותים באמצעות תוכנות זדוניות (כגון וירוס או סוס טרויאני) שיופצו מתוך מערכת השליטה.

חברת Gazprom חוקרת כעת את הסיבה לפרוץ שתי השריפות, אך לא סביר שתדווח או תכיר בפריצה לרשת המחשבים שלה, בגניבת המסמכים או בתקיפת מערכות ה-SCADA שברשותה.

חברת WatchGuard מפרסמת פעולות מיטיגציה ליחידות Firewall מתוצרתה שהודבקו בבוטנט Cyclops Blink המיוחס לרוסיה

לפי ,WatchGuard מספר מוגבל של מערכות חומת האש שלה הודבקו בבוטנט הרוסי. בשיתוף פעולה הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA), לשכת החקירות הפדרלית (FBI) ורשויות נוספות, פרסמה החברה הוראות זיהוי ומיטיגציה למערכות הפגיעות, כל זאת במאמץ מרוכז של ארצות הברית לעצור את הבוטנט לפני שישמש לתקיפה. פרסום זה מתרחש על רקע המאמץ לדכא את הפלישה הרוסית לאוקראינה ושלל הסנקציות שהטילה אמריקה על רוסיה.

סייבר בעולם

 
 

Apple וחברת האם של פייסבוק Meta מסרו מידע להאקרים שזייפו מסמכים משפטיים

על פי הדיווח, החברות מסרו להאקר שהתחזה לרשות רשמית מידע של לקוחות אשר כלל פרטי משתמש בסיסיים, כגון כתובות, מספרי טלפון וכתובות IP. הבקשות המזויפות הגיעו מכתובות מייל רשמיות השייכות לרשויות אכיפת חוק במספר מדינות, ולעתים אף כללו מסמכים רשמיים וחתימות מזויפים, על מנת לשוות למיילים חזות אמינה. במרבית המקרים, בקשות לקבלת פרטי משתמשים מחברות מדיה חברתית צריכות לכלול צו או זימון מבית משפט החתום על ידי שופט. ואולם ההאקר, שככל הנראה היה בקיא בפרטי החוק, ביקש את המידע כ״בקשת חירום״, אשר אינה מצריכה צו וחתימת שופט. הדבר הגדיל את סיכוייו לקבל את המידע, היות ובקשות חירום מוגשות בעיקר במקרים שבהם קיימת סכנה מיידית. עוד דווח כי בין יולי לדצמבר 2022, חברת Apple קיבלה 1,162 בקשות חירום מזויפות, 93% מתוכם נענו בחיוב, ובין ינואר ליוני 2021 חברת Meta קיבלה 21,700 בקשות חירום מזויפות, 77% מתוכן נענו בחיוב. בתוך כך, חברת Discord דיווחה כי אף היא קיבלה בקשות חירום מזויפות ומסרה לפונים את המידע המבוקש. נכון לשעה זו, חוקרי אבטחת מידע חושדים כי התוקפים הם נערים מארצות הברית ומאנגליה, וכי אחד מהם הוא הנער העומד מאחורי קבוצת התקיפה $LAPSU (ראו ״הסייבר״, 31.3.22). קבוצה אחרת החשודה במעורבות בתקיפה  היא Recursion Team.

אישומים ראשונים כנגד חלק מהנערים אשר קושרו לקבוצת התקיפה $LAPSUS

משטרת לונדון הודיעה כי שניים מבין 17 הנערים בני 16 עד 21 החשודים במעורבות בפעילות כנופיית הסייבר מואשמים במספר עבירות, בהן גישה לא מורשית למחשב, הונאה באמצעות מצג שווא ומניעת גישה לנתונים (ראו ״הסייבר״, 31.3.22). אחד הנערים אף הואשם בסעיף נוסף של ביצוע פעולות לגישה בלתי מורשית של תוכנה. למרות שכל הנערים שוחררו תחת אזהרה להמשך החקירה, קבוצת $LAPSUS הודיעה כי הנערים שנעצרו אינם משתייכים אליה, אך גם כי כמה מחבריה ״חזרו מחופשה״. בתוך כך, הקבוצה ממשיכה לתקוף מטרות בעלות ערך, ובהתבסס על צ'אטים בטלגרם המתנהלים במספר שפות, בהן אנגלית, רוסית, טורקית, גרמנית ופורטוגזית, נראה כי חבריה נמצאים במספר מדינות. לאחרונה פרסמה הקבוצה דלף מידע בנפח 70GB משרתי ענקית שירותי התוכנה Globant, אשר מסרה כי היא חוקרת את האירוע ונוקטת בצעדים להכלתו ולמניעת אירועים נוספים. במקביל, לשכת החקירות הפדרלית (FBI) מבקשת את עזרת הציבור באיתור חברי הקבוצה אשר פרצו לרשתות מחשבים השייכות לחברות טכנולוגיה אמריקאיות, ואף פרסמה עם הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) אזהרה משותפת מפני מתקפות Vishing (פישינג באמצעות התחזות קולית) של הקבוצה. קבוצת $LAPSUS הפכה תוך זמן קצר לשחקן ידוע לשמצה ולמטרה חמה עבור סוכנויות ממשלתיות רבות ברחבי העולם עקב תקיפת ענקיות טכנולוגיה בעלות פרופיל גבוה והדלפות רחבות היקף של קודי מקור של מוצריהן. $LAPSUS, שקבוצת הטלגרם שלה מונה כיום כ-58,000 מנויים, מציגה גישה יוצאת דופן בפעולותיה, שנראה כי מאחוריהן עומד הרצון להתפרסם, כמו גם מניע מדיני, להבדיל מגזירת רווח כספי, כל זאת חרף טענת הקבוצה שמניעיה כלכליים בלבד. התמקדותה של $LAPSUS בהתקפות פשוטות עם עלות כלכלית נמוכה ופוטנציאל גבוה ביותר לתשואה גדולה ומהירה (מתקפות המבוססות על הנדסה חברתית, פישינג ו-Vishing) מאופיינת בעקשנות ובהתמדה, והיא חודרת למערכות ארגונים באמצעות מזהים אותנטיים וחוסר הקפדה על אנונימיות, שכולל לא רק הימנעות מכיסוי יסודי של עקבות הקבוצה אלא אף פרסום הפריצות במדיה החברתית. לדברי בריאן קרבס בבלוג אבטחת המידע Krebs on Security, אם קבוצות תקיפה בעלות ״כיסים עמוקים יותר״ המכוונות את פעולותיהן לנכסים מדיניים או קריטיים יאמצו את שיטותיה של $LAPSUS, התוצאות יהיו קשות מאוד. בניגוד לקבוצות תקיפה ״רגילות״, $LAPSUS אינה דוגלת בתנועה בתוך סביבת הארגון ובהתבססות בה לאורך זמן, אלא בפריצות באמצעות נתוני משתמשים אותנטיים ומתקפות מהירות מאוד שאורכות עד 6 שעות, להוצאת כמה שיותר מידע מהארגון הנתקף ובזריזות. לכן, היכולת להתגונן מפני מתקפות כאלה היא נמוכה. לאור כל אלה, קרבס טוען שקיומה של הקבוצה צריך להוות נורה אדומה המדגישה לא רק איומי סייבר בחסות מדינות אלא גם איומים המגיעים מקבוצות בני נוער. בתוך כך, מיקרוסופט - אשר חוותה גם היא פריצה של $LAPSUS - פרסמה רשומת בלוג המכילה מדריך להקשחת הסביבה הארגונית למניעת מתקפות דומות.

גרמניה סגרה את ה-Hydra הרוסי, השוק הגדול ברשת האפלה; ארצות הברית הוסיפה את הפלטפורמה לרשימת הסנקציות 

רשת אפלה (דארקנט) היא רשת נפרדת המתקיימת על בסיס רשת האינטרנט, ואשר הגישה אליה אפשרית באמצעות תוכנות מיוחדות. מכיוון שרשת אפלה מקנה אנונימיות למשתמשים, מתקיימות בה פעילויות בלתי-חוקיות רבות, שאתגרי האכיפה נגדן גדולים במיוחד. פלטפורמת Hydra, שהיתה לרשת הדארקנט בעלת מחזור הרווחים הגדול בעולם, הושקה ב-2015 למטרת מכירות בלתי-חוקיות של סמים, חומרים פרוצים, מסמכים מזויפים ושירותים דיגיטליים אחרים. זאת ועוד, הפלטפורמה שימשה פושעי סייבר להלבנת הון. כעת, לאחר מאמץ בינלאומי משותף של המשטרה הפדרלית של גרמניה (BKA), המשרד הגרמני המרכזי למאבק בפשעי סייבר (ZIT) ומספר רשויות בארצות הברית, ב-5 באפריל נסגרה פלטפורמת Hydra, בעקבות הליך אכיפה שארך שש שנים ואשר בסיומו ה-BKA הוריד את שרתי האתר מהרשת והחרים כ-23 מיליון יורו במטבעות ביטקוין. הפלטפורמה הלא-חוקית, שבסיסה ברוסיה, כללה כ-19,000 חשבונות ושירתה כ-17 מיליון משתמשים. בתוך כך, ארצות הברית הטילה על Hydra סנקציות כחלק ממאמץ בינלאומי רחב למניעת התפשטותם של שירותי סייבר בלתי-חוקיים, סמים ומוצרים אסורים נוספים שהיו זמינים ברשת זו - בנוסף לסנקיות שמוטלות על ידי המשרד האמריקאי לבקרת נכסים זרים (OFAC) על בנקים וחברות רוסיות. בחקירה שערך OFAC נמצאו הכנסות בסך 8 מיליון דולר מתוכנות כופרה, שהועברו דרך חשבונות המטבע הווירטואלי של Hydra. זאת ועוד, לדברי חוקרי בלוקצ'יין, ב-2019 היתה Hydra המקור לכ-86% מהביטקוין הלא-חוקי שהתקבל ישירות מהבורסה הרוסית למטבעות דיגיטליים. בעוד שב-2016 עמדו הכנסותיה של Hydra על פחות מ-10 מיליון דולר, ב-2020 הן האמירו לכדי יותר מ-1.3 מיליארד דולר.

עדכון נוסף של ה-CISA ל״קטלוג החולשות המנוצלות הידועות״  

בהמשך לדיווחה של הסוכנות האמריקאית לאבטחת סייבר ותשתיות בחודש שעבר על הוספת 95 חולשות לקטלוג החולשות הידועות המנוצלות שהיא מתחזקת (ראו ״הסייבר״, 10.3.22), השבוע התעדכן המאגר ב-4 חולשות נוספות, לאחר זיהוי ודאי של שימוש בהן על ידי קבוצות תקיפה. החולשות שנוספו הן חולשה (CVE 2022-2296, CVSS 9.8) ב-Spring Framework, שתי חולשות (CVE-2022-22675, CVE-2022-22674) במוצרי Apple וחולשה קריטית (CVE-2021-45382, CVSS 9.8) בנתבי D-Link. 

סייבר בישראל

 

מערך הסייבר הלאומי מפרסם המלצות הגנה על ארגונים ואזרחים 

המלצות המערך להעלאת רמת ההגנה על נכסים טכנולוגיים גנריים כוללות, בין היתר: 1. יישום עדכוני אבטחה והסרת מערכות במצב End-of-life (מערכות שאינן נתמכות). 2. הגנה על אתרי אינטרנט, הן בהיבטי ניהול הסביבה (שימוש באימות דו-שלבי [2FA] כפול והגבלת הגישה לממשק הניהול) והן ברמה הטכנולוגית (יישום גיבויים ופיתוח על פי עקרונות הפיתוח המאובטח). 3. יישום בקרות טכנולוגיות כגון WAF לחסימת תקשורת המבוצעת על ידי בוטים (Anti-Bot) וחסימת תקשורת ממקורות אנונימיים בעלי מוניטין שלילי.

קבוצת התקיפה APT-C-23 המשויכת אל ארגון הטרור החמאס ותקפה בישראל בכירים למטרות ריגול - משדרגת את יכולותיה

ממחקר שערכה חברת אבטחת המידע Cybereason עולה כי קבוצת התקיפה שדרגה את יכולותיה על ידי פיתוח כלים חדשים ושימוש ב״תורת לחימה״ חדשה במרחב הסייבר. בקמפיינים הקודמים שנקשרו אל הקבוצה נראה כי נהגה לכוון את פעולותיה נגד אנשי מפתח ישראליים דוברי ערבית שהם בעלי תפקידים ביטחוניים או גישה למידע רגיש. כעת, בקמפיין תקיפה חדש נראה שהיא מסמנת אנשי מפתח דוברי עברית. זאת ועוד, לדברי Cybereason הקבוצה פיתחה כלים מתוחכמים ושדרגה נוזקות מוכרות כך שיוכלו להישאר ״מתחת לרדאר״ ולעקוף מגוון רחב של מערכות הגנה מתקדמות. עוד נצפה שימוש של הקבוצה בטכניקות הנדסה חברתית מתקדמות ומשכנעות יותר, בין היתר באמצעות משתמשי פייסבוק פיקטיביים של נשים ישראליות בעלות חזות מושכת, לפיתוי בכירים במערכת הביטחון ובעלי גישה למידע רגיש. כמו כן, נראה שכלל התשתית אשר שימשה את הקבוצה בעבר (דומיינים, כתובות IP, כלים ועוד) הוחלפה בתשתית חדשה. בניתוח של אחד מקבצי הנוזקה שהועברו אל קורבנות הקמפיין הנוכחי התגלה כי לפני הרצתה במערכת היא מעלה שגיאה על מנת לבדוק אם היא מורצת בתוך Sandbox המשמש לזיהוי התנהגויות. אם התברר שהמערכת עליה רץ הקובץ אינה מנתחת את הקובץ ואת פעולותיו, הנוזקה מתחילה באיסוף מידע מהעמדה ומעבירה אותו בתקשורת HTTP אל שרת ה-C&C של התוקפים. המידע שנשלח כולל גם נתונים אודות תוכנת אנטי-וירוס, במידה ומותקנת כזו במערכת. כלל ממצאי החקירה מצויים בדוח המלא של Cybereason.

סייבר ופרטיות - רגולציה ותקינה

 

המענה לפס״ד "שרמס 2": עוד על האסדרה החדשה בין ארה"ב לאיחוד האירופי בעניין העברת מידע אישי

בסוף חודש מרץ הצהירו ארצות הברית והאיחוד האירופי על מתווה שיסדיר את סוגיית העברת המידע האישי ביניהן (ראו ״הסייבר״, 31.3.22), שהתעוררה בהמשך לפסק הדין המכונה "שרמס 2", על שם העותר, שפסק בית הדין האירופי בחודש יולי 2020. כתוצאה מפסק הדין, העברת מידע אישי של תושבי האיחוד לארצות הברית ולמדינות אחרות היתה כפופה לבדיקה קפדנית של הגנות על פרטיות המידע, שברמה הרגולטורית ארגונים אמריקאים רבים לא הצליחו לעמוד בה.

ההסדר החדש, ה-Trans-Atlantic Data Privacy Framework, יאפשר מעבר חופשי של מידע אישי בין ארצות הברית לאיחוד, והוא מקיים מנגנוני בקרה חדשים, לרבות מעורבות של בית משפט לבקרת הגנת מידע (Data Protection Review Court). מקס שרמס, העותר בפסק הדין "שרמס 2", הגיב לאסדרה החדשה ואמר שהוא ממתין לניסוחו הסופי והמחייב, וכי "הטקסט הסופי יצריך יותר זמן, וברגע שיגיע ננתח אותו לעומק, יחד עם המומחים המשפטיים שלנו בארצות הברית. אם הוא אינו עולה בקנה אחד עם חוקי האיחוד האירופי, סביר להניח שאנחנו או קבוצה אחרת נאתגר אותו."    

משרד החוץ של ארה״ב מחדש את ״המחלקה לדיפלומטיית סייבר"

ב-4 באפריל החלה לפעול "לשכת מדיניות מרחב הסייבר והדיגיטל" (Bureau of Cyberspace and Digital Policy) של משרד החוץ האמריקאי. לשכה חדשה זו, הנשענת על פעילות קודמת של מתאם הסייבר של המשרד, כריסטופר פיינטר (תפקיד שבוטל בתקופת ממשל טראמפ), תנחה ותתאם פעילות דיפלומטית בתחומי הסייבר והדיגיטל, "כדי לעודד התנהגות אחראית של המדינה במרחב הסייבר ולקדם מדיניות המגנה על שלמות והגנה של תשתית האינטרנט", כך על פי חזון הלשכה. המשרד יפעיל שלוש מחלקות: צוות להגנה בינלאומית על מרחב הסייבר, צוות למדיניות בינלאומית בנוגע למידע ותקשורת וצוות לחופש דיגיטלי. ראש הלשכה ג'ניפר באקוס תמשיך בתפקידה עד שממשל ביידן ימנה ללשכה ראש חדש במעמד שגריר.

הכנס השנתי של הרשות להגנת הפרטיות: הדגשת הצורך ברפורמה חקיקתית וסיכום שנתי של פעילות הפיקוח של הרשות

תכנית הכנס השנתי של הרשות להגנת הפרטיות, שהתקיים ב-5 באפריל תחת הכותרת "שומרים על כל פרט!", כללה התייחסות לסוגיות כגון הרפורמה הנוכחית בחקיקת הפרטיות בישראל, ההתפתחויות הנוכחיות בנושא ה"זכות להישכח" בישראל ובמדינות אחרות, מעקב ואיכון תושבי ישראל במרחב הציבורי והתמודדותן של חברות פרטיות עם אתגרי ההגנה על מידע אישי. בדיונים השתתפו סגן ראש הממשלה ושר המשפטים גדעון סער, ראש הראשות להגנת הפרטיות עו"ד גלעד סממה, חה"כ וראש ועדת חוקה, חוק ומשפט גלעד קריב, ונציגי ציבור ומומחי פרטיות מהאקדמיה ומהתעשייה. סרטון של הכנס ניתן למצוא כאן. בתוך כך, באותו יום פרסמה הרשות את דוח הפיקוח השנתי, בו היא סוקרת את פעילות הפיקוח שבוצעה בין השנים 2018-2021, כמוצג בטבלה להלן. 

(מקור: דוח סיכום פיקוחי הרוחב שבוצעו על ידי הרשות להגנת הפרטיות, אפריל 2022, עמ' 4.) 

חקיקת סייבר חדשה באוסטרליה: על תשתיות קריטיות ליישם תכנית לניהול סיכוני סייבר ולדווח על מפגעים

השבוע נוספו לחקיקה הקיימת באוסטרליה מספר חידושים הנוגעים לדרישות להגברת הגנות סייבר על תשתיות קריטיות, או בלשון החוק "מערכות בעלות חשיבות לאומית" (Systems of National Significance).  לדברי שרת הפנים קארן אנדרוז, החוקים האמורים "יחזקו את האבטחה והחוסן של התשתית הקריטית של אוסטרליה". מעבר לחובות המוגברות בנושא הגנת הסייבר, היוזמה החקיקתית דורשת מחברות המפעילות תשתית קריטית ב-11 מגזרים שונים להטמיע תכנית ארגונית לניהול סיכוני סייבר ולקביעת הסבירות להתרחשותם. בין הסקטורים שהוגדרו כקריטיים מצויים מזון ואספקתו, טכנולוגיות חלל ואחסון/עיבוד מידע. זאת ועוד, החברות מחויבות להגיש דוח שנתי על תכנית ניהול הסיכונים שלהן, ולפרט בו מפגעים שהשפיעו משמעותית על נכסיהן, אם היו כאלה. בתוך כך, נקבע תקציב של 10 מיליארד דולר אוסטרלי לעשור הקרוב עבור סוכנות התקשוב הלאומית. 


מפגשי ה-OEWG: ישראל ממשיכה להשתתף במו"מ בקבוצת הסייבר של האו"ם - בצל המתח הפוליטי הנובע מלחמת רוסיה-אוקראינה

הדיונים על החלת נורמות בינלאומיות על מרחב הסייבר ואופן אכיפתן ממשיכים להתקיים במסגרת ה-Open-ended Working Group, בחסות מזכ"ל האו"ם. המושב השני של דיוני הקבוצה לשנה זו, שהתקיים בשבוע האחרון בהשתתפותה של ישראל, הושפע מההשלכות הפוליטיות של הפעילות העוינת במרחב הסייבר במסגרת המלחמה במזרח אירופה ומנסיונה של רוסיה לקדם אמנת סייבר בינלאומית המתאימה לתפיסותיה. על רקע המתחים הפוליטיים שהורגשו בסבב הנוכחי של הדיונים אמר נציג האו״ם כי תהליכים דיפלומטיים נחוצים במיוחד ברגעים של מתיחות פוליטית גבוהה, וכי "צריך שה'טלפון האדום' יעבוד בדיוק כשנושאים חמים, לא כשהמצב טוב". 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.