דו״ח סייבר שבועי
עדכון שבועי 07.07.2022
עיקרי הדברים
-
ישראל: לראשונה בארץ - הרשות להגנת הפרטיות מחרימה את שרתי חברת ״גול טורס״ בשל סירובה ליישם בקרות אבטחת מידע לאחר תקיפת SharpBoys האיראנית. קבוצת SharpBoys הודיעה שפרצה ל-48 אתרים ישראלים; פעילי טרור ניסו לפתות חיילי צה״ל להוריד נוזקות באמצעות פרופילים פיקטיביים ברשתות החברתיות; הרשות להגנת הפרטיות: יש לשלבנו באופן מלא בחקירות פליליות של אירועי סייבר.
-
איראן סוגרת גישה למערכות בנקאות עקב מתקפת סייבר.
-
המלחמה בין רוסיה לאוקראינה: אתר האינטרנט של סוכנות החלל הרוסית חווה מתקפת סייבר; באוקראינה תקפו האקרים רוסים את תשתית ה-IT של DTEK במטרה לנתק אזרחים מחשמל, במקביל - מתקפת טילים על תשתית חימום.
-
הדליפה הגדולה בהיסטוריה? מידע אישי של כמיליארד סינים מוצע למכירה ברשת, לרבות מידע רגיש על שחיתויות, התעללות בילדים ואונס.
-
אנו ממליצים לעדכן את המוצרים הבאים: Google Chrome (חולשת Zero Day); מערכת ManageEngine ADAudit Plus של חברת Zoho (קריטי); דפדפן Edge (גבוה); 25 תוספים של Jenkins (גבוה); מסגרת הפיתוח Django; המוצר Microsoft Fabric Service.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה לדפדפן Edge של מיקרוסופט נותן מענה לחולשה בדרגת חומרה גבוהה
עדכון אבטחה נותן מענה לחולשה קריטית במוצר ManageEngine ADAudit Plus של חברת Zoho
עדכוני אבטחה לתוספים של Jenkins נותנים מענה לחולשות ברמת חומרה גבוהה; לחלק מהמוצרים טרם פורסם עדכון
עדכון אבטחה ל-Django נותן מענה לחולשת SQL Injection
עדכון אבטחה ל-Microsoft Fabric Service נותן מענה לחולשה חדשה שעלולה לאפשר העלאת הרשאות
עדכון אבטחה ל-Google Chrome נותן מענה לחולשת Zero-day
התקפות ואיומים
הנוזקה החדשה YTStealer חוטפת חשבונות של יוצרי תוכן ב-YouTube
מיקרוסופט מזהירה מפני נוזקות המבצעות הונאות אגרה במכשירי Android
Project Zero מרכז את חולשות ה-Zero-day שנצפו מנוצלות עד כה השנה; מחצית מהן - וריאציות של חולשות ידועות שלא תוקנו במלואן
שובה של הדלת האחורית SessionManager
Amazon מתקנת במוצר Amazon Photos חולשה שאיפשרה לתוקפים פוטנציאליים לגשת לתמונות של משתמשים
קמפיין פישינג חדש גונב אמצעי הזדהות לעמודי פייסבוק
חבילות npm זדוניות גונבות מידע ממשתמשים דרך אפליקציות וטפסים מקוונים
השבוע בכופרה
ה-CISA וה-FBI מזהירות מפני כופרת MedusaLocker
היזהרו מחיקויים: קבוצות התקיפה החדשות SolidBit ו-CryptOn מחקות את LockBit הידועה ומזמינות שותפים לעבוד עמה בתמורה ל-80% מהרווחים
הוצאת הספרים האמריקאית Macmillan מאשרת שחוותה מתקפת סייבר שאילצה אותה להשבית את כלל מערכותיה
יוצר כופרת AstraLocker ״מכבה״ את התוכנה ומשחרר מפתחות הצפנה
כופרת RedAlert החדשה מתמקדת בשרתי VMWare ESXi של Windows ו-Linux
מחקר של מיקרוסופט: זהו השדרוג שעברה כופרת Hive; קוד הכופרה תורגם במלואו לשפת תכנות אחרת
חוקרי Cisco Talos משתפים טכניקות לגילוי אתרי כופרה אנונימיים ברשת האפלה
המלחמה במזרח אירופה
אתר האינטרנט של סוכנות החלל הרוסית חווה מתקפת סייבר
אוקראינה: האקרים רוסים תקפו את תשתית ה-IT של DTEK במטרה לנתק אזרחים מחשמל; במקביל - מתקפת טילים על תשתית חימום
סייבר בעולם
התרסקות הקריפטו מאיימת על כספים שגנבו האקרים צפון קוריאניים
ה-CISA הוסיפה חולשה למאגר החולשות הידועות המנוצלות; מורה לסוכנויות פדרליות לעדכן את ה-Windows LSA
ה-NIST מפרסם מסמך בנושא שימוש בניתוח השפעה עסקית לתעדוף ותגובה במרחב הסייבר
איראן סוגרת גישה למערכות בנקאות עקב מתקפת סייבר
הדליפה הגדולה בהיסטוריה? מידע אישי של כמיליארד סינים מוצע למכירה ברשת, לרבות מידע רגיש על שחיתויות, התעללות בילדים ואונס
ראשי שירותי הביטחון של בריטניה וארה״ב בהופעה משותפת: סין היא האיום הגדול ביותר על הביטחון הלאומי והכלכלי
חברת השירותים הטכנולוגיים SHI International חוותה מתקפתת סייבר במהלך יום העצמאות האמריקאי
ה-CISA מזהירה מפני קבוצת תקיפה הממומנת על ידי קוריאה הצפונית ומשתמשת בכופרה Maui נגד מוסדות רפואיים
חברת Apple מודיעה על הוספת שכבת הגנה נגד מתקפות ואמצעי ריגול
סייבר בישראל
הותר לפרסום: פעילי טרור ניסו לפתות חיילי צה״ל להוריד נוזקות באמצעות פרופילים פיקטיביים ברשתות החברתיות
שיתוף פעולה חדש בין מערך הסייבר הלאומי וחברת התעופה Boeing
SharpBoys האיראנית שבה לתקוף אתרים ישראלים
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות: יש לשלבנו באופן מלא בחקירות פליליות של אירועי סייבר
נאט"ו: אסטרטגיה חדשה לעשור הקרוב - יכולות סייבר במרכז
האיחוד האירופי קובע שני חוקי סייבר חדשים; דאגה בנוגע לאכיפתם על ידי המדינות החברות
הנציבות הפדרלית לסחר הוגן בארה"ב: כללים חדשים להגנת סייבר ופרטיות
התוכנית האסטרטגית של משרד המשפטים האמריקאי לשנת 2023: הגברת מאמצי האכיפה מול מתקפות כופרה
מאבקי ה-TikTok נמשכים: נציב ועדת התקשורת הפדרלית קורא ל-Apple ול-Google להסיר את האפליקציה, למרות התחייבות החברה לפעול להגנת מידע אישי של משתמשים אמריקאים
כנסים
הציטוט השבועי
״הרשות היא רגולטור בעל סמכויות אכיפה פליליות, והשתלבותה בשלביה הראשונים של מתקפת סייבר חיונית. בשלב זה אנו מתמקדים גם בזיהוי התוקף ובהבנת האירוע. זה מאפשר לנו לבצע חקירה פלילית [...] לצד פעולות ההגנה שעושה החברה, באמצעות צוותי ניהול משברי הסייבר שלה (IR), תוך התחשבות בעבודתם. אי שילוב הרשות בשלב [ה]חיוני הזה עלול לגרום לשיבוש הליכי החקירה.״
ראש מחלקת האכיפה של הרשות, עו"ד ליאת קילנר, בכנס Cyber Week TLV
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה לדפדפן Edge של מיקרוסופט נותן מענה לחולשה בדרגת חומרה גבוהה
העדכון, שפורסם ב-30 ביוני, סוגר חולשה (CVE-2022-33680, CVSS 8.3) העלולה לאפשר לתוקף לבצע מתקפת העלאת הרשאות ו״לברוח״ מה-Sandbox של הדפדפן על ידי שידול המשתמש, בטכניקות של הנדסה חברתית, לגלוש לאתר אינטרנט שברשות התוקף ומכיל תוכן זדוני. לחילופין, המתקפה ניתנת לביצוע באמצעות העברת קובץ בעל מטען זדוני במייל דיוג או בהודעה מיידית. לדברי מיקרוסופט, ניצול החולשה הוא עניין מורכב, ועד כה לא זוהה ניצולה בפומבי. להלן גרסאות הדפדפן הבטוחות לשימוש:
- גרסה 103.0.1264.44 של Edge.
- גרסה 103.0.5060.53 של Edge מבוסס Chromium.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה ולגלות ערנות בנוגע לקישורים וצרופות המתקבלים במיילים ובהודעות.
עדכון אבטחה נותן מענה לחולשה קריטית במוצר ManageEngine ADAudit Plus של חברת Zoho
ברשומת בלוג טכנית שפרסמה חברת Horizon3.ai מפורט אודות חולשה (CVE-2022-28219, CVSS 9.8) שמצאו חוקריה במוצר המנטר שינויים ב-Active Directory. החולשה עלולה לאפשר לתוקף לבצע הזרקת קוד מרחוק (RCE), ואופן ניצולה מבוסס על מספר שלבים: ראשית, האפליקציה מבצעת דה-סריאליזציה של Java, כלומר ביטול של סדרת נתונים שאינם מהימנים, מבלי לוודא די הצורך שהנתונים המתקבלים תקפים. דבר זה מאפשר לתוקף לשלוט במוצר. לאחר מכן מבוצע מעבר נתיב, שמאפשר לתוקף לגשת לקבצים בשרת האינטרנט של הקורבן שאליהם לא אמורה להיות לו גישה, כמו גם לבצע הזרקת XXE. החולשה נוצלה באמצעות NodeZero, מוצר בדיקות החדירות של Horizon3.ai, לשם הזרקת קוד מרחוק וחבלה בחשבונות אדמין.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסה Build 7060.
עדכוני אבטחה לתוספים של Jenkins נותנים מענה לחולשות ברמת חומרה גבוהה; לחלק מהמוצרים טרם פורסם עדכון
פלטפורמת האוטומציה Jenkins פרסמה מידע אודות 33 חולשות ב-25 תוספים (Plugins), רמת החומרה של 11 מהן גבוהה ושל 14 בינונית. מרבית החולשות טרם טופלו, וחלקן מאפשרות ביצוע מתקפות XSS ,CSRF ואי וידוא הרשאות לאחסון סיסמאות בטקסט.
נכון לשעה זו, פורסמו עדכונים לתוספים הבאים: GitLab Plugin, requests-plugin Plugin, TestNG Results Plugin, XebiaLabs XL Release Plugin.
נכון לשעה זו, טרם פורסמו עדכונים לתוספים הבאים: Build Notifications Plugin, build-metrics Plugin, Cisco Spark Plugin, Deployment Dashboard Plugin, Elasticsearch Query Plugin, eXtreme Feedback Panel Plugin, Failed Job Deactivator Plugin, HPE Network Virtualization Plugin, Jigomerge Plugin, Matrix Reloaded Plugin, Opsgenie Plugin, Plot Plugin, Project Inheritance Plugin, Recipe Plugin, Request Rename Or Delete Plugin, Rich Text Publisher Plugin, RocketChat Notifier Plugin, RQM Plugin, Skype Notifier Plugin, TestNG Results Plugin, TestNG Results Plugin, Validating Email Parameter Plugin, XebiaLabs XL Release Plugin, XPath Configuration Viewer Plugin.
צוות קונפידס ממליץ לחברות המשתמשות בתוספים לעדכנם לגרסאותיהם האחרונות. בנוגע לתוספים שטרם פורסם להם עדכון, מומלץ לעיין באופן פרטני בחולשות הרלוונטיות לארגון ולבצע הערכת סיכונים בהתאם. במידה והסיכון גבוה, יש לשקול להסיר את התוסף עד שישוחרר עדכון המתקן את החולשה בו. הרשימה המלאה של הגרסאות הפגיעות והתיקונים שכבר פורסמו מצויה כאן.
עדכון אבטחה ל-Django נותן מענה לחולשת SQL Injection
החולשה (CVE-2022-34265, CVSS 6.0) שנמצאה ב-Django, שהינה מסגרת פיתוח Web מבוססת Python בקוד פתוח, נמצאת בשתי פונקציות עיקריות של המערכת - TRUNC ו-Extract, וניצולה עלול להשפיע על מערכות מאגרי מידע צד ג׳. הגרסאות הפגיעות הינן:
Django Main Branch
Django 4.1
Django 4.0
Django 3.2
צוות קונפידס ממליץ לכלל משתמשי המערכת להטמיע בה את העדכונים, על פי המלצות המפיצה.
עדכון אבטחה ל-Microsoft Fabric Service נותן מענה לחולשה חדשה שעלולה לאפשר העלאת הרשאות
מחלקת המחקר של ענקית אבטחת המידע Palo Alto פרסמה דוח טכני המפרט אודות טכניקה חדשה שמאפשרת לתוקפים פוטנציאליים לבצע מניפולציה על השירות Runtime Access, המגיע בהגדרות ברירת המחדל של כל קונטיינר, באמצעות ניצול חולשה (CVE-2022-30137, CVSS 6.0) העלולה לאפשר לתוקף בעל גישה "רגילה" לקונטיינר להעלות הרשאות ולקבל שליטה על הקלאסטר כולו. לדברי מיקרוסופט, החולשה קיימת רק במערכות מבוססות Linux, והיא תוקנה בגרסת המוצר החדשה שהופצה - Microsoft Azure Service Fabric 9.0 Cumulative Update 1.0.
צוות קונפידס ממליץ לבעלי המוצר לעדכנו לגרסתו האחרונה.
עדכון אבטחה ל-Google Chrome נותן מענה לחולשת Zero-day
העדכון שפרסמה החברה ב-4 ביולי לדפדפן הפופולרי סוגר במוצר 3 חולשות (CVE-2022-2295, CVE-2022-2294, CVE-2022-2296) ברמת חומרה גבוהה, אחת מהן (CVE-2022-2294) היא חולשת Zero-day מסוג Heap buffer overflow, אשר לדברי Google מנוצלת ״In the wild". החולשה מצויה ב-WebRTC, רכיב בדפדפן המאפשר הזרמת קול ו-וידאו מדפדפנים וממכשירים אחרים בזמן אמת. כל החולשות להן ניתן מענה בעדכון עלולות לאפשר לתוקף לבצע מתקפות הרצת קוד מרחוק (RCE) ומניעת שירות (DoS).
צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו בהקדם האפשרי לגרסתו האחרונה (103.0.5060.114).
התקפות ואיומים
הנוזקה החדשה YTStealer חוטפת חשבונות של יוצרי תוכן ב-YouTube
חוקרי אבטחת הסייבר של Intezer תיעדו נוזקה חדשה הגונבת מידע מיוצרי תוכן בפלטפורמה על ידי גניבת קובצי העוגיות שלהם. YTStealer הינה, ככל הנראה, כלי זדוני שנמכר בדארקנט במתכונת ״נוזקה כשירות״ (Malware-as-a-Service, או MaaS) ומופץ באמצעות תוכנות התקנה מזויפות שנראות כמו תוכנות התקנה לגיטימיות, בהן Adobe Premiere Pro, Filmora ו-HitFilm Express, כלי אודיו כמו Ableton Live 11 ו-FL Studio, ״צ׳יטים״ למשחקים Counter-Strike: Global Offensive ו-Call of Duty וגרסאות מזויפות של מוצרי אבטחה. בפועל, גרסאות זדוניות אלה מתקינות את הנוזקות RedLine Stealer ו-Vidar.
ייחודיותה של הנוזקה נעוצה בהתמקדותה רק באיסוף קובצי העוגיות שנועדו להזדהות משתמשים, במקום לגנוב את כל המידע הנגיש לה בעמדה. ואולם, YTStealer דומה באופן פעולתה לנוזקות אחרות בכך שהיא מחלצת את העוגיות מתוך תיקיית פרופיל המשתמש שבמסד הנתונים של דפדפן האינטרנט. הנוזקה משתמשת באחד מהדפדפנים המותקנים במחשב הנגוע לאיסוף מידע על ערוץ ה-YouTube ומשיגה את העוגיות על ידי הפעלת הדפדפן במצב Headless (בו אין למשתמש מסך User Interface גרפי) והוספת קובץ העוגיות למאגר הנתונים. לאחר מכן היא משתמשת בכלי האוטומציה האינטרנטי Rod כדי לנווט לדף ה-YouTube Studio של המשתמש, המאפשר ליוצרי תוכן לנהל את העמוד שברשותם (למשתמשים שאינם יוצרים תוכן אין עמוד שעליו ניתן להפעיל את Rod, ומכאן ההתמקדות ביוצרי תוכן). משם, התוכנה הזדונית לוכדת מידע על הערוץ, לרבות שם, מספר המנויים ותאריך יצירתו, ובודקת את הימצאותם של מונטיזציה וערוץ אמן רשמי, וכן אם שם האמן אומת. כל הנתונים הללו מסוננים ומועברים לשרת מרוחק הנושא את שם הדומיין "youbot[.]solutions", שנרשם ב-12 בדצמבר אשתקד ואולי קשור לחברת תוכנה בעלת שם זהה, הממוקמת במדינת ניו מקסיקו שבארצות הברית ומתיימרת לספק "פתרונות ייחודיים להשגת רווחים". מודיעין מבוסס קוד פתוח שנאסף על ידי Intezer קישר את לוגו ה״חברה״ לחשבון משתמש בשירות שיתוף הווידאו האיראני Aparat.
הדרך הטובה ביותר להתגונן מפני YTStealer היא התקנת תוכנות רק ממקורות מהימנים ומאתרים רשמיים של מוצרים. בדוח המלא של Intezer ניתן למצוא IOCs להזנה במערכות ההגנה של ארגונים.
מיקרוסופט מזהירה מפני נוזקות המבצעות הונאות אגרה במכשירי Android
במאמר שפרסם צוות המחקר של Microsoft 365 Defender מתוארות היכולות המתפתחות של אפליקציות זדוניות לביצוע ההונאות, המהוות תת-קטגוריה של הונאות חיוב, ואשר במהלכן אפליקציות לטלפונים ניידים רושמות משתמשים לשירותים ולתוכן פרימיום בתשלום, ללא ידיעתם או הסכמתם. בהשוואה לקטגוריות משנה אחרות של הונאת חיוב, לרבות הונאות SMS ושיחות, להונאת אגרה מאפיינים ייחודיים: בעוד שהונאות SMS ושיחות הן תקיפות פשוטות באופן יחסי, וכוללות משלוח הודעה או ביצוע שיחה למספר פרימיום, להונאת אגרה יש וקטור תקיפה מורכב ורב-שלבי, הממשיך להתפתח. לדוגמה, התוכנה מבצעת את פעילותה רק אם המכשיר מנוי לאחד ממפעילי רשת היעד שלה, והיא משתמשת כברירת מחדל בחיבור סלולרי לביצוע פעולותיה, כאשר היא מאלצת מכשירים להתחבר לרשת הסלולרית גם בהינתן חיבור Wi-Fi זמין. לאחר אישור החיבור לרשת היעד, התוכנה רוכשת מנוי בתשלום ללא ידיעת המשתמש, ובמקרה הצורך אף מיירטת את הסיסמה החד-פעמית (OTP) הנשלחת אליו לשם אישור הפעולה. התנהגות ייחודית נוספת של אפליקציות להונאות אגרה היא השימוש בטעינת קוד דינמית, מה שמקשה על פתרונות אבטחה ניידים לזהות את האיום באמצעות ניתוח סטטי, שכן חלקים מהקוד יורדים אל המכשיר בשלבים שונים של התקיפה. המאמר שפורסם מכיל ניתוח מעמיק של אופן פעולתן של תוכנות אלה, של האופנים בהם אנליסטים יכולים לזהות טוב יותר איומים מסוג זה ושל דרכים לשיפור אבטחת מכשירים מבוססי Android, על מנת להפחית הסיכון ליפול קורבן להונאות האגרה.
בין ההמלצות להתגוננות:
-
התקנת יישומים רק דרך חנות ה-Google Play או מקורות מהימנים אחרים.
-
הימנעות מהענקת הרשאות SMS, גישה למאזין התרעות או גישה לכל יישום אחר מבלי להבין היטב מדוע האפליקציה זקוקה לכך. לרוב, הרשאות חזקות אלה אינן נחוצות.
-
להחיל על ה-Android פתרון כגון Microsoft Defender for Endpoint לזיהוי יישומים זדוניים.
-
לשקול בכובד ראש להחליף מכשירים שכבר אינם מפורסמים עבורם עדכונים.
על פי Project Zero, עד ל-15 ביוני פורסמו 18 חולשות Zero-day חדשות שזוהו ונוצלו ״בשטח״, ומניתוחן עולה ש-9 מהן הינן וריאציות של חולשות שתוקנו בעבר ו-4 הן וריאציות של חולשות Zero-day שפורסמו ב-2021. דבר זה נוגד את הקונספט לפניו קשה לאתר ולמנוע את השפעתן של חולשות Zero-day, שלרוב נתפסות כמתקדמות מבחינה טכנולוגית. בפועל, לפחות מחצית מחולשות ה-Zero-day שנצפו השנה הן וריאציות של באגים וחולשות ידועים ולא תוקנו במלואם. ניתוח ושיתוף מידע מסוג זה מאפשר לצוותי פיתוח ואבטחה להבין טוב יותר את הידוע לתוקף בנוגע לבאגים וחולשות במערכות, עשוי לתרום למציאת פתרונות אבטחה משופרים.
שובה של הדלת האחורית SessionManager
חוקרי אבטחת מידע מ-Securelist של Kaspersky, פרסמו את תוצאותיו של מחקר שערכו אודות שימוש הולך וגובר בדלת האחורית, המותקנת על שרתי IIS (שרת אפליקציית Web של מיקרוסופט). החוקרים צפו בשימוש בדלת האחורית בקרב יותר מ-20 ארגונים ממדינות רבות, בהן גם ארמניה, סין, הונג קונג, קניה וטורקיה, כל זאת, ככל הנראה, למטרות ריגול, כאשר מספר השרתים הנגועים המזוהים הגבוה ביותר נרשם בווייטנאם.
הארגונים בהם נמצאה הדלת האחורית הם גופים ללא מטרות רווח, ארגוני ממשל וצבא וחברות תעשייה. החוקרים, אשר בדקו את הנוזקה מתחילת השנה, הבחינו שמנועי אנטי-וירוס לא זיהו את הווריאנט כלל עד סוף אפריל 2022, ייתכן ובשל התמקדותם של ארגונים בהתמגנות מפני מתקפות ProxyLogon.
נוזקת הדלת האחורית, הכתובה בשפת ++C, הינה מודול זדוני של שרת ה-IIS, ומטרתה לבצע עיבוד של בקשות HTTP לגיטימיות שנשלחות באופן שוטף לשרת. השימוש הזדוני במודול מתבסס על הוספת הפרמטר SM_SESSIONID לבקשה לגיטימית, שמעובדת בשרת באופן רגיל, כאילו לא קיים בו מודול זדוני. עם זאת, הימצאותו של הפרמטר מביאה את המודול לבצע את הפקודה המצורפת לפרמטר ולהחזירה אל המקור השולח עם תוצאת הפקודה בגוף התשובה. מכיוון שהמודול נכנס לתוך שרשרת פעילות לגיטימית (עיבוד בקשות HTTP) ואינו גורם לתקשורת חריגה מול שרת התוקף, לכלי הגנה קשה מאוד לזהותו. בין היתר, SessionManager מאפשרת לתוקפים לקרוא, לכתוב ולמחוק קבצים על שרת הקורבן, להריץ קבצים בינאריים בשרת (RCE) לבצע התקשרות למחשבים/שרתים ברשת שרת הקורבן ולקרוא ולכתוב למחשבים/שרתים אלה.
ל-SessionManager היו מספר גרסאות שנצפו בין מרץ 2021 לספטמבר 2021, כאשר עם ההתקדמות בגרסאות הפך הכלי למתוחכם וחמקמק יותר. למשל, החל מגרסתה השלישית של הדלת האחורית, הפקודה שהוצמדה לפרמטר הזדוני עברה למודל מוצפן, כך שגם אם אדם יצפה בבקשות הללו - הוא לא יבחין בדבר מה חריג. במקרים שתועדו, התוקפים השתמשו ב-SessionManager לביצוע אנומרציה על סביבת הקורבן, בין היתר על ידי טעינת Mimikatz להשגת פרטי גישה של משתמשים מקומיים למחשבים או שימוש בכלי Memory Dump של חברת Avast במטרה לקבל גישה לחשבונות Active Directory בסביבת הקורבן. על מנת להתמגן מפני התקיפה, יש לבצע עדכון של שרת ה-IIS באופן תדיר, לחקור את שרתי הארגון למציאת אנומליות ולהטמיע במערכות ההגנה את ה-IOCs המופיעים במאמר המלא. במקרה שמזוהה הנוזקה, יש לבצע חקירה מעמיקה על Snapshot עדכני של הזיכרון הנדיף בעמדה, לערב צוותי IR ופורנזיקה, לנתק את השרת תוך גיבוי הקבצים ולהשתמש בכלי IIS Manager להסרת כל זכר לנוזקה.
Amazon מתקנת במוצר Amazon Photos חולשה שאיפשרה לתוקפים פוטנציאליים לגשת לתמונות של משתמשים
התיקון בוצע בדצמבר אשתקד בממשק המתכנתים (API) של המוצר, לאחר שחברת אבטחת המידע הישראלית Checkmarx גילתה בו חולשה שאיפשרה לדלות אסימוני זיהוי (Access Tokens) שעברו בין אפליקציות כ-Cleartext. דבר זה אפשר בתורו גישה עם אמצעי הזיהוי לתמונות משתמשים ולמידע נוסף בפלטפורמות שונות של Amazon, בהן Amazon Drive (מוצר אחסון קבצים אשר גישה אליו מאפשרת מחיקת מידע לצמיתות או הצפנתו). בראיון למגזין The Record אמר נציג Amazon כי לא נצפה ניצול של החולשה ואין תיעוד של דלף או חשיפה של מידע רגיש של לקוחות. עוד מסר הנציג כי החברה מעריכה את העבודה מול קהילת המחקר, וכי החולשה תוקנה והמוצר עודכן.
קמפיין פישינג חדש גונב אמצעי הזדהות לעמודי פייסבוק
בקמפיין, שהתגלה על ידי Trustwave, גורמים זדוניים משתמשים בצ'טבוטים של Facebook Messenger כדי לגנוב אמצעי הזדהות של מנהלים של עמודי פייסבוק, אשר לרוב משמשים חברות למתן תמיכה או לקידום שירותיהן. המתקפה מתחילה במייל המודיע למנהל העמוד שדף הפייסבוק שלו הפר, כביכול, את תקנות הקהילה, ושעומדות לרשותו 48 שעות לערער על ההחלטה על ידי לחיצה על כפתור ״ערער כעת״, בטרם העמוד יימחק. בפועל, לחיצה על הכפתור מעבירה את הקורבן לשיחת Messenger שבה צ'אטבוט מתחזה לסוכן תמיכת לקוחות של פייסבוק ושולח לקורבן קישור לדף ערעור, לכאורה. העמוד המקושר לצ׳טבוט הוא עמוד עסקי סטנדרטי, ללא עוקבים או פוסטים, אך עם ציון כי הפרופיל ״תגובתי מאוד להודעות״. לאחר לחיצה על הקישור שנשלח בשיחה מתבקש הקורבן להזין בעמוד הפישינג הראשי את כתובת המייל ומספר הטלפון שלו, את שמו המלא ואת שם העמוד המועמד למחיקה. לאחר הזנת הנתונים ולחיצה על כפתור "שלח", מופיע חלון בו הוא מתבקש להזין את סיסמת הכניסה לחשבונו. לאחר שכל הנתונים נשלחים לתוקף, הקורבן מנותב לעמוד אימות דו-שלבי (2FA) מזויף, בו עליו להזין את ה-OTP שקיבל ב-SMS במספר הטלפון שסיפק. עמוד זה יקבל כל קלט, שכן מטרתו היחידה היא ליצור תחושת לגיטימציה כוזבת ביחס לתהליך. לאחר ״האימות״, הקורבן מועבר לעמוד פייסבוק המכיל מידע על קניין רוחני וזכויות יוצרים הרלוונטיות, כביכול, להפרות שביצע המשתמש. מכיוון שהמתקפה היא אוטומטית, השימוש באמצעי ההזדהות הגנובים עשוי להגיע בשלב מאוחר יותר. הונאות מסוג זה קשות לזיהוי, שכן כיום אתרים רבים משתמשים בבינה מלאכותית ובצ'טבוטים כחלק מתהליך התמיכה שלהם. כמו תמיד, קו ההגנה הטוב ביותר נגד מתקפות פישינג הוא ניתוח כתובת האתר בדפים המבקשים אמצעי הזדהות ו-וידוא כי מדובר בדומיין אמיתי ולגיטימי בטרם הזנת הנתונים.
חבילות npm זדוניות גונבות מידע ממשתמשים דרך אפליקציות וטפסים מקוונים
חבילות הקוד הכלולות בספריית חבילות ה-JavaScript המכונה npm מותקנות כברירת מחדל בכל סביבות ה-Node.js, ולכן הן נפוצות מאוד בשימוש. עיקר השימוש ב-npm הוא בחבילות הקוד nmp Registry, המכילות מאות אלפי פונקציות וקטעי קוד כתובים המאפשרים למתכנתים להישען עליהם בעבודתם. דוח של חברת ReversingLabs חושף כעת פעילות שרשרת אספקה זדונית המבוססת על טכניקה המכונה Typosquatting. לדברי חוקרי החברה, עלה בידיהם לגלות כי גורמים זדוניים הצליחו לגרום למפתחים להוריד חבילות npm זדוניות כ-27,000 פעמים, באמצעות אתר בשם ionico[.]com, הזהה ויזואלית לאתר הלגיטימי הפופולרי ionic.com, שמספק חבילות npm למפתחים (למידע אודות ניצול זדוני של חבילות npm בעבר, ראו ״הסייבר״, 28.10.21, ״הסייבר״, 24.2.22 ו״הסייבר״, 2.6.22). החבילות הזדוניות, כ-24 במספר, הכילו קוד JavaScript מעורפל (Obfuscated), שכלל קוד זדוני אשר נועד לשאוב מידע רגיש מטפסים המצויים באפליקציות של מכשירים ניידים ובאתרי אינטרנט, ולשלוח אותו לשרתי התוקפים. בשעה זו טרם ניתן לקבוע את גודל הפגיעה ואת כמות המידע שנגנב ממשתמשים, אך על סמך כמות ההורדות הגדולה - אפשר לשער שנגרם נזק משמעותי. את רשימת החבילות הזדוניות, את כתובות ה-C2 בהן השתמשו התוקפים ואת ה-IOCs של החבילות וגרסאותיהן, ניתן למצוא בדוח של ReversingLabs. נכון לכתיבת שורות אלה, מרבית החבילות הזדוניות עדיין זמינות להורדה.
צוות קונפידס ממליץ להטמיע את ה-IOCs במערכות ההגנה של ארגונים.
השבוע בכופרה
ה-CISA וה-FBI מזהירות מפני כופרת MedusaLocker
האזהרה המשותפת שפרסמו הסוכנות האמריקאית להגנת סייבר ותשתיות ולשכת החקירות הפדרלית הינה חלק מקמפיין מתמשך של שני הארגונים להעלאת המודעת לקבוצות תקיפה ולדרכי פעולתן. לדברי ה-CISA, על מנת לחדור לרשתות הקורבנות, MedusaLocker מסתמכת בעיקר על חולשות בפרוטוקול ה-RDP ועל הודעות פישינג שאליהן היא מצורפת. בעת פעולתה מבצעת הכופרה אתחול ל-Service המכונה LanmanWorkstation, מה שמאפשר ליצור ולהפעיל שינויים ב-Registry של מחשב הקורבן. לאחר מכן הכופרה ״הורגת״ את התהליכים של רוב תוכנות ההגנה והניטור הפופולריות, ואז מאתחלת את המחשב במצב Safe Mode, כדי להימנע מגילוי על ידי תוכנות אלה. בשלב הבא היא מתחילה בתהליך הצפנה שרץ כל 60 שניות ואשר בו מוצפנים ב-AES-256 כל קובצי המחשב, מלבד אלה שכבר הוצפנו וכאלה שהכרחיים לתפקוד המחשב. נוסף על כך, הכופרה יוצרת לעצמה קביעות על המחשב ומשימה מתוזמנת שתריץ את הכופרה כל 15 דקות, כל זאת לצד מחיקת גיבויים, כיבוי אופציות השחזור בעת העלאת המחשב ומחיקת Shadow copies. באזהרה ה-CISA וה-FBI מופיעים שלל IOCs של הכופרה, כגון סיומות קבצים, שמות פתקי דרישת הכופר, כתובות IP המזוהות עם הכופרה ועוד, וכן המלצות קריטיות למיטיגציה, בהן יצירת גיבויים שאינם מחוברים לרשת והצפנתם באמצעות סיסמה, התקנה ועדכון של תוכנות הגנה כמו אנטי-וירוס או EDR, שימוש במנגנון אימות רב-שלבי (MFA) ועדכון מתמיד של מערכות הפעלה ותוכנות מחשב.
למידע נוסף על הגנה מפני כופרות כגון MedusaLocker, חייגו 8272* לחמ״ל הסייבר של קונפידס.
לאור הצלחתה האדירה של LockBit, הפועלת בשיטת ה״נוזקה כשירות״ (Ransomware-as-a-Service או RaaS) ואף השיקה תוכנית Bug Bounty (ראו ״הסייבר״, 30.6.22), קבוצות תקיפה חדשות מבקשות לטעום מההצלחה ומעתיקות את שיטותיה. אחת מהקבוצות הללו היא SolidBit, המשתמשת בכופרה שהינה גרסה ״רזה״ יותר של Yashma (שהיא בעצמה גרסה משודרגת של כופרת Chaos) וככל הנראה נעדרת מאפיינים כמו בדיקת המדינה בה נמצא המחשב טרם הפעלת והרצת הכופרה עם Flags (אופציות) מסוימים.
בימים האחרונים משכה SolidBit תשומת לב באמצעות אתר ההדלפות שלה, המהווה העתק מדויק של אתר ההדלפות של LockBit, בשינויי צבע מינוריים. עדות לכך שהקבוצה נמצאת בתחילת דרכה מהווה פעילותה בפורומים מחתרתיים, בהם היא מזמינה שותפים לעבוד עמה ומציעה לבודקי חדירות להחדיר את הכופרה לארגונים אליהם יצליחו השותפים לפרוץ, בתמורה ל-80% מהרווחים. קבוצה נוספת שעלתה לכותרות לאחר ששאבה השראה מ-LockBit היא CryptOn, אשר ככל הנראה החלה לפעול בתחילת השנה. CryptOn מתפעלת אתר הדלפות זהה לחלוטין לזה של LockBit, לרבות הלוגו של הקבוצה הוותיקה, ועד כה נראה שעלה בידה לתקוף 11 חברות, 3 מהן הותקפו, כנראה, לפני עליית האתר המועתק לאוויר. טרם ידוע אם CryptOn משתמשת בכופרה, ועל פי ההערכות היא גונבת מידע מחברות מבלי להצפין אותו. נכון לשעה זו, מלבד כמה מזהי תקיפה (IOCs) של SolidBit, אין בנמצא מידע רב על שתי הקבוצות החדשות.
הוצאת הספרים האמריקאית Macmillan מאשרת שחוותה מתקפת סייבר שאילצה אותה להשבית את כלל מערכותיה
Macmillan, מהוצאות הספרים הגדולות בארצות הברית, דיווחה כי ב-25 ביוני נפגעה ממתקפה שבעקבותיה סגרה את מערכות ה-IT שלה. על פי דיווחים נוספים, המתקפה השפיעה גם על סניף ההוצאה בבריטניה, ה-Pan Macmillan. דוברת החברה, ארין קופי, אמרה ל-TechCrunch כי הארגון חווה לאחרונה "תקרית אבטחה" שהתבטאה בהצפנת קבצים מסוימים ברשתותיו. לדבריה, החברה נקטה באמצעי זהירות ראשוניים והורידה את כל מערכותיה מהאוויר כדי למנוע נזק נוסף לרשת. עוד הוסיפה כי Macmillan עובדת עם מומחים סייבר לחקירת מקור הבעיה, להבנת השפעותיה על מערכות הארגון ולהשבת הרשת לפעילות מלאה בהקדם האפשרי. למרות שהחברה סירבה לענות על שאלות נוספות על מהות התקרית, העובדה שהתבצעה הצפנה מצביעה על שימוש בכופרה. בשעה זו אף קבוצת כופרה לא לקחה אחריות על האירוע וטרם התברר אם נגנבו מהרשת נתונים רגישים. בתוך כך, Macmillan סגרה את משרדיה הווירטואליים והפיזיים בניו יורק, וצוות החברה צייץ בטוויטר שאין לו גישה למערכות, למיילים ולקבצים. לדברי Publishers Weekly, צוות המכירות של Macmillan הזהיר כי השיבוש עלול לגרום לעיכובים במשלוחי ספרים. לטענת החברה, היא כבר החלה להשיב את מערכותיה לאינטרנט, אך עדיין נבצר ממנה לעבד הזמנות.
יוצר כופרת AstraLocker ״מכבה״ את התוכנה ומשחרר מפתחות הצפנה
״כיבוי״ התוכנה ופרסום מפתחות ההצפנה וה-IOCs באתר VirusTotal בוצעו, לטענת יוצרה, עקב מעבר לתקיפות המתמקדות בשימוש במחשבי הקורבנות לכריית מטבעות קריפטוגרפיים (Cryptojacking). בבדיקה שערך מגזין אבטחת המידע BleepingComputer למפתחות ההצפנה ששוחררו על קובץ שהוצפן בתקיפה בה נעשה לאחרונה שימוש ב-AstraLocker, נמצא כי הם לגיטימיים ואכן אפשרו את פענוח הקובץ. בתוך כך, בבדיקה שביצעה חברת ReversingLabs נמצא כי AstraLocker משתמשת בשיטה לא קונבנציונלית להצפנת קובצי הקורבנות, כאשר במקום לפרוץ למחשביהם או לרכוש פרטי גישה מתוקף אחר, היא מורידה את תוכנת הכופרה ישירות מתוך קובץ וורד המצורף למייל ומכיל אובייקט OLE עם הכופרה. לפני הצפנת הקבצים על המחשב, הכופרה בודקת אם היא רצה על סביבה וירטואלית, ואף הורגת תהליכים ועוצרת גיבויים. נוסף על כך, היא מכבה שירותי AV העלולים להאט את תהליך הצפנת הקבצים. מבדיקתה של חברת ReversingLabs עלה גם ש-AstraLocker מבוססת על הכופרה Babuk Locker, וכי אחת מכתובות הארנק המופיעות בהודעת הכופרה שלה משויכת לקבוצת הכופרה Chaos.
כופרת RedAlert החדשה מתמקדת בשרתי VMWare ESXi של Windows ו-Linux
הכופרה התגלתה על ידי קבוצת MalwareHunterTeam, אשר פרסמה בטוויטר תמונות של אתר ההדלפות של הפורצים, שנכון לשעה זו כולל מידע של קורבן אחד בלבד. שמה של הכופרה, RedAlert, ניתן לה על סמך הטקסט שנמצא במכתב הכופר שהשאירה, אך שימוש במפענח של Linux העלה כי קבוצת התקיפה מכנה אותה בשם N13V. הכופרה מאפשרת לתוקף לבצע מספר פעולות, בהן קביעת נתיב/קובץ להצפנה, בדיקת זמן ההצפנה ועוד. בעת הרצתה עם הסימון ״w-״, הכופרה תכבה את כל שרתי ה-VMware ESXi שרצים ולאחר מכן תצפין את הקבצים באמצעות שימוש באלגוריתם ההצפנה הפומבי NTRUEncrypt. מאפיין נוסף של הכופרה הוא יכולתה לבצע Asymmetric cryptography performance testing בזמן הצפנת הקבצים. RedAlert מתמקדת בקבצים הקשורים למכונות וירטואליות מסוג VMware ESXi, שכוללים קובצי Log, קובצי זיכרון וכוננים וירטואליים. בזמן ההצפנה היא משנה את סיומות הקבצים ל-״crypt658.״ ויוצרת בתיקייה מכתב כופרה בשם HOW_TO_RESTORE, המכיל תיאור של המידע שהוצפן ולינק לאתר Tor בו הקורבן יכול לשלם על מנת לקבל את מפתח ההצפנה. בדומה לאתרי כופרה אחרים, גם באתרה של RedAlert מפורסמים סכום הכופר ודרישה ליצירת קשר עם התוקפים לניהול משא ומתן, אך בשונה מקבוצות אחרות היא דורשת תשלום רק במטבע הקריפטו Monero. למרות שכרגע לא נצפתה פעילות רבה של RedAlert, יש לעקוב אחריה בשל תאימות הכופרה ל-Linux ול-Windows ובשל הפעולות המתקדמות שביכולתה לבצע.
מחקר של מיקרוסופט: זהו השדרוג שעברה כופרת Hive; קוד הכופרה תורגם במלואו לשפת תכנות אחרת
Hive היא כופרה בת שנה בלבד, אך כבר גדלה להיות לאחת הכופרות הנפוצות בעולם ה״כופרות כשירות" (Ransomware-as-a-Service או RaaS). עם גרסתה האחרונה, הנושאת כמה שדרוגים גדולים, Hive מוכיחה שהיא אחת ממשפחות הכופרה המתפתחות ביותר, ומדגישה את השינוי התדיר המאפיין את עולם נוזקות הכופר. עד כה, התמורות הבולטות ביותר בהן הבחינו חוקרי מיקרוסופט בגרסתה האחרונה של Hive הן העברה מלאה של הקוד לשפת תכנות אחרת (הגרסאות הישנות נכתבו ב-Go, המכונה גם Golang, בעוד שזו החדשה כתובה ב-Rust) ושימוש בשיטת הצפנה מורכבת יותר. השפעתם של עדכונים אלה צפויה להיות מרחיקת לכת, בהתחשב בכך שמיקרוסופט תיעדה שימוש ב-Hive במתקפות נגד ארגונים במגזרי הבריאות והתוכנה על ידי קבוצות כופרה גדולות, כמו DEV-0237. כעת, החלפת שפת התכנות של הכופרה הגבירה את הקושי לבצע לה הנדסה לאחור, יצרה מגוון גדול יותר של ספריות קריפטוגרפיות המשמשות אותה להצפנה והעמיקה את יכולת השליטה שלה במשאבי מערכת ברמות הנמוכות ביותר.
בפרסום של מיקרוסופט מוצג האופן הטכני בו נעשה שימוש בשפת Rust לביצוע ההצפנות והפעולות השונות, למשל הצגת הודעת הכופר וכו׳, ומופיעות המלצות לפעולות שניתן לבצע לחיזוק אבטחת מערכות, בהן:
-
להזין את המזהים המצורפים למחקר במערכות ההגנה של ארגונים ולבצע חקירה לאחור כדי לגלות אם מזהים אלה הופיעו בעבר ברשת הארגון.
-
לאכוף אימות רב-שלבי (MFA) בכל החשבונות, בכל המכשירים, בכל המיקומים ובכל עת.
-
לאפשר שיטות אימות ללא סיסמה (לדוגמה באמצעות Windows Hello, מפתחות FIDO או Microsoft Authenticator) עבור חשבונות התומכים בכך.
-
עבור חשבונות שדורשים סיסמאות, יש להשתמש באפליקציות אימות כמו Microsoft Authenticator for MFA.
-
להפעיל EDR במצב חסימה, כך ש-Microsoft Defender for Endpoint יוכל לחסום קבצים זדוניים גם כאשר אנטי-וירוס שאינו של מיקרוסופט אינו מזהה את האיום, או כאשר Microsoft Defender Antivirus פועל במצב פסיבי. EDR במצב חסימה חוסם גם אינדיקטורים שזוהו באופן יזום על ידי צוותי Microsoft Threat Intelligence.
צוות קונפידס ממליץ למשתמשים במערכת ההפעלה Windows לקרוא את המחקר המלא וליישם את המלצות החוקרים במלואן.
חוקרי Cisco Talos משתפים טכניקות לגילוי אתרי כופרה אנונימיים ברשת האפלה
חוקרי האבטחה פירטו את האמצעים השונים ששחקני האיום בתחום הכופרות נקטו כדי לטשטש את זהותם האמיתית באינטרנט, כמו גם את מיקומי האירוח של תשתיות שרתי האינטרנט שלהם. "רוב מפעילי הכופרות משתמשים בספקי אירוח מחוץ למדינת המוצא שלהם (כגון שבדיה, גרמניה וסינגפור) כדי לארח את אתרי הפעלת הכופרות שלהם," אמר חוקר Cisco Talos פול יובנקס. "הם משתמשים בנקודות Hop VPS כפרוקסי על מנת להסתיר את מיקומם האמיתי כשהם מתחברים לתשתית האינטרנט של הכופרה שלהם לשם משימות ניהול מרחוק". כמו כן, בולט השימוש ברשת ה-Tor ובשירותי רישום פרוקסי DNS למתן שכבה נוספת של אנונימיות לפעולות הבלתי חוקיות. אלא שעל ידי ניצול טעויות האבטחה התפעוליות של שחקני האיום וטכניקות אחרות, חברת אבטחת הסייבר חשפה בשבוע שעבר כי עלה בידה לזהות שירותי Tor נסתרים המתארחים בכתובות IP ציבוריות, שחלקן מהוות תשתית לא ידועה הקשורה לקבוצות DarkAngels ,Snatch ,Quantum ו-Nokoyawa.
בעוד שידוע שקבוצות כופרה מסתמכות על הרשת האפלה להסתרת פעילויותיהן, החל מהדלפת נתונים גנובים ועד למשא ומתן על תשלומים עם קורבנותיהם, Talos חשפה כי הצליחה לזהות כתובות IP ציבוריות המארחות את התשתית של גורמי איומים בדומה למתבצע ברשת האפלה. "השיטות בהן השתמשנו כדי לזהות את כתובות ה-IP הציבוריות של האינטרנט כללו התאמת מספרים סידוריים ורכיבי עמודים של תעודות TLS של גורמי איומים החתומים בידיהם לאלו המופיעים באינדקס באינטרנט הציבורי," אמר יובנקס. מלבד התאמת תעודות TLS, שיטה נוספת שננקטה לחשיפת תשתיות האינטרנט של היריבים כללה בדיקה של ה-Favicons הקשורים לאתרים בדארקנט מול האינטרנט הציבורי באמצעות סורקי אינטרנט כמו Shodan. במקרה של Nokoyawa, זן חדש של כופרה ל-Windows שהופיע מוקדם יותר השנה וחולק קווי דמיון משמעותיים עם כופרת Karma, נמצא שהאתר המאוחסן בשירות הנסתר Tor מכיל פגם במעבר ספריות שאפשר לחוקרים לגשת ל-"var/log/auth.log" המשמש ללכידת כניסות משתמש. הממצאים מראים שלא רק שאתרי ההדלפות של הגורמים הפליליים נגישים לכל משתמש באינטרנט, אלא שרכיבי תשתית אחרים, לרבות נתוני שרת מזהים, הינם חשופים, מה שמאפשר להשיג את מיקומי הכניסה המשמשים לניהול שרתי כופרות.
המלחמה במזרח אירופה
אתר האינטרנט של סוכנות החלל הרוסית חווה מתקפת סייבר
אתרה של Roscosmos נפגע ממתקפת סייבר לאחר שפרסם תמונות לוויין וקואורדינטות של הבית הלבן, הפנטגון, ועידת נאט״ו במדריד וגופים מדיניים מערביים אחרים. דמיטרי סטרוגובטס, אחראי העיתונות של סוכנות החלל, כתב בטלגרם כי הסוכנות נפגעה ממתקפת מניעת שירות (DDoS) שמקורה בעיר יקטרינבורג שברוסיה. עוד הוסיף כי מומחי IT הדפו את המתקפה, ושכעת האתר יציב. מתקפת סייבר זו מתווספת לרשימה הארוכה של מתקפות שהתרחשו מאז פלישת רוסיה לאוקראינה ב-24 בפברואר.
DTEK הינה קבוצת משקיעים פרטיים לאומיים שמתמקדים בתחום האנרגיה באוקראינה ואחראים, בין היתר, על יישום פתרונות טכנולוגיים מתקדמים, על פיתוח תשתית האנרגיה במדינה ועוד. על פי הדיווח, תשתית ה-IT של הקבוצה נפלה קורבן למתקפת סייבר בחסות רוסית שמטרתה לערער את יציבות התהליכים הטכנולוגיים בשרשרת ייצור ואספקת החשמל ולהותיר את אזרחי אוקראינה מנותקים ממנה. במקביל הופץ מידע שקרי על פעילות החברה באמצעות סוכנויות תעמולה ממשלתיות ברוסיה. תקיפת התשתית בוצעה בו-זמנית עם שיגור טילים על Kryvorizka TPP, המייצרת ומספקת חימום לבתים, כל זאת על מנת לפגוע בתשתית הטכנולוגית של החברה. ניסיון פגיעה זה אינו התקיפה הנרחבת הראשונה שחווה החברה, כאשר ב-2016 חוותה תקיפה דומה, שהובילה להשבתה חלקית של מערכות ייצור ואספקת החשמל שלה. זאת ועוד, במהלך חודש מרץ האחרון נצפתה עלייה בפעילות הסייבר הזדונית שכוונה נגד שירותי החברה, ככל הנראה על רקע קמפיין המחאה העולמי Stop Bloody Energy, במסגרתו קראו חברות אנרגיה אוקראיניות להחרמת חברות אנרגיה רוסיות עקב הפלישה הרוסית למדינתן. עוד נראה שההתמקדות הנוכחית ב-DTEK נובעת מהעמדה הפרואקטיבית של בעל המניות העיקרי בחברה, רינאט אחמטוב, נגד הפלישה הרוסית, ומהסיוע שהעניק לצבא אוקראינה ולאזרחיה. מ-DTEK נמסר כי החברה משתפת פעולה עם רשויות ושותפים בינלאומיים לחקירת ארגוני סייבר ותוקפים עוינים ולחיזוק אבטחת הסייבר בחברה, ועושה כל שביכולתה להבטיח אספקת חשמל סדירה לאזרחי אוקראינה בזמן המלחמה.
סייבר בעולם
התרסקות הקריפטו מאיימת על כספים שגנבו האקרים צפון קוריאניים
ב-29 ביוני פרסמה סוכנות הידיעות ״רויטרס״ כי ההתרסקות בשווקי המטבעות הקריפטוגרפיים חיסלה כספים בשווי מיליוני דולרים שנגנבו על ידי האקרים מקוריאה הצפונית, דבר המאיים על על מקור מימון מרכזי של המדינה מוכת הסנקציות ועל תוכנית הגרעין שלה. בשנים האחרונות הקצתה קוריאה הצפונית משאבים רבים לגניבת מטבעות קריפטוגרפיים, ובכך הפכה לאיום מוביל בתחום. על פי משרד האוצר האמריקאי, בשוד קריפטו מהגדולים בהיסטוריה שהתרחש בחודש מרץ האחרון נגנבו כמעט 615 מיליון דולר במהלך מתקפה על פרויקט הבלוקצ'יין Ronin, המניע את המשחק המקוון הפופולרי Axie Infinity. מאחורי מבצע זה עמדה קבוצת התקיפה Lazarus, אשר לדברי הרשויות האמריקאיות נשלטת על ידי לשכת המודיעין הראשית של קוריאה הצפונית. קבוצה זו הואשמה בעבר במעורבות במתקפות הכופר WannaCry, בפריצה לבנקים בינלאומיים ולחשבונות של לקוחות ובהתקפות הסייבר על Sony Pictures Entertainment ב-2014.
קוריאה הצפונית נתונה תחת סנקציות בינלאומיות נרחבות בשל תוכנית הגרעין שלה, מה שמגביל משמעותית את גישתה לסחר העולמי ולמקורות הכנסה אחרים. למרות שעל פי ההערכות מטבעות קריפטוגרפיים מהווים רק חלק קטן מכספי המדינה, אריק פנטון-ווק, מתאם פאנל המומחים של האו"ם העוקב אחר הסנקציות, אמר בחודש אפריל כי מתקפות סייבר הפכו לרכיב בסיס ביכולותיה של פיונגיאנג להתחמק מהסנקציות ולגייס כסף לתוכנית הגרעין והטילים שלה. על פי הערכתו של הקמפיין הבינלאומי לביטול נשק גרעיני, קוריאה מוציאה כ-640 מיליון דולר בשנה על הארסנל הגרעיני שלה. הערכה נוספת, הפעם זו של הבנק המרכזי של קוריאה הדרומית, גורסת כי התמ״ג של המדינה עמד ב-2020 על כ-27.4 מיליארד דולר. לעתים, לאחר גניבת כספים במטבעות קריפטוגרפיים, קוריאה הצפונית ממירה את השלל לביטקוין ומוכרת אותו לברוקרים בהנחה, בתמורה למזומן.
הצניחת הפתאומית בערכי הקריפטו, שהחלה בחודש מאי על רקע האטה כלכלית רחבה יותר, מקשה על ״פרנסתה״ של פיונגיאנג ועשויה להשפיע על האופן בו תממן את תוכניותיה הצבאיות, כך לפי מקורות ממשלתיים בקוריאה הדרומית. בתוך כך, קוריאה הצפונית עסוקה בבדיקת מספר שיא של טילים, דבר אשר על פי המכון הקוריאני לניתוחי הגנה בסיאול הסתכם השנה בהוצאות בסך 620 מיליון דולר. עוד הוערך כי פיונגיאנג מתכוונת לחדש את ניסויי הגרעין על רקע המשבר הכלכלי.
על פי דוח של המרכז לאבטחה אמריקאית חדשה (CNAS), האקרים צפון קוריאנים אינם משקיעים מאמצים רבים בהסוואה, דבר אשר עשוי לאפשר לחוקרים להתחקות אחר עקבותיהם הדיגיטליות ולייחס התקפות למדינתם. עם זאת, רק לעתים רחוקות ניתן להשיב את הכספים הגנובים לבעליהם. לפי Chainalysis, צפון קוריאה פנתה לדרכים מתוחכמות להלבנת מטבעות קריפטו גנובים, והגבירה את השימוש בכלי תוכנה המאגדים ומערבלים אותם מאלפי כתובות אלקטרוניות למיקום אחסון דיגיטלי. לעתים קרובות, התוכן של כתובת נתונה גלוי לציבור, ובכך מאפשר לחברות כמו Chainalysis או TRM לפקח על חקירות הקשורות למדינה. עוד אמרה החברה כי למרות ירידת ערך הקריפטו, מעטים המומחים המעריכים שקוריאה הצפונית תוותר על שוד מטבעות דיגיטליים.
ה-CISA הוסיפה חולשה למאגר החולשות הידועות המנוצלות; מורה לסוכנויות פדרליות לעדכן את ה-Windows LSA
למאגר של הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), המכיל 602 חולשות ידועות מנוצלות, נוספה כעת חולשה חדשה (CVE-2022-26925) במערכת ההפעלה Windows, לאחר שנצפה ניצולה על ידי גורמי תקיפה. החולשה עלולה לאפשר לתוקפים ״להכריח״ את ה-(DC (Domain Controller לאשר אותם מרחוק באמצעות שימוש בשירות NT LAN Manager של Windows, ובכך לאפשר להם להשתלט על כלל הדומיין. חולשה זו כבר נוספה בעבר למאגר על ידי ה-CISA אך הוצאה ממנו לאחר שהתגלה כי דרך הטיפול בבעיה מפריעה לסוכנויות פדרליות רבות לבצע אימות תעודות. עוד הפיצה ה-CISA מאמר המכיל מידע אודות צעדים קריטיים למיטיגציה של החולשה. במקביל, ה-CISA הורתה לסוכנויות ה-(FCEB (Federal Civilian Executive Branch להטמיע עד ל-22 ביולי את העדכון שהופץ על ידי מיקרוסופט ב-14 ביוני כחלק מה-Patch Tuesday, והיא ממליצה לכל הארגונים מהמגזר הפרטי והציבורי לתעדף את התקנת העדכון במערכותיהם.
צוות קונפידס ממליץ להחיל את העדכון ל-Windows שפורסם ב-14 ביוני.
ה-NIST מפרסם מסמך בנושא שימוש בניתוח השפעה עסקית לתעדוף ותגובה במרחב הסייבר
בעוד שניתוח השפעה עסקית - (BIA (Business Impact Analysis - שימשה בעבר לקביעת דרישות זמינות להמשכיות עסקית, מסמך הטיוטה הראשוני שפורסם כעת על ידי המכון הלאומי לתקנים וטכנולוגיה (NIST) נועד לספק הבנה רחבה של ההשפעות הפוטנציאליות על המשימות הארגוניות בעקבות כל סוג של אובדן, ולעזור למובילי הארגון לקבוע אילו מנכסיו מאפשרים את השגת היעדים ואת הערכת הגורמים שהופכים נכסים לקריטיים ורגישים. בהתבסס על גורמים אלה, מנהיגי ארגונים מספקים הנחיות סיכון (כלומר, תיאבון סיכון וסובלנות) כקלט ל-BIA. לאחר מכן, בעלי מערכות מיישמים את ה-BIA לפיתוח סיווג נכסים, ערכי השפעה ודרישות להגנה על נכסים קריטיים או רגישים. הפלט של ה-BIA הוא הבסיס לתהליך ה-ERM/CSRM, כמתואר בסדרת NISTIR 8286, ומאפשר תעדוף עקבי, תגובה ותקשורת בנוגע לסיכוני אבטחת מידע. ניהול הסיכונים הארגוניים דורש הבנה מקיפה של הפונקציות החיוניות לכל משימה ותרחישי הסיכון הפוטנציאליים המסכנים את הפונקציות הללו (כלומר, מה עלול להשתבש). להלן עיקרי התהליך:
-
זיהוי המערכות והנכסים הקריטיים לארגון.
-
החלטה בגין תיאבון הסיכון הקשור לנכסים הקריטיים ולמערכות הקריטיות.
-
החלטת הממונה על המערכת (System Owner) לגבי מידת הקריטיות של המערכת ו/או הפעולה המבוצעת על ידה, לשם קיום המשימה או הפונקציה עבורה נועדה.
(מקור: NIST, יוני 2022)
איראן סוגרת גישה למערכות בנקאות עקב מתקפת סייבר
סוכנות הידיעות הממלכתית האיראנית הודיעה כי ניתקה באופן זמני את הגישה למערכת הבנקים של המדינה עבור איראנים השוהים מחוצה לה, זאת לאחר שמערכות הבנקאות של איראן היו נתונות תחת מתקפת סייבר רחבה מחו"ל, ששיבשה זמנית את הגישה לשירותיהן. סוכנות הידיעות לא ציינה את שמות הבנקים שנפגעו, אך הוסיפה כי הפעולה "נוגעת רק למספר מצומצם של בנקים, שהם בעלי הקשרים הרבים ביותר למערכות בנקאיות בחו"ל, לרבות בנקאות מקוונת ואפליקציות בנקאות סלולריות". זוהי הפעם השנייה שאיראן חווה מתקפה תוך פרק זמן קצר, כאשר ב-27 ביוני מפעלי ענק איראנים לייצור פלדה נפלו קורבן למתקפת סייבר שעליה לקחה אחריות קבוצת התוקפים Predatory Sparrow (ראו ה״סייבר״, 30.06.22).
המידע, שנפחו כ-23TB, היה זמין ברשת משך יותר משנה והוצע למכירה על ידי משתמש בשם ChinaDan בפורום ההאקרים Breach Forums תמורת 10 ביטקוין (כ-200 אלף דולר). נראה כי מדובר בכמות המידע האישי הגדולה ביותר שדלפה עד כה, ובה רשומות של כמיליארד סינים מתוך 1.4 מיליארד תושבי המדינה, כלומר הדליפה עשויה להשפיע על יותר מ-70% מאוכלוסיית סין. המידע, שפורסם ברשת באפריל 2021, היה זמין לכל מי שהיתה בידיו כתובת ה-URL שהובילה אליו, כל זאת ללא צורך במתן הרשאות או אפילו בסיסמה. ואולם, לאחר שהמפרסם האנונימי הציע את המידע למכירה, הגישה לנתונים נחסמה. לטענת ChinaDan, המידע המופיע בקובץ נלקח ממאגר של משטרת שנגחאי והכיל נתונים אישיים כגון כתובות, מספרי טלפון, מספרי זהות ומידע אודות פניות למשטרה בנושאי פשיעה ואלימות, כאשר המידע המדגמי שהוצג על ידי ההאקר נבדק על ידי רשת ה-CNN ונמצא אותנטי. לדבריו, מסד הנתונים אוחסן בשרת ענן פרטי של Alibaba השייך למשטרה. פניותיה של CNN למשטרת שנגחאי ול-Alibaba בנושא לא נענו. נכון לשעה זו לא ידוע כמה אנשים נחשפו למידע וכמה אנשים הורידו אותו והוא נמצא ברשותם כיום. זאת ועוד, טרם התברר אם הגישה למידע התאפשרה עקב טעות אנוש, או שהכתובת הייעודית נוצרה בכוונה לשתף את הנתונים עם אנשים ספציפיים, על מנת להקל את הגישה אליהם. דליפת מידע אישי היא מסוכנת, אך מה שמייחד דליפה זו הוא חשיפת פניות למשטרה בנושאים כגון שחיתות, התעללות בילדים ואונס, מה שעלול להביא לסחיטת מעורבים באירועים. לדברי מנכ״ל Binance ז׳או צ׳אנגפנג, מחקירת החברה עולה שמסד הנתונים של המשטרה ב-Elastic Search נחשף לרשת בשוגג. בתוך כך, לדברי ה-CNN החוקר האוקראיני בוב דיאצ׳נקו נתקל במסד הנתונים באפריל, וביוני זיהתה החברה שבבעלותו שהמסד נפגע על ידי תוקף שהשמיד את הנתונים והשאיר דרישת כופר בסך 10 ביטקוין. לא ברור אם תוקף זה הוא אותו אדם שכעבור שנה פרסם את הנתונים למכירה. ב-1 ביולי 2022 נעלמה דרישת הכופר, ומידע בנפח 7GB הוחזר למסד. לדברי החוקר, ייתכן ו״הכופר שולם, אך מנהלי מסד הנתונים המשיכו להשתמש בו ב(אותו) אופן חשוף, עד שהושבת לבסוף״.
בהצהרה משותפת חסרת תקדים שהתקיימה בלונדון בפני קהל של פקידים, מנהלים עסקיים בכירים ואישי מפתח מאוניברסיטאות שונות, הזהירו ראש סוכנות הביון הבריטית (MI5) קן מק׳קאלום וראש לשכת החקירות הפדרלית (FBI) של ארצות הברית כריסטופר ריי מפני עלייה בהיקף פעולות הריגול המסחרי של הסינים במערב. לדברי ריי, סין היא האיום הגדול ביותר בטווח הארוך על תחומי הכלכלי והביטחון הלאומי, וכבר התערבה בעניינים פוליטיים, כולל במערכת הבחירות האחרונה בארצות הברית. לדברי מק׳קאלום, בשלוש השנים האחרונות הארגון בראשו הוא עומד הכפיל את פעילותו, ואף יותר מכך, נגד פעולות סיניות, ויכפיל אותה שוב. עוד אמר כי ביחס ל-2018 כמות החקירות המתנהלות כיום בנוגע לפעילות המפלגה הקומוניסטית הסינית גבוהה פי 7, וכי מודיעין בדבר איומי סייבר מצד הסינים שותף עם 37 מדינות, לרבות איום מתוחכם שתוכנן במרחב התעופה והחלל ונמנע במאי האחרון. לדברים אלה הוסיף ריי שאם סין תכבוש את טייוואן בכוח, הדבר יוביל לאחד השיבושים העסקיים האיומים שידע העולם, והזהיר שממשלת סין מנסה לגנוב טכנולוגיה באמצעות כלים מגוונים. לדבריו, סין פרסה אמצעי ריגול במטרה לבצע פעולות מרמה וגניבה בקנה מידה עצום, ותוכניות הפריצה שלה גדולות מאלה של כל מדינה אחרת, כאשר היא מפיקה לקחים שונים מהסכסוך בין רוסיה לאוקראינה.
חברת השירותים הטכנולוגיים SHI International חוותה מתקפתת סייבר במהלך יום העצמאות האמריקאי
בית התוכנה, המספק שירותי IT ושירותים טכנולוגיים לחברות, אישר כי חווה מתקפה במהלך סוף השבוע האחרון, וכי האירוע נבלם בשלב מוקדם הודות לערנותו של צוות העובדים בחברה, מה שצמצם למינימום את השפעת המתקפה על מערכות ופעילות הארגון. על הצעדים בהם נקטה SHI לבלימת המתקפה נמנתה השבתת אתריה ותיבות המייל שלה במהלך חקירת האירוע, בה מעורבות הסוכנות להגנת סייבר ותשתיות (CISA) ולשכת החקירות הפדרלית (FBI). לדברי SHI, ב-6 ביוני הושבה הגישה לתיבות המייל שלה וצוותי ה-IT עובדים במרץ להשבת מערכות נוספות לזמינות מלאה בצורה מאובטחת. עוד נמסר כי ללקוחות החברה יש כעת גישה מלאה לצוותי החשבון שלהם ולמומחים באמצעות מייל וטלפון, וכי נכון לשעה זו אין ראיות המצביעות על דליפת נתוני לקוחות או על השפעה על שרשרת האספקה של החברה.
ה-CISA מזהירה מפני קבוצת תקיפה הממומנת על ידי קוריאה הצפונית ומשתמשת בכופרה Maui נגד מוסדות רפואיים
הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), לשכת החקירות הפדרלית (FBI) ומשרד האוצר האמריקאי מזהירים מפני שימוש בתוכנת הכופרה Maui על ידי קבוצת תקיפה צפון קוריאנית הפועלת בחסות הממשל. לדברי הארגונים, הקבוצה פועלת נגד מוסדות בריאות מאז מאי 2021 לפחות, והשתמשה בכופרה זו במסגרת מספר תקריות שתועדו, בשילוב תקני ההצפנה AES ,RSA ו-XOR. הקבוצה הצפינה קבצים ושרתי של המוסדות, כאשר על המידע, הציוד והשירותים שנפגעו בתקריות נמנים, בין היתר, רשומות רפואיות אלקטרוניות ושירותי אבחון הדמיה ואינטרנט. להלן האינדיקטורים שנמצאו קשורים לכופרה:
צוות קונפידס ממליץ על ביצוע הפעולות הבאות לשם התמגנות מפני מתקפה זו:
-
הגבלת גישה לנתונים באמצעות תעודות דיגיטליות ומפתחות ציבוריים.
-
הזנת ה-IOCs האמורים במערכות ההגנה של הארגון וניטורן.
-
שימוש בחשבונות משתמש רגילים (לא חזקים) במערכות, תוך הצמדות לעיקרון של מתן הרשאות מינימליות.
-
הימנעות ככל האפשר משימוש ב-SSH ,Telnet ,Winbox ו-HTTP.
-
הגדרת סיסמאות חזקות ומורכבות לשם כניסה למערכות הארגון.
-
הצפנת נתונים רגישים.
-
אחסנת נתונים רגישים אך ורק במערכות פנימיות בעלות הגנה רחבה, כגון חומת אש.
-
גיבוי תדיר ובדיקת תקינותו.
-
ניטור המידע הקריטי של הארגון ונכסיו.
חברת Apple מודיעה על הוספת שכבת הגנה נגד מתקפות ואמצעי ריגול
ב-6 ביולי הודיעה החברה על הוספת השכבה, המיועדת לתת מענה לתקיפות ריגול, כדוגמת מתקפות העושות שימוש בכלי Pegasus של NSO. ההגנה תתווסף לטלפונים הניידים Apple החל מגרסה 16, שהשקתה צפויה במהלך הסתיו הקרוב. מה יקרה כשתופעל?
הודעות: מרבית סוגי הקבצים המצורפים להודעות, מלבד תמונות, ייחסמו. פיצ׳רים כגון תצוגה מקדימה של קישורים יושבתו, לצמצום משטח התקיפה.
גלישה באינטרנט: אם המשתמש לא יחריג אתר ממצב נעילה, טכנולוגיות כמו קומפילציה של JavaScript ב-(Just-in-Time (JIT יושבתו.
שירותי Apple: אם המשתמש לא שלח בקשה לאיש קשר או יזם איתו שיחה, הזמנות ובקשות לשירותי Apple, לרבות שיחות FaceTime, ייחסמו.
חיבורים פיזיים עם מחשב או אביזר ייחסמו כאשר האייפון נעול.
בתוך כך, Apple מכפילה את ה-Bug Bounty שלה עבור חולשות במצב נעילה עד ל-2,000,000 דולר - תשלום ה-Bug Bounty הגבוה בענף.
בנוסף לנזקים מהתביעה שהוגשה נגד קבוצת NSO, חברת Apple תחלק מענק בסך 10 מיליון דולר לתמיכה בארגונים החוקרים מתקפות סייבר, לרבות כאלה שפותחו על ידי חברות פרטיות המפתחות תוכנות ריגול.
(מקור: Apple, 6.7.22)
סייבר בישראל
על פי פרסום של אגף המודיעין של צה״ל, פרופילים תמימים למראה שנשאו את השמות הודיה שטרית, רחלי בניסטי ועדינה גולדברג, שהצטרפו בחודשים האחרונים לקבוצות בטלגרם וברשתות חברתיות שונות אשר עסקו, בין היתר, בכדורגל ובהיכרויות, ניסו לפתות חיילים להוריד נוזקה למכשיריהם הניידים. התוכנה הזדונית, שאיפשרה לתוקף להשיג שליטה כמעט מלאה על המכשיר, לדלות מידע חיוני ולעקוב אחר בעליו, הוסוותה באמצעות אפליקציית משחקים. מאחורי הפעולות עומדים פעילי חמאס, המנסים להשתיל כלי תקיפה במכשיריהם הניידים של חיילים בדרכים שונים, וזיהויים התאפשר הודות לחייל עירני שדיווח למרכז הניטור המטכ"לי על שיחה שהשתתף בה בטלגרם ואשר עוררה את חשדו. מרכז הניטור פועל לזיהוי וחשיפה של איומים מגוונים נגד משרתי ונכסי צה"ל, ומפעיל אמצעים טכנולוגיים מתקדמים ביותר, המאפשרים לזהות איומים והתממשותם במרחב הקיברנטי. פעילות החשיפה הנוכחית הינה חלק ממבצע ״סוף המשחק״, שמטרתו לסכל עשרות ניסיונות של חמאס לחדור לטלפונים של חיילים באמצעות הורדה של אפליקציות משחק זדוניות. מאמ״ן נמסר כי צפויים ניסיונות נוספים בעלי אופי דומה לפגיעה בחיילי צה״ל, וכי מתבצע מעקב צמוד אחר האויב. לדברי סא״ל ע', גורמת בכירה במערך לביטחון מידע שהובילה את מבצע "סוף המשחק", "מדובר בקפיצת מדרגה משמעותית ביכולות ההגנה בסייבר של צה"ל. שינינו את חוקי המשחק שאליהם חמאס היה רגיל בעולמות הטכנולוגיים. ההערכה [היא] שיהיו עוד ניסיונות, אבל נפעל כל העת לשיבוש יכולות האויב". לפרסום צורפו המלצות לשיפור החוסן במרחב, בהן ללחוץ על קישורים ולהוריד אפליקציות מאתרים רשמיים, להרחיק את הטלפון הנייד ממתחמים צבאיים מסווגים ולהימנע מחשיפת שיוך צבאי ברשתות החברתיות ומפרסום מידע מסווג בתקשורת גלויה.
שיתוף פעולה חדש בין מערך הסייבר הלאומי וחברת התעופה Boeing
ההסכם הייחודי בין שני הגופים נחתם השבוע במטרה לחזק את מרחב הסייבר בתעשיית התעופה האזרחית בישראל ובארצות הברית, בפגישה בה נכחו, בין היתר, ראש מערך הסייבר גבי פורטנוי, נשיא ״Boeing ישראל״ האלוף (מיל.) עדו נחושתן וסגן הנשיא לניהול מערכות סייבר בחברת Boeing בריאן קונלי. במפגש סוכם כי שיתוף הפעולה החדש יכלול שיתוף ידע בין הגופים ופעילות משותפת לזיהוי איומים, לקידום הבנת הסיכונים במרחב והשיטות לצמצומם ולפיתוח יכולות הגנה על תעופה אזרחית, תוך שילוב כוחות בתעשיות התעופה והסייבר של שתי המדינות. ההסכם הינו חלק מתוכנית אסטרטגית של מערך הסייבר הישראלי ושל רשות התעופה האזרחית לקידום יכולות הגנת סייבר על תעופה אזרחית.
SharpBoys האיראנית שבה לתקוף אתרים ישראלים
לאחר שבשבוע שעבר תקפה הקבוצה אתרים בסקטור התיירות בארץ והדליפה את פרטיהם כ-120,000 משתמשים (ראו, ה״סייבר״, 30.6.22), ולאחר שמערך הסייבר הלאומי פרסם התרעה בדבר תקיפה של ארגונים במגזר התיירות, כעת מדווחת הקבוצה כי תקפה, לכאורה, 48 אתרים בישראל, אליהם הצליחה לחדור או אף להפילם. בשעה זו נראה כי יש, לכאורה, מכנה משותף לכל האתרים שפורטו ברשימה שפרסמה SharpBoys, והוא חברת בניית האתרים Starvision, המופיעה בעצמה ברשימת הקורבנות האמורה. עם זאת, האתרים זמינים לציבור ולא נראה כי הושחתו. נזכיר כי בעקבות התקיפות החוזרות ונשנות על חברות אחסון אתרים, מערך הסייבר הלאומי השיק ״תו חוסן סייבר״ לחברות אחסון, לטובת העלאת רמת ההגנה של ספקים וחברות לאירוח ואחסון אתרים.
(מקור: קבוצת הטלגרם של קבוצת התקיפה, 6.7.22)
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות: יש לשלבנו באופן מלא בחקירות פליליות של אירועי סייבר
הרשות להגנת הפרטיות בישראל, האחראית על יישום חוק הגנת הפרטיות, התשמ"א-1981 והתקנות הנובעות ממנו, מקדמת כעת רפורמה בחקיקה החלה על הגנת הפרטיות במרחב הדיגיטלי ועל הטיפול הרגולטורי במתקפות סייבר הפוגעות במידע אישי של תושבי ישראל. בין היתר, על פי סעיף 11(ד) של תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, הרשות מקבלת דיווחים על מתקפות מסוג זה מהגוף שהותקף, לרבות פרטים רבים על האירוע ועל הצעדים שננקטו בעקבותיו. בתחילת חודש יוני פרסמה הרשות עדכון להנחיותיה לציבור בנוגע להתמודדות עם מתקפות כופרה, אשר כלל הבהרה של חובת הדיווח לרשות על אירועים רלוונטיים. לאחרונה, הרשות דורשת יותר מעורבות בתהליכי האכיפה של המדינה בכל היבטי הפשע המקוון הפוגע במידע אישי. ראש מחלקת האכיפה של הרשות, עו"ד ליאת קילנר, אמרה בכנס Cyber Week TLV כי "הרשות היא רגולטור בעל סמכויות אכיפה פליליות, והשתלבותה בשלביה הראשונים של מתקפת סייבר חיונית. בשלב זה אנו מתמקדים גם בזיהוי התוקף ובהבנת האירוע. זה מאפשר לנו לבצע חקירה פלילית [...] לצד פעולות ההגנה שעושה החברה, באמצעות צוותי ניהול משברי הסייבר שלה (IR), תוך התחשבות בעבודתם. אי שילוב הרשות בשלב [ה]חיוני הזה עלול לגרום לשיבוש הליכי החקירה". באופן כללי, מספר התיקים הפליליים בהם מעורב פשע מקוון עלה ב-40% במהלך 2020, כך על פי דו"ח פרקליטות המדינה (ראו התרשים להלן).
(מקור: הדו"ח השנתי של פרקליטות המדינה ל-2020, עמ' 45)
נאט"ו: אסטרטגיה חדשה לעשור הקרוב - יכולות סייבר במרכז
באסטרטגיה שפרסם ארגון הנאט"ו ב-29 ביוני, המפורטת במסמך ה-NATO 2022 Strategic Concept, מצויים איומים במרחב הסייבר למדינות החברות בארגון בין האיומים האסטרטגיים העיקריים. כך, למשל, קובע סעיף 25 למסמך כי ארגון הנאט"ו ישפר "...את יכולתנו לפעול ביעילות במרחב הסייבר כדי למנוע, לזהות, לנטרל ולהגיב לכל ספקטרום האיומים, תוך שימוש בכל הכלים הזמינים. הן פעולת סייבר אחת והן קבוצה מצטברת של פעולות סייבר זדוניות עלולות […] להגיע לרמת מתקפה מזוינת ולהוביל את [נאט"ו] להפעלת סעיף 5 של האמנה [המאפשרת הגנה עצמית קולקטיבית כנגד מתקפת הסייבר]. אנו מכירים בתחולת המשפט הבינלאומי, ונקדם התנהגות אחראית במרחב הווירטואלי. עוד נשפר את החוסן ואת יכולות […] הסייבר שבהם אנו תלויים להגנתנו הקולקטיבית". האסטרטגיה מתייחסת גם ליכולות הסייבר העוינות של רוסיה ושל סין, כאשר זו האחרונה כבר הגיבה לדבר בביקורת פומבית, לפיה "מסמך התפיסה האסטרטגית החדשה של נאט"ו מתעלם מהעובדות, מבלבל בין נכון לבין לא-נכון, [...] מורח את מדיניות החוץ של סין ומשמיע הערות חסרות אחריות על הפיתוח הצבאי הנורמלי של סין ועל מדיניות ההגנה הלאומית שלה".
האיחוד האירופי קובע שני חוקי סייבר חדשים; דאגה בנוגע לאכיפתם על ידי המדינות החברות
שני דברי חקיקה חדשים של האיחוד עברו ב-5 ביולי שלב נוסף בדרך לאימוצם הסופי על ידי המדינות החברות בו: ה-Digital Markets Act וה-Digital Services Act. הראשון קובע כללים חדשים המגבילים את כוח השוק של חברות הדיגיטל הענקיות, במטרה לאפשר ליותר חברות קטנות ובינוניות להתחרות במרחב הדיגיטלי, ואילו השני קובע הסדרים המגינים על זכויותיהם של צרכנים במרחב, כולל הענקת כלים לרגולטורים שיאפשרו הורדה מהרשת של תכנים בלתי-חוקיים ויותר פיקוח על השימוש באלגוריתמים מסחריים מפלים. מהלך זה הינו צעד רגולטורי חשוב בעל השלכות משמעותיות לצרכנים דיגיטליים אירופיים ולחברות שמעוניינות לפעול במרחב הדיגיטלי של אירופה. עם זאת, קיימים אתגרי אכיפה משמעותיים ביחס לחוקים אלה, במיוחד נוכח כוח השוק הגדול של ענקיות כמו חברת Alphabet של Google, מיקרוסופט, Amazon, פייסבוק, Apple ועוד.
הנציבות הפדרלית לסחר הוגן בארה"ב: כללים חדשים להגנת סייבר ופרטיות
הנציבות הפדרלית לסחר הוגן (FTC) הודיעה כי עדכנה את הכללים החלים על השימוש שעושים חברות וגורמים אחרים בכלי ניטור ומעקב לצורך איסוף מידע פרטי של צרכנים. בעדכון המוצע מצוין כי תחת סמכותה על פי סעיף 18 לחוק ה-FTC, הנציבות מקדמת כללים להגבלת פעילות מסחרית "לא הוגנת או מטעה", לצמצום התנהלות רופפת של חברות בתחום הגנת הסייבר, להגבלת ניצול לרעה של פרטיות הצרכנים ולהבטחת קבלת החלטות על סמך אלגוריתמים, באופן שאינו גורם לאפליה בלתי-חוקית. היוזמה מתקיימת במסגרת פעילותה של ה-FTC בעת האחרונה לקידום הגנת סייבר ופרטיות בקרב חברות פרטיות, בכל הנוגע להתנהלותן מול צרכנים.
התוכנית האסטרטגית של משרד המשפטים האמריקאי לשנת 2023: הגברת מאמצי האכיפה מול מתקפות כופרה
בתחילת חודש יולי פרסם משרד המשפטים של ארצות הברית אסטרטגיה שנתית לשנה הבאה, שאחד מיעדיה העיקריים הוא טיפול במתקפות כופרה, לצד התמודדות מואצת עם היבטים נוספים של פשע מקוון. מסמך האסטרטגיה קובע כי מתקפות מסוג זה גורמות לנזקים כלכליים ואחרים לממשלות, לתשתיות קריטיות ולחברות פרטיות, ומחייב את המשרד להגביר מאמציו להילחם במתקפות כופרה במספר דרכים עד ל-30.9.22, בראש ובראשונה על ידי הגדלה ל-65% של הדיווחים מצד ארגונים פרטיים על מתקפות אלה תוך 72 שעות מהתרחשותן, בהתאם לחוק ה-Strengthening American Cybersecurity Act of 2022, שנכנס לתוקף בתחילת 2022. שנית, המשרד יגדיל ב-10% את מספר התיקים הפליליים בהם מתרחשים תפיסות או חילוטים של ציוד המעורב בעבירות מקוונות. לשכת החקירות הפדרלית (FBI) תסייע למשרד המשפטים בתהליכי האכיפה של הדינים הרלוונטיים.
מאבקי ה-TikTok נמשכים: נציב ועדת התקשורת הפדרלית קורא ל-Apple ול-Google להסיר את האפליקציה, למרות התחייבות החברה לפעול להגנת מידע אישי של משתמשים אמריקאים
בעלי אפליקציית הסרטונים הקצרים TikTok ממשיכים בניסיונותיהם להפריך את חששותיהם של רגולטורים, במיוחד במדינות המערב, בנוגע להתנהלות החברה ביחס למידע אישי של משתמשי האפליקציה. כחלק מהמאמצים להוכיח למחוקקים שהאפליקציה אינה משמשת את המשטר בסין לדליית מידע על משתמשים אמריקאים, ב-30 ביוני פרסם מנכ"ל TikTok שו זי צ׳ו פנייה לתשעה סנאטורים רפובליקנים, בעקבות קריאותיהם להסיר את האפליקציה ממספר חנויות מקוונות. אחת מהקריאות הללו הופיעה במכתבו הפומבי של ברנדון קאר, אחד מנציבי ועדת התקשורת הפדרלית (ה-FCC), אל מנהלי Apple ו-Google, בו הוא מבקש שיסירו את TikTok מחנויות האפליקציות. לדבריו, "מובן לכל ש-TikTok מהווה סיכון ביטחוני שלא ניתן לקבלו בשל מדיניות איסוף הנתונים הנרחבת שלה, בשילוב עם הגישה הבלתי-מבוקרת של בייג'ינג למידע רגיש זה". בתגובה לכך, מנכ"ל TikTok מסביר במכתבו שחברתו תפעיל את האפליקציה משרתים המצויים בשליטת Oracle, ענקית מחשוב הענן האמריקאית, במקום על שרתיה של TikTok הסינית, ותהיה נתונה לבקרי צד ג׳. הסנאטורית הרפובליקנית מארשה בלאקבורן ציינה כי מכתבו של שו זי צ'ו מוכיח שהחששות מפני השפעתה של המפלגה הקומוניסטית הסינית על חברת TikTok היו "מבוססים היטב", וכי על המנכ"ל להעיד שוב בפני הקונגרס. כזכור, מספר מדינות, בהן הודו, כבר חסמו את פעילות האפליקציה בשטחן, וצבא ארצות הברית אסר על אנשיו לעשות בה שימוש.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.