דו״ח סייבר שבועי
עדכון שבועי 08.07.2021
עיקרי הדברים
-
המגנים הפסידו בתחרות עדכוני תוכנה להאקרים מקבוצת REvil שגרמה למתקפת כופר עולמית.
-
שוודיה: רשת הסופרמרקטים Coop הושבתה עקב מתקפת סייבר.
-
עוקץ מתוחכם: נוכלים שולחים חומרה מזויפת המתחזה לארנקי Ledger.
-
חוק הגנת מידע אישי חדש בדרום אפריקה: מדינה נוספת מצטרפת למגמה הגלובלית.
-
אנו ממליצים לעדכן את המוצרים הבאים: אנו ממליצים לעדכן את המוצרים הבאים: מערכת הפעלה Windows (קריטי); מוצר OpenVPN (קריטי); מוצר Hybrid Backup Sync של QNAP; מוצרי סיסקו; מוצר Microsoft Teams (גבוה);
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון ל-OpenVPN פותר חולשה המאפשרת הרצת קוד זדוני
עדכון אבטחה לשירות ה-Hybrid Backup Sync של QNAP סוגר חולשה קריטית
עדכוני אבטחה ברמת חומרה גבוהה לאפליקציית Microsoft Teams
עדכון אבטחה Out-of-band קריטי לWindows
עדכוני אבטחה למוצרי Cisco
התקפות ואיומים
נחשף מידע נוסף על מתקפת הכופרה שחוותה באפריל חברת Brenntag
נוכלים שולחים קושחה מזויפת המתחזה לארנקים אלקטרוניים פיזיים של חברת Ledger
תוקפים מנצלים את המתקפה על Kaseya להפצת עדכוני אבטחה מזויפים ולהשתלטות על מחשבים
השבוע בכופרה
Kaseya: כשניהול טלאי אבטחה הופך לחוליה החלשה בשרשרת
שוודיה: רשת הסופרמרקטים Coop הושבתה עקב מתקפת סייבר
סייבר בישראל
הפיכתה של ישראל למעצמת סייבר עולמית
סייבר ופרטיות - רגולציה ותקינה
חוק הגנת מידע אישי חדש בדרום אפריקה: מדינה נוספת מצטרפת למגמה הגלובלית
כנסים
הציטוט השבועי
״הנשיא ביידן הפנה את מלוא משאבי הממשלה לחקירת התקרית הזו.״
אן נויברגר, סגנית היועץ לביטחון לאומי לענייני סייבר וטכנולוגיות מתפתחות, בהתייחסה לתקיפת Kaseya
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון ל-OpenVPN פותר חולשה המאפשרת הרצת קוד זדוני
החולשה רלוונטית רק לגרסאות ה-Windows של המוצר, הקודמות לגרסה 2.5.3, זאת בשל האופן בו בנויה ספריית ה-OpenSSL. במילים אחרות - החולשה, אשר מאפשרת הרצת קוד שרירותי ברמת ההרשאות של תהליך ה-OpenVPN הראשי (openvpn.exe) באמצעות קובץ התצורה של OpenSSL, אינה נובעת מבעיה בקוד ה-OpenVPN עצמו, אלא מתכונה הזמינה כברירת מחדל בספריית ה-OpenSSL.
אנו ממליצים לבעלי המוצר לעדכנו לגרסתו האחרונה.
עדכון אבטחה לשירות ה-Hybrid Backup Sync של QNAP סוגר חולשה קריטית
החולשה (CVE-2021-28809), שדבר קיומה פורסם השבוע ברשת, מאפשרת קריאת מידע ממערכות QNAP והרצת פקודות מרחוק ללא צורך בהזדהות מוקדמת. העדכון רלוונטי למערכות QNAP בעלות תוסף HBS בגרסאות המוקדמות לגרסאות אלה:
QTS 4.3.6: HBS 3 v3.0.210507
QTS 4.3.4: HBS 3 v3.0.210506
QTS 4.3.3: HBS 3 v3.0.210506
אנו ממליצים לבעלי המוצר לעדכנו בהקדם לגרסתו האחרונה.
עדכוני אבטחה ברמת חומרה גבוהה לאפליקציית Microsoft Teams
שני העדכונים נותנים מענה לחולשות אשר עלולות לאפשר הרצת קוד זדוני על ידי תוקף באמצעות תהליך של Teams, תקיפת XSS כתוצאה מאי-וידוא קלטים במערכת, וכן הזנת URL זדוני ב-Teams Web באופן המאפשר השתלטות על חשבון משתמש בעת לחיצה על ה-URL שהוזן.
אנו ממליצים לבעלי המוצר לעדכנו בהקדם.
עדכון אבטחה Out-of-band קריטי לWindows
העדכון, שפורסם על ידי מיקרוסופט מבלי להמתין לעדכון החודשי הבא, פותר חולשת אבטחה (CVE-2021-34527) המכונה PrintNightmare, אשר מאפשרת לתוקף מאומת לנצל את שירות ה-Print Spooler להרצת קוד עם הרשאות מערכת. החולשה, אשר קיבלה ציון CVSS זמני של 8.8, כבר מנוצלת בשטח על ידי תוקפים.
אנו ממליצים לכל משתמשי מערכת ההפעלה Windows לבצע את העדכון בהקדם.
בין 11 העדכונים שפרסמה החברה למוצריה במהלך השבוע האחרון מצויים 3 ברמת חומרה גבוהה, ואילו השאר ברמת חומרה בינונית. העדכונים נותנים מענה למספר חולשות העלולות לאפשר לתוקף את ביצוען של פעולות שונות, בהן הרצת קוד זדוני מרחוק על מוצרים פגיעים, מתקפת XSS, הדלפת מידע מזיכרון הרכיב ועוד.
אנו ממליצים למשתמשי המוצרים המופיעים בקישור זה לבצע את העדכון.
התקפות ואיומים
נחשף מידע נוסף על מתקפת הכופרה שחוותה באפריל חברת Brenntag
לדברי ענקית הכימיקלים האמריקאית, בפריצה שאירעה ב-26 באפריל הודלפו פרטיהם של כ-6700 מלקוחותיה. לפי הודעתו של הפורץ, שהינו Affiiliate של כנופיית DarkSide, המידע כלל מספרי ביטוח לאומי אמריקאיים, מספרי טלפון, מידע רפואי ועוד. על מנת למנוע את פירסום המידע שילמה החברה לתוקפים 4.4 מליון דולר, כאשר לדברי Brenntag מחקירותיהם של מומחי אבטחת מידע אכן עולה כי התוקף לא פרסם את המידע למכירה. בתוך כך, בחודש מאי חדלה DarkSide מפעילותה לאחר שהייתה במרכז הכוונת של הרשויות. לפני כן עוד הספיקה לבצע את מתקפת הענק על Colonial Pipeline.
נוכלים שולחים קושחה מזויפת המתחזה לארנקים אלקטרוניים פיזיים של חברת Ledger
בעקבות דליפת המידע שספגה חברת הארנקים האלקטרוניים בשנת 2020, הגו הנוכלים תוכנית שאפתנית דו-שלבית לגניבת כספים מארנקי הלקוחות שפרטיהם דלפו אשתקד לרשת. בשלב הראשון, התוקפים שלחו לבתי הלקוחות זכרונות ניידים (USB) שנעטפו כחדשים בקופסה עליה התנוסס לוגו חברת Ledger. מכתב שצורף לחבילות הנחה את הלקוחות להחליף את הכונן הנייד שנמצא ברשותם לזה החדש, על מנת שכספם יהיה בטוח יותר, כביכול. בשלב השני, שהתרחש עם חיבור הכונן למחשב, הורץ קוד זדוני שביקש מהמשתמשים להקליד את הקוד הסודי שלהם לשם אתחול הרכיב. הקוד הסודי שהוזן נשלח לתוקפים והקנה להם גישה לכספי הלקוחות. בהצהרה שפרסמה Ledger עם חשיפת האירוע נמסר כי מדובר בתרמית גמורה וכי החברה לעולם לא תשלח מוצרים ללקוחותיה מיוזמתה או תבקש מהם להקיש את הקוד הסודי שלהם בצורה שאינה מאובטחת. החברה הדגישה כי היא מתקשרת עם לקוחותיה רק בדרכים מאובטחות, שאינן כוללות מייל או שיחות טלפון. אירוע זה ממחיש היטב את ההשלכות האפשריות של דליפות מידע ואת מסוכנותן.
תוקפים מנצלים את המתקפה על Kaseya להפצת עדכוני אבטחה מזויפים ולהשתלטות על מחשבים
בקמפיין פישינג שיצרו התוקפים, המתחזה לעדכון אבטחה ל-Kaseya VSA, מוטמע ה-Cobalt Strike, כלי לגיטימי המשמש לביצוע מבדקי חדירה, ואשר מנוצל על ידי תוקפים לגישה מרחוק לרשת. למייל הפישינג שנשלח מצורפים קובץ בשם SecurityUpdates.exe וקישור המתחזה לעדכון שמקורו במיקרוסופט. בעת לחיצה על הקובץ או על הקישור מופיע חלון המדמה פעולת עדכון על המחשב. בפועל, הנוזקה רצה ופותחת לתוקף גישה מרחוק לעמדה. מטרת התקיפה היא השגת מידע רגיש או הטמעת קוד זדוני נוסף ברשת הנפרצת. דוגמה למייל שנשלח במסגרת הקמפיין:
השבוע בכופרה
Kaseya: כשניהול טלאי אבטחה הופך לחוליה החלשה בשרשרת
השבוע עלתה לכותרות חברת Kaseya, המספקת שירותי IT מנוהלים, עקב מתקפת סייבר שבוצעה נגד השירות המנוהל של החברה בענן על ידי קבוצת התוקפים הידועה REvil. במהלך האירוע נעשה שימוש בתשתית של רכיב VSA של החברה, המשמש לניהול טלאי אבטחה ולניטור לקוחותיה. התוקפים, שהצליחו להשיג אחיזה ברכיב, ניצלו זאת לחדירה למערכותיהם של לקוחות Kaseya, באמצעות שימוש בשרשרת האספקה ומשלוח ניהול טלאי אבטחה זדוני ללקוחות במקום עדכון טלאי אבטחה לגיטימי. על פי המפורסם בשעה זו באתר החברה, חקירת המקרה עודנה בעיצומה וטרם התברר היקף הנזק ללקוחות. עד כה ידועה הפגיעה ברשת הסופרמרקטים השוודית Coop (ראו בהרחבה בידיעה הבאה), ולטענת התוקפים אף עלה בידיהם להוריד בסיס נתונים ומידע קריטי מחברת התקשורת הרביעית בגודלה בספרד, MASMOVIL. טענה זו גובתה בפרסום צילומי מסך של תיקיות, קבצים ועוד, אשר לטענת התוקפים שייכים לחברה הספרדית. לדברי Kaseya שרתיה כבויים לעת עתה, זאת על מנת למנוע את המשך הפגיעה בלקוחותיה, והיא ממליצה להם שלא להשיב לניסיונות יצירת קשר מצד התוקפים, אם יבוצעו כאלה, גם במידה ואכן יש בידי הלקוחות אינדיקציה לכך שחדרה למערכותיהם נוזקה. ספקית ה-IT אף שחררה רכיב מיוחד ללקוחותיה, שישמש אותם להערכת מצב מערכת הארגון, ושכרה את שירותי ה-IR של חברת FireEye, על מנת לזהות IOCs נוספים הקשורים לתקיפה, על מנת להבטיח כי ניתן יהיה לזהותם במערכות שנפגעו באירוע.
שוודיה: רשת הסופרמרקטים Coop הושבתה עקב מתקפת סייבר
המתקפה על אחת מרשתות הסופרמרקטים הגדולות במדינה, אשר בבעלותה כ-800 סניפים, הובילה ב-2 ביולי לסגירת כ-500 מהם, זאת לאחר שנקודות המכירה ודלפקי השירות העצמי הפסיקו לעבוד. מחקירת האירוע התברר כי Coop לא הייתה יעד התקיפה אלא תוכנת Kaseya, שהרשת השוודית היא אחת מלקוחותיה. ככל הנראה, Kaseya הותקפה על ידי קבוצת ההאקרים הרוסית REvil, אשר השתמשה בתוכנה להפצת כופרה בקרב כל משתמשיה.
סייבר בישראל
הפיכתה של ישראל למעצמת סייבר עולמית
על פי מאמר של פרופ׳ אלוף (מיל.) יצחק בן ישראל אשר פורסם במגזין Forbes, למרות שטכנולוגיית הסייבר לא הומצאה בישראל, היא הייתה למדינה הראשונה שהפכה אותה לעיסוק לגיטימי בתעשייה האזרחית, ופתחה אותה לתחומים כמו מחקר אקדמי, חינוך, עסקים ועוד. לפי בן ישראל, כבר לפני 20 שנה מעצבי הדוקטרינה הביטחונית של ישראל הבינו שבהיותה המדינה הממוחשבת ביותר במזרח התיכון, היא עלולה להיות פגיעה מאוד להתקפות סייבר, מה שהוביל לכך שישראל הייתה לחלוצה בביצוע הכנות לקראת מלחמת סייבר עתידית. אלא שעד מהרה התברר כי השימוש בסייבר כנשק בזירה הצבאית אינו דבר פשוט, וכי קל יותר לפגוע במחשבים של מערכות אזרחיות. הבנה זו הובילה את ממשלת ישראל להקים ב-2002 גוף חדש - המועצה הלאומית למחקר ופיתוח (בן ישראל עצמו עמד בראשה בשנים 2010-2017), במטרה לפקח ולהגן על תשתיות קריטית, כגון מתקני ייצור חשמל ומערכות אספקת מים. כיום, עשר שנים בלבד לאחר שהושקה התוכנית והוקמו גופים נוספים העוסקים בהגנת ומחקר סייבר, ישראל ממלאת תפקיד מרכזי בעולם הסייבר, כשהיא המדינה היחידה בעולם בה סייבר מהווה נושא בבחינות הבגרות בסוף הלימודים התיכוניים. לטענת הכותב, טכנולוגיית המחשוב אינה עומדת במקום וממשיכה להתפתח ללא הרף, ולא רחוק היום בו תתרחש הקפיצה הבאה - לטכנולוגיית המחשוב הקוונטי, אשר תגדיל את ביצועי המחשבים ״בפקטור שקשה לעכלו״.
סייבר ופרטיות - רגולציה ותקינה
חוק הגנת מידע אישי חדש בדרום אפריקה: מדינה נוספת מצטרפת למגמה הגלובלית
בתחילת החודש נכנס לתוקף בדרא״פ ה-Protection of Personal Information Act 2013, או POPIA - חוק לאומי המיישם הגנות על המידע האישי של 60 מיליון תושבי המדינה, כאשר נעשה בו שימוש בידי ארגונים ממשלתיים וחברות פרטיות. החוק החדש מעניק סמכויות אכיפה ל-Information Regulator, אשר מתוקף סעיף 40 של החוק מוסמך גם לפרסם הנחיות מחייבות בנוגע ליישום ה-POPIA, כפי שכבר עשה בפועל בתחומים כמו הגנות מיוחדות על מידע אישי של ילדים ותפקודם של קציני ציות (Information Officers) במסגרת החוק. עשרות מדינות קידמו עד כה את ההסדרה של עיבוד מידע אישי כאמור, כפי שניתן לראות בדוח זה, הסוקר את המצב הרגולטורי הקיים.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, רחל נועה ביניאשוילי, אלמה תורג'מן וגיא פינקלשטיין.