עדכון שבועי 10.03.2022

עדכון אבטחה ל-Linux נותן מענה לחולשת Privilege Escalation ברמת חומרה גבוהה

החולשה (CVE-2022-0492, CVSS 7.0) משפיעה על רכיב ליבה של המערכת המכונה Cgroup.v1 ועלולה לחשוף משתמשים לפעולות במערכת שאמורות להיות גלויות רק למשתמשים בעלי הרשאות גבוהות.

צוות קונפידס ממליץ למשתמשי המוצר לעדכן את הרכיב לגרסתו האחרונה.

​

עדכון אבטחה ל-Linux Kernel נותן מענה לחולשה ברמת חומרה גבוהה

החולשה (CVE-2022-0847), המכונה The Dirty Pipe Vulnerability, התגלתה ב-Kernel של המוצר מגרסה 5.8 והלאה, ועלולה לאפשר לתוקף להחליף נתונים באופן שרירותי בקבצים שנועדו לקריאה בלבד. דבר זה עשוי להוביל להעלאת הרשאות במערכת, משום שתהליכים שאינם מורשים יכולים להחדיר קוד לתהליכי Root (המורצים בהרשאה הגבוהה ביותר ב-Linux). החולשה, אשר דומה מאוד לחולשת ה-DirtyCow שנסגרה ב-2016, תוקנה כעת בגרסאות 5.16.11, 5.15.25 ו-5.10.102 של ה-Kernel.

צוות קונפידס ממליץ למשתמשי הגרסאות הפגיעות של המוצר לעדכנן בהקדם לאלה המוגנות. 

​

עדכוני אבטחה קריטיים ל-Mozilla Firefox 

העדכונים, הרלוונטיים לאפליקציות Firefox ,Firefox ESR ,Firefox for Android ו-Focus, נותנים מענה לשתי חולשות קריטיות ולחולשה ברמת חומרה גבוהה, העלולות לאפשר לתוקף להכניס את האפליקציה למצב User-After-Free על מנת לפרוץ למחשב או לטלפון הנייד עליהם היא מותקנת.

צוות קונפידס ממליץ לבעלי האפליקציות לעדכנן לגרסאותיהן האחרונות.

​

עדכוני אבטחה למוצרי Adobe נותנים מענה לחולשות קריטיות

העדכונים רלוונטיים למוצרים הבאים במערכות ההפעלה Windows ו-macOS:

• Adobe After Effects גרסאות 22.2.1 ו-18.4.5.

• Adobe Photoshop גרסה 22.5.5 ומוקדמות יותר משנת 2021 וגרסה 23.1.1 ומוקדמות יותר משנת 2022.

• Adobe Illustrator גרסה 26.0.3  ומוקדמות יותר.

• Adobe Premiere Rush גרסה 2.0 ומוקדמות יותר.

חלק מהחולשות שתוקנו בעדכון הן קריטיות ועלולות לאפשר לתוקף להריץ קוד זדוני מרחוק תוך ניצול חולשת Buffer overflow.

צוות קונפידס ממליץ למשתמשי המוצרים לעיין ברשימת החולשות המלאה ולעדכנם בהקדם לגרסאותיהם האחרונות.

​

עדכון אבטחה למוצרי SAP נותן מענה ל-12 חולשות חדשות, חלקן קריטיות

העדכון החודשי של החברה סוגר גם 4 חולשות שפורסמו בעבר, והוא רלוונטי לכל מוצריה, על כל גרסאותיהם. ניצול החולשות עלול לאפשר לתוקף להריץ קוד מרחוק על עמדת הקורבן, להזריק קוד זדוני, לגשת למידע מוסתר ועוד.

אנו ממליצים לבעלי מוצרי SAP לעדכנם לגרסאותיהם האחרונות.

​

עשרות חולשות במוצרי קצה מבית HP - טרם פורסם עדכון אבטחה

בחודש פברואר פרסמה חברת HP עדכון גרסה ל-UEFI (מערכת ההפעלה ללוחות האם), שאמור היה לתת מענה ללא פחות מ-23 חולשות ברמות חומרה שונות, אשר זוהו על ידי חברת Binarly ודווחו ל-HP בדוח טכני מפורט. ואולם, השבוע דיווחה Binarly על מציאתן של 11 חולשות נוספות ב-UEFI, שהועברו לטיפולה של HP ויפורסמו לציבור רק לאחר שיתוקנו בעדכון החודשי הבא של החברה.

צוות קונפידס ממליץ לעדכן בהקדם את מערכות ההפעלה של מוצרי הקצה הרלוונטיים על מנת לסגור את החולשות.

עדכוני אבטחה למוצרי מיקרוסופט נותנים מענה ל-71 חולשות אבטחה, חלקן קריטיות

כחלק מה-Patch Tuesday של מיקרוסופט, ב-8 במרץ פרסמה החברה עדכונים הסוגרים עשרות חולשות במוצריה, 25 מתוכן מאפשרות העלאת הרשאות ו-29 מתוכן מאפשרות הרצת קוד מרחוק. לדברי מיקרוסופט, עד כה אף אחת מהחולשות לא נוצלה ברשת.

צוות קונפידס ממליץ למשתמשי מוצרי מיקרוסופט לעדכנם בהקדם לגרסאותיהם האחרונות.

​

עדכוני אבטחה ל-Android נותנים מענה לחולשות קריטיות

העדכונים סוגרים חולשות ברמות חומרה שונות ברכיבים של מערכת ההפעלה, בהם גם:

• Android Runtime - נסגרה חולשה ברמת חומרה בינונית.

• Framework - נסגרו ש6 חולשות ברמת חומרה גבוהה.

• ​​Media Framework -נסגרה חולשה ברמת חומרה גבוהה.

• System - נסגרו חולשה קריטית ו-9 חולשות ברמת חומרה גבוהה.

• Google Play System Updates.

• Kernel components - נסגרו ח 5 חולשות ברמת חומרה גבוהה.

צוות קונפידס ממליץ למשתמשי מכשירים המבוססים על מערכת ההפעלה Android לעיין ברשימת העדכונים המלאה ולעדכן את מכשיריהם בהקדם. 

​

3 חולשות קריטיות התגלו במכשירי ה-UPS של APC; טרם פורסם עדכון אבטחה

החולשות, שהתגלו במכשירי ה-Smart-UPS של חברת הבת של Schneider Electric על ידי חוקרי חברת Armis לאבטחת מידע של מוצרי IoT, עלולות לאפשר לתוקף להשיג שליטה מלאה על המוצרים. מ-Armis נמסר כי 8 מכל 10 חברות חשופות כעת למתקפות קטלניות מסוג TLStorm. מוצר ה-Smart-UPS הוא אל-פסק חכם המספק הגנה למערכות של חברות במקרה של הפסקות חשמל. פגיעה בפעילות המוצר עלולה להביא לנפילתם של שירותים קריטיים בעת הפסקות חשמל ובכך לפגיעה בהמשכיות העסקית של הארגון.

צוות קונפידס ממליץ למשתמשי המוצר לעקוב אחר עדכוני הקושחה של היצרן.

אין רגע דל: ה-CISA מוסיפה 95 חולשות המנוצלות אקטיבית ל״קטלוג החולשות המנוצלות הידועות״ 

ה-Known Exploited Vulnerabilities Catalog הינו רשימת חולשות שהסוכנות האמריקאית לאבטחת סייבר ותשתיות מצאה עדויות משמעותיות לניצולן האקטיבי על ידי שחקנים בעולם הסייבר, ואשר מהוות איום משמעותי על מטרות ממשלתיות על בסיס יומיומי. בעוד שהממשל האמריקאי הורה למשרדים ממשלתיים לעדכן את מערכותיהם בהתאם לחולשות המופיעות בקטלוג, ה-CISA מעודדת גם חברות בשוק הפרטי לעשות זאת.

צוות קונפידס ממליץ לחברות לעיין בקטלוג ולעדכן את מערכותיהן הפגיעות, במידה וישנן כאלה.

​

עשרות ארגונים נחשפו לחולשה קריטית בשירות Microsoft Azure Automation

ברשומת בלוג טכני שפרסמה השבוע חברת אבטחת המידע הישראלית Orca מפורט ניצול של חולשה שגילתה החברה בשירות האוטומציות של מיקרוסופט בסביבת ענן. מטרת השירות הינה לאפשר הרצת קודים ישירות בפלטפורמת הענן במקום דרך מכונות קצה המצויות ברשות החברה. ואולם, החולשה שנמצאה מאפשרת הרצת קוד דרך הפלטפורמה ישירות מול השרת המארח של מיקרוסופט המשמש לקוחות נוספים, ובכך בריחה מתוך ההגבלה על סביבת הלקוח וקבלת מידע מסביבות של לקוחות אחרים המשתמשים בשירותים של מיקרוסופט. צוות החברה טיפל בממצאים ופרסם דף המכיל הנחיות להגדרות נכונות (Best Practice) של הסביבה האמורה.

​

האקרים השיגו גישה לקבצים פנימיים של Samsung 

לאחר הדיווח על תקיפת NVIDIA על ידי קבוצת ההאקרים $LAPSU (ראו ״הסייבר״, 3.3.22), כעת חושפת Samsung בהודעה ל-Bloomberg כי הכנופייה פרצה אל מחשביה והשיגה מהם מידע פנימי, לרבות חלק מהקוד עליו מבוססת האופרציה של מכשירי ה-Galaxy, שהינם מכשיר הדגל של החברה. בהודעה מטעם ההאקרים שפורסמה במהלך סוף השבוע, נטען כי גנבו קובץ מידע גדול בנפח של 190GB, את קוד המקור ל-Bootolader של כל מכשירי Samsung, את קוד המקור של רכיבים רגישים, בהם החיישן הביומטרי המשמש לפתיחת המכשירים והצפנת המכשירים, וכן מידע מ-Qualcomm, ספקית הצ׳יפים של החברה. מ-Samsung נמסר כי מהניתוח הראשוני שביצעה עולה שהתוקפים אכן ניגשו לקוד המשמש להפעלת המכשירים, אך לא הצליחו לשים את ידיהם על פרטים אישיים של עובדי ולקוחות החברה. ״נכון לעכשיו, איננו צופים כל פגיעה לעסקינו או ללקוחותינו. הוצאנו אל הפועל צעדים שימנעו מקרים דומים בעתיד ושיעזרו לנו להמשיך ולשרת את לקוחותינו ללא הפרעה”, דברי ההודעה. נכון לרגע אין מידע פומבי אודות בקשת כופר שהעמידה הקבוצה. 

​

בעקבות הדלפת הקוד של NVIDIA: תוקפים חותמים קבצים זדוניים כלגיטימיים

עוד בהמשך לדיווח על הדלפת קוד המקור של NVIDIA על ידי קבוצת התקיפה $LAPSU (ראו ״הסייבר״, 3.3.22), בשבוע האחרון החלו חוקרים להציף את הטוויטר בציוצים לפיהם נצפה שימוש בחתימות קוד המשמשות את NVIDIA לחתימה על קבצים לצורך הוכחת מהימנותם. באמצעות הוספת החתימה לקבצים זדוניים, תוקפים מונעים את זיהוים במנועי חיפוש כדוגמת VirusTotal. השלכה נוספת של ההדלפה היא יצירת חתימה של כוננים שאינם לגיטימיים כלגיטימיים. למשל, Windows מבצעת בדיקה של כל כונן לפני שהיא מעלה אותו בהרצת המחשב, באמצעות בדיקה של חתימות מאושרות. חתימות אלה של NVIDIA, שעד כה תויגו כלגיטימיות, עלולות כעת לאפשר לתוקפים לעקוף את מנגנון האבטחה של Windows. נכון לשעה זו אין אפשרות להשחיר את החתימות ללא פגיעה בפעילותם של משתמשים לגיטימיים. במקום זאת, מיקרוסופט מציעה לעקוף את הבעיה על ידי יצירת פוליסה שתגדיר אילו דרייברים יכולים להיות מועלים ב-Windows Defender Application Control.

​

ה-FBI מפרסם IOCs של כופרת Ragnar Locker לאחר שפגעה בעשרות ארגונים

הכופרה, שפגעה ב-52 ארגונים מ-10 סקטורים, בהם התשתיות הקריטיות, האנרגיה, השירותים הפיננסיים, הממשלה ותקשורת המחשבים, מרבה להשתמש בטכניקות של ערפול כדי להימנע מחשיפה על ידי מנועי אבטחה. קבוצת Ragnar Locker ידועה באופן פעולה המתאפיין בפריצה לרשת הקורבן, בגניבת מידע, בהצפנת חלק מהקבצים המצויים על המחשב ובהנחת דרישת כופר עם קישור לארנק ביטקוין וכתובת מייל לשם התקשרות. זאת ועוד, הקבוצה מצפינה רק קבצים שיש בהם מידע השייך לקורבן ולא תוכנות שהצפנתן תגרום לפגיעה בשימוש במחשב, כדוגמת קבצי מערכת ודפדפני אינטרנט. לשכת החקירות הפדרלית, שפרסמה את מזהי התקיפה על מנת שיוטמעו בכלי ההגנה של ארגונים, ציינה גם כי אינה ממליצה לשלם ל-Ragnar Locker דמי כופר, מאחר שאין ערובה לכך שהתשלום ימנע תקיפה בשנית או את פרסום המידע שנגנב.

ניסיונות תקיפה מרובים של קבוצת ההאקרים הסינית APT41 כנגד גופי ממשלה אמריקאים

חברת אבטחת הסייבר Mandiant מצאה עדויות לכך שהקבוצה ניצלה חולשה (CVE-2021-44207) ברמת חומרה גבוהה במערכת הממשלתית USAHERDS, שנועדה לניהול מידע בנושא בריאות בעלי חיים. חולשה זו זהה לחולשה קודמת (CVE-2020-0688) שאותרה בשרתי Microsoft Exchange, והיא מנצלת קביעה סטטית של מפתח ההצפנה ומפתח הוולידציה, שבעטיה כל התקנות ה-USAHERDS חלקו את אותם מפתחות, דבר שהסתכם בפגיעות התוכנה. עוד עלה מחקירתה של Mandiant כי APT41 ניצלה את החולשה שהתגלתה ב-Log4j להשגת שליטה על שרתים של משרדי ממשלה אמריקאים, וכי ניסתה להשיג אליהם גישה באמצעות הזרקת SQL.

​

קבוצת תקיפה איראנית מובילה קמפיין ריגול נגד מטרה ממשלתית במזרח התיכון תוך שימוש בכלי תקיפה חדשים 

בנובמבר 2021 זיהתה חברת Mandiant פריצה למערכותיו של לקוח ממשלתי מאזור המזרח התיכון, אשר בוצעה על ידי קבוצת התקיפה UNC3313, הפעילה מאז מאי 2017, לפחות. על פי ההערכות, UNC3313 משויכת לקבוצת TEMP.Zagros האיראנית, הידועה גם בשם MuddyWater, ומבצעת מעקבים ואיסוף מידע לתמיכה באינטרסים איראניים. גישתה הראשונית של UNC3313 לארגון שתקיפתו זוהתה כעת הושגה באמצעות מייל דיוג ממוקד (Spear Phishing), שנועד לגניבת מידע רגיש על ידי התחזות. לאחר מכן היא חדרה אל המערכת מרחוק ובמהירות על ידי שימוש ב-ScreenConnect. במהלך המחצית השנייה של 2021, Mandiant זיהתה קמפיין בו השתמשה הקבוצה ב-GRAMDOOR וב-STARWHALE, שני קבצים זדוניים המתקינים דלת אחורית. הקבוצה התמקדה במגזרי הממשל, ההגנה, התקשורת, האנרגיה, הטכנולוגיה והכספים ברחבי המזרח התיכון ומרכז ודרום אסיה, ומניתוח פעילותה מסתמן כי TEMP.Zagros, אליה היא מקושרת, נותרה מעודכנת בטכניקות החדישות ביותר של הרצת קוד זדוני, וכי יש ביכולתה לעדכן את הנוזקה שלה במהירות. את פירוט שלבי התקיפה של הקבוצה ניתן למצוא כאן.

ה-CISA מעדכנת את התראתה בנוגע לקבוצת הכופרה Conti

לאחרונה עלתה קבוצת התקיפה לכותרות לאחר שחבריה הודיעו כי הם מצדדים ברוסיה במלחמה המתרחשת במזרח אירופה, ובכך העלו את חמתו של חוקר אבטחה אוקראיני, אשר בתגובה הדליף התכתבויות פנימיות של הקבוצה ואת קוד המקור של הנוזקות והכלים שפותחו על ידה (ראו ״הסייבר״, 3.3.22). אלא שהדבר לא עצר את Conti, הממשיכה לתקוף ארגונים ולהגדיל את מניין קורבנותיה, כאשר נראה כי עד היום שלשלה לארנקי הביטקוין שלה כ-2.7 מיליארד דולר. בהתראה מעודכנת שפרסמה ב-9 במרץ הסוכנות האמריקאית לאבטחת מידע ותשתיות (CISA) היא מוסיפה מזהים חדשים לפעילות הקבוצה, המבוססים על ההדלפות האחרונות. המזהים כוללים כתובות IP ודומיינים בהם משתמשת Conti כשרתי C2, או כאתרים להורדה של נוזקת TrickBot המשמשת אותה להורדת קבצי הדלף וההצפנה. עוד נצפו בפעילות הקבוצה שיחות וכלים הקשורים לניצול חולשות מסוג PrintNightmare על שרתי מדפסות, חולשת Zerologon וחולשות מרובות בעמדות ושרתים התומכים בפרוטוקול SMBv1, וכן שימוש נרחב בגרסה פרוצה של Cobalt Strike, המשמשת את חברי הקבוצה לניהול עמדות שהותקפו. 

​

מהן דרכי הפעולה של קבוצת הכופרה הרווחית בעולם?

במאמר של Krebs on Security נחשפות דרכי הפעולה של קבוצת הכופרה Conti, כפי שהן עולות מהתכתבויות פנימיות בין חבריה, שפורסמו בסוף פברואר (ראו ״הסייבר״, 3.3.22). בין היתר, עולה שהקבוצה שמה לה למטרה לפגוע בחברות שמחזורן השנתי עומד על 100 מיליון דולר לפחות, והשקיעה כמה אלפי דולרים ברכישת מוצרי אבטחה הן לצרכי הגנה עצמית והן לשם בדיקת עמידות המוצרים בפני הכופרות שלה עצמה. זאת ועוד, באחת השיחות שנחשפו בכיר בקבוצה מורה לאחד מעובדיו לעקוב אחרי פעילותם של כל עובדי הארגון המחזיקים בהרשאות גבוהות ולהתקין על עמדותיהם כלי אבטחה, על מנת לוודא שאינם חותרים תחת Conti ופוגעים באבטחתה בזדון. נתון מעניין נוסף הוא זה לפיו הקבוצה רכשה רישיון לשימוש בכלי Cobalt Strike, הנמכר רק לחברות שנבחרו ונבדקו בקפידה. לצורך כך, Conti שילמה סכום של 30 אלף דולר לחברה לגיטימית שרכשה את המוצר עבורה. עוד מסתמן כי הארגון מחזיק במחלקת משאבי אנוש, הסוקרת אתרים לחיפוש משרות ומאתרת קורות חיים רלוונטיים לצורך גיוס חברים חדשים לשורותיה. יחידה מעניינת נוספת שנחשפה בארגון היא The Reversers, שמטרתה למצוא ולנצל חולשות במוצרים המצויים בשימוש נרחב. לדוגמה, באחת ההתכתבויות מופיעה בקשה לאיתור חולשות ב-Windows 11. נקודות אלה ואחרות מוצגות בהרחבה במאמר.

המלחמה במזרח אירופה

מתחזית למציאות: סייבר בעת מלחמה

בשני העשורים האחרונים נערמו תחזיות בנוגע לחשיבותו של תחום הסייבר כחלק עיקרי בזמן מלחמה, מתוך הנחה שבעתיד מלחמות יתקיימו בעיקר במרחב הדיגיטלי, להבדיל מהפיזי. ואולם, למרות שרוסיה היא אחת ממעצמות הסייבר ההתקפיות המובילות בעולם, פלישתה לאוקראינה היתה עד כה קונבנציונלית לחלוטין, כפי שמראות התמונות המגיעות מקייב, מחרקוב ומערים אחרות. הסיבות לעובדה לפיה נכון לשעה זו רוסיה נמנעת מלהשתמש ביכולות הסייבר המתוחכמות שבאמתחתה במסגרת העימות הנוכחי אינן ברורות לגמרי. למרות שמ-2014 רוסיה הפכה את אוקראינה ל״מגרש המשחקים״ שלה בחזית הסייבר וגרמה להפסקות אנרגיה, לשיבוש תשלומי הממשלה והבנקאות ולהטרדת העסקים והחברה האזרחית האוקראינית, יש הטוענים כי למרות עוצמתה בגזרה זו היא נחלה כשלון, משום שפריצותיה לא השפיעו מהותית על קבלת ההחלטות של ההנהגה האוקראינית ולא ערערו את את אמונם של האוקראינים בהנהגתם. לאור זאת, ישנן סברות לפיהן כאשר ממשלה מבקשת לפגוע בתשתיות לאומיות - שיגור טילים הינו פשוט וממוקד יותר מאשר שימוש בקוד מחשב, בעוד שתפקידן העיקרי של מתקפות הסייבר הוא לזרוע בלבול, פחד ודיסאינפורמציה בנוגע למצב הלחימה. למרות שפעולות סייבר הופיעו בכל זאת במסגרת העימות בהיקף מצומצם, מדינות המערב עדיין מצויות בסיכון גבוה יותר בגזרה זו ועליהן להיערך להתמודדות אפשרית במידה שרוסיה תחליט לצאת למתקפת סייבר נרחבת נגד אוקראינה, והמערב יחווה נזק משני, כפי שקרה ב-2017 באירועי ה-NotPetya, שזלגו אל שאר העולם והובילו להפסדים של מיליארדי דולרים לחברות מסחריות. סיכון עיקרי נוסף מולו ניצב המערב נוגע לשימוש בפושעי סייבר רוסים כנציגים של הממשל הרוסי. רוסיה, המאכלסת את ריכוז פושעי הסייבר הגדול בעולם, נוקטת במדיניות המתירה ואף מעודדת קבוצות סייבר בעלות יכולות הרסניות לפעול בשמה. דוגמה לכך היא קבוצת Conti הידועה, שפרסמה הודעה בה היא מביעה תמיכה ברוסיה ומאיימת בפעולות נקם כנגד כל מי שינסה לפגוע בה.  

​

אירועי המלחמה במרחב הסייבר: שלב אחר שלב

חברת אבטחת המידע Sophos פרסמה ציר זמן המסכם את האירועים המשמעותיים עד כה במאבק בין אוקראינה לרוסיה במרחב הסייבר (ראו תמונה להלן). בראשית ציר הזמן, אשר נקבע ב-14 בינואר, ניצבות הפריצות הרוסיות לאתרי הממשלה האוקראינים, אשר קדמו לפלישה ולהפצת הנוזקה WhisperGate, שהשביתה ארגונים במדינה. לאחר מכן, לקראת הפלישה עצמה, מופיעים אירועים כגון צידודה של קבוצת התקיפה Conti ברוסיה, הצטרפות קבוצות התקיפה הבלרוסיות לפעולות נגד אוקראינה ומתקפות מניעת שירות (DDoS) נרחבות במיוחד לפגיעה באוקראינים. לאחר הפלישה, מה-26 בפברואר ואילך, מופיעות מתקפות-נגד מצד אוקראינה, בדמותן של הדלפות מתוך התכתבויות של חברי קבוצת התקיפה Conti והקמת ״צבא ה-IT״ של אוקראינה. כעת, לאחר פתיחה שנראתה מעט חד-צדדית ״לטובת״ הרוסים, נראה שקיימת פעילות ענפה מאוד במרחב מצד האוקראינים, אשר פרצו לתשתיות החשמל ברוסיה, הציגו הודעות בגנותו של נשיא רוסיה ולדימיר פוטין והדליפו מידע על כ-120,000 חיילים רוסים.

​

​

​

​

​

​

​

​

​

(מקור: ״Sophos״)

​

Anonymous לוקחת אחריות על אלפי מתקפות כנגד אתרים וארגונים ברוסיה

בהמשך לדיווחים בשבוע שעבר (ראו ״הסייבר״, 3.3.22), ארגון ה״האקטיביסטים״ טוען שתקף והדליף מידע מיותר מ-2,500 אתרים וארגונים רוסים ובלרוסים, בהם אתרי מדיה, בנקים, שדות תעופה, בתי חולים ואף קבוצות תקיפה פרו-רוסיות. הארגון, שמעדכן באופן תדיר על פעילותו באמצעות ציוצים בטוויטר, לקח אחריות על תקיפות רבות שבוצעו בשבוע האחרון, לגבי חלקן, כדוגמת הפריצה לשידורי ערוצי חדשות ממשלתיים ברוסיה ושידור תצלומים שאינם מצונזרים מהמלחמה באוקראינה, קיים ספק אם התרחשו בפועל. מתקפות נוספת עליהן דיווח הארגון הן השבתת אתרי ה-FSB (שירות הביטחון הפדרלי הרוסי) והקרמלין, והדלפה של תוכניות תקיפה רוסיות, עליהן דיווחו גם סוכנויות חדשות אחרות, כגון רויטרס. ואולם, נראה כי חלק גדול מהפעולות אותן מייחס לעצמו הארגון בוצעו בפועל על ידי ״צבא ה-IT״ של ממשלת אוקראינה (ראו ״הסייבר״, 3.3.22), הקורא למתנדבים לסייע בחזית נגד רוסיה במרחב האינטרנטי. אל פרסומיה של Anonymous יש להתייחס בערבון מוגבל, שכן הארגון אינו מחזיק באתר רשמי, ובמקום זאת מספר אתרי אינטרנט ועמודים ברשתות החברתיות מתיימרים להיות ה״אתר הרשמי״ של הקבוצה. ככל הנראה, Anonymous תמשיך לספק דיווחים דומים בזמן הקרוב, בייחוד כל עוד ״צבא ה-IT" האוקראיני ממשיך בפעולותיו. 

​

מנותקים מהרשת: Lumen Technologies, מספקיות האינטרנט הבינלאומיות הגדולות בעולם, מפסיקה את תעבורת האינטרנט לרוסיה 

בכך חוברת Lumen Technologies האמריקאית לבת ארצה Cogent, ומותירה מיליוני אזרחים רוסים ב״אפלה״. בשלב זה טרם התברר אם ספקיות אינטרנט נוספות יצטרפו למהלך, אך גובר החשש שככל שהסנקציות ימשיכו לגבות מחיר מכלכלת רוסיה - חברות התקשורת במדינה לא יוכלו לשלם לספקי האינטרנט הבינלאומיים. בתוך כך, בשבוע שעבר (ראו ״הסייבר״, 3.3.22) מנהיגים אוקראינים ביקשו מ-ICANN, הארגון האחראי על פיקוח שמות הדומיינים באינטרנט, לנתק את הדומיין העליון של רוסיה (ru.) אך בקשתם נדחתה. במקביל, איום נוסף על הגישה לאינפורמציה מהימנה מגיע מרוסיה עצמה, אשר העבירה חוק חדש הפוגע בזכויות העיתונות החופשית בגבולותיה וקובע עד 15 שנות מאסר לכל אדם שיפרסם תוכן המתייחס לסכסוך באוקראינה כ"מלחמה" או "פלישה".

ה-TAG של Google: אזרחים ומוסדות באוקראינה תחת מתקפות סייבר נרחבות שמקורן ב-GRU הרוסי; ארה״ב ואירופה על הכוונת

קבוצת ניתוח האיומים של Google, המתמקדת בבטיחות ואבטחת משתמשי קצה ופלטפורמות המאפשרות גישה ושיתוף של מידע חשוב, פרסמה בשנה החולפת מאות אזהרות תקיפה למשתמשים אוקראינים והתריעה בפניהם כי הם מהווים יעד ממשי לפריצה על ידי ממשלת רוסיה ובעלות בריתה (איראן, סין ואחרות). כעת, לאחר שהחלה המלחמה במזרח אירופה, ה-TAG מעדכנת כי זוהו מגוון פעילויות וניסיונות תקיפה, לרבות גניבת מידע, ריגול במגזר הפרטי והציבורי באוקראינה, פגיעה בגופים אירופיים וניסיונות פגיעה במשתמשי קצה הקשורים לממשל האמריקאי. יחד עם זאת, רוסיה והעומדות לצדה טרם מימשו את ארסנל יכולות הסייבר שלהן, כאשר לפי הערכת מצב של המודיעין האמריקאי קיימים איומים קונקרטיים לפגיעה בכבלי רשת תת-ימיים המחברים את כלל תעבורת הרשת בין מדינות בעולם, לפגיעה בעיתונאים ולניסיונות תעמולה והסתה תקשורתית נגד מוסדות ציבוריים במדינות ״אויב״ (לרבות פגיעה בבחירות בארצות הברית).

​

​

​

​

​

​

​

​

​

​

(מקור: ״BleepingComputer״ 8.3.22, מתוך ״Barton Gellman")

​

באו לעזרת חבר: אוקראינה נהנית מתמיכה משמעותית בגזרת הסייבר נגד רוסיה

קבוצות תקיפת סייבר ברחבי העולם לוקחות חלק פעיל ונרחב במלחמה המתחוללת בימים אלה במזרח אירופה, כאשר בשעה זו מסתמן כי מרביתן פועלות במרחב לטובת אוקראינה, מתוך הזדהות עם העם האוקראיני נוכח התוקפנות הרוסית. בתמונה המצורפת מוצגות הקבוצות אשר הצהירו על עמדתן בסכסוך ומבצעות פעולות התומכות באחד מהצדדים בו. במקביל, חלק מכנופיות הסייבר אשר אינן לוקחות חלק פעיל במאמץ המלחמתי בגזרה נפגעות בעקיפין מהפעילות החריגה במרחב, ונאלצות לשנות במעט את אופן פעולתן. 

​

​

​

​

​

​

​

​

​

​

​

​

​

(מקור: ״Cyberknow20@״, 5.3.22)

​

רוסיה: אלה כתובות ה-IP ששימשו לביצוע מתקפות DDoS נגדנו; חשש מנקמה במשתמשים פרטיים

ברשימה, שפורסמה על ידי ה-NKTsKI (״מרכז התיאום הלאומי עבור תקריות מחשב״, שהוקם על ידי שירות הביטחון הפדרלי הרוסי [FSB]), מופיעות 17,756 כתובות ששימשו, לכאורה, לביצוע מתקפות מניעת שירות, לצד מדריך להתגוננות מפניהן. בין הצעדים עליהם ממליץ הארגון מצויים שימוש בשירותי הגנה מפני DDoS ובשרתי DNS רוסים, וכן השבתת פלאגינים וסקריפטים שונים בדפדפן. מניתוח חלק מהכתובות עולה שלמרות שישנן כאלה המובילות לארגונים בארצות הברית ובאירופה, רבות מהן שייכות למשתמשים פרטיים, החשופים כעת לתביעה משפטית או אף לנקמה מצד גורמים ברוסיה.

​

Coinbase חוסמת גישה לעשרות אלפי כתובות בלוקצ׳יין רוסיות

ב-7 במרץ הודיעה אחת מהפלטפורמות הפופולריות בעולם לחילופי מטבעות קריפטוגרפיים על חסימת הגישה ליותר מ-25,000 כתובות בלוקצ'יין המקושרות לאנשים ולישויות ברוסיה, ואף שיתפה את כל הכתובות החסומות עם ממשלת ארצות הברית, כל זאת כאקט של הבעת תמיכה בסנקציות שהטילה אמריקה בעקבות פלישת הכוחות המזוינים לאוקראינה. פול גרוואל, הסמנכ״ל המשפטי של Coinbase, אמר כי בורסת הקריפטו חוסמת סוחרים שמוטלות עליהם סנקציות מלפתוח חשבונות חדשים ומזהה באופן אקטיבי ניסיונות להתחמק מהאיסור. עם זאת, החברה סירבה להקפיא את חשבונות המשתמשים הרוסים, אך הדגישה כי תפעל בהתאם לסנקציות הכלכליות שהנהיגו ארצות הברית והאיחוד האירופי. החלטה זו מגיעה על רקע קריאתו של סגן ראש ממשלת אוקראינה מיכיילו פדרוב לכל בורסות הקריפטו הגדולות לחסום כתובות בלוקצ'יין רוסיות, על מנת להגביר את הלחץ על ממשלת רוסיה לחדול מתוקפנותה.

​

אתרים של ממשלת רוסיה נתקפו תוך ניצול חולשה בווידג׳ט בו עשו שימוש

התוקפים הצליחו לפגוע באתרים ידי ניצול חולשה בתוסף האחראי על איסוף סטטיסטיקות אודות המבקרים בהם, דבר אשר איפשר להם להחליף את התוכן המופיע באתרים ואף למנוע גישה לחלקם. התקיפה, שהתגלתה ב-8 במרץ, פגעה באתרי משרד האנרגיה, משרד ההוצאה לפועל הפדרלי, משרד התרבות ואחרים. מהמשרד הרוסי לפיתוח דיגיטלי נמסר כי התקלה טופלה כעבור שעה.

​

Amazon: נוזקות מטרגטות ארגוני סיוע הפועלים באוקראינה

מרשומת בלוג שפרסמה החברה ב-4 במרץ עולה כי לצד הסיוע שהיא מספקת לאנשי IT אוקראינים, זוהו מספר נוזקות על שרתי AWS, אשר ככל הנראה מתוחזקים בחסות מדינתית ומשמשים לתקיפת מטרות באוקראינה. הצוות של Amazon אסף את מזהי המתקפות, ניתח פעילויות לשם גילויין ופיתח כלים לחסימתן, אותם שיתף עם ארגונים אוקראינים. עוד נכתב בבלוג כי נמצאו מספר תשתיות תקיפה זדוניות אחרות שמטרגטות ארגוני צדקה, סיוע ומזון הפועלים באוקראינה.

​

ארה״ב עזרה לאוקראינה להתכונן למתקפות סייבר רוסיות חודשים לפני הפלישה

מכתבה שפורסמה ב-Financial Times עולה כי הסיוע החל עוד בשנת 2015, לאחר מתקפת סייבר שביצעו הרוסים, לכאורה, אשר ניתקה מאות אלפי אזרחים אוקראינים מחשמל למשך שעות. בחודשים שקדמו לפלישה הנוכחית החלה תנועה גדולה של מומחי אבטחת מידע מארצות הברית לאוקראינה, במה שנראה כמו הכנות למלחמת סייבר עקב הערכת האמריקאים שהרוסים עלולים לבצע מתקפה בקנה מידה אדיר כנגד התשתיות האוקראיניות. לדברי מומחים, באמצעות התמיכה וההכנות של האמריקאים לתקיפות הרוסיות הצליחו התשתיות האוקראיניות להחזיק מעמד מול מתקפות מניעת השירות (DDoS) האדירות שביצעו הרוסים. דוגמה לעזרה שסיפקו האמריקאים לאוקראינים באה לידי ביטוי במתקפה הרוסית נגד המשטרה האוקראינית ומשרדי ממשלה במדינה: בסוף השבוע האחרון של פברואר סבלו גופים אוקראינים ממתקפות DDoS עוצמתיות שהשביתו מערכות קריטיות במדינה. בתוך שעות מתחילת המתקפה פנו הצוותים ששלחה ארצות הברית לאוקראינה אל Fortinet האמריקאית, בבקשה להקשחת התשתיות האוקראיניות. כעבור 15 דקות בלבד אישר משרד המסחר האמריקאי את התשלום עבור השירות, ותוך 8 שעות מתחילת ההתקשרות הותקנו מערכות החברה באוקראינה. עד כה, מומחים רבים ברחבי העולם התקשו להבין את חוסר ההצלחה של הצד הרוסי בתקיפות הסייבר נגד אוקראינה, אך כעת מתברר שחלק מכך טמון בהצלחתה הרבה של ארצות הברית בהקשחה ובהכנה של התשתיות האוקראיניות מבעוד מועד.

איחוד כוחות בצמרת הגנת הסייבר: Google רוכשת את Mandiant תמורת 5.4 מיליארד דולר

ב-8 במרץ הודיעו שתי חברות הענק באופן רשמי על רכישת חברת המודיעין וניהול אירועי הסייבר. לדברי Google, "כיום, ארגונים מתמודדים עם אתגרי אבטחת סייבר בתדירות, בחומרה ובמגוון הולכים וגדלים, שיצרו ציווי אבטחה עולמי. כדי להתמודד עם סיכונים אלה, על ארגונים להיות מסוגלים לזהות יריבים ולהגיב להם במהירות, לנתח ולבצע אוטומציה של איומי מודיעין כדי להגדיל את זיהוי האיומים בין ארגונים, לתזמן ולבצע תיקון אוטומטי, להטמיע באמצעי ההגנה אינדיקטורים של איומים ידועים ולהתאים את סביבת ה-IT שלהם לזיהוי וסימולציה של איומים חדשים". חברת הגנת הסייבר Mandiant ידועה בעיקר בזכות חשיפה וחקירת הפגיעות בשרשרת האספקה ​​של SolarWinds, מתקפת סייבר הרסנית שהשפיעה על אלפי לקוחות ופעלה מתחת לרדאר משך חודשים, עד לגילויה בדצמבר 2020. "הרכישה תשלים את חוזקות האבטחה הקיימות של Google Cloud," אמרו ב-Mandiant, והוסיפו כי העסקה "תספק חבילת פעולות אבטחה מקצה לקצה, עם יכולות גדולות עוד יותר, כמו גם שירותי ייעוץ שיסייעו ללקוחות להתמודד עם אתגרי אבטחה קריטיים ולהישאר מוגנים בכל שלב במחזור חיי האבטחה שלהם".

​

מאמר ב״ניו יורק טיימס״: אמריקה אינה ערוכה למתקפות הסייבר שיגיעו

במאמר דעה מאת גלן ס. גרסטל, יועצת בכירה במרכז למחקרים אסטרטגיים ובינלאומיים ולשעבר היועצת הכללית של הסוכנות לביטחון לאומי (NSA) ושל שירות הביטחון המרכזי (CSS) של ארצות הברית, טוענת הכותבת כי בזמן שטילים נופלים על אוקראינה, מתקיימת מלחמה מקבילה וקשה לא פחות במימד הסייבר: תוכנות זדוניות הרסניות מציפות מאות אתרים ומחשבים אוקראינים, במתקפות שאין להניח שיישארו מוגבלות למטרות אוקראיניות בלבד. לטענת גרסטל, עסקים אמריקאים אינם מוכנים למלחמה במרחב הווירטואלי, ולמרות שהנשיא ביידן הורה למחלקה לביטחון המולדת (DHS) להוביל ״תגובה תקיפה״ לכל תוקפנות, הדבר אינו מספיק, משום שלמחלקה האמורה אין סמכות חוקית להוליך את המגזר הפרטי בעקבותיה. זאת ועוד, גם אם הממשלה הפדרלית הוזהרה על ידי חברות כמו מיקרוסופט מפני התקפות סייבר נכנסות - אין לה את התשתית ההכרחית לצרכי הגנה על עסקים אמריקאים מפני רבות מהתקיפות הללו. העובדה שעל ארצות הברית לנקוט באיומים היא בעיה בפני עצמה, גורסת גרסטל, שכן כבר היה עליה להיות חסינה מפני מתקפות סייבר. את מאמר הדעה המלא ניתן לקרוא כאן. 

​

מדינות אירופה קוראות להקמת קרן להתמודדות עם מתקפות סייבר גדולות מימדים

הבקשה להקמת הקרן הוגשה לנציבות האירופית על ידי 27 שרי תקשורת ממדינות ברחבי האיחוד,  במקביל לבקשה להגביר את הרגולציות הרלוונטיות להגנת הנכסים הטכנולוגיים של חברות במשק האירופי, כל זאת על רקע התקיפות המדיניות באוקראינה.

הבית הלבן מפרסם צו נשיאותי בנושא נכסים דיגיטליים: אזהרה מפני השימוש מטבע דיגיטלי במסגרת פשע מקוון 

ב-9 במרץ קבע ממשל ביידן בצו נשיאותי את הצורך במדיניות לאומית שתסדיר את השימוש בנכסים דיגיטליים, ובעיקר במטבעות דיגיטליים, שערכם מוערך כיום בסכום של שלושה מיליארד דולר במגזר הפרטי (כלומר, מבלי להחשיב נכסים מדינתיים), וצפוי להמשיך ולגדול. ה-Executive Order on Ensuring Responsible Development of Digital Assets אף מזהיר מפני השימוש בנכסים דיגיטליים ככלי לביצוע פשע מקוון והלבנת הון, והוא מתבסס על מספר עקרונות: הצורך להגן על צרכנים, על משקיעים ועל עסקים בארצות הברית, החובה להבטיח יציבות פיננסית ולמזער את הסיכונים שבשימוש בנכסים דיגיטליים, מניעת השימוש בנכסים דיגיטליים על ידי גורמי פשע לצרכי הלבנת הון, מימון טרור ומטרות בלתי-חוקיות נוספות, וכן תימרוץ חדשנות פיננסית, לצד הבטחת הגישה השוויונית למשאבים דיגיטליים חדשים. עוד מצהיר הצו הנשיאותי על יעד של פיתוח מטבע וירטואלי לאומי (CBDC, או Central Bank Digital Currency), וקובע כי "על ארצות הברית להבטיח את קיומם של אמצעי הגנה [לשימוש בנכסים דיגיטליים], ולקדם פיתוח אחראי [שלהם] כדי להגן על צרכנים, משקיעים ועסקים, לשמור על פרטיות ולהגן מפני ניטור שרירותי או בלתי חוקי, שעלול לתרום להפרות של זכויות אדם". הצו אינו קובע צעדים רגולטוריים ספציפיים, אך מחייב שיתוף פעולה ברמה הפדרלית בין סוכנויות ומוסדות בעלי סמכויות רלוונטיות לפיתוח נכסים דיגיטליים בארצות הברית.

​

מדריך חדש של ה-NSA להגנה על תשתיות רשת

ב-3 במרץ הסוכנות האמריקאית לביטחון לאומי (NSA) פרסמה מדריך חדש המכיל הנחיות לאבטחת תשתיות רשת ומרכז שיטות עבודה מומלצות הנובעות מניסיון הארגון בתמיכה בלקוחות ובתגובה לאיומים. ההנחיות המופיעות במדריך מבוססות על גישת Zero trust, והן נועדו לסייע למנהלי מערכות במניעת ניצול רשתות על ידי גורמים עוינים. המסמך מציג שיטות עבודה מומלצות לאבטחת רשתות, לרבות יישום הגנות רשת היקפיות ופנימיות לשיפור הניטור ובקרות הגישה ברחבי הרשת.

צוות קונפידס ממליץ למנהלי אבטחת מידע לעיין במדריך ולהטמיע במערכות ארגוניהם את המלצות ה-NSA.

​

משרד המשפטים האמריקאי מבקר הצעת חוק תקדימית בתחום הסייבר שכבר עברה את אישור הסנאט

בשבוע שעבר העביר הסנאט פה אחד את הצעת החוק Strengthening American Cybersecurity Act, שכעת ממתינה להצבעה בבית הנבחרים ולאישורו של הנשיא ג׳ו ביידן (ראו "הסייבר", 3.3.2022). לראשונה, הצעת החוק התקדימית תחייב חברות בעלות תשתית קריטית לדווח על אירועי סייבר למחלקה לביטחון המולדת (DHS) ולסוכנות להגנת סייבר ותשתיות (CISA) תוך 72 שעות מגילוי האירוע, ועל תשלומי כופרה לתוקפים - תוך 24 שעות. כעת, משרד המשפטים האמריקאי מבקר את הצעת החוק על כך שאינה מחייבת דיווח גם ללשכת החקירות הפדרלית (FBI). סגנית התובע הכללי, ליסה מונקו, אמרה כי "הצעת החוק, כפי שנוסחה, משאירה בצד את אחד הכלים הטובים ביותר שיש לנו, ה-FBI, והופכת אותנו לפחות בטוחים בתקופה בה אנו מתמודדים עם איומים חסרי תקדים". ה-FBI ביקר אף הוא את היוזמה החקיקתית, אך חרף הביקורת - הבית הלבן דבק בתמיכתו בהצעה.