דו״ח סייבר שבועי
עדכון שבועי 11.05.23
עיקרי הדברים
תוכן עניינים
1. מבצע ״מגן וחץ״: הושחתו אתרי הגא״פ ופורסמו תמונות של המחבלים שחוסלו יחד עם הכיתוב ״מי הבא בתור?"; דיווחים על מאות מתקפות סייבר על אתרים ישראלים; קבוצת ההאקרים Anonymous Sudan מזהירים מפני תקיפות נוספות כתגובה למבצע ״מגן וחץ״.
2. סייבר בבריאות: האקרים צפון-קוריאנים גנבו נתונים של 830 אלף מטופלים מבית החולים המוביל בסיאול; מרכז טיפולי סרטן באוסטרליה תחת מתקפת סייבר; ביטולי ניתוחים ברשת מרפאות בטנסי בעקבות מתקפת סייבר שאירעה לפני שבועיים; חברת התוכנה NextGen Healthcare מודיעה כי תוקפים השיגו גישה למידע של מיליון מטופלים; פרצת מידע בבית חולים חשפה מידע אישי על 25 אלף מטופלים.
3. ארה״ב: האקרים פרצו למערכת החירום של אוניברסיטת Bluefield ואיימו על סטודנטים וחברי סגל שיפרסמו מידע עליהם אם לא ישולמו להם דמי כופר.
4. ה-FBI סגר 13 דומיינים הקשורים לשירות DDoS-for-hire.
5. *אנו ממליצים לעדכן את המערכות הבאות: מוצרי מיקרוסופט (zero day); דפדפן Microsoft Edge (גבוה); תוסף Advanced Custom Fields של Wordpress (גבוה); NetFilter ב-Kernel של Linux; *
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-Microsoft Edge הנותן מענה לשתי חולשות
עדכון אבטחה לתוסף Advanced Custom Fields של Wordpress
חולשה חדשה ב-NetFilter ב-Kernel של Linux מקנה לתוקפים הרשאות root.
Microsoft שחררה עדכון אבטחה חודשי כחלק מ-Patch Tuesday הנותן מענה ל 38 חולשות
התקפות ואיומים
פורסמה הוכחת היתכנות חדשה לחולשה קריטית המאפשרת הרצת קוד מרחוק ("PaperCut") , אשר עוקפת חוקים במערכות הגנה לזיהוי של ניצול החולשה
סייבר בעולם
PentestGPT כלי אוטומטי חדש לביצוע בדיקות חדירות ופועל על בסיס ChatGPT
Western Digital מאשרת כי נגנב מידע של לקוחות בפריצה בחודש מרץ
אינטל חוקרת דליפת מידע רגיש לאחר המתקפה על MSI
ה - FBI סגר 13 דומיינים הקשורים לשירות DDoS-for-hire
ארה״ב: מתקפת כופרה של האקרים על מערכת חירום של אוניברסיטה בוירג'יניה
Google הוציאה תכונות חדשות לשיפור אבטחת המידע של לקוחותיה
סייבר בגופי בריאות
דרום-קוריאה: האקרים צפון-קוריאנים גנבו נתונים של 830 אלף מטופלים מבית החולים המוביל בסיאול
סידני : המרכז לטיפולי סרטן נתון למתקפת סייבר
ארה״ב: שיבושים וביטולי ניתוחים ברשת מרפאות במדינת טנסי, בעקבות מתקפת סייבר שאירעה לפני שבועיים
ארה״ב: חברת התוכנה NextGen Healthcare מודיעה כי תוקפים השיגו גישה למידע של מיליון מטופלים
ארה״ב: פרצת מידע בבית חולים חשפה מידע אישי של 25 אלף מטופלים
סייבר בספנות ולוגיסטיקה
שימוש ב ChatGPT למתקפות סייבר על כלי שייט
דו״ח שנתי של בקרת מתדינת הנמל בטוקיו: מתקפת סייבר גרמה לקשיים חמורים
סייבר בישראל
בוצעה מתקפת סייבר על אתרי האינטרנט של הג'יהאד האיסלאמי
קבוצת ההאקרים Anonymous Sudan מזהירים מפני תקיפות נוספות בתגובה למבצע ״מגן וחץ״
כנסים
הציטוט השבועי
״אם יהיה לי מקרה דומה מחר, גם אם לנאשם יש את האופי של האפיפיור פרנציסקוס, הוא ילך לכלא״
השופט הפדרלי וויליאם אוריק, לגבי גזר הדין הקל יחסית שהטיל על ה-CISO של חברת אובר ופטר אותו מעונש מאסר בפועל בגלל הנסיבות המיוחדות של האירוע
(Judge Spares Former Uber CISO Jail Time Over 2016 Data Breach Charges, 5.5.2023)
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-Microsoft Edge הנותן מענה לשתי חולשות
שתי חולשות זוהו בדפדפן Microsoft Edge בגרסאות 112.0 ו-113.0. החולשה, CVE-2023-29354 CVSS 4.7, עלולה לאפשר לתוקף המתחבר מרחוק לעקוף מגבלות אבטחה ולהשפיע על שלמות המערכת על ידי שכנוע משתמש לבקר באתר זדוני. חולשה נוספת שפורסמה CVE-2023-2935 CVSS 7.5, מודדת את ההשפעה על סודיות ושלמות משאבי המידע המנוהלים על ידי רכיב תוכנה עקב פגיעות שנוצלה בהצלחה.
צוות קונפידס ממליץ למשתמשי המוצר לבצע עדכון גרסה לגרסה האחרונה כפי שפורסמה על ידי חברת Microsoft.
עדכון אבטחה לתוסף Advanced Custom Fields של Wordpress
Wordpress הוציאה עדכון אבטחה לתוסף Advanced Custom Fields , המאפשר הוספת שדות תוכן נוספים למסכי העריכה של Wordpress. ומאפשרת בניית אתרים בצורה יותר מהירה ויותר מ-2 מיליון אתרים משתמשים בתוסף זה. החולשה CVE-2023-30777, CVSS 7.1 מאפשרת (Cross-Site Scripting (XSS, בכלל הגרסאות הנמצאות מתחת לגרסה העדכנית 6.1.6.
צוות קונפידס ממליץ למשתמשי התוסף לעדכן בהקדם האפשרי לגרסה העדכנית ביותר בהקדם האפשרי.
חולשה חדשה ב-NetFilter ב-Kernel של Linux מקנה לתוקפים הרשאות root.
חולשה חדשה (CVE-2023-32233, CVSS:N/A) מסוג Use-After-Free ב-NetFilter ב-Linux יכול לאפשר לתוקפים לבצע פעולות כתיבה וקריאה ברמת ה-Kernel, מה שיכול להקנות להם שליטה מלאה על עמדה נתקפת לאחר השגת גישה ראשונית בעלת הרשאות נמוכות. NetFilter הינה מערכת פנימית ב-Kernel של Linux המאפשר סינון של תעבורת רשת ומחזיק בתוכו טבלת NAT אשר מנוהלים על ידי כלים הנמצאים ב״קדמת״ מערכת ההפעלה כמו IPTables ו-UFW. ניצול החולשה מתאפשר רק כאשר ישנה גישה לוקאלית אל העמדה הפגיעה ונראה כי החולשה משפיעה על מספר גרסאות של ה-Kernel כולל הנוכחית (v6.3.1). החולשה נוצרת כתוצאה מהזנת נתונים שגויים לטבלה של (NetFilter (nf_table אשר מקבלת באופן לא תקין עדכונים שגויים ולא מבצעת ולידציה לתוכם, דבר שמוביל לקריסה של NetFilter. כתוצאה מכך, הזיכרון אשר היה מוקצה נשאר חשוף לכתיבת קוד שרירותי על העמדה הפגיעה. מספר חוקרי אבטחת מידע אף ציינו כי הכינו קוד אשר מנצל את חולשה זו.
Microsoft שחררה עדכון אבטחה חודשי כחלק מ-Patch Tuesday הנותן מענה ל 38 חולשות
חברת Microsoft שיחררה את Patch Tuesday של חודש מרץ, המכיל עדכון ל-38 חולשות במוצרים שונים של החברה, כאשר שש חולשות דורגו ברמת חומרה קריטית, בהן שלוש חולשות Zero-day. להלן פירוט של כלל החולושת: 8 חולשות של הסלמת הרשאות; 4 חולשות של אבטחה עוקפת פגיעויות; 12 חולשות של ביצוע קוד מרחוק;8 חולשות של גילוי מידע; 5 חולשות של מניעת שירות;ו- 1 חולשת Spoofing.
צוות קונפידס ממליץ למשתמשי מוצרי Microsoft לבצע עדכון גרסה לגרסה האחרונה כפי שפורסמה בהקדם האפשרי.
התקפות ואיומים
באמצע אפריל 2023 החלו תוקפים לנצל חולשה חדשה בשם PaperCut במערכת "PaperCut NG", מערכת לניהול הדפסות (שמאוחר יותר ניתן לה המזהה CVE-2023-27350, CVSS:9.8. מספר ארגוני אבטחה פרסמו בעקבות הזיהויים של ניצול החולשה מספר מזהים וחוקים לזיהוי של ניצול החולשה על ידי מוצרי הגנה שונים. ב-4 במאי 2023 פרסמה חברת VulnCheck הוכחת היתכנות לניצול החולשה אשר עוקפת את רוב החוקים לזיהוי שפורסמו על ידי חברות אבטחת מידע מובילות אשר סיקרו את החולשה. מטרת הדו״ח ב-VulnCheck הוא להראות שחוקים לזיהוי המתמקדים על הוכחת היתכנות ספציפית אינם יעילים, וכי כל תוקף שרוצה להשתמש בקוד היתכנות מסוים יכול לבצע מספר שינויים - על מנת להמשיך לנצל חולשה זו לאחר פרסומה באינטרנט. יש לציין שתוקפים מקבוצות תקיפה מוכרות כמו LockBit ו-Clop כבר עשו שימוש בקוד שפורסם על ידי חברת VulnCheck , על מנת לבצע מספר תקיפות.
נוזקת Cactus מנצלת חולשות VPN ומשתמשת בהצפנה מיוחדת כדי להימנע מזיהוי
חוקרים מחברת Kroll דיווחו על כופרה בשם Cactus, שנמצאה פעילה במרץ 2023 ומתמקדת בחברות מסחריות גדולות. החוקרים משוכנעים שנקודת הכניסה לקורבנות היא באמצעות ניצול חולשות ידועות בהתקני VPN של Fortinet. לאחר ש-Cactus מצליחה לחדור לרשת הקורבן, מתבצע שימוש בתוכנת סריקת הרשת "netscan" של SoftPerfect וגם בתוכנת סריקה הפועל בעזרת PowerShell כדי למפות את הרשת ולחפש אחר יעדים רגישים. ברגע שהיעדים הרצויים נבחרו, מתבצע שימוש ב-Rclone המשמש להעברת קבצים ישירות לאחסון בענן כדי לייצא את המידע הרצוי לשרת התוקף. אמנם אין עוד דיווחים רשמיים מחברות שהותקפו על ידי Cactus ולא נמצא עוד אתר הדלפות שקשור לנוזקה, אך לפי דיווחים התוקפים מבקשים כופר של מיליוני דולרים ומאיימים לפרסם את הקבצים שנגנבו במידה והכופר לא ישולם.
סייבר בעולם
PentestGPT כלי אוטומטי חדש לביצוע בדיקות חדירות ופועל על בסיס ChatGPT
פורסם כלי חדש לביצוע בדיקות חדירות בשם PentestGPT הבנוי על בסיס ChatGPT מנוע ה Ai הפופולרי, PentestGPT פורסם באתר האינטרנט GitHub על ידי סטודנט באוניברסיטת Nanyang בסינגפור. PentestGPT מאפשר לבודקי חדירות לבצע אוטומציה של הבדיקות שהם מבצעים. על פי מפרסם התוכנה PentestGPT פועל בצורה אינטראקטיבית (צורה של שאלות ותשובות בדומה ל ChatGPT) ויכול להכווין בודקי חדירות בהתקדמות כללית בבדיקות ופעולות ספציפיות. בנוסף PentestGPT יכול לפתור חידות HackTheBox (אתר אינטרנטי המלמד בדיקות חדירות ונותן אתגרים לפיצוח) ברמת פשוטה ובינונית. על מנת לבצע שימוש בכלי יש לרכוש מנוי ChatGPT plus מאחר ומסתמך על ChatGPT בגירסא 4 שלו ונכון לעכשיו לא קיים מודל API חינמי לגירסא זו.
Western Digital מאשרת כי נגנב מידע של לקוחות בפריצה בחודש מרץ
חברת Western Digital שנפרצה במרץ האחרון שלחה מייל ללקוחות כי נתונים אישיים שנשמרו במסד נתונים שנפרץ נגנבו במהלך הפריצה. המידע שדלף כולל שמות לקוחות, כתובות חיוב ומשלוח, כתובות מייל מספרי טלפון ומספרי כרטיסי אשראי חלקיים. כמו כן, החברה הזהירה את הלקוחות ממתקפות אשר מתחזות לחברה ומשתמשות בנתונים הגנובים כדי לאסוף מידע אישי נוסף מלקוחות. בנוסף, החברה פרסמה הודעה לתקשורת בו היא אומרת כי כרגע חנות האינטרנט של Western Digital במצב לא מקוון, והיא תחזור לפעילות ב-15 למאי 2023. TechCrunch דיברו עם קבוצת האקרים שטוענים כי הם פרצו לחברת Western Digital וכי יש להם 10TB של מידע גנוב. ההאקרים דורשים סכום מינימלי של 8 ספרות כדי לא להדליף את המידע (ראו ״הסייבר 04.05.23״).
אינטל חוקרת דליפת מידע רגיש לאחר המתקפה על MSI
חברת אינטל חוקרת אירוע הדלפה של מפתחות פרטיים המשומשים על ידי רכיב האבטחה בתהליך עליית המעבד הנקרא Intel boot guard. תפקידו של המעבד הוא למנוע טעינה של עדכונים זדוניים על ידי תהליך וידוא חתימות מפיצי עדכונים. לאחר שתוקפים פרצו במרץ ל-MSI וגנבו 1.5TB של מידע הכולל עדכונים, קוד מקור ובסיסי נתונים. חלק מהקוד מקור שנגנב כולל שכפול חתימה של מפתחות פרטיים עבור 57 מוצרי MSI ומפתחות פרטיים של Intel boot guard עבור 116 מוצרי MSI. הדלפה זו עלולה לפגוע ביכולת של אינטל למנוע התקנות של עדכוני UEFI זדוניים עבור חלק ממוצרי MSI, וייתכן ש-Intel boot guard לא יהיה יעיל במקרה הזה עבור סדרות המעברים הבאים: 11th Tiger Lake, 12th Adler Lake, and 13th Raptor Lake.
ה - FBI סגר 13 דומיינים הקשורים לשירות DDoS-for-hire
משרד המשפטים האמריקאי הודיע על תפיסה וסגירה של 13 דומיינים שקשורים לפלטפורמות שמציעים שירותי DDoS-for-hire. תפיסה זו היא חלק ממאמץ משותף של סוכנויות אכיפת חוק בינלאומיות במבצע שנקרא ״ Operation PowerOFF״ שמטרתו לשבש את הפעילות של פלטפורמות אלו שמאפשרות לכל אדם להוציא מתקפת DDoS כנגד כל מטרה בתמורה לתשלום. תפיסה זו היא חלק מהגל השלישי של פעולות של רשויות האכיפה בארה"ב כנגד שירותי DDoS-for-hire. בהודעה שהועברה על ידי ה FBI הודגש כי 10 מהדומיינים שנתפסו הם ״גלגול נשמות״ של דומיינים שנתפסו בפעולה קודמת שהתרחשה בדצמבר 2022. על פי התצהיר שפורסם, ה- FBI ביצע בדיקות על שירותי ה DDoS-for-hire שקדמו לפעולה של התפיסה שלהם וכללו הרשמה לאתרים המציעים שירותים אלו והוצאה של מתקפת DDoS על מחשב בשליטת ה FBI. זאת, על מנת לאמת כי השירות המוצע אכן פעיל ומספק את המצויין באתר (DDoS-for-hire) וגם כדי להעריך את מידת הנזק שיכול להיגרם לקורבנות על ידיו.
ארה״ב: מתקפת כופרה של האקרים על מערכת חירום של אוניברסיטה בוירג'יניה
האקרים חטפו השבוע את מערכת התראות החירום של אוניברסיטת Bluefield שבוירג'יניה והשתמשו בה כדי לאיים על סטודנטים וחברי סגל. קבוצת הכופר עשתה שימוש במערכת החירום של האוניברסיטה כדי לשלוח הודעות ולאיים שאם לא יתקבלו דמי הכופר, קבצי האוניברסיטה שבידיהם (כולל מידע אישי של הסטודנטים) יודלפו לאינטרנט. אוניברסיטת Bluefield הצטרפה לרשימה הארוכה והצומחת של מוסדות אקדמיים בארה"ב שנפגעו ממתקפות כופרה. "בדרך כלל אנחנו לא מקבלים התראות אלא אם כן מדובר על משהו שקורה בקמפוס כמו תרגילי יריות או שיעורים שבוטלו בגלל מזג האוויר", אמרה מיכאלה רוז, סטודנטית שקיבלה את הודעות ההאקרים, ל-NBC News בשיחה בפייסבוק. "כולנו די לחוצים ומודאגים מהמצב בגלל שאנחנו לא יודעים בדיוק את כל הפרטים ומה באמת קורה", אמרה. כדי להגביר את מנופי הלחץ ולהעלות את הסיכויים לקבל תשלום, קבוצות כופרה רבות הסלימו את צעדיהן ונעשו תוקפניות יותר כלפי מוסדות על ידי פנייה ישירה לאנשים שפרטיהם נגנבו. לפחות במקרה אחד, האקרים שתקפו מכללת טנסי שלחו אימייל ישירות לסטודנטים, ואיימו עליהם אם בית הספר שלהם לא ישלם. באחר, האקרים שניגשו לקבצים רגישים ביותר של תלמידי בית ספר במיניאפוליס פרסמו את מעלליהם בפייסבוק ובטוויטר. מתקפות כופר הפכו לבעיה לאומית כמעט מתמדת בארה"ב, כמו במדינות אחרות: מכוונת לבתי ספר, חברות וגופים ממשלתיים ברחבי ארה"ב. מעבר לכך, נראה שההאקרים של אוניברסיטת בלופילד הם הראשונים להשתמש במערכת התראה לשעת חירום כדי ללחוץ על הארגון המטורגט, אמר ברט קאלו, אנליסט בחברת אבטחת הסייבר Emsisoft. מטעם האוניברסיטה נמסר כי זהות התוקף טרם נחשפה ושהם מסתייעים במומחי הגנת סייבר כדי לקבוע את אופי והיקף האירוע ובמאמצי הסקירה של האירוע והשחזור של המערכות.
Google הוציאה תכונות חדשות לשיפור אבטחת המידע של לקוחותיה
חברת Google משחררת תוכנות חדשות ועדכונים לשיפור אבטחת המידע של לקוחותיה. חלק מעדכונים שאמורים לצאת במהלך השבועות הקרובים, יאפשרו למשתמשי Gmail בארצות הברית לבדוק האם כתובת המייל שלהם דלפה ל-Dark web; ואפשרות זאת תינתן גם לכמה אזורים גאוגרפיים מחוץ לארצות הברית. עוד הוספה של Google היא דרך טכנולוגיית AI כדי להרתיע על אתרים וקבצים הנחשבים כזדוניים, כדי להגדיל את אבטחת הדפדפן.
סייבר בגופי בריאות
דרום-קוריאה: האקרים צפון-קוריאנים גנבו נתונים של 830 אלף מטופלים מבית החולים המוביל בסיאול
משטרת דרום-קוריאה הודיעה שהאקרים צפון-קוריאנים הצליחו להשיג גישה לרשומות הרפואיות האישיות של מאות אלפי חולים בבית החולים האוניברסיטאי הלאומי בסיאול לפני כשנתיים. המתקפה היא אחת ממתקפות הסייבר הגדולות הידועות על תשתית אזרחית בדרום-קוריאה. החקירה העלתה כי קבוצת התקיפה פרצה לרשת של SNUH בין מאי ליוני 2021 באמצעות שבעה שרתי מחשב מקומיים ומחו"ל, על פי הודעה לעיתונות של סוכנות המשטרה הלאומית של קוריאה (KNPA). המתקפה על שרתי SNUH הביאה לדלף מידע אישי של כ-830,000 אנשים, כולל 810,000 חולים ו-17,000 עובדים לשעבר ובהווה, כך לפי הודעה לעיתונות. משטרת דרום-קוריאה ייחסה את המתקפה להאקרים צפון-קוריאנים בהתבסס על כתובות ה-IP של מקורות המתקפה, טכניקות חדירה ושימוש באוצר המילים של צפון קוריאה בהתקפה. כלי תקשורת בדרום-קוריאה ציטטו את המשטרה שאומרת כי ההאקרים השתמשו בביטוי צפון-קוריאני שמשמעותו "אל תתגרה בי" (“Don’t provoke me”) ובתו מיוחד כסיסמה, למרות שבשימוש דרום-קוריאני הביטוי מתורגם ל"אל תיפגע" (“Don’t get hurt”). כלי תקשורת מקומיים ייחסו את המתקפה לקבוצת תקיפה הצפון-קוריאנית הידועה לשמצה Kimsuky, למרות שההודעה לעיתונות של המשטרה עדיין לא ייחסה את המתקפה לקבוצת תקיפה ספציפית. המתקפה ממשיכה את ההתמקדות של קבוצות תקיפה צפון-קוריאניות בתשתיות קריטיות כמו בתי חולים. ההודעה לעיתונות של משטרת דרום-קוריאה הזהירה כי האקרים צפון קוריאנים ינסו ככל הנראה לפלוש לרשתות מידע ותקשורת גם במגזרים אחרים, וקראו לחזק את מערכות האבטחה ואת נהלי הגנת הסייבר תוך הקפדה על התקנת עדכוני אבטחה, שליטה בגישה למערכות והצפנת נתונים חשובים כולל מידע אישי. ההמתנה של שנתיים בין הפריצות להודעת המשטרה על תוצאות החקירה מעלה גם שאלות לגבי יכולותיה של דרום-קוריאה להגיב במהירות למתקפות סייבר מצפון-קוריאה, למרות שהמדינה ממלאת תפקיד משמעותי במאמצים העולמיים לבלום את פשעי הסייבר.
סידני : המרכז לטיפולי סרטן נתון למתקפת סייבר
New South Wales Health, משרד הבריאות של ניו סאות׳ ויילס (אוסטרליה), חוקר כעת מתקפת סייבר אפשרית על המרכז המוביל לטיפולי סרטן בעיר הבירה סידני. המרכז מספק תוכניות מחקר, מניעה, אבחון, טיפול ושיקום עבור חולי סרטן ומשפחותיהם. משרד הבריאות אישר כי הוזהר בנוגע לאיום כופר פוטנציאלי על מרכז הסרטן בקמפוס הבריאות Westmead. ממשרד הבריאות נמסר כי נמשכת חקירת האירוע, כאשר בשלב זה לא נראה אין השפעה על מסד הנתונים של הארגון ומסד הנתונים של מרכז הסרטן. עוד מסרו כי בטיחות והגנה על מרכזי הבריאות היא בראש סדר העדיפויות ומתבצע פיקוח שוטף. משרד הבריאות עובד עם רשויות המדינה והממשל הפדרלי של אוסטרליה כדי להבטיח כי אירוע הסייבר יזוהה, ימנע ותתקבל תגובה הולמת במידת הצורך. מוקדם יותר, דיווח תאגיד השידור האוסטרלי (Australian Broadcasting Corporation) כי קבוצת האקרים הידועה בשם Medusa טוענת כי היא עומדת מאחורי מתקפת הסייבר על המרכז. דפוס פעולתה כולל פריסה של תוכנת כופר כדי לגנוב נתונים מקורבנות ובהמשך הצפנתם ואיום לפרסומם, אלא אם ישולם תשלום הכופר.
(מקור: עמוד הטוויטר של חברת הסייבר FalconFeedsio)
ארה״ב: שיבושים וביטולי ניתוחים ברשת מרפאות במדינת טנסי, בעקבות מתקפת סייבר שאירעה לפני שבועיים
מתקפת הסייבר על רשת המרפאות Murfreesboro Medical Clinic & SurgiCenter (להלן: MMC) בטנסי החלה ב-22 באפריל והשפעותיה מורגשות אף שחלפו למעלה משבועיים. המתקפה כללה ניסיון לגנוב נתונים ואילצה את רשת המרפאות לנתק את מערכות ה-IT שלה למצב לא מקוון, וגם לבטל את רוב שירותי הטיפול. MMC סגרה בתחילה את כל הפעילות, אך החל מה-3 במאי, נפתחה מחדש באופן מוגבל כאשר הודיעה על חידוש הניתוחים ופתיחה מחודשת של המוקד הטלפוני והמרפאות לרפואת ילדים ופנימית. לעומת זאת, שירותי מעבדה ורדיולוגיה עדיין לא זמינים ו-4 סניפים מתוך ה-7 של MMC עדיין סגורים. המרפאה עובדת עם מומחי אבטחת IT ורשויות אכיפת החוק לצורך חקירה של האירוע והתאוששות. ברשת המרפאות עובדים 130 ספקי שירותי בריאות ו-900 עובדים.
(תמונה מתוך האתר של Murfreesboro Medical Clinic & SurgiCenter)
ארה״ב: חברת התוכנה NextGen Healthcare מודיעה כי תוקפים השיגו גישה למידע של מיליון מטופלים
חברת התוכנה האמריקאית NextGen Healthcare, המפתחת מערכת לניהול רשומות רפואיות עבור מאות מבתי החולים והמרפאות הגדולים ביותר בארה"ב, בריטניה, הודו וקנדה הודתה כי האקרים הצליחו לחדור למערכותיה ולגנוב מידע רגיש של יותר ממיליון מטופלים. המידע שנגנב כולל שמות חולים, תאריכי לידה, כתובות ומספרי ביטוח לאומי. החברה הדגישה בהודעה כי לא הייתה גישה למידע רפואי או רשומות רפואיות. מחקירת האירוע עולה כי להאקרים הייתה גישה למערכות בין ה-29 במרץ ל-14 באפריל 2023, כאשר התוקפים השיגו גישה למערכת המשרד שלהם באמצעות אמצעי זיהוי של לקוחות שנגנבו ממקור אחר. החברה יצרה קשר עם כל האנשים שהושפעו מהמתקפה והציעה להם שירותי זיהוי הונאה בחינם למשך 24 חודשים.
ארה״ב: פרצת מידע בבית חולים חשפה מידע אישי של 25 אלף מטופלים
ב-8 במאי 2023, פרסמה ספקית שירותי הבריאות ASAS (להלן: ״החברה״) שבבסיסה בטקסס הודעה על הפרת מידע לתובע הכללי של מיין לאחר שנקבע כי אירוע אבטחה מוקדם יותר השנה סיכן את המידע הסודי של למעלה מ-25,000 אנשים. בהתבסס על הפרסום הרשמי של החברה, ב-9 במרץ 2023, זוהתה פעילות חשודה במערכת המחשוב שלה מצד גורם לא מורשה. התקרית הביאה לכך שגורם לא מורשה השיג גישה לשמות הצרכנים, תאריכי לידה, מספרי תעודת זהות, כתובות, מספרי רישיון נהיגה, מידע בריאותי מוגן ופרטי חשבון פיננסיים. לאחר שהחברה אישרה שנתוני צרכנים דלפו, היא שלחה ב-8 במאי 2023 מכתבי התראה על דליפת המידע לכל האנשים שהושפעו מהתקרית.
סייבר בספנות ולוגיסטיקה
שימוש ב ChatGPT למתקפות סייבר על כלי שייט
חלק משמעותי של מתקפות הסייבר כנגד כלי שייט מתבצע על ידי שיבוש אותות הניווט שלהם. יחד עם זאת, כלי שייט ממשיכים להיות מאוימים על ידי מגוון רחב של מתקפות. למשל, כ-1,000 כלי שייט הושפעו ממתקפה שהתרחשה לאחרונה על מערכת ה- ShipManager של DNV. במתקפה זו, הספינות הצליחו להמשיך בפעילות באופן לא מקוון, אך המתקפה הדגימה את הפוטנציאל לנזקים שעלולים לפגוע בכלי שייט בשעת מתקפה. תוקפים מנצלים תקיפות לשם רווח כספי, אפילו באופן עקיף. כך, למשל, בשעת החסימה של תעלת סואץ על ידי ספינת מכולות בשנת 2021 (אירוע שפגע בשווקי הסחר הפיננסיים העולמיים), ההאקרים גילו שהם יכולים לנצל את השינויים בשוק המניות בעקבות כלי שייט מקורקע לצורך רווח כספי. דרך נוספת לתקוף כלי שייט היא באמצעות מבצעי פישינג, שיטה המבוססת על הנדסה חברתית המעודדת אנשי צוות בספינה להיכנס לקישורים לא מאובטחים ולהוריד תוכן מזיק. מיילים מסוג זה מהווים מפתח עבור התקפות סייבר שונות, המסתמכות על הצבת תוכנות זדוניות על המחשבים המטורגטים. כתיבת הודעות דוא"ל אלו הייתה בדרך כלל מתבצעת באופן ידני על ידי התוקפים. עם זאת, כלי בינה מלאכותית ששוחרר לאחרונה משנים את התמונה זאת. ChatGPT הוא כלי חדשני שפותח על ידי OpenAI. יש לו מחסומים שנועדו למנוע ממנו ליצור חומר זדוני, אך התוקפים מצאו דרך לעקוף זאת ולגרום לכלי לייצר הודעות פישינג משכנעות. הכלי מייצר מיילים במראה אינדיבידואלי ואותנטי, ומסייע לתוקפים לטשטש כל הבדל בין מיילים לגיטימיים וזדוניים. בנוסף, הכלי יכול ליצור דוא"ל פישינג משכנע ומניפולטיבי מבחינה רגשית, על פי הנחיות שסופקו על ידי המשתמש. ממחקר ששוחרר ב- לאפריל על ידי חברת Darktrace עולה כ כי קיימת עלייה של 135% במתקפות הנדסה חברתית חדשניות הכוללות נפח טקסט נרחב, המורכב יותר מבחינה לשונית, עליה בסימני פיסוק בהודעות וכן ירידה בכמות הקבצים המצורפים והלינקים. הדאגה מתופעה זו הביאה את Europol (סוכנות המודיעין הפלילי של האיחוד האירופי) וה-NCSC (סוכנות הסייבר הממשלתית בבריטניה) לפרסם אזהרות מפני שימוש ב ChatGPT למטרות זדונית. מתקפות אלה על התעשייה הימית עלולות להיות משמעותיות במיוחד, בשל הרווחים הגדולים שהתוקפים מסוגלים להשיג וגם הפגיעה הפוטנציאלית בסחר הבינלאומי. ספנות היא תעשייה גלובלית, ולשיבושים יש השלכות כלכליות רבות. כתוצאה מכך נדרשים אמצעי אבטחה מוגברים כמו העלאת מודעות לאיומים הנשקפים לתעשייה משימוש זדוני של ChatGPT ודומיו.
דו״ח שנתי של בקרת מתדינת הנמל בטוקיו: מתקפת סייבר גרמה לקשיים חמורים
הדו״ח השנתי של בקרת מדינת הנמל של טוקיו (להלן: Tokyo MOU PSC) לשנת 2022 מצביע כך שמתקפת הסייבר על הנמל גרמה לבעיות בפלטפורמת בקרת הנמל (Port State Control - PSC) שלה במשך מספר שבועות, ושיבשה את הפעילות השוטפת של הנמל. בדו״ח רשום כי מסד הנתונים של Tokyo MOU PSC, שנקרא ״APCIS״, הפסיק לעבוד ביולי 2022 מסיבה לא צפויה שהיא ככל הנראה מתקפת סייבר. הכשל גרם לאי-זמינות המערכת כולה למשך מספר שבועות ובמשך מספר חודשים נעשו מאמצים לשחזר את הנתונים המלאים. שיבוש הפעילות של מסד הנתונים גרם לקשיים בקרב עובדי הנמל והרשויות שכן לא היה ניתן לבצע בחירה מדויקת ואפקטיבית של ספינות לבדיקה ולהעביר נתוני בדיקה ביעילות ובזמן. המתקפה השפיעה לרעה גם על הפעילות של גורמים נוספים, כמו עובדי תעשייה שצופים ומנתרים בקביעות את נתוני Tokyo MOU PSC. המסקנות מהתקרית לפי Tokyo MOU PSC, הם לגלות ערנות לסיכוני סייבר ולשפר את ההגנות הקיימות כדי למנוע הישנות של האירוע.
בקרת מדינת נמל (PSC) בטוקיו הוא אחד מארגוני בקרת מדינת הנמל הפעילים ביותר בעולם. הארגון מורכב מ-21 רשויות חברות באזור אסיה-פסיפיק. המטרה העיקרית של הארגון היא להקים משטר פיקוח יעיל של מדינות נמל באזור אסיה-האוקיינוס השקט באמצעות שיתוף פעולה של החברים בו, כדי לקדם את הבטיחות הימית ולהגן על הספינות.
כזכור, בנקודת זמן סמוכה למועד מתקפת הסייבר על נמל טוקיו גם רשות הנמל של לונדון וכן נמל לוס אנג'לס דיווחו על מתקפות סייבר.
סייבר בישראל
בוצעה מתקפת סייבר על אתרי האינטרנט של הג'יהאד האיסלאמי
על פי הדיווח ב 9.5 בוצעה מתקפה כנגד אתרי האינטרנט של הג'יהאד האיסלאמי, במתקפה זו הוכנסו לאתרים תמונה בה מופיעים בכירי הארגון שחוסלו יחד עם הכיתוב ״מי הבא בתור?״ בערבית. נראה כי מתקפה זו בוצעה כהרתעה לגיאהד האיסלאמי על אפשרות של חיסול בכירים נוספים. האתרים שנתקפו במהלך המתקפה הזו הם : Jehad.ps, Kanannews.net, Paltoday.ps מבדיקה שבוצעה על ידי צוות קונפידס נראה כי אתרים אלו כבר חזרו לפעילות רגילה והתמונה שהוכנסה אליהם הוסרה.
(התמונה שהוכנסה לאתרי הג'יהאד האיסלאמי מקור: rotter.net)
קבוצת ההאקרים Anonymous Sudan מזהירים מפני תקיפות נוספות בתגובה למבצע ״מגן וחץ״
קבוצת ההאקרים Anonymous Sudan שביצעה תקיפות לאחרונה כנגד אתרי אינטרנט ושירותים בישראל (ראה דו״ח הסייבר 27.04, דו״ח הסייבר 04.05) פירסמה סרטון אזהרה בו הם מציינים כי התכוננו במשך זמן רב והם מוכנים להוציא את המתקפות הכי חזקות וה״עונש״ שלהם כנגד ישראל וזאת בעקבות מבצע ״מגן וחץ״, בנוסף מציינים כי יתקפו את כל התשתיות ״A to Z" וכי ישראל תחווה את מתקפת הסייבר הכי חזקה בהיסטוריה שלה. קבוצת התקיפה גם מציינים כי הם תומכים בעזה באופן מלא וכי עזה היא ״קו אדום״, בהמשך קבוצת התקיפה אומרת שהצליחו לבצע תקיפה על מערכות כיפת ברזל ושיבושם אך נכון לפרסום כתבה זו לא פורסמה הודעה רשמית בנושא זה. בהמשך קבוצת התקיפה קוראת לתחילת מבצע תקיפה סייבר כנגד תשתיות וארגונים בישראל, בהמשך הדיווח ניתן לראות כי פרסמו שהצליחו לשבש שירותים של אפליקציית צבע אדום ובנוסף פרסמו כי קבוצת תקיפה טורקית ביצעה תקיפה מוצלחת על כ 100 אתרים ישראלים. בנוסף, על פי דיווחים בקבוצת הטלגרם של קבוצת התקיפה נראה כי ביצעה תקיפות DDoS על האתר israel21c.org מגזין אינטרנטי המתמקד בטכנולוגיה ופריצות דרך מדעיות ישראליות בנוסף פרסמו כי ביצעו תקיפה מוצלחת על אתר גלי צה״ל והשב״כ.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, שלומית רודין, רוני עזורי, יובל אוחנה, בת-אל גטנך, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ואורי יוסף.