דו״ח סייבר שבועי
עדכון שבועי 11.08.2022
עיקרי הדברים
-
דנמרק: רשת 7Eleven סוגרת את החנויות במדינה בעקבות מתקפת סייבר נרחבת - ״עד להודעה חדשה״.
-
מתקפת סייבר על מוקד החירום הבריטי 111 גורמת לעיכובים במערך שירותי הבריאות במדינה.
-
חברת Meta הסירה רשת פרופילים בפייסבוק שהופעלה על ידי משרד יח״צ ישראלי.
-
משרד האוצר האמריקאי הטיל סנקציות על המטבע הווירטואלי Tornado Cash, ששימש להלבנת דמי כופר ששולמו במתקפות כופרה.
-
אנו ממליצים לעדכן את המוצרים הבאים: מוצרי מיקרוסופט (Zero-day - קריטי); מערכת הפעלה PAN-OS של Palo Alto (קריטי); שירות המייל במערכות UNIX (קריטי); מוצרי Adobe (קריטי); נתבי DrayTek (קריטי); מוצרי ManageEngine (קריטי); מוצרי F5 (גבוה); מוצרי VMware vRealize Operations (בינוני).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכוני אבטחה למוצרי F5 נותנים מענה ל-21 חולשות, חלקן ברמת חומרה גבוהה
עדכון אבטחה לקושחת נתבי DrayTek נותן מענה לחולשה קריטית
Slack מודיעה על איפוס סיסמאות משתמשים שה-Hash שלהן נחשף עקב באג
עדכון אבטחה לשלושה ממוצרי ManageEngine נותן מענה לחולשה קריטית
עדכוני אבטחה ל-VMware vRealize Operations נותנים מענה ל-4 חולשות ברמת חומרה בינונית
עדכון האבטחה החודשי של מיקרוסופט נותן מענה ל-121 חולשות, בהן 17 חולשות קריטיות ו-2 חולשות Zero-day
עדכוני אבטחה למוצרי Adobe נותנים מענה ל-15 חולשות קריטיות
נמצאה חולשה קריטית ב-PAN-OS, מערכת ניהול ה-Firewall של Palo Alto; טרם פורסם עדכון אבטחה
עדכוני אבטחה נותנים מענה למספר חולשות קריטיות בשירות מייל במערכות UNIX
התקפות ואיומים
תוקפים מנצלים חולשה באתרי American Express ו-Snapchat לביצוע מתקפות פישינג
Meta נוקטת פעולות נגד שתי קבוצות ריגול המשתמשות בפייסבוק להפצת נוזקות
נכשל ניסיון לגניבת מטבעות קריפטוגרפיים מפלטפורמת deBridge על ידי Lazarus הצפון הקוריאנית
חוקרי Kaspersky מצאו קבוצת APT המתמקדת בריגול במגזרי התעשייה הצבאית ומוסדות הציבור ברוסיה, בבלארוס ובאוקראינה
השבוע בכופרה
אלבניה: חשד לדלף מידע בעקבות מתקפת כופרה איראנית על אתרים ממשלתיים
ה-IST מנחה ארגונים קטנים עד בינוניים כיצד לפעול על מנת להפחית את הסיכון ליפול קורבן למתקפות כופרה
משפחה חדשה של כופרות מתמקדת בסקטורים שונים בקוריאה הדרומית, במתקפות המתאפיינות בסחיטה כפולה
דנמרק: רשת 7Eleven סוגרת את החנויות במדינה בעקבות מתקפת סייבר נרחבת - ״עד להודעה חדשה״
בתוך שבועיים: 3 קבוצות כופרה שונות ניצלו את אותה חולשה לביצוע מתקפות כופרה נגד ספק כלי רכב
סייבר בעולם
טוויטר מזהירה מפני ניצול של חולשה שכבר נסגרה אך עדיין רלוונטית לחלק מלקוחותיה
ה-CISA מוסיפה 3 חולשות ל״קטלוג החולשות הידועות המנוצלות״
Twilio: נפרצנו בתחילת החודש באמצעות שיטות של הנדסה חברתית
משרד האוצר האמריקאי הטיל סנקציות על המטבע הווירטואלי Tornado Cash, ששימש להלבנת דמי כופר ששולמו במתקפות כופרה
ארה״ב: התגלתה חולשה במערכת ההתראה הציבורית הלאומית EAS
עובד לשעבר בחברת טוויטר הורשע בהעברת מידע אישי של משתמשיה לסעודיה בתמורה לשוחד מיועץ בכיר של יורש העצר הסעודי
מתקפת סייבר על מוקד החירום הבריטי 111 גורמת לעיכובים ולמניעת שירות במערך שירותי הבריאות במדינה
ה-CISA מפרסמת ערכת כלי אבטחה להגנה על הבחירות לנשיאות ארה״ב
חברת שירותי הענן AWS הודיעה על שיתוף פעולה עם מספר חברות, ליצירת מסגרת עבודה שתסייע לאבטחת מידע בארגונים
גרמניה: המשרד הפדרלי לאבטחת מידע מזהיר מפני שימוש במנעול דלת דיגיטלי מבוסס תקשורת אלחוטית מתוצרת ABUS
סייבר בישראל
הקבוצה הבנגלדשית ממשיכה לתקוף בישראל: אתר המכון הוולקני של משרד החקלאות חווה מתקפת מניעת שירות
סייבר ופרטיות - רגולציה ותקינה
האמנה נגד פשע מקוון: ועדת האו"ם שוב מתכנסת, גם ישראל משתתפת
TikTok תשלם 92 מיליון דולר במסגרת תובענה ייצוגית בגין איסוף מידע פרטי על משתמשים
המחלקה הפיננסית של ניו יורק מפרסמת טיוטה של חובות חדשות בתחום הגנת הסייבר שיחולו על ארגונים
כנסים
הציטוט השבועי
״אנו חושדים שנפלנו קורבן למתקפת סייבר. […] משמעות הדבר היא שאיננו יכולים להשתמש בקופות או לקבל תשלום. לכן, החנויות יישארו סגורות עד שיתברר היקף הנזק.״
7Eleven דנמרק בהודעה על מתקפת הסייבר בעמודי הפייסבוק והאינסטגרם שלה.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכוני אבטחה למוצרי F5 נותנים מענה ל-21 חולשות, חלקן ברמת חומרה גבוהה
העדכונים רלוונטיים למוצרים הבאים:
-
BIG-IP - כל המוצרים
-
BIG-IQ Centralized Management
-
NGINX Instance Manager
-
NGINX Ingress Controller
-
BIG-IQ Centralized Management
החולשות שנסגרות בעדכונים הן ברמות חומרה שונות, החמורה שבהן (CVE-2022-35243, CVSS 8.7) היא חולשת Authenticated iControl REST בעת הפעלת מצב Appliance, אשר נועד להגביל את הגישה הניהולית למערכת ה-BIG-IP כך שתתאים לזו של מכשיר רשת טיפוסי ולא לזו של מכשיר UNIX מרובה משתמשים. משתמש מאומת שהוקצה לו במוצר תפקיד אדמין יוכל לעקוף את הגבלות מצב ה-Appliance באמצעות נקודת קצה של iControl REST שאינה גלויה, כאשר ניצול מוצלח של החולשה עלול לאפשר לתוקף לעקוף את אבטחת המוצר ולבצע פעולות זדוניות.
צוות קונפידס ממליץ למשתמשים במוצרי F5 לעיין ברשימת העדכונים המלאה ולעדכן את מוצריהם בהתאם.
עדכון אבטחה לקושחת נתבי DrayTek נותן מענה לחולשה קריטית
החולשה (CVE-2022-32548, CVSS 10.0), שהתגלתה במוצר על ידי Trellix Threat Labs, היא מסוג Unauthenticated Remote Code Execution, או הרצה לא מאומתת של קוד מרחוק. במידה וממשק הניהול של הנתב חשוף לאינטרנט, החולשה ניתנת לניצול ללא מעורבות משתמש, ובמידה ואינו חשוף לאינטרנט - ניתן לנצלה מתוך הרשת הארגונית באמצעות משתמש מינימלי ומתקפת One-click. ניצול מוצלח של החולשה עלול להוביל לפגיעה מלאה במכשיר, לפריצה לרשת הארגונית ולגישה לא מורשית למשאבים פנימיים. עדכון הקושחה זמין להורדה באתר חברת DrayTek. העדכון לקושחה רלוונטי למוצרים ולגרסאות הבאים:
Vigor3910 גרסאות הקודמות ל-4.3.1.1
Vigor1000B גרסאות הקודמות ל-4.3.1.1
Vigor2962 Series גרסאות הקודמות ל-4.3.1.1
Vigor2927 Series גרסאות הקודמות ל-4.4.0
Vigor2927 LTE Series גרסאות הקודמות ל-4.4.0
Vigor2915 Series גרסאות הקודמות ל-4.3.3.2
Vigor2952/2952P גרסאות הקודמות ל-3.9.7.2
Vigor3220 Series גרסאות הקודמות ל-3.9.7.2
Vigor2926 Series גרסאות הקודמות ל-3.9.8.1
Vigor2926 LTE Series גרסאות הקודמות ל-3.9.8.1
Vigor2862 Series גרסאות הקודמות ל-3.9.8.1
Vigor2862 LTE Series גרסאות הקודמות ל-3.9.8.1
Vigor2620 LTE Series גרסאות הקודמות ל-3.9.8.1
VigorLTE 200n גרסאות הקודמות ל-3.9.8.1
Vigor2133 Series גרסאות הקודמות ל-3.9.6.4
Vigor2762 Series גרסאות הקודמות ל-3.9.6.4
Vigor167 גרסאות הקודמות ל-5.1.1
Vigor130 גרסאות הקודמות ל-3.8.5
VigorNIC 132 גרסאות הקודמות ל-3.8.5
Vigor165 גרסאות הקודמות ל-4.2.4
Vigor166 גרסאות הקודמות ל-4.2.4
Vigor2135 Series גרסאות הקודמות ל-4.4.2
Vigor2765 Series גרסאות הקודמות ל-4.4.2
Vigor2766 Series גרסאות הקודמות ל-4.4.2
Vigor2832 גרסאות הקודמות ל-3.9.6
Vigor2865 Series גרסאות הקודמות ל-4.4.0
Vigor2865 LTE Series גרסאות הקודמות ל-4.4.0
Vigor2866 Series גרסאות הקודמות ל-4.4.0
Vigor2866 LTE Series גרסאות הקודמות ל-4.4.0
צוות קונפידס ממליץ למשתמשי המוצר לעדכן את קושחתו בהקדם ולא לחשוף את ממשק הניהול שלו לרשת.
Slack מודיעה על איפוס סיסמאות משתמשים שה-Hash שלהן נחשף עקב באג
הבאג, שהשפיע על כ-0.5% ממשתמשי הפלטפורמה, בא לידי ביטוי כשמשתמש יוצר או מבטל קישור הזמנה משותף לסביבת עבודתו, כאשר הבאג גורם לשידור סיסמת המשתמש בגרסה מגובבת (Hash). דבר זה מאפשר הצטרפות לסביבת העבודה שלו, אך על מנת שגורם זדוני יוכל לנצל את החולשה, עליו לנטר באופן פעיל את תעבורת הרשת המוצפנת, המגיעה משרתי Slack. לאחר שב-17 ביולי פנה אל החברה החוקר שגילה את הבאג, היא מיהרה לתקנו ולחקור את השפעתו על לקוחותיה. ב-4 באוגוסט הודיעה Slack למשתמשיה שיצרו או ביטלו קישור הזמנה משותף בין ה-17.4.17 ל-17.7.22 כי איפסה את סיסמתם. לדברי Slack, צעד זה נעשה ליתר ביטחון, למרות שסביר להניח שאיש לא הצליח לשים את ידו על הסיסמאות בצורתן הגלויה, שבשל מורכבות הדבר. בתוך כך, החברה ממליצה ללקוחותיה ליישם אימות דו-שלבי (2FA), לבחור בסיסמאות ייחודיות, חזקות ומורכבות, להשתמש במנהל סיסמאות ולעדכן תדיר את תוכנת האנטי-וירוס בה הם משתמשים.
עדכון אבטחה לשלושה ממוצרי ManageEngine נותן מענה לחולשה קריטית
החולשה (CVE-2022-35405, CVSS 9.8) שנסגרה בעדכון הינה מסוג (Remote Code Execution (RCE ועלולה לאפשר לתוקף להריץ קוד מרחוק. העדכון רלוונטי למוצרים הבאים:
-
Password Manager Pro, גרסה 12100 ומוקדמות יותר - החולשה עלולה לאפשר הרצת קוד מרחוק ללא צורך בהזדהות במערכת.
-
PAM360, גרסה 5500 ומוקדמות יותר - החולשה עלולה לאפשר הרצת קוד מרחוק ללא צורך בהזדהות במערכת.
-
Access Manager Plus, גרסה 4303 - החולשה עלולה לאפשר הרצת קוד מרחוק לאחר הזדהות במערכת.
לחולשה כבר יש הוכחת היתכנות (POC), בדמותו של קוד כתוב שעלול לאפשר את תקיפת המוצרים.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות בהקדם האפשרי.
עדכוני אבטחה ל-VMware vRealize Operations נותנים מענה ל-4 חולשות ברמת חומרה בינונית
החולשות (CVE-2022-31672 ,CVE-2022-31673 ,CVE-2022-31674 ו-CVE-2022-31675) שנסגרו בעדכונים שפורסמו ב-9 באוגוסט קיבלו ציוני חומרה בטווח CVSS 5.6-7.2, והן עלולות לאפשר לתוקף שחדר למשתמש אדמין במכשיר פגיע להעלות הרשאות לדרגת Root, לגשת למידע רגיש המצוי על גבי המכשיר ולחשוף אותו, ולבצע פעולות אדמיניסטרטיביות, כגון יצירת משתמשי אדמין נוספים.
צוות קונפידס ממליץ לבעלי המוצר לעדכנו לגרסתו האחרונה - 8.6.4.
עדכון האבטחה החודשי של מיקרוסופט נותן מענה ל-121 חולשות, בהן 17 חולשות קריטיות ו-2 חולשות Zero-day
חולשת ה-Zero-day הראשונה (CVE-2022-30134, CVSS 7.6) שנסגרה בעדכון האבטחה של החברה לחודש אוגוסט עלולה לאפשר לתוקף לבצע מתקפת חשיפת מידע (Information Disclosure) בשרתי Microsoft Exchange ולקרוא מיילים של הקורבן. ממיקרוסופט נמסר כי טכניקה לניצול החולשה פורסמה בפומבי, אך לא נצפה ניצולה בפועל. חולשת ה-Zero-day השנייה שנסגרה (CVE-2022-34713, CVSS 7.8) עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE) בעמדות קצה המבוססות על מערכת ההפעלה Windows, תוך ניצול חולשה בכלי התמיכה והאבחון של המוצר. ממיקרוסופט נמסר כי טכניקה לניצול החולשה פורסמה בפומבי, וכי נצפה ניצולה בפועל על ידי תוקפים.
כמו כן, 17 חולשות קריטיות שנסגרו בפרוטוקולים SSTP ,PPP ו-SMB ובשירותי הענן Microsoft Azure ו-Microsoft Exchange עלולות לאפשר לתוקף להריץ קוד מרחוק (RCE) והעלות הרשאות במערכת.
צוות קונפידס ממליץ למשתמשים במוצרי מיקרוסופט להטמיע את העדכונים לאחר בדיקתם בסביבת ניסוי. לחברות אשר אינן יכולות לבצע את העדכונים, מומלץ לעקוב אחר ההוראות המופיעות בידיעון האבטחה שפרסמה מיקרוסופט.
עדכוני אבטחה למוצרי Adobe נותנים מענה ל-15 חולשות קריטיות
בעדכונים שפורסמו ב-9 באוגוסט נסגרו במוצרי החברה חולשות רבות, בהן החולשות הקריטיות הבאות:
4 חולשות במוצרים Adobe Commerce ו-Magento Open Source, העלולות לאפשר לתוקף להריץ קוד מרחוק (RCE) ולהעלות הרשאות. יש לעדכן את המוצרים לגרסאות 2.3.7-p4, 2.4.3-p3 ,2.4.4-p1 ,2.4.5.
3 חולשות במוצרים Acrobat DC ,Acrobat Reader DC ,Acrobat ו-Acrobat Reader, העלולות לאפשר לתוקף להריץ קוד מרחוק (RCE). יש לעדכן את המוצרים לגרסאות 22.002.20191, 20.005.30381, 17.012.30262.
2 חולשות במוצר Illustrator, העלולות לאפשר לתוקף להריץ קוד מרחוק (RCE). יש לעדכן את המוצר לגרסאות 26.4, 25.4.7.
5 חולשות במוצר Adobe FrameMaker, העלולות לאפשר לתוקף להריץ קוד מרחוק (RCE). יש לעדכן את המוצר לגרסאות v16.0.4 ,v15.0.8.
חולשה אחת במוצר Adobe Premiere Elements, העלולה לאפשר לתוקף להעלות הרשאות. יש לעדכן את המוצר ל-Version 20.0 20220702.Git.main.e4f8578.
צוות קונפידס ממליץ לבעלי מוצרי Adobe להטמיע את העדכונים לאחר בדיקתם בסביבת ניסוי. לחברות אשר אינן יכולות לבצע את העדכונים, מומלץ לעקוב אחר ההוראות המופיעות בידיעון האבטחה שפורסם על ידי Adobe.
נמצאה חולשה קריטית ב-PAN-OS, מערכת ניהול ה-Firewall של Palo Alto; טרם פורסם עדכון אבטחה
החולשה (CVE-2022-0028, CVSS 8.6) אותרה במנגנון סינון ה-URL בו הגדרה שגויה עלולה לאפשר לתוקף לבצע מתקפת (Reflected and Amplified TCP Denial-of-service (RDoS. במסגרת מתקפה זו, תוקף עלול גם להגביר את היקף התנועה הזדונית שהוא מבצע וגם ולהסתיר את מקור המתקפה. במקרה האמור, הדבר ייראה כאילו מקור המתקפה הוא ברשת של Palo Alto. לשם ניצול החולשה, על הגדרות ה-Firewall להכיל פרופיל URL Filtering עם לפחות קטגוריית חסימה אחת המשוייכת לכלל אבטחתי בעל אזור מקור עם ממשק רשת הפונה החוצה. במידה ותבוצע מתקפת מניעת שירות (DoS), זהות התוקף עשויה להיות מוסתרת וה-Firewall ייראה כמקור התקיפה. לדברי Palo Alto, הצפי לתיקון החולשה עבור ממשק הניהול PAN-OS הוא עד ל-15 באוגוסט, כאשר עבור סביבות הניהול Cloud NGFW ו-Prisma Access החולשה תוקנה ואין צורך בפעולה נוספת מצד הלקוח. עוד נמסר כי החולשה אינה משפיעה על המוצרים Panorama M-Series ו-Panorama Virtual Appliances. גרסאות ה-PAN-OS להן החולשה רלוונטית הן PAN-OS 8.1 ,PAN-OS 9.0 ,PAN-OS 9.1 ,PAN-OS 10.0 ,PAN-OS 10.1 ,PAN-OS 10.2. לדברי Palo Alto, החולשה יכולה להיות מנוצלת רק בהתקיים שלושת התנאים הבאים במערכת:
1. מדיניות האבטחה של ה-Firewall מאפשרת מעבר של תנועה מאזור A לאזור B וכוללת פרופיל URL Filtering בעל קטגוריית חסימה אחת לפחות.
2. הגדרת ה-Packet-Based Attack Protection אינה מאופשרת בפרופיל ה-Zone Protection של אזור A, והיא כוללת את שתי ההגדרות הבאות: (Packet-Based Attack Protection > TCP Drop > TCP Syn With Data) ו-(Packet-Based Attack Protection > TCP Drop > Strip TCP Options > TCP Fast Open)
3. הגדרת ה-Flood Protection through SYN Cookies אינה מאופשרת בפרופיל Zone Protection של אזור A עם סף הפעלה של 0 חיבורים.
בתוך כך, ניסיון לניצול החולשה בפועל נבלם על ידי Palo Alto. עד לתיקון החולשה, מומלץ לבצע את אחת מהפעולות הבאות, על מנת לנסות ולהתמגן מפני ניצולה: במידה ומוגדר URL Filtering עם מדיניות חסימה אחת או יותר ואזור מקור בעל ממשק רשת הפונה החוצה, יש לבטל הגדרה זו. נוסף על כך, יש להפעיל את אחת משתי ההגדרות הבאות: Packet-Based Attack Protection עם הגדרת TCP SYN with Data ו-TCP Fast Open או הפעלה של מדיניות Flood Protection.
עדכוני אבטחה נותנים מענה למספר חולשות קריטיות בשירות מייל במערכות UNIX
המרכז לאבטחת אינטרנט (CIS) מדווח כי התגלו חולשות רבות בשירות Exim, המשמש להקמת שרתי מייל במערכות UNIX השונות, החמורה שבהן (CVE-2022-37452) עלולה לאפשר לתוקף להריץ פקודות מרחוק (RCE) כמשתמש Root (ההרשאות הגבוהות ביותר במערכות מבוססות Linux), בשם שרת המייל. המרכז מזהיר שפורסמו ב-GitHub שתי הוכחות היתכנות (POC) המכילות קוד המנצל את החולשה לביצוע הפעולות האמורות, והוא ממליץ, בעיקר לסקטור הממשלתי ולעסקים המשתמשים בשירות, לעדכנו לגרסאות 4.95 ו-4.96. עוד ממליץ ה-CIS להפעיל על האפליקציות המותקנות על שרתים בקרה בתצורת Whitelist (הגדרת ההתקנות המותרות, שצורה שאינה מתירה התקנות שאינן מאושרות) ולהחיל בקרה על סקריפטים שרצים על השרת, גם כן בתצורת Whitelist.
התקפות ואיומים
תוקפים מנצלים חולשה באתרי American Express ו-Snapchat לביצוע מתקפות פישינג
על פי חברת אבטחת המייל INKY, תוקפים ניצלו חולשת Open Redirect המאפשרת שליטה בהפניות לאתרים אחרים מתוך אתר מסוים, ואשר נוצלה על ידי תוקפים שהשתמשו בדומיינים המהימנים American Express ו-Snapchat כדפי נחיתה זמניים. מכיוון שאתרים אלה אינם מעוררים חשד, מדובר בפעולה שמפשטת מתקפות. לדברי INKY, שם הדומיין המופיע בקישור הראשון, שעבר מניפולציות, הוא זה של האתר המקורי, וממנו מועבר הקורבן לאתר הדדוני, בו הוא מתבקש להזין פרטים אישיים, כגון שם משתמש וסיסמה. פרטים אלה נשלחים אל התוקף ומשמשים למתקפות פישינג, הכוללות התחזות למיילים לגיטימיים מחברות כמו מיקרוסופט, DocuSign ו-FedEx, בהן מופנים הקורבנות לדפי נחיתה שנועדו לאיסוף אישורים של מיקרוסופט, כביכול. במקרים מסוימים, התוקפים אף השתמשו בחשבונות מייל לגיטימיים אליהם הצליחו לפרוץ לשם הגברת מהימנותם בעיניי הקורבן. מפרטי המתקפות שעשו שימוש באתרי Snapchat ו-American Express עולה שהתוקפים הכניסו מידע אישי מזהה (PII) לכתובת ה-URL, כך שדפי הנחיתה יתאימו לקורבנות המופנים אליהם, פעולה שהוסוותה באמצעות המרה לבסיס 64, שגורמת ל-PII להיראות כמו תווים אקראיים. INKY ממליצה לבדוק אם כתובות URL המתקבלות במייל מכילות את המחרוזות "url=", "redirect=", "external-link" או "proxy", או שיש בהן מופעים מרובים של "HTTP", דבר המהווה אינדיקציה להפנייה מחדש.
Meta נוקטת פעולות נגד שתי קבוצות ריגול המשתמשות בפייסבוק להפצת נוזקות
הקבוצה הראשונה נגדה נקטה חברת האם של פייסבוק בהליכים היא Bitter APT (ידועה גם בשמות APT-C-08 ו-T-APT-17), הפועלת מדרום אסיה ותוקפת מטרות בניו זילנד, בהודו, בפקיסטן ובבריטניה, תוך שימוש בפרסונות פיקטיביות בפייסבוק, המתחזות לנשים צעירות ומושכות. פרסונות אלה מפתות משתמשים ללחוץ על קישורים מזויפים שמובילים להתקנת נוזקות על מחשבי הקורבנות. לדברי Meta, הקבוצה עקפה את אמצעי הזיהוי והחסימה של הפלטפורמה על ידי פרסום קישורים שבורים או תמונות של קישורים זדוניים בשרשורי צ'אט, שדרשו מהקורבנות להקליד את הקישור בדפדפניהם. מקור הקבוצה טרם זוהה בוודאות, אך נראה שלאחרונה היא הרחיבה את טווח מטרותיה והחלה לפגוע בישויות צבאיות בבנגלדש.
הקבוצה השניה, Transparent Tribe (מכונה גם APT36), פועלת מפקיסטן ונוהגת לתקוף סוכנויות ממשלתיות בהודו ובאפגניסטן, כאשר לאחרונה החלה להתמקד בגורמים אזרחיים, כגון סטודנטים, עובדי זכויות אדם וארגונים ללא מטרות רווח. התקיפות כללו שימוש בפרסונות שהתחזו למגייסים של חברות לגיטימיות ומזויפות כאחד, לאנשי צבא או לנשים צעירות ואטרקטיביות המבקשות ליצור קשר רומנטי. הקורבנות פותו לפתוח קישורים שהובילו להתקנת נוזקות שמטרתן, בין היתר, לאסוף יומני שיחות, אנשי קשר, קבצים, הודעות טקסט, מיקומים גיאוגרפיים, מידע על המכשיר ותמונות, ולהאזין למיקרופון של המכשיר.
בדוח האיומים הרבעוני שלה טוענת Meta ששני המקרים מדגימים מגמה בולטת של הסתמכות APTs על כלים זדוניים הזמינים באופן גלוי ובעלות נמוכה, דבר הדורש מומחיות טכנית מופחתת לפריסתם, ומניב תוצאות נאות עבור התוקפים. בכך יורד רף הגישה ליכולות פריצה ומעקב, ומאפשר לקבוצות תקיפה לחמוק מבדיקות של חוקרי אבטחה.
כמו כן כחלק ממדיניות החברה בכל הנוגע להתנהגות שאינה אותנטית, Meta הסירה עשרות אלפי חשבונות, קבוצות ודפים מרחבי העולם, כמו גם שלוש רשתות העוסקות ב-CIB (התנהגות לא-אותנטית מתואמת), אחת מהן מקושרת לחברת יח״צ ישראלית, ואילו השתיים האחרות הן חלק מ-Troll farms, האחת נמצאת במלזיה ומתמקדת בקהל מקומי, והשנייה מסנקט פטרסבורג שברוסיה, ופועלת, ללא הצלחה, לעורר שיח התומך בפלישת רוסיה לאוקראינה, על ידי תגובות מחשבונות מזויפים לפרסומים של משפיענים במדיות החברתיות. מחקירתה של Meta עולה כי פעילות זו קשורה ל-Troll farm המכונה CyberFront Z.
נכשל ניסיון לגניבת מטבעות קריפטוגרפיים מפלטפורמת deBridge על ידי Lazarus הצפון הקוריאנית
הפלטפורמה, העוסקת בהעברת מטבעות קריפטוגרפיים בין Blockchains שונים, הייתה קורבן לניסיון כושל לגניבת מטבעות, שבוצע, ככל הנראה, על ידי קבוצת התקיפה Lazarus. ניסיון התקיפה התבסס על מייל פישינג שנשלח לעובדי החברה תוך התחזות לאלכס סמירנוב, אחד ממייסדיה. המייל כלל קובץ HTML בשם ״New Salary Adjustments״, שהוסווה כקובץ PDF, והגיע ביחד עם קובץ LNK. (קובץ קיצור דרך של Windows), שהוסווה בתורו כקובץ טקסט בשם Password.txt, שהכיל סיסמה. עם לחיצה על קובץ ה-PDF נפתח דף אחסון בענן, שהוצג כארכיון המוגן בסיסמה, כביכול, ומכיל את ה-PDF, כל זאת על מנת לפתות את הקורבן לפתוח את קובץ הסיסמה המצורף, שבהרצתו הופעלה פקודה ל-CMD, המביאה להורדת קבצים נוספים ממיקום מרוחק. אחד מהקבצים הללו הוא סקריפט שפותח ומציג קובץ Notepad בשם ״pdf password: salary2022״ ובודק אם העמדה הנגועה מכילה את אחד מאמצעי האבטחה הבאים: ESET ,Tencent או Bitdefender. במידה ואף אחד מאלה לא נמצא על העמדה, הנוזקה נשמרת בתיקיית ה-Startup של Windows כדי לשמר אחיזה במערכת. בשלב זה הנוזקה אוספת מידע על המערכת הנגועה, לרבות שם משתמש ומידע על מערכת ההפעלה, על מתאמי רשת ועל תהליכים פעילים, ומעבירה אותו לתוקפים. יש להדגיש שהנוזקה יועדה למערכות מבוססות Windows בלבד, ובמידה ומתגלה שמערכת ההפעלה היא macOS - נפתח במחשב קובץ ZIP המכיל קובץ PDF אמיתי.
המתקפה קושרה ל-Lazarus על בסיס חפיפה בין שמות הקבצים והתשתיות בהם השתמשה בתקיפות קודמות. ביולי האחרון דיווחו חוקרי אבטחה מ-.PwC U.K ומ-Malwarebytes על קמפיין נוסף של קבוצת התקיפה, המכונה CryptoCore או CryptoMimic, בו השתמשה בשמות קבצים זהים או דומים לאלה שהתגלו בתקיפה הנוכחית. Lazarus מתמקדת בחברות המסתמכות על טכנולוגיית בלוקצ׳יין ועל מטבעות קריפטו, והיא משתמשת בשיטות של הנדסה חברתית על מנת להשיג אחיזה במערכות הקורבן. לקבוצה מיוחסת גניבת מטבעות הקריפטו הגדולה בהיסטוריה, בה נגנבו 620 מיליון דולר במטבעות Ethereum מחברת Axie Infinity (ראו ״הסייבר״, 20.4.22).
צוות קונפידס ממליץ לבחון היטב כל הודעת מייל שמגיעה לארגון, במיוחד אם היא כוללת צרופה, ובכל מקרה לא לפתוח קבצים או לבצע פעולות במיילים שהגיעו ממקורות שאינם ידועים או שלא היתה ציפייה לקבלם.
במהלך חודש ינואר, חוקרי חברת אבטחת המידע היו עדים למספר תקיפות סייבר מתוחכמות, שמטרתן העיקרית היתה לגשת למידע של חברות ולהשיג שליטה על מערכות ה-IT שלהן, כל זאת לצורכי ריגול. לדברי החוקרים, התוקפים הצליחו לחדור לעשרות ארגונים ואף להשתלט על תשתיות ה-IT של חלקם, תוך אחיזה במערכות המשמשות לניהול פתרונות אבטחה. עוד נמסר כי החדירה לרשתות הארגוניות התבצעה באמצעות מיילי פישינג, אשר חלקם הכילו מידע ייחודי לקורבן, שאינו חשוף לציבור. הודעות הדיוג כללו מסמכי Word וקוד זדוני שניצל חולשות שאיפשרו לתוקף להריץ קוד במערכות הקורבן, כדי לנסות ולקבל הרשאות ניהול וגישה למערכת ה-Active Directory, ובכך לנתונים רגישים. החולשות שניצולן נצפה מצויות בגרסאות מיושנות של Microsoft Equation Editor. עוד הוסיפו החוקרים שהתוקפים השתמשו במספר דלתות אחוריות בו-זמנית, לשם שליטה במערכות הקורבן, איסוף מידע רגיש ואף הקמת ערוצי תקשורת נוספים עם מערכות נגועות, למקרה שאחת מהנוזקות תזוהה ותוסר על ידי פתרון אבטחה כלשהו. לאחר ההשתלטות על המערכת וגישה לפרטי הקורבן, התוקפים ניסו לנוע רוחבית ברשת, על מנת להגיע אל ה-Domain Controller ולקבל שליטה מלאה על כלל נכסי הארגון הממוחשבים. מחקירת הכלים שבהם השתמשו התוקפים וכתובות השרתים המרוחקים שלהם, ניתן להניח שמדובר בקבוצת תקיפה סינית (TA428).
צוות קונפידס ממליץ לעדכן באופן תדיר מערכות ארגוניות, להימנע מפתיחת מיילים המגיעים ממקורות שאינם מוכרים, לפרוס על כלל מערכות הארגון אנטי-וירוס או EDR ומערכות לזיהוי ומניעת אנומליות (כגון IPS), להימנע מהורדת קבצים ממקורות שאינם מוכרים ולבדוק קבצים נכנסים במערכת נפרדת (לדוגמה ב-Sandbox). במידה ואין ברירה אחרת, מומלץ להפריד סביבות של מערכות שלא ניתן להטמיע בהן עדכוני תוכנה מסביבות אחרות, על מנת לבודדן ככל האפשר ממערכות הארגון.
השבוע בכופרה
אלבניה: חשד לדלף מידע בעקבות מתקפת כופרה איראנית על אתרים ממשלתיים
סמנכ״ל Mandiant ג׳ון האלטקוויסט צייץ בחשבון הטוויטר שלו כי חברתו מייחסת את מתקפת הכופרה שחוותה לאחרונה ממשלת אלבניה לתוקפים התומכים באיראן. על פי אתר החברה, במהלך חודש יולי זוהתה משפחת כופרות שקיבלה את הכינוי Roadsweep, אשר במסגרת תקיפותיה מציגה בקשת כופר המכוונת, כך נראה, אל ממשלת אלבניה. בתוך כך, קבוצת תקיפה המכנה עצמה HomeLand Justice פרסמה בערוץ הטלגרם שלה סרטון המדגים את אופן הפעלת הנוזקה, לצד מסמכים וסרטון נוסף המעידים, לכאורה, על גישה לתיקיות הקשורות לממשלה האלבנית. לדברי Mandiant, נראה שמתקפה זו הינה חלק ממגמה הולכת וגוברת של תקיפות נגד מדינות החברות בנאט״ו, אשר מאחוריהן עומדות קבוצות תקיפה בעלות מניעים פוליטיים, שתומכות באיראן. ב-18 ביולי פרסמה ממשלת אלבניה הודעה לפיה עליה ״לסגור זמנית את הגישה לשירותים ציבוריים מקוונים ולאתרים ממשלתיים אחרים״ עקב מתקפת סייבר. עד כה לא ידועים פרטים נוספים. להלן צילום מסך של הודעת קבוצת התקיפה בחשבון הטלגרם שלה.
(מקור: Telegram, 5.8.22)
ה-IST מנחה ארגונים קטנים עד בינוניים כיצד לפעול על מנת להפחית את הסיכון ליפול קורבן למתקפות כופרה
כחלק מן המאמץ הבינלאומי המתמשך להתמודדות עם מתקפות כופרה, באפריל 2021 הוקם תחת המכון האמריקאי לאבטחה וטכנולוגיה (IST) ה-RTF) Ransomware Task Force), העוסק בפיתוח יכולות התמודדות עם מתקפות מסוג זה. ב-4 באוגוסט פרסם המכון דוח המיועד לארגונים קטנים עד בינוניים, בו מפורטים צעדי האבטחה המינימליים הנדרשים להתמודדות עם מתקפות כופרה, בהם, בין היתר, קביעת נהלים סדורים לתחזוקת רשתות ארגוניות, הטמעת תהליכי ניהול ובקרת הרשאות למשתמשים וקביעת נהלים סדורים להתמודדות עם אירועי סייבר, לרבות אחזור מידע ונכסים חיוניים. לדברי מנהל העסקים הקטנים האמריקאי (SBA), בארצות הברית לבדה פועלים 32,540,953 מיליון עסקים קטנים, אשר רובם אינם ערוכים כנדרש למתקפות סייבר. ב-2019, למשל, 43% מכלל תקיפות הסייבר בארצות הברית כוונו נגד עסקים קטנים, כאשר רק 14% מהארגונים שנתקפו היו ערוכים להתמודדות עם האירוע. עם העלייה המתמקדת בהיקף ובמגוון האיומים במרחב הסייבר, חברות הביטוח דורשות ממבוטחיהן להטמיע בארגוניהם מערכות הגנה להתמודדות עם מתקפות במרחב הקיברנטי.
צוות קונפידס ממליץ לבתי עסק לעיין בדוח ה-IST וליישם את המלצותיו. במידת הצורך, ניתן להסתייע בצוות המקצועי של קונפידס.
משפחה חדשה של כופרות מתמקדת בסקטורים שונים בקוריאה הדרומית, במתקפות המתאפיינות בסחיטה כפולה
המשפחה החדשה, המכונה GwisinLocker, התגלתה על ידי חוקרי חברת ReversingLabs, וככל הנראה קשורה לקבוצת התקיפה Gwisin (רוח רפאים בקוריאנית), אשר זוהתה ברבעון השלישי של 2021 ומרבה לתקוף מערכות מבוססות Linux תוך התמקדות במגזרי הבריאות, התעשייה והפרמקולוגיה בקוריאה הדרומית. לדברי ReversingLabs הכופרה משתמשת בהצפנת AES, וקבצים שהצפינה מכילים את הסיומת "mcrgnx.". המפתח לפיענוח ההצפנה, בעל הסיומת "mcrgnx0.", מאוחסן ומוסתר בקובץ נפרד, על מנת למנוע את הפיענוח. GwisinLocker הינה גרסה חדשה של כופרה, שפותחה על ידי גורם איום חדש בזירה ומופעלת על ידי Gwisin תוך שימוש בסחיטה כפולה, המתבססת על גניבת נתונים רגישים. דבר זה מצביע על כך שלקבוצה יכולות סייבר התקפיות מתוחכמות. על חברות דרום קוריאניות מהמגזרים המצויים על הכוונת של Gwisin לגלות ערנות מיוחדות למתקפות ולמזהיהן:
(/tmp/.66486f04-bf24-4f5e-ae16-0af0fdb3d8fe)
(!!!_HOW_TO_UNLOCK_MCRGNX_FILES_!!!.TXT)
ce6036db4fee35138709f14f5cc118abf53db112
e85b47fdb409d4b3f7097b946205523930e0c4ab
צוות קונפידס ממליץ לארגונים לבצע גיבויים על בסיס קבוע, לוודא שאחד מעותקי הגיבוי שמור במקום שאינו מחובר לרשת הארגון, לעדכן על בסיס קבוע את מערכות ההפעלה בארגון, להפעיל מנגנון הזדהות רב-שלבי (MFA) ולהימנע ככל הניתן מהורדת קבצים ממקורות שאינם מוכרים.
דנמרק: רשת 7Eleven סוגרת את החנויות במדינה בעקבות מתקפת סייבר נרחבת - ״עד להודעה חדשה״
על פי דיווח בעיתון הדני Ekstra Bladet, ב-8 באוגוסט חוותה השלוחה הדנית של הרשת הבינלאומית מתקפת סייבר נרחבת, שמנעה קבלת תשלום והוצאת חשבוניות ללקוחות ברחבי המדינה. בפוסט שפורסם מטעם הרשת בפייסבוק, נאמר שעקב המתקפה נסגרו חנויותיה בדנמרק ״עד להודעה חדשה״. בתוך כך, הרשת החלה בטיפול במתקפה, על ידי פנייה למשטרה המקומית ולחברת IT חיצונית, שתסייע בהתאוששות מהירה ממנה. ככל הנראה, מדובר במתקפת כופר שבה התוקפים השיגו גישה למערכות החברה ונעלו אותן עד לקבלת תשלום. מהחברה נמסר כי אין ראיות לכך שלקוחות או ספקים הושפעו מאירוע, ולדברי יספר אוסטרגארד, מנכ"ל החברה בדמנרק, נשמר הקשר הרציף עם הלקוחות באמצעות הרשתות החברתיות, שם מפורסמים עדכונים בנוגע להתקדמות חזרת הרשת לשגרה.
בתוך שבועיים: 3 קבוצות כופרה שונות ניצלו את אותה חולשה לביצוע מתקפות כופרה נגד ספק כלי רכב
בדוח שפרסמה חברת Sophos ב-10 באוגוסט נחשף כי LockBit ,Hive ו-BlackCat ניצלו את החולשה על מנת להיפרס בסביבת הקורבן ולהצפין כמה שיותר מהמידע שברשותו. החולשה, שמקורה בקונפיגורציה שגויה של ה-Firewall, אפשרה לתוקפים להתחבר מרחוק לשרת הניהול ולבצע בו את זממם. LockBit, אשר זוהתה ראשונה בחקירה הפורנזית, השתמשה בתוכנת Mimikatz לגניבת סיסמאות ואישורי אבטחה, והפיצה את נוזקתה באמצעות PsExec (תוכנה של מיקרוסופט המאפשרת הפצה והפעלה רחבות של קבצים למספר מכשירים ממכשיר אחד). Hive, קבוצת הכופרה השניה שזוהתה, השתמשה באותה פרצה להתרחבות בסביבת הקורבן, וכשעתיים אחרי מתקפתה של LockBit הצפינה אף היא קבצים במערכות הקורבן. תוך כדי תהליכי אחזור המידע שביצע הקורבן הצטרפה אל הזירה BlackCat והתקינה ברשת קובץ Atera Agent, שאפשר לה כעבור שבועיים לגשת מחדש למכשיר הקורבן ולגנוב ממנו מידע רגיש, תוך שהיא מוחקת את כלל הלוגים מה-Windows Event Logs, האחראי על ריכוז הפעולות המבוצעות על המכשיר. רק לאחר פעולותיה של BlackCat נכנס אל התמונה צוות התגובה לאירועי סייבר של Sophos, ובחקירתו מצא קבצים מוסוויים שנחסמו מספר פעמים על ידי חתימות שונות. כך נמצא, למשל, קובץ שהוצפן 5 פעמים: פעמיים על ידי LockBit, פעמיים על ידי Hive ופעם אחת על ידי BlackCat. במהלך החקירה הפורנזית מצאו החוקרים כי עוד בדצמבר 2021, תוקף זדוני אנונימי חדר אל ה-DC של הקורבן וביסס בו חולשה לכניסה מרחוק (RDP). על פי ההערכות, תוקף אחד ביצע את החדירה הראשונית, יצר את החולשה שאפשרה התבססות במערכת ומכר אותה בדארקנט. בידיו של צוות הפורנזיקה עלה לאחזר את סביבת הקורבן, ובחקירה לא נמצא באינטרנט כל דלף מידע. להקשחת סביבת העבודה, ניתן לאכוף אימות כפול (2FA) על משתמשים, לבזר נכסים חיוניים ואת הרשתות הפנימיות ביניהן, לוודא קונפיגורציה וניהול נכון של כל רשת ועוד שלל אמצעים. ואולם, מרגע שתוקף חדר בהצלחה לרשת הקורבן, נדרשות פעולות מיידיות בכדי למנוע ממנו להתפשט ברחבי הרשת ולבצע פעולות זדוניות נוספות.
סייבר בעולם
טוויטר מזהירה מפני ניצול של חולשה שכבר נסגרה אך עדיין רלוונטית לחלק מלקוחותיה
בינואר השנה התקבל בחברה דיווח אודות חולשה בדף הכניסה לחשבונות, שעל ידי הזנת מספרי טלפון או כתובות מייל בשדה ה-Log In אפשרה לקבל מהמערכת את חשבונות המשתמשים המקושרים לפרטים אלה. מקור החולשה הינו בעדכון קוד שטוויטר ביצעה ביוני 2021, והיא תוקנה מיד עם גילויה, בשלב בו לא היה ידוע על ניצול פעיל שלה (הבאג היה רלוונטי גם כאשר משתמש ביטל את אפשרות החיפוש באמצעות הפרטים המזהים). ואולם, ביולי 2022 התפרסם מידע אודות ניצול החולשה בחלון הזמן בו היתה פעילה, כאשר שחקן זדוני הציע למכירה בעבור 30,000 דולר מידע שהספיק לאגור על כ-5.4 מיליון משתמשי טוויטר בטרם נסגרה החולשה. מהחברה נמסר כי תדווח ישירות למשתמשים שיאומת כי הושפעו מהחולשה, אך פרסום האזהרה בנושא נובע מכך שאין ביכולתה לאמת את כלל החשבונות שנפגעו, בעיקר בכל הנוגע לחשבונות בדויים. עוד הדגישה החברה שהחולשה לא הביאה לחשיפת סיסמאות, אך היא ממליצה ליישם אימות דו-שלבי (2FA) בחשבונות טוויטר באמצעות אפליקציית הזדהות או מפתח פיזי. למשתמשים בעלי חשבונות בדויים, החברה ממליצה שלא לקשר אותם למספרי טלפון או כתובות מייל החשופים לציבור.
ה-CISA מוסיפה 3 חולשות ל״קטלוג החולשות הידועות המנוצלות״
הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה לקטלוג שהיא מתחזקת שלוש חולשות ברמת חומרה גבוהה:
חולשה ב-Zimbra, שרת ייעודי לניהול תיבות מייל, לרבות הודעות, אנשי קשר, לוחות שנה וצרופות. החולשה עלולה לאפשר לתוקף שאינו מאומת לגנוב אישורי כניסה לחשבונות ב-Zimbra Collaboration, והיא נוספה לקטלוג על סמך מידע מבוסס ועדויות לניצולה על ידי קבוצות תקיפה.
חולשה (CVE-2022-30333, CVSS 7.5) ב-UnRAR מבית RARLAB, שהינה תוכנה ל-Linux המאפשרת חילוץ של קבצים מכווצים. החולשה עלולה לאפשר לתוקף לבצע מעבר בין ספריות (Directory Traversal) ובכך לכתוב לקבצים במהלך פעולת החילוץ.
חולשה (CVE-2022-34713, CVSS 7.8) ב-Microsoft Windows Support Diagnostic Tool, כלי האבחון של Windows שמסוגל לנתח מידע ולהציע פעולות במקרה של תקלה. החולשה עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE) בזמן ששירות ה-Support Diagnostic Tool נפתח בדפדפן.
על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפתו לתקיפות סייבר. תאריך היעד לסגירת החולשות הוא ה-25 באוגוסט עבור הראשונה וה-30 באוגוסט עבור שתי האחרות.
צוות קונפידס ממליץ למשתמשי Zimbra לעדכן את המוצר לגרסתו האחרונה.
Twilio: נפרצנו בתחילת החודש באמצעות שיטות של הנדסה חברתית
על פי דיווחה של החברה, המספקת כלי תכנות ואינטגרציה בתחומי התקשורת, ב-4 באוגוסט הבחין הצוות הטכני שלה בכניסה בלתי מורשית למאגר שהכיל מידע מוגבל אודות כ-125 מלקוחותיה, ללא זיהוי דליפה של מידע רגיש, כגון סיסמאות ומפתחות הצפנה. לדברי Twilio, הגישה התאפשרה באמצעות הנדסה חברתית, לאחר שהתוקפים שלחו למכשיריהם של כמה מעובדי החברה וחברות נוספות הודעות כוזבות (מופיעות להלן), שהכילו קישור זדוני וטקסטים לפיהם פג תוקפן של סיסמאותיהם או נערך שינוי בלוח השנה בו הם משתמשים. לחיצה על הקישורים הובילה לדף התחברות מזויף של Twilio. בתגובה לאירוע, החברת פעלה בשלושה מישורים: פנימי, מול לקוחותיה ומול התוקפים. במישור הפנימי, הצוות הטכני של החברה ניתק את כלל משתמשי העובדים שזוהו כפרוצים, פתח בחקירה פורנזית של האירוע, חידד בקרב עובדיו את הסכנות שבמתקפות פישינג ופרסם את פרטי התקרית לצורכי לימוד והפקת לקחים. במקביל, החברה עדכנה את הלקוחות הרלוונטיים באופן פרטני, ופעלה ביחד עם חברות נוספות נגד התוקפים לסגירת דפי הנחיתה הזדוניים. ואולם, לאחר שאלה נסגרו נוצרו דפי נחיתה מפוברקים נוספים, דבר המעיד כי קבוצת התקיפה, שבשעה זו זהותה טרם ידועה, הינה מאורגנת היטב וחדורת מטרה. Twilio מדגישה כי לעולם לא תבקש ממשתמשיה אישורי הזדהות כלשהם למעט באתרה הראשי.
(מקור: Twilio, 7.822)
ב-8 באוגוסט המשרד האמריקאי לבקרת נכסי חוץ (OFAC) הטיל סנקציות על המטבע הוירטואלי Tornado Cash, ששימש להלבנת כספים בשווי יותר מ-7 מיליארד דולר מאז כרייתו ב-2019, לרבות יותר מ-455 מיליון דולר שנגנבו על ידי קבוצת ההאקרים Lazarus, הפועלת בחסות קוריאה הצפונית, כ-96 מיליון דולר שנגנבו ביוני השנה מ-Harmony Bridge ולפחות 7.8 מיליון דולר שנשדדו החודש מ-Nomad Heist. המשרד פעל לחשיפת שחקנים במערכת המטבעות הווירטואליים, כגון Tornado Cash ו-Blender.io, שבהם משתמשים פושעים לטשטוש הכנסותיהם מפעילות סייבר בלתי חוקית ומפשעים אחרים. ה-OFAC פועל נגד גורמי סייבר זדוניים בשיתוף פעולה עם גורמים רשמיים נוספים בארצות הברית, כמו גם שותפים זרים, על מנת לחשוף, לשבש ולבוא חשבון עם עבריינים ואנשים המאפשרים לפושעים להרוויח מפשעי סייבר ומפעילות בלתי חוקית אחרת. לדברי תת מזכיר האוצר לטרור ומודיעין פיננסי בריאן א. נלסון, ״היום משרד האוצר מטיל סנקציות על Tornado Cash, מערבל מטבעות וירטואלי שמלבין הכנסות מפשעי סייבר, כולל כאלה שבוצעו נגד קורבנות בארצות הברית. [...] Tornado Cash נכשלה שוב ושוב ביישום בקרות אפקטיביות למניעת הלבנת כספים מצד שחקני סייבר זדוניים על בסיס קבוע ולא נקטה באמצעים בסיסיים לטיפול בסיכוניה". משמעות הסנקציות היא שמטבע וירטואלי זה ייחסם לשימוש וקנייה על ידי כל אזרח אמריקאי או מי שנמצא בשטח ארצות הברית, אלא אם כן קיבל אישור מיוחד לכך או פטור מהסנקציה. לדברי ה-OFAC, מטרת הסנקציות אינה להעניש, אלא להביא לשינוי חיובי.
ארה״ב: התגלתה חולשה במערכת ההתראה הציבורית הלאומית EAS
מערכת ה-Emergency Alert System מאפשרת לנשיא ולרשויות האמריקאיות לספק מידע קריטי בעיתות משבר, לרבות מידע אודות איומים, התראות AMBER בנוגע לחטיפת ילדים ומידע על תנאי מזג אוויר חריגים, במקרים בהם לא זמינים ערוצי תקשורת ציבוריים אחרים. החולשה, שהתגלתה במכשירי ה-encoder/decoder של ה-EAS, עלולה לאפשר לתוקף לשלוח התראות חירום מזויפות על גבי התשתית המארחת - טלוויזיה, רדיו או רשת כבלים. באזהרה שפרסמה המחלקה לביטחון המולדת (DHS), היא קוראת למי לגופי שידור שהמערכת רלוונטית להם (ערוצי רדיו, טלוויזיה וכבלים אלחוטיים, מפעילי לוויין וגורמים אחרים) לוודא שהמכשירים שברשותם מעודכנים לגרסאותיהם האחרונות ומוטמעים בהם תיקוני האבטחה העדכניים ביותר, ושהם מוגנים באמצעות Firewall ומנוטרים בקביעות לאיתור גישות שאינן מורשות.
בית המשפט הפדרלי בסן פרנסיסקו שבקליפורניה מצא את אחמד אבואמו אשם בריגול עבור סעודיה, בהלבנת הון ובקשירת קשר לביצוע הונאה ברשת, ודן אותו ל-10-20 שנות מאסר. לטענת אבואמו, שעבד בטוויטר במהלך 2015 כמנהל שותפויות מדיה, כל שעשה היה לקדם את המדיה החברתית ברשת באזור המזרח התיכון ובצפון אפריקה, כל זאת במסגרת עבודתו. לטענת התביעה, מערכת היחסים של אבואמו עם עוזר בכיר של יורש העצר הסעודי מוחמד בן סלמן כללה קבלת שוחד בתמורה למידע, והיא הציגה שלל ראיות לכך, בהן מתנות והעברות בנקאיות שניתנו בתמורה למידע אישי מחשבונות טוויטר של משתמשים המתנגדים לסעודיה. לדברי אנג׳לה צ׳ואנג, הסנגורית הציבורית המייצגת את אבואמו, מדובר בתוצר של חקירה משובשת ושל טיפול רשלני של טוויטר במידע של משתמשיה. עוד טענה צ׳ואנג כי ארצות הברית הניחה לחשוד העיקרי בפרשה, עלי אלזאבארה, שעבד בטוויטר כמהנדס, להימלט מהמדינה, והיא ומשתמשת באבואמו כקורבן וכ״שעיר לעזאזל״.
מתקפת סייבר על מוקד החירום הבריטי 111 גורמת לעיכובים ולמניעת שירות במערך שירותי הבריאות במדינה
ב-4 באוגוסט זוהתה לראשונה מתקפת סייבר נגד חברת Advanced, ספקית התוכנה Adastra למוקדי שיחות החירום 111, המאפשרת הזמנת אמבולנסים, מילוי מרשמי חירום ותזמון פגישות דחופות. בתגובה לאירוע מסר שירות הבריאות הלאומי הבריטי (NHS) למגזין Telegraph כי ״כרגע זמני התגובה לשיחות במוקד מתעכבים, אך אנו נותנים עדיפות לאירועים הזקוקים לאמבולנס״. מפאת חשיבותו של מערך הבריאות, כבר עם זיהוי האירוע בוצעו הפרדה ובידוד של רשת מערכות הבריאות. מניעת השירות הותירה את צוותי השירות במערך ללא מחשבים, ואלה חזרו לטפל בשיחות באמצעות ״ניירות ועטים״. בשעה זו, המערכות עובדות במלואן, עם הפרעות מינימליות.
ה-CISA מפרסמת ערכת כלי אבטחה להגנה על הבחירות לנשיאות ארה״ב
הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) פרסמה בשיתוף עם ה-(Joint Cyber Defense Collaborative (JCDC ערכה חינמית המכילה שירותים וכלים שמטרתם לסייע לפקידי ממשל מדיני ומקומי ולפקידי בחירות וספקים לשפר את רמת הגנת הסייבר וחוסן התשתיות של הבחירות בארצות הברית. הכלים, השירותים והמשאבים מסופקים על ידי ה-CISA, ה-JCDC ושותפים נוספים מקרב קהילת הגנת הסייבר, תוך התמקדות בהערכת סיכונים ובהגנה על תשתיות בחירות, המהוות מטרה למתקפות פישינג, כופרה ומניעת שירות (DDoS).
ב-10 באוגוסט הודיעה החברה שעקב התמורות המהירות בסביבות אבטחת המידע בימינו, היא משיקה את פרויקט ה-(Open Cybersecurity Schema Framework (OCSF, הכולל קוד פתוח ומספק, לצד סכמות אבטחה קיימות של ספקים, מסגרת הניתנת להרחבה לפיתוח סכמות עבור תחומים ספציפיים ומיפויין על ידי מהנדסי נתונים. הדבר נועד לעזור לצוותי אבטחת מידע לפשט את קליטת הנתונים ולבצע נורמליזציה באופן בו מדעני נתונים ואנליסטים יוכלו להשתמש בשפה משותפת לזיהוי ותחקור איומים. הפרויקט יציג תקן פתוח שיאומץ בכל סביבה של ארגון, אפליקציה או פתרון אחר, תוך שימת דגש על תקני אבטחה ותהליכים קיימים.
לדברי ה-BSI, במנעול הדיגיטלי מדגם HomeTec Pro CFA 3000, המשמש לבקרת כניסה למתחמים, נמצאה חולשה העלולה לאפשר לגורמים שאינם מורשים להיכנס למבנים, למשרדים ולדירות. ABUS אישרה את דבר קיומה של החולשה ודיווחה כי המוצר אינו מוצע עוד למכירה והוחלף בדגם אחר במרץ 2021.
סייבר בישראל
הקבוצה הבנגלדשית ממשיכה לתקוף בישראל: אתר המכון הוולקני של משרד החקלאות חווה מתקפת מניעת שירות
בהמשך לדיווחים מהשבוע שעבר (ראו ״הסייבר, 4.8.22), על תקיפת האקדמיה לשוטרים ותארי הנמלים של ישראל על ידי קבוצת ההאקרים Mysterious Team Bangladesh, השבוע הודיעה הקבוצה כי ב-10 באוגוסט הפילה את אתר המכון הוולקני, ככל הנראה באמצעות מתקפת מניעת שירות (DDoS). בעת כתיבת שורות אלה ב-11 באוגוסט, נראה כי האתר עובד כסדרו.
סייבר ופרטיות - רגולציה ותקינה
האמנה נגד פשע מקוון: ועדת האו"ם שוב מתכנסת, גם ישראל משתתפת
בסוף החודש תשוב ותתכנס ועדת האו"ם המגבשת אמנה בינלאומית חדשה נגד פשע מקוון, שתתבסס באופן חלקי על אמנה רלוונטית קיימת, "אמנת בודפשט" שנחתמה ב-2001. ישראל, שהצטרפה ל״אמנת בודפשט״ בספטמבר 2016, משתתפת גם היא בעבודת הוועדה (את נאומו של אמיר שגיא, מתאם תחום הסייבר במשרד החוץ, בישיבת הפתיחה של הוועדה, ניתן למצוא כאן). בישיבה הקרובה והשלישית של הוועדה, המדינות החברות בה ידונו בסוגיות של שיתוף פעולה בין-מדינתי נגד פשע מקוון, לרבות סיוע טכני, ובהוראות האמנה בדבר מניעת פשע מקוון.
TikTok תשלם 92 מיליון דולר במסגרת תובענה ייצוגית בגין איסוף מידע פרטי על משתמשים
בית המשפט המחוזי במדינת אילינוי שבארצות הברית אישר סופית הסדר שבמסגרתו תשלם החברה את הסכום האמור. החברה הסינית ByteDance, שבבעלותה אפליקציית TikTok, לה יותר מ-100 מיליון משתמשים בארצות הברית, הסכימה להסדר לאחר יותר משנה של דיונים משפטיים. לפי הטענות שהוגשו לבית המשפט, החברה השתמשה במערכת מורכבת של בינה מלאכותית לזיהוי תווי פנים, בכדי לקבוע את גיל, ההשתייכות האתנית ומין המשתמשים, על מנת להתאים את התכנים שיוצגו להם על ידי האפליקציה. במסגרת ההסדר, TikTok התחייבה למחוק חלקים מסוימים מהמידע ששמרה אודות משתמשיה ולחדול מאיסוף נתונים ביומטריים. בתגובה להסכם הפשרה אמרה החברה שלמרות שאינה מסכימה עם הקביעות, היא מעדיפה למקד את מאמציה ב״בניית חוויה בטוחה ומשמחת עבור קהילת ה-TikTok״.
המחלקה הפיננסית של ניו יורק מפרסמת טיוטה של חובות חדשות בתחום הגנת הסייבר שיחולו על ארגונים
בסוף חודש יולי פרסמה מחלקת השירותים הפיננסיים של מדינת ניו יורק (NYDFS) תיקונים מוצעים לחקיקת ה-Part 500 Cybersecurity Rules, הקובעת את חובות הגנת הסייבר של ארגונים במגזר הפיננסי. התיקון המוצע מתייחס ל-6 נושאים: חובות חדשות המוטלות באופן ספציפי על חברות גדולות (Class A) המעסיקות יותר מ-2,000 עובדים או שהכנסותיהן גבוהות ממיליארד דולר (חובות אלה כוללות ביקורות וסקרים נוספים בנושא סיכוני סייבר וניטור נקודות קצה בחברה); ניהול עצמאי של ה-CISO; דיווחים נוספים למועצת המנהלים של החברה ודרישת מומחיות בתחום הסייבר בקרב המכהנים במועצת המנהלים; הטמעת תוכניות התאוששות מאירועי סייבר; עריכת סימולציות של אירועים. עוד קובע התיקון חובת הודעה תוך 24 שעות במקרה של תשלום כופר במסגרת אירוע סייבר. ה-NYDFS החלה בטיפול הרגולטורי בסוגייה ב-2017, ונחשבת לגוף רגולטורי חלוצי בתחום בארצות הברית. הציבור מוזמן להגיש את הערותיו לטיוטה עד ל-18.8.22.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.