WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 12.05.2022

עיקרי הדברים

  1. ישראל: מבקר המדינה: "מדינת ישראל מותירה את אזרחיה חשופים לפשיעת סייבר. האזרחים לא נותנים אמון במערכת אכיפת החוק"; ClearSky: ״יום ירושלים האיראני״ עבר ללא הישגים משמעותיים.

  2. המלחמה בין רוסיה לאוקראינה: ארה״ב מייחסת לממשלת רוסיה את מתקפת הסייבר על Viasat ותקיפות נגד אוקראינה; האקרים פרצו לשידורי "מצעד הניצחון" הרוסי; עלייה במתקפות פישינג ובתקיפות של תשתיות קריטיות; בכיר ב-NSA: ירידה במספרן של מתקפות כופרה עקב הסנקציות שהוטלו על רוסיה; כוחות רוסים משתלטים על תשתית האינטרנט האוקראינית בדונבאס.  

  3. קוסטה ריקה: לראשונה בעולם, הוכרז מצב חירום לאומי עקב מתקפת סייבר. קבוצת התקיפה Conti דורשת דמי כופר בסך של 10 מיליון דולר לאחר שתקפה תשתיות הממשלה. מחלקת המדינה האמריקאית מציעה פרס של עד $10,000,000 עבור מידע שיובל ל-Conti.

  4. ארה״ב: מכללה תסגר לצמיתות בעקבות מתקפת כופרה; מכללה נוספת מצויה בעיצומו של אירוע סייבר.

  5. אנו ממליצים לעדכן את המוצרים הבאים: מוצרי מיקרוסופט (Zero-day, קריטי);  מוצר הווירטואליזציה של Cisco (קריטי); מוצרי F5 (קריטי); Azure (קריטי); מוצרי Avast ו-AVG (גבוה); הדפדפן Google Chrome (גבוה), מוצרי Intel (גבוה);  Foxit Reader (גבוה).

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה למוצר הווירטואליזציה של Cisco נותנים מענה לחולשות קריטיות וברמת חומרה גבוהה
עדכון אבטחה למוצרי F5 נותן מענה ל-43 חולשות, בהן אחת קריטית
עדכוני אבטחה של מיקרוסופט נותנים מענה לחולשה ב-Azure המאפשרת לתוקפים להריץ פקודות מרחוק
עדכוני אבטחה של מיקרוסופט נותנים מענה ל-75 חולשות במוצריה, בהן 8 חולשות קריטית ו-2 חולשות Zero-day
עדכוני אבטחה למוצרי Avast ו-AVG נותנים מענה לשתי חולשות ברמת חומרה גבוהה
עדכון אבטחה ל-Google Chrome נותן מענה ל-8 חולשות ברמת חומרה גבוהה
עדכוני אבטחה למוצרי Intel נותנים מענה לחולשות ברמת חומרה גבוהה
עדכון ל-Foxit Reader נותן מענה לבאג בתוכנה החושף משתמשים למתקפות RCE

התקפות ואיומים

יכולות חדשות לרשת הפצת הנוזקות SocGholish
עלייתם של ה-E-commerce Card Skimmers
חסר תקדים: חוקרים מחברת Kaspersky גילו נוזקה ״בלתי נראית״
(לא) נעים להכיר: BPFDoor, ה״חמקן״ הסיני

השבוע בכופרה

ארה״ב: מכללה תסגר לצמיתות בעקבות מתקפת כופרה; מכללה נוספת מצויה בעיצומו של אירוע סייבר

המלחמה במזרח אירופה

אוקראינה ובעלות בריתה חוות מתקפות סייבר מסוג Wiper
על רקע המלחמה באוקראינה: עלייה במתקפות פישינג ובתקיפות של תשתיות קריטיות
האקרים פרצו לשידורי "מצעד הניצחון" הרוסי
כוחות רוסים משתלטים על תשתית האינטרנט האוקראינית בדונבאס
ירידה במספרן של מתקפות כופרה עקב הסנקציות שהוטלו על רוסיה

סייבר בעולם

עדכון נוסף של CISA ל״קטלוג החולשות המנוצלות הידועות״
אפליקציית הדואר האלקטרוני של Apple חוסמת את האפשרות למעקב אחר מיילים בכל מוצריה
ארה״ב מייחסת לממשלת רוסיה מתקפות סייבר על רשתות לווייניות ומפרסמת המלצות התגוננות
ה-CISA פרסמה אזהרה ושורת המלצות לנותני שירותים מנוהלים
ה-NIST מעדכן את מסמך ניהול הסיכונים של שרשראות אספקה
קוסטה ריקה: מצב חירום לאומי הוכרז במדינה בעקבות מתקפת סייבר על הממשלה

סייבר בישראל

ללא הישגים משמעותיים: ClearSky מציגה מסמך המסכם את פעילות קבוצות התקיפה ב״יום ירושלים האיראני״
דרמה בנתב״ג: תמונות של מטוסים מרוסקים נשלחו לנוסעים לפני ההמראה
סיכום פעילות קמפיין OPJerusalem במסגרת ״יום ירושלים האיראני״

סייבר ופרטיות - רגולציה ותקינה

ה-CISA מפרסמת דוח אודות סיכוני סייבר למפעילי שירותים מנוהלים (MSP)
משרד האוצר האמריקאי מטיל סנקציות על מערבל המטבעות הווירטואלי Blender

כנסים

 
 

הציטוט השבועי

״תמונת המצב המודיעינית לשנת 2020 העלתה כי המרשתת היא מרחב שבו אין למדינה שליטה, ובתחומו היא אינה מצליחה להגן על האינטרסים הביטחוניים והכלכליים שלה ושל תושביה, לרבות בהיבט הביטחון האישי והפרטיות.״ 

דוח מבקר המדינה, טיפול מערכת אכיפת החוק בעבריינות במרחב המקוון, מאי 2022.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה למוצר הווירטואליזציה של Cisco נותנים מענה לחולשות קריטיות וברמת חומרה גבוהה 

העדכונים רלוונטיים למוצר Cisco Enterprise NFV Infrastructure Software, המבוסס על פלטפורמת Linux ונועד לעזור לארגונים ולספקי שירות לבצע פריסה דינמית של שירותים כגון נתב וירטואלי, חומת אש ומכונות וירטואליות. החולשות שנמצאו עלולות לאפשר לתוקף לצאת ממכונה וירטואלית אל המחשב המארח אותה ולהריץ פקודות בהשראות הגבוהות ביותר (Root) או להדליף מידע מן המחשב המארח אל תוך המכונה הווירטואלית. להלן פרטים על החולשות שנסגרו בעדכון:

א. חולשה קריטית (CVE-2022-20777, CVSS 9.9) שמקורה בהיעדר מגבלות על הרשאות המכונה הווירטואלית בתוך המכונה המארחת. החולשה מאפשרת שליחה של קריאות API שיתבצעו עם הרשאות המערכת על המחשב המארח.

ב. חולשה ברמת חומרה גבוהה (CVE-2022-20779, CVSS 8.8) שמקורה באימות קלט שאינו תקין. החולשה מאפשרת לתוקף לשכנע אדמין להתקין מכונה וירטואלית עם נתונים מוכנים מראש, אשר יבצעו פקודות על המחשב המארח עם הרשאות המערכת.

ג. חולשה ברמת חומרה גבוהה (CVE-2022-20780, CVSS 7.4) שמקורה בהגדרה שגויה של מנתח ה-XML,  באופן המאפשר ייחוס לנכס חיצוני המעובד על ידי המנתח. החולשה מאפשרת לתוקף לשכנע אדמין לייבא קובץ בעל מבנה XML שיקרא את הנתונים מהמחשב המארח ויכתוב אותם בתוך המכונה הווירטואלית. ניצול מוצלח של החולשה יאפשר לתוקף לגשת למידע שנמצא על המחשב המארח.

Cisco פרסמה עדכוני תוכנה לטיפול בחולשות בגרסה 4.7.1 של המוצר וקודמותיה. לדברי החברה, אין דרכים לעקוף את החולשות ללא עדכון הגרסה. עוד נמסר כי לא התקבלו כל פניות המעידות על ניצול החולשות לרעה.

צוות קונפידס ממליץ לבעלי המוצר לעדכנו לגרסתו האחרונה.


עדכון אבטחה למוצרי F5 נותן מענה ל-43 חולשות, בהן אחת קריטית

מרבית החולשות שנסגרו בעדכון רלוונטיות לגרסאותיהם השונות של מוצרי BIG-IP, כאשר ניצול החולשה הקריטית (CVE-2022-1388, CVSS 9.8) עלול לאפשר לתוקף בעל גישה למוצרים ברמת הרשת לעקוף את מנגנון האימות ולהריץ עליהם פקודות בהרשאות גבוהות. דבריהם של חוקרי אבטחה מחברת Horizon3, לפיהם צפויה עלייה בניצול החולשה מאחר ש-F5 מציעה דרכים נוספות להתמגנות מפניה מלבד הטמעת עדכון החומרה, הם בגדר רמז עבה למקור החולשה. מספר ימים לאחר פרסום החולשה הקריטית, מקורות רבים מדווחים שהיא משמשת תוקפים לא רק על מנת להניח Web shell לצורך גישה לרשת, גניבת מפתחות SSH וקבלת מידע אודות מערכת הקורבן, אלא גם בכדי למחוק כליל את כל הקבצים הנמצאים על מערכת ה-Linux של מוצרי ה-BIG-IP, לרבות קובצי קונפיגורציה החיוניים לפעילותה התקינה של המערכת. יש לציין שהיקף המתקפה אינו רחב, בשל העובדה שתוקפים מעדיפים לקבל תמורה מפריצה למכשירים על פני גרימת נזק בלבד.

צוות קונפידס ממליץ למשתמשי המוצרים להטמיע את עדכוני האבטחה בהקדם האפשרי, גם אם מדובר בשדרוג גרסה, תוך הימנעות מחשיפתו של ממשק ניהול המוצר לרשת. אם לא ניתן להטמיע את העדכונים במהרה, מומלץ לנקוט בדרכי התגוננות אחרות שהציע היצרן.


עדכוני אבטחה של מיקרוסופט נותנים מענה לחולשה ב-Azure המאפשרת לתוקפים להריץ פקודות מרחוק

העדכונים רלוונטיים ל-Azure Synapse Analytics ול-Azure Data Factory, וסוגרים חולשה (CVE-2022-29972) העלולה לאפשר לתוקף לחדור לענן דרך ממשק האינטגרציה ובכך לשלוט בסביבת העבודה של הקורבן ולהדליף ממנה נתונים רגישים, לרבות סיסמאות. אפשרות חדירה זו אינה מוגבלת ל-Tenants שאליהם יש גישה, וניתן להרחיבה לסביבות של לקוחות אחרים של מיקרוסופט. לקוחות המשתמשים בשירותי ה-SaaS של מיקרוסופט אינם מצויים בסכנה, בעוד שלקוחות המשתמשים ב-Self-Hosted שאינו מוגדר לביצוע עדכונים אוטומטיים נקראים לעדכן את ה-Microsoft Integration Runtime לגרסה 5.17.8154.2.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסה זו, ולהגדיר את סביבת העבודה של ה-Synapse כך שתנוהל על בסיס רשת וירטואלית, המספקת יכולות אבטחתיות גבוהות יותר.


עדכוני אבטחה של מיקרוסופט נותנים מענה ל-75 חולשות במוצריה, בהן 8 חולשות קריטית ו-2 חולשות Zero-day 

בין החולשות שתוקנו בעדכון החודשי של החברה מצויות שתיים (CVE-2022-22012, CVSS 9.8; CVE-2022-29130, CVSS 9.8) המייצגות חולשה בשירות ה-LDAP של היצרנית. עוד נסגרו בעדכון שתי חולשות Zero-day, האחת (CVE-2022-26925, CVSS 8.1) במנגנון ה-LSA (בו משתמשות אפליקציות לאימות והתחברות משתמש במערכת מקומית, וכן ליצירת וקריאת חבילות אימות ואבטחה), והשנייה (CVE-2022-22713, CVSS 5.1) ב-Windows Hyper-V. חולשה זו עלולה לאפשר לתוקף להשבית את השרת המארח את המכונות הווירטואליות.

צוות קונפידס ממליץ למשתמשים במוצרי מיקרוסופט לעדכנם בהתאם לרשימת העדכונים של היצרנית.


עדכוני אבטחה למוצרי Avast ו-AVG נותנים מענה לשתי חולשות ברמת חומרה גבוהה 

שתי החולשות (CVE-2022-26522, CVE-2022-265239) שהתגלו במוצרים, אשר היו קיימות בהם מזה שנים, עלולות לאפשר לתוקף לגשת למערכת ההפעלה של הקורבן ולבצע בה פעולות זדוניות, כל זאת ללא הרשאות אדמין. מקור החולשות הינו בקבצי אנטי-וירוס במערכת ההפעלה, שאת הקוד שלהם יכול התוקף לשנות. בכך מתאפשר לתוקף לשנות את אופי הסריקה אחר קבצים ותוכנות זדוניים ולגרום לקבצים ערכיים להראות זדוניים בסריקת האנטי-וירוס, מה שעלול להביא לקריסת מערכת ההפעלה של הקורבן, ואולי אף להשמדתה. להלן דוגמה להתראת מערכת זדונית מסוג זה.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם האפשרי לגרסה 22.2.

(מקור: 5.5.22 ,SentinelOne)

עדכון אבטחה ל-Google Chrome נותן מענה ל-8 חולשות ברמת חומרה גבוהה

העדכון, שפורסם ב-10 במאי, סוגר בדפדפן 7 חולשות מסוג Use-After-Free, שמקורן בשימוש שגוי בזיכרון הדינמי בעת פעילות התוכנה, באופן שאינו מוחק כראוי את המצביע (Pointer) אל האזור בו עושה הזיכרון שימוש. הדבר עלול לאפשר לתוקף לפרוץ את התוכנה. חולשה נוספת שנסגרת בעדכון היא מסוג Heap buffer overflow.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסה 101.0.4951.64 בכל מערכות ההפעלה הנתמכות - Windows ,Mac ו-Linux.

עדכוני אבטחה למוצרי Intel נותנים מענה לחולשות ברמת חומרה גבוהה

מקור החולשות בבאג שהתגלה לפני כשנה במוצרים Optane SSD ו-Optane Data Center, והן נסגרות בעדכוני הקושחה שפורסמו. החולשות עלולות לאפשר העלאת הרשאות (CVE-2021-33078, CVSS 7.9), מתקפת DoS/ מניעת שירות (CVE-2021-33077, CVSS 7.3) וחשיפת מידע (CVE-2021-33080, CVSS 7.3), והן רלוונטיות למוצרים הבאים:

  • Intel® Optane™ SSD DC D4800X - כל הגרסאות.

  • Intel® Optane™ SSD DC P4800X/P4801X Series - גרסאות הקודמות ל-E2010600.

  • Intel® Optane™ SSD P5800X Series - גרסאות הקודמות ל-L3010200.

  • Intel® Optane™ SSD 905P/900P - כל הגרסאות.

  • Intel® Optane Memory H10 with Solid State Storage - כל הגרסאות.

  • Intel® Optane Memory H20 with Solid State Storage - כל הגרסאות.

זאת ועוד, העדכונים נותנים מענה ל-5 חולשות נוספות, ברמת חומרה בינונית.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם בהתאם להוראות היצרן.


עדכון ל-Foxit Reader נותן מענה לבאג בתוכנה החושף משתמשים למתקפות RCE

ניצולה של החולשה (CVE-2021-21822, CVSS 7.8) מסוג Use-After-Free, שמקורה במנוע ה-JavaScript בגרסה 10.1.3.37598 של תוכנת ה-PDF Reader ואשר התגלתה על ידי אלכסנדר ניקוליק מצוות Cisco Talos, עלול להוביל לתוצאות שונות, מקריסת התוכנה ועד לשיבוש מידע, כל זאת על ידי הזרקת קוד אל תוך תאי זיכרון שאינם מנוהלים כראוי על ידי ה-PDF Reader. החולשה מאפשרת לקובץ PDF זדוני המורץ במכונה לבצע שימוש חוזר במקום בזכרון שמתפנה ואינו מנוהל כראוי על ידי התוכנה, ובכך להוביל להרצת קוד שרירותי על המערכת הנתקפת.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם על פי הנחיות היצרן.

התקפות ואיומים

יכולות חדשות לרשת הפצת הנוזקות SocGholish 

מדוח ניתוח האיומים של Microsoft Defender for Endpoint עולה ש-SocGholish משדרגת את שיטת ההפצה והיכולות שלה על ידי הכנסת תשתית C2 חדשה כמעט מדי חודש, ובאמצעות דרכים חדשות לפריסת Cobalt Strike ושימוש בכלים ציבוריים לביצוע Credential Dumping. בחודש פברואר השנה נצפה שינוי באופן הורדת הכלי Cobalt Strike, על ידי שימוש בסקריפט PowerShell במקום בקובץ PE, כאשר ה-Payload הסופי הינו הורדת הכופרה LockBit. מיקרוסופט עדכנה את דוח ניתוח האיומים של Defender for Endpoint על SocGholish, כך שיכלול את ה-TTPs החדשים ויאפשר ללקוחותיה לקבוע את השפעת האיום על הרשת שלהם ולאתר אובייקטים המזוהים עם התנהגות התוקפים.


עלייתם של ה-E-commerce Card Skimmers

מחקר חדש של DomainTools חושף שיטה לגניבת פרטי כרטיסי אשראי, התופסת תאוצה בקרב פושעי סייבר. באופן ספציפי, החוקרים התמקדו בקבוצה רוסית המכונה CaramelCorp, שפועלת לפי עקרון פשוט למדי, המבוסס על קטע קוד של JavaScript שעובר ערפול (Obfuscation), בצורה העוקפת מנגנוני הגנה כמו חומת אש של אפליקציות ווביות (WAF). קוד זה מוטמע באתרי E-commerce לגיטימיים ללא ידיעת בעליהם, וכאשר משתמש מבקש לבצע רכישה באתר ומזין בו את פרטיו, הם נשלחים לשרת התוקפים ומאותו רגע עומדים לרשותם. קבוצת הפשיעה CaramelCorp פועלת בשיטת ה-Skimmer-as-a-Service, כאשר היא מוכרת גישה לקוד למשך כל החיים עבור סכום של 2,000 דולר, כל זאת לגורמים רוסים בלבד (לאחר בדיקת רקע). הקוד נמסר ללקוחות לצד הנחיות להוספת הסקריפט ולביצוע הערפול, ודגשים נוספים למניעת חשיפת קיומו של הקוד הזדוני. עוד מקבלים הלקוחות גישה לפורטל ניהול למעקב אחר פרטים שנגנבו ואחר קמפייני התקיפה שביצעו.


חסר תקדים: חוקרים מחברת Kaspersky גילו נוזקה ״בלתי נראית״

בפברואר 2022 איתרו חוקרי Securelist מבית Kaspersky פעילות של קבוצת תקיפה שטרם זוהתה, ואשר הדהימה את החוקרים: לראשונה, הם חזו בנוזקה המאחסנת את קוד המקור שלה בתוך לוגי המערכת, או ליתר דיוק - ב-Event logs של ה-Windows. במסגרת פעילות זו, הדבקתה הראשונית של עמדת הקורבן התרחשה לאחר שהקורבן הוריד קובץ RAR ופתח אותו בעצמו, מה שהוביל להורדת ה-Dropper אל המכונה, בנוסף לכלים Cobalt Strike ו-SilentBreak, אשר עברו הצפנה וקומפילציה כדי להימנע מגילוי. נוסף לשיטות ההסוואה בהן נקטו התוקפים, Cobalt Strike נחתמה בחתימות שונות בכל פעם, כולן לא-תקינות. באמצעות הכלים הללו הוזרק קוד הנוזקה אל תוך ה-Event logs של ה-Windows, מה שסייע לנוזקה להימנע מהשארת עקבות על מכשיר הקורבן, ואף לקבל את התואר ״Fileless". כדי למנוע את זיהוי קוד הנוזקה, הקוד מחולק לבלוקים בני 8KB, אשר נשמרים בחלק הבינארי של הלוגים. לאחר מכן, ה-Dropper נעזר ב-Launcher שהוא מכניס למערכת על מנת לאחד את כל בלוקי הקוד לקובץ אחד, אותו הוא מריץ. קובץ זה הוא טרויאני הנשלט באמצעות העברת פקודות דרך תקשורת ב-HTTP ושימוש ב-Named pipes. השימוש בלוגים של מערכת ההפעלה להסתרת הנוזקה הוא מקרה ״שלא נראה קודם לכן״, לדברי Kaspersky, מה שמרמז על היותו של התוקף בעל משאבים. עוד אמרו החוקרים כי הם ממליצים להוסיף את הטכניקה שהתגלתה ל״קטלוג הטכניקות״ של ה-MITRE.


(לא) נעים להכיר: BPFDoor, ה״חמקן״ הסיני 

בדוח אבטחת הסייבר השנתי של חברת PwC תועד כלי הריגול הסיני המתוחכם, הפועל בקנה מידה עולמי ומשויך לקבוצת התקיפה Red Menshen, המיוחסת לסין, ואשר הפעילה את הכלי נגד ארגונים רבים במזרח התיכון ובאסיה המשתייכים למגזרי הממשל, החינוך, הלוגיסטיקה ואחרים. ה-BPFDoor מאפשר לתוקף להריץ קוד מרחוק על מערכת הקורבן תוך שימוש בחיבורים קיימים בלבד, והוא נשלט על ידי ממשק הדורש חיבור באמצעות סיסמה ומאפשר לתוקף לבצע מגוון פעולות, בהן הרצת הקוד. מכיוון שהכלי אינו פותח חיבורים חדשים, ומכיוון שהוא משנה את שם התהליך שתחתיו הוא פועל לשם שנראה לגיטימי, קשה מאוד לזהותו. הכלי, אשר בעת תקשורתו (Inbound) עם שרת התוקפים המרוחק (C2) תומך במגוון פרוטוקולים (TCP, UDP ו-ICMP), משמש להדבקת ציוד הקורבן בנוזקה באמצעות דלת אחורית ולהנחת כלים נוספים שמאפרים לתוקפים לנוע רוחבית ברשת. העובדה שפעילותו של BPFDoor בעמדות הנגועות נצפתה בעיקר בשעות העבודה מחזקת את ההשערה שמדובר בכלי ריגול. עוד זיהו החוקרים כי קבוצת התקיפה שולחת פקודות לכלים הפרוסים ברחבי העולם באמצעות שרתים פרטיים המתארחים אצל ספקים ידועים ומנוהלים בעזרת נתבים פרוצים שנמצאים בטייוואן ומשמשים כמנהרות VPN. כמו כן, בבדיקה באתר VirusTotal לא נמצא שום גורם המתריע על הכלי כנוזקה. נכון לשעה זו סופקו שני אינדיקטורים (IOCs) לזיהוי הכלי, הראשון הוא YARA rules המבצעים ניתוח שמתבסס על התנהגותו, והשני הוא הופעה של שמות ספציפיים בתיקיית dev/shm, כגון dev/shm/kdmtmpflush, המעידים על נוכחות הכלי בעמדה.

השבוע בכופרה

ארה״ב: מכללה תסגר לצמיתות בעקבות מתקפת כופרה; מכללה נוספת מצויה בעיצומו של אירוע סייבר

מכללת לינקולן שבמדינת אילינוי תיסגר לאחר 157 שנות פעילות, כשמתקפת כופרה נועצת את המסמר האחרון בארונה. במהלך יותר מ-15 עשורי פעילות התמודדה מכללת לינקולן עם אתגרים רבים, בהם המשבר הכלכלי ב-1887, שריפה גדולה שפרצה בקמפוס ב-1912, מגפת השפעת הספרדית ב-1918, מלחמת העולם השנייה, המשבר הפיננסי ב-2008 ועוד. ואולם לאחר ששרדה את כל אלה, ההכרעה לסגור את דלתותיה באופן סופי נפלה בעקבות מגפת הקורונה ומתקפת כופרה שחוותה בדצמבר 2021. בעקבות מתקפה זו, שמאחוריה עמדו גורמים איראניים, שילמה המכללה כ-100,000 דולר על מנת לשחזר את מערכותיה, ופעילותה האקדמית שובשה, לרבות תהליכי הקבלה למוסד, פעילות מערכות השימור והגיוס של תלמידים וכספים והגישה לנתונים המוסדיים. השיבושים הקשים יצרו חוסר ודאות בנוגע לצפי ההרשמה לסמסטר סתיו 2022, אך במהלך המתקפה לא נחשפו פרטים מזהים אישיים והמכללה הצליחה לשוב לפעילות מלאה בחודש מרץ השנה. ואולם, השבתת המערכות הביאה להרשמה דלה של תלמידים חדשים, דבר אשר מנע את המשך פעילות המכללה ללא סיוע כספי. בתוך כך, ב-6 במאי הודיעה מכללת Coastal Georgia בעמוד הפייסבוק שלה כי היא נמצאת בעיצומו של אירוע סייבר. שירותים נרחבים של המוסד חדלו להיות זמינים, לרבות שירות המייל, מערכת הטלפוניה, הפורטל האקדמי ויישומי Office 365, והסטודנטים אינם יכולים להגיש עבודות גמר, לשלוח מיילים למרצים ולבצע פעולות רבות נוספות. בשלב זה אין פרטים נוספים אודות המתקפה, אך המכללה עומלת במרץ על מנת לשוב לפעילות מלאה, ומעדכנת מעת לעת בעמוד הפייסבוק שלה ובאתר המכללה אודות ערוצים שחזרו לפעול.

המלחמה במזרח אירופה

 
 

אוקראינה ובעלות בריתה חוות מתקפות סייבר מסוג Wiper 

מטרתן של מתקפות Wiper, או ״ניגוב נתונים״, היא גרימת הרס ו/או שיבוש מערכות מחשוב על ידי השמדת המידע המאוחסן בהן, בין היתר על ידי מחיקת קבצי מפתח מכונני הדרייב או פירוק והפרדת קבצים בכונן על מנת להקשות על שחזורם. לעתים, לאחר מחיקת המידע ישלחו התוקפים דרישת כופר בניסיון לגזור רווח כספי ו/או להסוות את מטרת התקיפה. מאז פרצה המלחמה בין רוסיה לאוקראינה, חוו המדינה הנתקפת ובעלות בריתה מתקפות סייבר רבות מסוג זה, שהתמקדו בעיקר במוסדות מדיניים ובחברות פרטיות, בהם ממשלת אוקראינה, הבנק האוקראיני, חברות חשמל, חברות אינטרנט ועוד. המתקפות גרמו לשיבושים רבים בתפעול ובגישה לנכסים. בצילום המסך שלהלן מופיע מכתב כופר שנשלח במסגרת האירועים, על אף שבפועל לא ניתן לשחזר את הקבצים שנמחקו.

למזעור נזקיהן של מתקפות Wiper, מומלצות הפעולות הבאות:

  1. עדכון שוטף של מערכות המחשב והאפליקציות בהן נעשה שימוש בארגון.

  2. יצירת גיבויים ונהלי גיבויים קבועים של קבצי המידע בכלל המערכות החיוניות בארגון.

  3. הגדרת היררכיה של הרשאות משתמשים בגישה למאגרי המידע המשותפים של הארגון.

  4. יצירת נהלים ושיטות עבודה להתמודדות והתאוששות מאירועי סייבר.

  5. הגדרת ארכיטקטורת רשת שבה עמדות הקצה יתקשרו רק עם שירותי רשת מרכזיים ולא ישירות זו עם זו.

  6. הטמעת כלי הגנה וניטור מערכות בזמן אמת.

(מקור: AT&T Cybersecurity, 2.5.22)

על רקע המלחמה באוקראינה: עלייה במתקפות פישינג ובתקיפות של תשתיות קריטיות 

במסגרת הניטור הקבוע שמבצע ה-TAG, צוות ניתוח האיומים של Google, נרשמה עלייה מתמדת בפעילותם של גורמי איום המשתמשים במלחמת רוסיה-אוקראינה כפיתיון בקמפייני פישיניג והפצת נוזקות. עוד נרשמה עלייה בתקיפת תשתיות קריטיות, לרבות גז ונפט, תקשורת ותשתיות ייצור. קבוצות התקיפה העומדות מאחורי ההסלמה במתקפות הן כאלה הפועלות בחסות ממשלות, בהן סין, איראן, קוריאה הצפונית ורוסיה, לצד קבוצות פרטיות המנצלות את המצב לגזירת רווח כלכלי. בדוח של ה-TAG מפורטת הפעילות שאותרה במסגרת כל קמפיין, לצד זהות התוקפים:

א. APT28 (או Fancy Bear) - קבוצת התקיפה, המשויכת למנהל הראשי של המטה הכללי הרוסי (GRU, שירות הריגול הרוסי), הפעילה נגד משתמשים באוקראינה קמפיין שהתבסס על נוזקה חדשה, אשר הופצה במייל שאליו צורף קובץ ZIP המוגן בסיסמה (ua_report.zip). הקובץ הינו קובץ הרצה מסוג NET., אשר ברגע הפעלתו גונב עוגיות וסיסמאות השמורות בדפדפני Chrome ,Edge ו-Firefox.

דוגמאות לקבצים בהם נעשה שימוש בקמפיין:

710faabf217a5cd3431670558603a45edb1e01970f2a8710514c2cc3dd8c2424

39d242660c6d5dbe97d5725bbfed0f583344d18840ccd902fffdd71af12e20ec

ב. Turla - קבוצת התקיפה, המשויכת לשירות הביטחון הפדרלי הרוסי (FSB), הפעילה נגד ארגוני אבטחת סייבר באזור הבלטי קמפיין שהתבסס על שליחת קישור ייחודי במייל, שהוביל לקובץ DOCX אשר אוחסן בדומיין שבשליטת התוקפים. לאחר פתיחתו, הקובץ מנסה להוריד קובץ PNG מדומיין זדוני.

דוגמאות לדומיינים שבשימוש התוקפים:
Wkoinfo.webredirect[.]org
Jadlactnato.webredirect[.]org

COLDRIVER - תוקף הממוקם ברוסיה, שהשתמש בחשבון Gmail על מנת לשלוח מיילי פישינג לצרכי ״אימות״, לשם גניבת פרטי התחברות. הקמפיין כוון נגד פוליטיקאים, עיתונאים ואנשי ממשל וביטחון, והתאפיין בשיטות תקיפה שונות, בהן שליחת לינקים ישירות למייל וקישורים למסמכי PDF ו-DOC המאוחסנים בשרתי Google Drive ו-Microsoft OneDrive. דוגמאות לדומיינים של COLDRIVER, אשר נחסמו לאחרונה בשירות ה-Google Safe Browsing:

cache-dns[.]com
docs-shared[.]com
documents-forwarding[.]com
documents-preview[.]com
protection-link[.]online
webresources[.]live

ג. Ghostwriter -  תוקף הממוקם בבלארוס, שמבצע תקיפות פישינג לצורך גניבת פרטי זיהוי לחשבונות Google ופייסבוק. קמפיין התקיפה התמקד בבכירים אוקראינים בתפקידי מפתח וכלל הפצה של קישור שהוביל לאתר בו אוחסן העמוד הראשון של קמפיין הפישינג. עם לחיצת הקורבן על כפתור ה-Continue, הוא הובל לאתר שנשלט על ידי התוקף, בו נאספו פרטי הכניסה של המשתמש. דוגמאות לדומיינים ומיילים של Ghostwriter:

noreply.accountsverify[.]top
microsoftonline.email-verify[.]top
lt-microsoftgroup.serure-email[.]online
facebook.com-validation[.]top
lt-meta.com-verification[.]top
lt-facebook.com-verification[.]top
secure@facebookgroup[.]lt
ד. Curious Gorge - קבוצת תקיפה המשויכת על ידי ה-TAG לצבא סין (PLA SSF) ופעילה נגד מטרות צבאיות ולוגיסטיות ומפעלי ייצור באוקראינה, ברוסיה ובמרכז אסיה.

Google חסמה את האתרים והדומיינים החשודים על מנת להגן על משתמשים, והיא ממליצה להפעיל גלישה בטוחה ברמת חשבון ה-Google ולוודא כי כלל המכשירים שברשות המשתמשים מעודכנים.


האקרים פרצו לשידורי "מצעד הניצחון" הרוסי

הפריצה לשידורי הטלוויזיה הרוסית התרחשה במהלך השידור השנתי של חגיגת הניצחון הרוסית על גרמניה הנאצית, הכוללת תהלוכה צבאית בכיכר האדומה במוסקבה בהשתתפות אלפי חיילים, ותצוגה של יכולות הצבא הרוסי, לרבות טנקים, טילים ונשק גרעיני. בזמן הפריצה, שהשפיעה על השידורים במספר ערוצים המופעלים על ידי NTV Plus, Rostelecom ,Wink ו-MTS, הוקרנה לצופים ההודעה ״דמם של אלפי אוקראינים וילדיהם נמצא על ידיכם. הטלוויזיה והרשויות משקרות, אמרו לא למלחמה״. המתקפה התרחשה עת נאם נשיא רוסיה ולדימיר פוטין ואמר כי המלחמה באוקראינה היתה הכרחית, וכי המערב ״מתכונן לפלישה לאדמתנו״. להלן תמונה מתוך שידורי הטלוויזיה בעת הפריצה.

 

 

 

 

 


 

(מקור: East2West, דרך The Sun, 9.5,22)

כוחות רוסים משתלטים על תשתית האינטרנט האוקראינית בדונבאס

הכוחות ניתבו מחדש את תעבורת הרשת למפעילים שבשליטת רוסיה, ובכך חשפו נתונים של אוקראינים ליירוט ולצנזורה על ידי הקרמלין. פעולות אלה הדאיגו מומחי משילות באינטרנט, לאור שאיפותיה הגלויות של רוסיה להקים רשת אינטרנט מרכזית ריבונית ונשלטת, אשר תאפשר זרימת תעבורת אינטרנט מאזוריה הנצורים של דונבאס ותספק לרוסיה גישה לשלל נתונים אישיים של אזרחים אוקראינים. לדברי יורי שצ'יחול, ראש השירות הממלכתי לתקשורת והגנת מידע מיוחד של אוקראינה, תעבורת האינטרנט ברוסיה מוסדרת על ידי כוחות רוסים, שאוספים נתונים ומאתרים את אלה שמצביעים על תמיכה באוקראינה. אלפי ספקי הרשת המרכיבים ביחד את ״האינטרנט של אוקראינה״, כמויות ה-Redundancy הגדולות במערכת ומאמציהם של צוותי חברות הטלקום ואזרחים לתיקון סיבים פגומים, כבלים אופטיים ומגדלי שירות - הפכו את הרשת לעמידה בפני המתקפה הרוסית משך חודשיים. אלא שבשבועות האחרונים, מתקפה מאסיבית במיקום ממוקד דחפה את חוסנן של המערכות לנקודת שבירה, כאשר שלוש מספקיות האינטרנט הגדולות באוקראינה רשמו נזק חמור לתשתיות האינטרנט שלהן, ובעקבותיו ירידה דרסטית בכיסוי הרשת בדונבאס. Kyivstar, ספקית הפס הרחב והסלולר הגדולה ביותר באוקראינה, מסוגלת כעת לספק קישוריות רק לרבע מהמשתמשים להם סיפקה שירות לפני המתקפה הרוסית בדונייצק, ול-10% בלבד מהמשתמשים בלוהנסק. לקבוצת הטלקום Ukrtelecom לא נותרה קישוריות בלוהנסק, בעוד ש״יריבתה״ Lifecell רושמת כ-9% קישוריות בלוהנסק ו-66% בדונייצק. הפקעת תשתיות האינטרנט בדונבאס היא חלק מצעד רחב יותר ל"רוסיפיקציה" של שטחים שנכבשו לאחרונה בדרום אוקראינה, ומהווה מהלך מרכזי ב"העברת הנכסים לכוחות הרוסים", כך לדברי אלפ טוקר, מנהל NetBlocks, חברה המהווה ״כלב שמירה״ המנטר את אבטחת הסייבר ואת משילות האינטרנט. "ללא ספק, זוהי רק ההתחלה", הוסיף טוקר.

ירידה במספרן של מתקפות כופרה עקב הסנקציות שהוטלו על רוסיה

באירוע שנתי של המרכז הלאומי הבריטי לאבטחת סייבר (NCSC) שהתקיים השבוע בוויילס, אמר ראש אבטחת הסייבר בסוכנות האמריקאית לביטחון לאומי (NSA) רוב ג׳ויס, כי ״בחודשיים האחרונים אנו רואים ירידה בשימוש בכופרה מסיבות רבות, אך אני מאמין שאחד הגורמים המשמעותיים לכך הוא השפעות המלחמה באוקראינה״. עוד הוסיף כי ״ככל שאנו ממשיכים בהטלת סנקציות, קשה יותר להעביר כספים ממקום למקום ולקנות תשתיות מחשוב ברשת -  מה שמוריד מיעילותן של קבוצות התקיפה.״

סייבר בעולם

 
 

עדכון נוסף של CISA ל״קטלוג החולשות המנוצלות הידועות״

הסוכנות האמריקאית להגנת סייבר ותשתיות הוסיפה 5 חולשות חדשות לקטלוג שהיא מנהלת, זאת בהמשך ל-95 החולשות שנוספו לו בחודש מרץ (ראו ״הסייבר״, 10.3.22) ול-4 החולשות שנוספו לו באפריל (ראו ״הסייבר״,07.4.22). 5 החולשות החדשות, שנוספו לקטלוג על פי מידע מבוסס ועדויות לניצולן על ידי קבוצות תקיפה, הן שתי חולשות (CVE-2014-4113, CVSS 7.2; CVE-2014-3044, CVSS 9.3) במוצרי מיקרוסופט, שתי חולשות (CVE-2021–1789, CVSS 8.8; CVE-2019-8506, CVSS 8.8)  במוצרי Apple וחולשה (CVE-2014-0160, CVSS 7.5)  ב-OpenSSL. על אף פי שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לעשות זאת על מנת לצמצם את חשיפתו לתקיפות סייבר, שכן תוקפים מרבים לנצל חולשות אלה למטרת חדירה לאירגונים.


אפליקציית הדואר האלקטרוני של Apple חוסמת את האפשרות למעקב אחר מיילים בכל מוצריה 

העדכון שפרסמה החברה לאפליקציית הדואר האלקטרוני המוגדרת כברירת מחדל במוצרים iPad ,iPhone ו-Mac הופך את המעקב אחר מיילים לכמעט בלתי אפשרי. עד כה, ניתן היה לעקוב אחרי מיילים באמצעות תמונה בלתי נראית בעלת פיקסל יחיד ושם קובץ ייחודי, אשר מתקבלת ביחד עם המייל. בכל פעם בה נפתחת התמונה, השרת ממנו הגיעה עוקב אחריה ומזהה מאיזו כתובת IP נפתחה. האופן בו Apple חוסמת כעת את המעקב מתבסס על Caching, כאשר הדואר האלקטרוני של Apple מוריד את ה״תמונה״ לפני שהנמען פותח אותה, כך שלמעשה המייל נקרא לפני שהוא נפתח. מלבד זאת, Apple מנתבת את הורדת המייל דרך שני שרתי Proxy למניעת מעקב מדויק אחר מיקומו של הנמען. העדכון פוגע בעיקר במחלקות השיווק של חברות המפיצות עלונים ופרסומות דרך המייל.

ארה״ב מייחסת לממשלת רוסיה מתקפות סייבר על רשתות לווייניות ומפרסמת המלצות התגוננות

בעקבות מתקפות מניעת שירות (DDoS), מתקפות מחיקת קבצים (Wiper) ומתקפות סייבר רבות נוספות המיוחסות לרוסיה מאז תחילת הפלישה לאוקראינה (ראו ״הסייבר״, 17.3.22), ועל רקע הערכתה של ארצות הברית לפיה בסוף פברואר ביצעה רוסיה תקיפות סייבר נגד לוויינים מסחריים על מנת לשבש את מערכות הדיווח והשליטה של ממשלת אוקראינה בזמן הפלישה, פעולות שהשפיעו גם על מדינות אירופיות אחרות, כעת מפרסמות הסוכנות להגנת סייבר ותשתיות (CISA) ולשכת החקירות הפדרלית (FBI) מסמך ייעוץ משותף, בו הן מסבירות ללקוחות ולספקי שירות כיצד לחזק את הגנות הסייבר ברשתות לווייניות על מנת להתמגן מפני המתקפות הרוסיות. זאת ועוד, ה-CISA פיתחה מנגנונים חדשים לסיוע בזיהוי והתאוששות מתקריות סייבר, והגדילה את התמיכה בתקשורת האוקראינית על ידי אספקת טלפונים לווייניים, מסופי נתונים, ספקי שירותים ומפעילי תשתיות. סוכנויות הביון של ארצות הברית אף משתפות עם אוקראינה מידע אודות איומי סייבר ומעניקות לה סיוע בזיהוי נוזקות ושחזור מערכות, לרבות תמיכה ממשלתית בסך 40 מיליון דולר שהועברו לאוקראינה מאז 2017 למטרות אבטחת מידע ומוכנות סייבר. בתוך כך, ה-CISA משתפת פעולה באופן נרחב עם גורמים בינלאומיים להקשחת הרשתות הקריטיות המשמשות ממשלות ואזרחים, ומעודדת את המגזר הפרטי והציבורי לעיין במסמכי ייעוץ הסייבר הבאים: Protecting VSAT Communications , CISA Shields Up, Russia Updates. עוד ממליצה הסוכנות לבחור בסיסמאות מורכבות, להפחית את כמות המשתמשים בעלי הרשאות גבוהות במערכת, לבצע עדכוני גרסאות למוצרים, להגביר את ניטור הפרוטוקולים TELNET ,FTP ,SCP ו-SSH, ליצור, לתחזק ולתרגל תכנית תגובה לאירוע סייבר ועוד.

ה-CISA פרסמה אזהרה ושורת המלצות לנותני שירותים מנוהלים

הפרסום, המשותף לסוכנות האמריקאית להגנת סייבר ותשתיות ולגופי אבטחת מידע רבים נוספים, מגיע על רקע דיווחים על פריצות לרשתותיהם של נותני שירותים מנוהלים (MSPs) בתחומים שונים, בהם IT, אבטחת מידע, פיתוח תוכנה ועוד. על פי הפרסום, תוקפים עושים שימוש בגישתם של הארגונים האמורים לרשתותיהם של מקבלי השירותים, על מנת לבצע תקיפות מסוגים מגוונים, כגון הדלפת מידע, הפצת כופרה ועוד. המסמך כולל מספר המלצות מהותיות ליישומם של נותני שירות, בהתאם לאופי הפרטני של פעילותם, ואלה עיקרן: א. הקשחת שרתים ומכשירים הפונים החוצה לרשת האינטרנט, בדגש על שרתי VPN, למניעת חדירה ראשונית. ב. הטמעת הגנות מפני מתקפות Brute-force ופישינג. ג. הפעלת מערך ניטור על מערכותיו הפנימיות של הארגון, לזיהוי פעילות חשודה. ד. הפעלת אימות דו-שלבי (2FA) במערכות הארגון. ד. ביצוע סגמנטציה לארכיטקטורת המערכות באופן שיפריד מערכות קריטיות מאחרות, והפעלת בקרות אבטחה רלוונטיות. ה. יישום ה-Principle of Least Privilege, עיקרון לפיו הרשאות וגישה למערכת יינתנו למשתמש רק בהתאם לפעולות שעליו לבצע, ולא מעבר לכך. ו. מעבר תקופתי על מערכות ומשתמשים והסרתם של אלה שאינם פעילים. ז. עדכון המערכות השונות באופן שוטף. ח. ביצוע גיבוי למערכות. ט. פיתוח ותרגול תוכניות לניהול אירועי סייבר ולהשבה לפעילות. י. ניהול סיכוני שרשרת אספקה. כ. פעילות שקופה מול לקוחות ברמת ההסכמים החוזיים. ל. פעולה בהתאם ל-Best Practices בכל הנוגע לניהול סיסמאות.

צוות קונפידס ממליץ לנותני שירותים לקרוא את הפרסום המלא ולוודא את עמידתם בהמלצות ה-CISA.

ה-NIST מעדכן את מסמך ניהול הסיכונים של שרשראות אספקה

שרשרת האספקה מהווה נקודת חולשה בחשיפת ארגונים ולקוחות למתקפות סייבר אפשריות. העדכון שפרסם למסמך ניהול הסיכונים המכון הלאומי האמריקאי לתקנים וטכנולוגיה נועד לעזור לארגונים להתמגן מפני איומים אלה בעת רכישת מוצרים ופתרונות טכנולוגיים. המסמך האמור מציע בקרות מפצות לנהלי אבטחה בארגונים לא רק בעת רכישה או צירוף ספק חדש אל תהליך הפיתוח או העבודה של הארגון, אך והיות וקריאת ויישום ההמלצות המופיעות בו הינם דבר סבוך, הכותבים עובדים כעת על פיתוחו של Quick Start Guide, שיסייע לבעלי תפקיד בארגונים להטמיע את הנהלים וההמלצות בצורה הקלה ביותר.

צוות קונפידס ממליץ לבעלי תפקידים בארגונים לקרוא את המסמך וליישם מתוכו את הרלוונטי לארגוניהם, על מנת לוודא את הימצאותם של נהלים נאותים להבטחת זמינות, שלמות וסודיות המידע בארגון ולאבטחת מערכותיו מפני מתקפות כופרה והרס.

קוסטה ריקה: מצב חירום לאומי הוכרז במדינה בעקבות מתקפת סייבר על הממשלה

ההכרזה על מצב החירום הגיעה מיד לאחר בחירתו של רודריגו צ׳אבס לנשיא המדינה, עקב מתקפה בת שלושה שבועות על מערכות הניהול של הממשלה בניצוחה של קבוצת התקיפה Conti. במסגרת המתקפה, שפגעה בהליכי ניהול הממשלה ובכלכלת אמריקה הלטינית, ביקשה קבוצת התקיפה דמי כופר בסך 10 מיליון דולר, על מנת שלא תדליף את המידע שהשיגה. על פי מקורות שונים, סירובה התקיף של קוסטה ריקה לשם ל-Conti הביא את הקבוצה לפרסם באתר ההדלפות שלה 97% מתוך 672GB של מידע שנגנבו ממערכות הממשלה. מתקפה מסוג זה היא נדירה, והיא חושפת את מלוא עוצמת ההרס הגלום באירוע סייבר, עד כדי השבתת מדינה ומוסדות, נזק לכלכלה ואפילו פגיעה בחיי אדם. בתגובה לאירוע פרסם משרד ההגנה האמריקאי קריאה לסיוע בלכידת אנשי מפתח בקבוצת התקיפה, עם פרס בסך עד 10 מיליון דולר למי שיסייע בכך. Conti אחראית על מאות ואולי אלפי מתקפות בשנתיים האחרונות, כאשר להערכת לשכת החקירות הפדרלית (FBI), מינואר 2022 ביצעה יותר מאלף מתקפות וגרפה תשלומי כופר בסכום המוערך בכ-150 מיליון דולר, דבר ההופך אותה לקבוצה שתקפה את מספר הארגונים הגדול ביותר אי-פעם. חבר בקבוצת Conti המכונה UNC1756 התייחס למתקפה בהודעה בה מסר כי זהו מקרה ״אירוני״ שיכול היה להימנע על ידי תשלום סכום הכופר, וכי המתקפה בוצעה על ידו באופן עצמאי ולא בחסות קבוצה או מדינה. עוד אמר כי בכוונתו לבצע בעתיד מתקפות גדולות יותר. בתמונה להלן מופיעות ההדלפות וההודעה לממשלת קוסטה ריקה.

 

(מקור: דארקנט)

סייבר בישראל

 

ללא הישגים משמעותיים: ClearSky מציגה מסמך המסכם את פעילות קבוצות התקיפה ב״יום ירושלים האיראני״

ממסמך הסיכום שפרסמה חברת המודיעין עולה כי ב״יום ירושלים האיראני״, שחל השנה ב-29 באפריל, בוצעו ופורסמו פעולות האקטיביסטיות נגד אתרים וספקי אירוח של חברות קטנות ובינוניות בישראל. עיקר הפעילות רשומה על שמן של שלוש קבוצות תקיפה: Hackers of Savior, שהינה ככל הנראה איראנית, J.E. Army, המשויכת לחמאס, ו-DragonForce, המשויכת לאינדונזיה או למלזיה. אחת מהפעולות הזדוניות שנטען כי בוצעו נגד חברות ישראליות מתועדת בסרטון ובו פרטים על חדירה, כביכול, למסלקת הכספים הבין-בנקאית הישראלית זה״ב, ואולם נראה כי סרטוני התקיפה ערוכים ואינם משקפים פעילות אותנטית. עוד דווח על חדירה למשתמשי אדמין בכ-200 אתרי אינטרנט של חברות דפוס, על ידי שימוש בסיסמאות גישה ידועות לתוכנת ה-cPanel. את רשימת האתרים המלאה ניתן למצוא בדוח המלא של ClearSky. לסיכום, נראה כי הפעילות שבוצעה במרחב הסייבר במסגרת "יום ירושלים האיראני" לא הצליחה לפגוע במערכות קריטיות ישראליות. בתוך כך, מהדוח עולה כי מתקיימים קשרים הדוקים ושיתוף פעולה בין קבוצות תקיפה איראניות לבין כאלה המשתייכות לארגון החמאס וכאלה שמקורן באינדונזיה ומלזיה. קשר זה כולל שיתוף מידע שהודלף, מועדי פעולה, סרטונים ואתרים שאליהם חדרו, כל זאת במטרה להגביר את אפקט הקמפיינים.

דרמה בנתב״ג: תמונות של מטוסים מרוסקים נשלחו לנוסעים לפני ההמראה

ב-10 במאי עוכבה המראתו של מטוס של חברה טורקית מנמל התעופה בן גוריון, לאחר שנוסעיו החלו לקבל תמונות של מטוסים מרוסקים לטלפונים הניידים שלהם. הנוסעים הודיעו על כך לצוות האוויר, והקברניט החליט להחזיר את המטוס ל״שרוול״, לצורך זיכויו הביטחוני. מדוברות רשות שדות התעופה נמסר כי הארגון מתייחס אל המאורע בחומרה, וכי נקט ב״כל הצעדים הדרושים״ על מנת לוודא שהנוסעים ואנשי הצוות אינם בסכנה. תשעה נוסעים בני 18 מצפון הארץ נעצרו בחשד למעורבות באירוע, כאשר לפי דוברות משטרת ישראל הם נחקרים בחשד לביצוע עבירה משמעותית של הפצת מידע כוזב וגרימת בהלה לציבור. עוד מסרה המשטרה כי לאחר החקירה תיבחן האפשרות לתבוע את העצורים. מערך הסייבר הלאומי התייחס אף הוא לתקרית, והציע למשתמשים להגביל את ההעברה והקבלה של קבצים במכשיריהם לאנשי הקשר שלהם בלבד, ולבטל את חיבור ה-AirDrop (המשמש להעברת קבצים בין מכשירי iOS ו-Mac בטווח קצר על בסיס אינטרנט אלחוטי). המטוס המריא ליעדו באיחור. 

סיכום פעילות קמפיין OPJerusalem במסגרת ״יום ירושלים האיראני״ 

״יום ירושלים האיראני״ מתקיים מדי שנה ביום שישי האחרון של חודש הרמדאן, ומתאפיין בהפגנות ברחבי איראן והרשות הפלסטינית ובפעילות התקפית אנטי-ישראלית במרחב הסייבר (ראו ״הסייבר״, 28.4.22). במסמך שפרסם כעת מערך הסייבר הלאומי מרוכזות התקיפות שבוצעו השנה במהלך קמפיין ה-OPJerusalem. להלן השתלשלות האירועים:
16.4 - קבוצת DragonForce המלזית הצהירה בערוץ Discord ייעודי על כוונתה לבצע מתקפות מניעת שירות (DDoS) על מספר ארגונים, בהם אתרי השב״כ ואוניברסיטת תל אביב. עוד טענה הקבוצה כי פרצה לרשתות לשכת שמאי המקרקעין והפיצה סרטון הממחיש, כביכול, גישה למסד הנתונים של הארגון.
19.4 - קבוצת תקיפה אינדונזית הצהירה בפורום השייך לה על כוונתה לבצע מתקפת DDoS על אתר האינטרנט של צה״ל. 
20.4 - קבוצת ההאקרים העיראקית ALtahrea Team הודיעה כי החלה לתקוף את אתר רשות שדות התעופה (ככל הנראה ניסיון לביצוע מתקפת DDoS).
24.4 - קבוצת ההאקרים האיראנית Hackers Of Savior הודיעה על הקמת ערוץ גיבוי חדש בטלגרם.
25.4 - קבוצת Hackers Of Savior פרסמה סרטון הממחיש, כביכול, גישה למאגרי מידע של בנקים בישראל, אך חוקרי סייבר מצאו שהסרטון ערוך ואינו מקורי. עוד הפיצה הקבוצה איומים לפיהם תתקוף מטרות נוספות במסגרת הקמפיין.
27.4 - קבוצת J.E. Army (״צבא ירושלים״), המשויכת לארגון החמאס, הצהירה כי הצליחה לחדור לתשתיות מים באזור עוטף עזה, דיווח שהתברר בהמשך כמזויף.
28.4 - קבוצת Hackers Of Savior טענה כי הצליחה להשחית מספר אתרים ישראלים. האתרים טופלו וחזרו לפעילות תוך פחות משעה. עוד הודיעה הקבוצה כי עלה בידה להשתלט על מספר אתרים של ערוצי רדיו. גם במקרה זה וקטור התקיפה אותר וטופל.
29.4 - קבוצת DragonForce הודיעה כי הצליחה לגנוב סיסמאות לממשקי הניהול של כ-200 אתרים. הדבר טופל על ידי חברות בניית האתרים הרלוונטיות.
לסיכום, גם השנה מרבית קבוצות התקיפה התמקדו בתקיפות פשוטות יחסית, במטרה לגרום לנזק תודעתי ולהפחדה. כמו כן, השנה נצפתה עלייה במספר הפרסומים הפיקטיביים של קבוצות התקיפה.

סייבר ופרטיות - רגולציה ותקינה

 

ה-CISA מפרסמת דוח אודות סיכוני סייבר למפעילי שירותים מנוהלים (MSP)

ב-11 במאי פרסמה הסוכנות האמריקאית להגנת סייבר ותשתיות מסמך התראה ל-MSPs המספקים שירותי הגנת סייבר ללקוחות על בסיס חוזי, גם בשילוב ספקים אחרים ופלטפורמות נוספות. ההתראה, שהינה משותפת לארצות הברית, אוסטרליה, קנדה, בריטניה וניו זילנד, מתמקדת בסיכוני סייבר הטמונים במודל העסקי של MSPs, אשר לעתים מחבר בין מערכות רבות, השייכות לארגונים מגוונים - כולל אלה של הלקוח ושל ספק ה-MSP עצמו. ההמלצות הספציפיות המופיעות במסמך כוללות מחיקת חשבונות וערוצי תקשורת שכבר אינם בשימוש, יישום מדיניות של אימות רב-שלבי (MFA) לכל המשתמשים, סריקה קבועה של מערכות הלקוח וניהול הרשאותיהן. המסמך גם מפנה למשאבים נוספים בהם מפורטים אסטרטגיות וכלים למזעור סיכוני סייבר בקרב MSPs, בהם ״הנייר הלבן״ של המכון הלאומי לתקנים וטכנולוגיה (NIST) ומסמך של מרכז הסייבר הלאומי של קנדה


משרד האוצר האמריקאי מטיל סנקציות על מערבל המטבעות הווירטואלי Blender

ב-6 במאי הכריז משרד האוצר של ארצות הברית על הטלת סנקציות על מערבל המטבעות Blender, בטענה שהחברה משמשת את קוריאה הצפונית להלבנה וגניבת מטבעות קריפטוגרפיים בהיקף נרחב. החברה מספקת כלי המכונה "מיקסר", שהינו תוכנה אשר הופכת את מקור המטבע הקריפטוגרפי לאנונימי על ידי החלפתו בכמות שווה של מטבעות שונים ומגוונים, ובכך מסייעת לביצוע עסקאות בלתי-חוקיות. בין היתר, הרשויות האמריקאיות זיהו כתובות חדשות של מטבעות וירטואליים ששימשו את קבוצת התקיפה הצפון קוריאנית Lazarus להלבנת הכנסות בלתי חוקיות. בריאן נלסון, תת שר האוצר האמריקאי לטרור ומודיעין פיננסי, אמר כי "מערבלי מטבעות וירטואליים המסייעים לביצוע עסקאות בלתי חוקיות מהווים איום על האינטרסים של הביטחון הלאומי של ארצות הברית. אנו פועלים נגד פעילות פיננסית בלתי-חוקית של קוריאה הצפונית ולא נאפשר לגניבה בחסות המדינה ולמי שמאפשר הלבנת הון השייך לה לחמוק ללא מענה".

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.