WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 13.05.2021

 

עיקרי הדברים

  1. מבצע ״שומר חומות״ - תושבים בעוטף עזה התבקשו לנתק מצלמות אבטחה מחשש לפריצה של חמאס. מפקד מערך הסייבר של חמאס חוסל במסגרת מבצע "שומר החומות", נפרצו שרתי האתר "הידברות" כחלק מ״תקיפות יום ירושלים״.

  2. בעקבות מתקפת כופרה: חברת הולכת הדלקים הגדולה בארה"ב חדלה מפעילותה, ביידן מכריז על מצב חירום לאומי.

  3. ממשל ביידן מפרסם צו נשיאותי להקשחת הגנות הסייבר של המערכת הפדרלית בארה"ב.

  4. גרמניה אוסרת על פייסבוק להשתמש במידע אישי של משתמשי WhatsApp.

  5. אנו ממליצים לעדכן את המוצרים הבאים: דפדפן Firefox של Mozilla (קריטי); 30 עדכוני אבטחה למוצרי Cisco (2 קריטי); 28 עדכוני אבטחה למוצרי Microsoft (קריטי); 43 עדכונים למוצרי Adobe הכוללים מענה לחולשת Zero-day (קריטי);  19 עדכוני אבטחה לדפדפן Chrome (גבוה); עדכון אבטחה ל-Workspace App של חברת Citrix; 12 עדכוני אבטחה למוצר מבית Juniper.

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה לדפדפן Firefox של Mozilla
עדכוני אבטחה למוצרי Cisco
עדכוני אבטחה למוצרי Microsoft
עדכוני אבטחה למוצרי Adobe הכוללים מענה לחולשת Zero-day
עדכון אבטחה ל-Workspace App של חברת Citrix
עדכוני אבטחה ל-Chrome
עדכוני אבטחה למוצר מבית Juniper

התקפות ואיומים

קמפיין תקיפה מתמשך פוגע במדינות רבות באמצעות כופרת Avaddon

השבוע בכופרה

בעקבות מתקפת כופרה: חברת הולכת הדלקים הגדולה בארה"ב חדלה מפעילותה, ביידן מכריז על מצב חירום לאומי
שירותי עיריית טוסלה באוקלהומה נפגעו במתקפת כופרה רחבת היקף
קבוצת התקיפה Babuk Locker מדליפה פרטי שוטרים ממחלק השיטור של וושינגטון די. סי.

סייבר בישראל

מערך הסייבר הלאומי מפרסם קול קורא להצטרפות חברות IR לקבוצת שיתוף מידע מקצועית

סקירה מיוחדת - סייבר במבצע "שומר החומות"

נפרצו שרתי האתר "הידברות" כחלק מ״תקיפות יום ירושלים״
מפקד מערך הסייבר של חמאס חוסל במסגרת מבצע "שומר החומות"

סייבר בעולם

128 מיליון לקוחות Apple נפגעו מנוזקת ה-XCodeGhost באחת הפריצות הגדולות ביותר שחוותה

סייבר ופרטיות - רגולציה ותקינה

ממשל ביידן מפרסם צו נשיאותי להקשחת הגנות הסייבר של המערכת הפדרלית בארה"ב
גרמניה אוסרת על פייסבוק להשתמש במידע אישי של משתמשי WhatsApp
חשיבות הנוכחות התאגידית באיחוד האירופי של ארגונים המעבדים מידע אישי: הוטל קנס של 525K יורו

כנסים

 
 
 

הציטוט השבועי

״אנחנו א-פוליטיים, איננו משתתפים בגיאופוליטיקה, אין לקשור אותנו לשלטון מוגדר ולחפש אחר מניעים אחרים שלנו.
מטרתנו היא להרוויח כסף, לא ליצור בעיות לחברה.
מהיום נפעל במתינות ונבדוק כל חברה שהשותפים שלנו ירצו לתקוף, כדי למנוע השלכות חברתיות בעתיד.

״ 

קבוצת הכופר DarkSide, לאחר תקיפת Colonial Pipeline

 
2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה לדפדפן Firefox של Mozilla

העדכונים נותנים מענה ל-2 חולשות, מתוכן אחת קריטית (CVE-2021-29953), העלולה להוביל למתקפת XSS, ואחת ברמת חומרה גבוהה, אשר עלולה לאפשר הרצת קוד זדוני מרחוק.
אנו ממליצים לבעלי המוצר לעדכנו בהקדם לגרסתו האחרונה.


עדכוני אבטחה למוצרי Cisco

בשבוע האחרון פרסמה החברה יותר מ-30 עדכונים הנותנים מענה למגוון חולשות שהתגלו במוצריה. 2 מהחולשות הן קריטיות ורלוונטיות למוצרים HyperFlex HX ו-SD-WAN vManage, ואילו 9 הן ברמת חומרה גבוהה.
אנו ממליצים לבעלי מוצרים מתוצרת Cisco לעדכנם בהקדם לגרסתם האחרונה.


עדכוני אבטחה למוצרי Microsoft

העדכונים החודשיים של החברה נותנים הפעם מענה ל-28 חולשות שנתגלו במוצריה, בהם גם ,Microsoft Office Microsoft Visual Studio ,Windows RDP Client ,Microsoft SMB ו-Hyper-V role. בין החולשות שנסגרו מצויות כמה חמורות, המאפשרות לתוקף להריץ קוד זדוני מרחוק ולהשתלט על מערכת פגיעה. בפרסום הרשמי של החברה מופיעה רשימה מלאה של המוצרים הפגיעים. כמו כן, בתחתית הפרסום ניתן לעיין ברשימת הבאגים שעלולים להופיע בעקבות הטמעת עדכון האבטחה, לפי מערכת ההפעלה.
אנו ממליצים לעדכן בהקדם את מערכות ההפעלה מתוצרת מיקרוסופט.


עדכוני אבטחה למוצרי Adobe הכוללים מענה לחולשת Zero-day

העדכונים נותנים מענה ל-43 חולשות שנתגלו במוצרים Adobe Experience Manager, Adobe InDesign, Adobe Illustrator, Adobe InCopy, Adobe Genuine Service, Adobe Acrobat and Reader, Magento, Adobe Creative Cloud Desktop Application, Adobe Media Encoder, Adobe After Effects, Adobe Medium ו-Adobe Animate. חולשת ה-(Zero-day (CVE-2021-28550 הנסגרת בעדכון רלוונטית למוצר ה-Adobe Acrobat and Reader ועלולה לאפשר לתוקף להריץ קוד מרחוק על מחשבי Windows.
אנו ממליצים לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.


עדכון אבטחה ל-Workspace App של חברת Citrix

העדכון רלוונטי למערכת ההפעלה Windows ופותר חולשת אבטחה (CVE-2021-22907) המאפשרת העלאת הרשאות מקומית. טרם הוקצה לחולשה ציון CVSS.
אנו ממליצים לעדכן את המוצר בהקדם לגרסתו האחרונה - 21.5.0.48 (2105).


עדכוני אבטחה ל-Chrome

גוגל פירסמה עדכוני אבטחה ל-19 חולשות שנמצאו בדפדפן, 13 מהן ברמת חומרה גבוהה. אחת החולשות (CVE-2021-30507) מאפשרת לתוקף להזריק קוד לדפדפן גם בהיעדר חיבור לרשת האינטרנט במכשיר עליו הוא מותקן; חולשה אחרת (CVE-2021-30508) מאפשרת להזריק מקטע HTML לעמוד ולהריץ באמצעותו קוד זדוני.
אנו ממליצים לכלל המשתמשים בדפדפן לעדכנו בהקדם לגרסתו האחרונה. 


עדכוני אבטחה למוצר מבית Juniper

12 עדכוני האבטחה שפורסמו ל-Juniper Networks Mist Access רלוונטיים לגרסאות 0.5, 0.6, 0.7, 0.8, ו-0.9 של המוצר בפלטפורמות AP12 ,AP21 ,AP32 ,AP33 ,AP41 ,AP43 ,AP61 ו-AP63. חלק מהחולשות שתוקנו עלולות לאפשר לתוקף להשתלט על המוצר ולהשתמש בו לפעולות זדוניות.
אנו ממליצים למשתמשי הגרסאות הפגיעות לעדכן את המוצר בהקדם לגרסתו האחרונה. 

 

התקפות ואיומים

קמפיין תקיפה מתמשך פוגע במדינות רבות באמצעות כופרת Avaddon

על פי פרסום של מרכז אבטחת המידע האוסטרלי (ACSCׁׁׂׂׂׂׂׂ), הנוזקה - שנצפתה לראשונה בפברואר 2019 - פועלת במתכונת של Ransomware as a Service (או RAAS) ומציעה למשתמשיה אופציות תקיפה רבות, בעבור אחוז מסויים מרווחיהם שיועבר למפתחי הנוזקה. Avaddon משמשת ארגוני פשיעת סייבר רבים למגוון תקיפות נגד ארגונים באוסטרליה ובמדינות אחרות, בהן בריטניה, סין, גרמניה, איחוד האמירויות, ברזיל, צרפת ואחרות. התוקפים מכוונים בעיקר אל מגזרי התעשיה, הבריאות, האקדמיה, ה-IT, הפיננסים והממשל, ודורשים דמי כופר בסך 40,000 דולר בממוצע. בדוח הרשמי שפרסם ה-ACSC בנושא ניתן למצוא פירוט אודות המדינות והמגזרים המצויים על הכוונת ואופן פעולת הנוזקה, כמו גם רשימת IOCs.
למרות שנכון לשעה זו ישראל אינה כלולה ברשימות המדינות אליהן מכוונים התוקפים - הדבר עלול להשתנות. אנו ממליצים להזין את ה-IOCs במערכות הרלוונטיות בארגונכם.

 

השבוע בכופרה

בעקבות מתקפת כופרה: חברת הולכת הדלקים הגדולה בארה"ב חדלה מפעילותה, ביידן מכריז על מצב חירום לאומי

לפי הודעתה של Colonial Pipeline, האחראית להזרמת 45% מאספקת הדלק של החוף המזרחי, התקיפה התרחשה ב-7 במאי והביאה אותה לסגור את כל מערכותיה, לשם בלימת האיום. מלבד עצירה זמנית של פעילות החברה, הדבר השפיע גם על חלק ממערכות ה-IT שלה. במקביל, Colonial Pipeline פנתה הן לחברת אבטחת סייבר חיצונית, על מנת שתפתח בחקירת האירוע, והן לרשויות אכיפת החוק ולסוכנויות הפדראליות. בעקבות התקיפה הכריז נשיא ארה״ב ג׳ו ביידן על מצב חירום לאומי, דבר המאפשר הובלת דלקים במשאיות ומתיר לנהגיהן לעבוד שעות נוספות, בשעה שצינורות ההובלה מושבתים. ב-10 במאי אישר ה-FBI כי מאחורי האירוע עומדת קבוצת התקיפה DarkSide, אשר זוהתה לראשונה באוגוסט 2020. לטענת הכנופייה, היא בעלת יכולת ההצפנה ״המהירה בשוק״ של מערכות Windows ו-Linux כאחד. שיטת הפעולה של DarkSide מבוססת על ״סחיטה כפולה״: ראשית מודלף מידע ולאחר מכן הוא מוצפן ונדרשים דמי כופר עבור הסרת ההצפנה. במקרה של אי-תשלום, המידע מודלף לאתר בדארקנט. אלא שלאחר תקיפת רשתות Colonial Pipeline פרסמה הקבוצה הצהרה מוזרה למדי, לפיה היא אינה קבוצה פוליטית ומטרתה הבלעדית היא רווח כספי ולא שיבוש חיי תושבים או פגיעה בממשלה. לדבריה, מעתה והלאה תבחן באופן מעמיק יותר את יעדי התקיפה שלה, בכדי למנוע פגיעה באנשים. בהצהרה משותפת שפרסמו הסוכנות לאבטחת סייבר ותשתיות (CISA) וה-FBI מתייחסים הארגונים לתקיפה ומפצירים במנהלי תשתיות סייבר חשובות לגלות ערנות בעקבות התקיפה וליישם שורת המלצות שניסחו. בין ההמלצות: יישום אימות דו-שלבי בהתחברות לכל מערכות הארגון, הפעלת פילטרים לאיתור מיילים מסוג ספאם ופישינג, עדכון גרסאות לתוכנות ושימוש בהתחברות מאובטחת (VPN) כאשר מתחברים לרשתות מרחוק.


שירותי עיריית טולסה באוקלהומה נפגעו במתקפת כופרה רחבת היקף

בעקבות המתקפה נאלצה הרשות לכבות את כל שירותיה, זאת על מנת למנוע את התפשטות הנוזקה. ג׳י. טי. ביינאם, ראש עיריית טולסה, מסר לרשת התקשורת המקומית KRMG כי המהלך נבע מתוך זהירות יתרה וננקט ברגע שזוהתה הנוזקה בשרתים. בתוך כך, העירייה יידעה את 400 אלף תושביה אודות המצב באמצעות הודעות ברשתות החברתיות.

קבוצת התקיפה Babuk Locker מדליפה פרטי שוטרים ממחלק השיטור של וושינגטון די. סי.

במהלך תקיפה שבוצעה ודווחה בחודש אפריל, הצליחה הכנופייה לחדור אל מערכות ה-(Metropolitan Police Department (MPD ולגנוב מהן מידע. לאחר מכן דרשה הקבוצה תשלום דמי כופר בסך 4 מיליון דולר, אך משכשל המו״מ בין שני הצדדים פרסמה הכנופייה כ-150MB של מידע אישי אודות שוטרי הארגון. מטעם תחנת המשטרה נמסר כי בשעה זו היא מבצעת חקירה מעמיקה של המקרה בשיתוף מלא עם ה-FBI.

 
pasted image 0 (2).png

סייבר בישראל

 
 

מערך הסייבר הלאומי מפרסם קול קורא להצטרפות חברות IR לקבוצת שיתוף מידע מקצועית

על פי פרסום המערך, הוא מכוון להקמת קהילה מקצועית שעל חבריה יימנו גורמים העוסקים בטיפול באירועי סייבר במשק הישראלי, זאת במטרה לייצר מנגנון של שיתוף מידע טכני באופן מהיר והדדי ולהוביל לזיהוי ולעצירת מתקפות סייבר בהקדם האפשרי. שיתוף המידע בפרויקט, המכונה MIRROR - Managing IR Remediation for Organizational Resilience, ייעשה על פי פרוטוקול הרמזור, המאפשר לבצע את השיתוף לצד שמירה על בעל המידע. על המבקשים להיכלל בפרויקט להיות בעלי נציגות רשמית במדינת ישראל ולפעול בתחומי אספקת שירותי ניטור ו/או שירותי תגובה לאירועים ו/או שירותי הגנת סייבר מנוהלים. ניתן להגיש מועמדות בעמוד ייעודי באתר מערך הסייבר הלאומי.

 

סקירה מיוחדת - סייבר במבצע "שומר החומות"

 

נפרצו שרתי האתר "הידברות" כחלק מ״תקיפות יום ירושלים״

מציוץ בטוויטר שפרסם ב-10 במאי חוקר אבטחת המידע עידו כהן, עולה כי האחראית לפריצה היא כנופיית Hackers of savior, המנצלת כעת את שרת המייל של האתר לשליחת הודעות עם צרופות זדוניות לחברות ישראליות.
אנו ממליצים על חסימת הכתובת web[.]hidabroot[.]org.

מפקד מערך הסייבר של חמאס חוסל במסגרת מבצע "שומר החומות"

כחלק מפעולות המבצע האחרון של צה״ל דווח על חיסול ארבעה בכירים פלסטיניים בתנועת החמאס, בהם ג'מעה טחלה, ראש מערך הסייבר ומוביל פרויקט שיפור הטילים של ארגון הטרור חמאס.

 

סייבר בעולם

 

128 מיליון לקוחות Apple נפגעו מנוזקת ה-XCodeGhost באחת הפריצות הגדולות ביותר שחוותה

ב-2015 התגלה כי 40 אפליקציות ב-App Store נדבקו בנוזקה, כאשר נמצא בהן קוד דזוני שהפך את המכשירים הנגועים לחלק מ-Botnet, שגנב מידע אודות המשתמשים. נוזקת ה-XCodeGhost, המתחזה לסביבת הפיתוח של אפליקציות Apple, מושכת מפתחי יישומים להשתמש בה ללא ידיעתם. משך שנים לא היה ידוע היקף הנזק שנגרם מהתקיפה, למרות שזמן קצר לאחר תחילת האירוע זיהתה חברת FireEye כי יותר מ-4,000 אפליקציות נדבקו בנוזקה, בהן יישומונים פופולריים מאוד, כגון WeChat והגרסה הסינית של Angry Birds 2. כעת, כחלק מההליך המשפטי הגדול שמנהלת Apple נגד חברת Epic Games, בו היא טוענת להפרת תנאי ההסכם בין השתיים בנושא פרסום משחק ה-Fortnite ב-App Store, חברת Apple מפרסמת מיילים פנים-ארגוניים, בהם גם תכתובות בנושא ה-XCodeGhost. מתכתובות אלה עולה כי בנוזקה נדבקו כ-128 מיליון לקוחות ברחבי עולם, חלקם הגדול בסין, וכי התגלע קושי רב בהפצת הודעות לכלל לקוחות החברה, בשפות שונות. יש לזכור כי מ-Apple נמסר בזמנו כי המידע אודות משתמשים שנגנב על ידי הנוזקה הוא מידע גנרי ולא אישי ורגיש.

 

סייבר ופרטיות - רגולציה ותקינה

 

ממשל ביידן מפרסם צו נשיאותי להקשחת הגנות הסייבר של המערכת הפדרלית בארה"ב

בצו החדש, שפורסם ב-12 במאי, מצהיר הבית הלבן על התכנית, שהשלכותיה חורגות מעבר לזירה הממשלתית, ואשר נרקמה בתגובה למתקפת הסייבר SolarWinds שאירעה בסוף 2020. התכנית מציעה "מפת דרכים" חדשה להגנת הסייבר של ארה"ב וקובעת סדרה של סטנדרטים לבטיחות דיגיטלית, בהם ישתמשו רשויות פדרליות וקבלניהן. בין השאר, נקבעו מנגנונים לשיתוף מידע אודות סיכוני סייבר וחשיפות, חובת שימוש באימות 2FA בקרב קבלנים פדרליים, גישת "אפס אמון" (Zero Trust) כלפי ספקי תוכנה וחובת דיווח לממשלת ארה"ב במקרים של תקיפות סייבר על ספקים. ספקים שלא יעמדו בדרישות החדשות לא יוכלו לגשת למכרזים פדרליים מטעם גורמי ממשל, דבר אשר עלול להשפיע קשות על פעילותם המסחרית. סיכום קצר של הצו ניתן למצוא כאן.

גרמניה אוסרת על פייסבוק להשתמש במידע אישי של משתמשי WhatsApp

ב-11 במאי קיבל הממונה על הגנת הפרטיות במחוז המבורג, יוהנס קספר, החלטה האוסרת על הרשת החברתית לעבד מידע אישי של משתמשי יישומון התקשורת לתקופה של 3 חודשים לפחות. ההחלטה נוגעת לעדכון המתוכנן ל-15 במאי בנוגע לשימוש במידע אישי שנאסף ב-WhatsApp, שהיא חברת בת של פייסבוק. העדכון המתוכנן כבר זכה לביקורת רחבה מחמת הסיכונים, לכאורה, לפרטיות המידע האישי של משתמשים עקב שיתוף מידע בין שתי החברות. החלטת הממונה תקפה בכל גרמניה וחלה על כל נושאי המידע במדינה, זאת משום שהרשות בהמבורג משמשת גם רשות לאומית להגנת הפרטיות של מידע אישי. פייסבוק מצדה מתנגדת להחלטה, ודובר WhatsApp מסר בתגובה כי  "מכיוון שטענות ה-Data Protection Authority] DPA] של המבורג אינן נכונות, ההחלטה לא תשפיע על המשך ביצוע העדכון [לשירותי WhatsApp]. אנו נשארים מחויבים לחלוטין להספקת תקשורת מאובטחת ופרטית לכולם."

חשיבות הנוכחות התאגידית באיחוד האירופי של ארגונים המעבדים מידע אישי: הוטל קנס של 525K יורו

הרשות ההולנדית להגנת המידע, Autoriteit Persoonsgegevens, הטילה קנס בסך של 525,000 אירו על החברה  את Locatefamily.com, בגין פרסום כתובות ומספרי טלפון של אנשים ללא ידיעתם - ועל העדר נציג תאגידי בשטח של איחוד האירופי, בניגוד להוראות ה-GDPR שמחייבות מינוי נציג כאמור כשהארגון לא נמצא בטריטוריה של האיגוד. ההחלטה התקבלה ביום 12.5 וקבע, בין השאר, כי העדר נציג תאגידי בהולנד מקשה באופן לא סביר על נושאי מידע הולנדים שמעוניינים להסיר את המידע שלהם מאתר החברה - ויש 700,000 נושאי מידע כאלה.

 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, קונסטנטין חולביצקי, רחל נועה ביניאשוילי, אלמה תורג'מן וגיא פינקלשטיין.