WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 13.10.2022

עיקרי הדברים

  1. ישראל: חברת קונפידס עצרה מתקפה נגד חברת פינטק ישראלית במסגרת קמפיין של קבוצה צפון קוריאנית, מצורפים מזהים להטמעה במערכות ההגנה; 

  2. קבוצת התקיפה POLONIUM, הפועלת מלבנון, תוקפת יעדים בישראל באמצעות נוזקה משודרגת.

  3. סוכלה חלקית גניבת ענק בסכום של כחצי מיליארד דולר מפלטפורמת הקריפטו Binance.

  4. ארצות הברית: הנשיא ביידן מסכם את הישגי הבית הלבן בתחום הגנת הסייבר.

  5. האיחוד האירופי מאשר את ה-Digital Services Act ומגביר את ההגנות על צרכנים דיגיטליים.

  6. אנו ממליצים לעדכן את המוצרים הבאים: מערכות Microsoft (קריטי ו-Zero-day); מוצרי Adobe (קריטי); מערכות SAP (קריטי); מוצרי אבטחת מידע של Fortinet (קריטי); מוצרי Cisco (גבוה); מוצרי Android (גבוה); אפליקציית Zoom (גבוה); הדפדפן Google Chrome (גבוה).

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה של Cisco נותנים מענה ל-12 חולשות במוצרי החברה, 3 מהן ברמת חומרה גבוהה
עדכוני אבטחה למכשירים מבוססי Android נותנים מענה ליותר מ-40 חולשות ברמת חומרה גבוהה
עדכון אבטחה של Fortinet למוצרים FortiOS ,FortiProxy ו-FortiSwitch Manager נותן מענה לחולשה קריטית
עדכוני אבטחה למוצרי Adobe נותנים מענה למגוון חולשות, בהן 15 קריטיות
עדכוני אבטחה לדפדפן Google Chrome נותנים מענה ל-6 חולשות ברמת חומרה גבוהה
עדכוני אבטחה למוצרי SAP נותנים מענה ל-17 חולשות, בהן שתיים קריטיות ו-6 ברמת חומרה גבוהה
עדכוני האבטחה של מיקרוסופט לחודש אוקטובר נותנים מענה ל-90 חולשות, בהן שתי חולשות Zero-day ו-13 חולשות קריטיות
עידכון אבטחה ל Zoom Client for Meetings ב macOS נותן מענה לחולשה ברמה גבוהה

התקפות ואיומים

חולשה קריטית במוצר Zimbra Collaboration נצפתה מנוצלת על ידי תוקפים
חברת Meta תובעת חברות סיניות שגנבו מיליון חשבונות WhatsApp באמצעות אפליקציות זדוניות
צוות מחקר של מעבדות Jamf מצא חולשה בכלי הדחיסה של Apple המיושם בכל macOS בעל מערכת ההפעלה Monterey
ללא עקבות - ה״בייט השחור״ שעוקף מערכות הגנה מתקדמות
פונקציית ליבה במערכת ההפעלה Android פוגעת בפרטיות המשתמשים

השבוע בכופרה

ללא עקבות: כופרת ה״בייט השחור״ שעוקפת מערכות הגנה מתקדמות

סייבר בעולם

יצרנית המשחקים 2K Games מתריעה בפני משתמשי הפלטפורמה כי פרטיהם מוצעים למכירה בדארקנט
סוכלה גניבת ענק בסך כחצי מילארד דולר מ-BSC Token Hub של Binance; נגנבו ״רק״ 80-100 מיליון דולר
טויוטה מדווחת על דליפת נתונים של לקוחות: מפתח גישה לשרת הנתונים היה חשוף ב-GitHub משך כמעט 5 שנים
קבוצת התקיפה הצפון קוריאנית TA444תוקפת חברה ישראלית בתחום הפינטק
Intel מאשרת שהודלף קוד המקור של ה-BIOS של מעבד ה-Alder Lak

סייבר בישראל

POLONIUM: קבוצת APT תוקפת יעדים ישראלים עם נוזקה משודרגת

סייבר ופרטיות - רגולציה ותקינה

הסכם חדש בין ארה"ב לאיחוד האירופי בעניין העברת מידע אישי
האיחוד האירופי מגביר הגנות לצרכנים דיגיטליים: אישור ל-Digital Services Act
הנשיא ביידן מסכם את הישגי הבית הלבן בתחום הגנת הסייב

כנסים

 
 

הציטוט השבועי

״הממשל האמריקאי מחויב להבטיח "כללי דרך" - נורמות מקובלות בינלאומיות בתחום הסייבר. לאחרונה, עבדנו עם שותפים בינלאומיים כדי להשיט על איראן מחיר משמעותי, בתגובה לתקיפת הסייבר שביצעה על מערכות ממשלת אלבניה.״ 

דוברות הבית הלבן, 11.10.22.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה של Cisco נותנים מענה ל-12 חולשות במוצרי החברה, 3 מהן ברמת חומרה גבוהה

העדכונים רלוונטיים למוצרים הבאים:

  • Cisco Expressway Series ו-(Cisco TelePresence Video Communication Server (VCS - המוצרים פגיעים לחולשה (CVE-2022-20814 ;CVE-2022-20853) ברמת חומרה גבוהה, שניצולה עלול לאפשר לתוקף לעקוף את תעודות האימות של הממשקים או לזייף בקשה לפקודה ממקור צד שלישי מורשה, על מנת לקבל שליטה מלאה על המערכות. המוצרים פגיעים לחולשה רק אם נותרו בהגדרות ברירת המחדל של היצרן. 

  • (Cisco Enterprise NFV Infrastructure Software (NFVIS - המוצר פגיע לחולשה (CVE-2022-20929) ברמת חומרה גבוהה, שניצולה עלול לאפשר לתוקף בעל גישה מקומית להעלות קובץ למערכת או לשדרגו, ובכך לקבל עליה שליטה מלאה. מקור החולשה בפגם במנגנון אימות החתימה הקריפטוגרפית של קבצים אשר מעודכנים במערכת.

  • Cisco Secure Web Appliance - המוצר פגיע לחולשה (CVE-2022-20871) ברמת חומרה גבוהה המצויה במנגנון הניהול האינטרנטי, ואשר ניצולה באמצעות שליחת חבילת HTTP מוכנה מראש עלול לאפשר לתוקף להעלות הרשאות ולהריץ קוד מרחוק. מקור החולשה בפגם במנגנון אימות הזנת הנתונים על ידי המשתמש לממשק הניהול האינטרנטי.

  • Cisco Access Points, Cisco Touch 10, Cisco ATA 190 Series, Cisco BroadWorks, Cisco Smart Software Manager, Cisco Jabber, Cisco Secure Web Appliance, IPv6 RA Guard, ARP Inspection - המוצרים פגיעים לחולשות ברמת חומרה בינונית, שמידע אודותן ניתן למצוא במדריך האבטחה שפרסמה Cisco.

צוות קונפידס ממליץ לבעלי המוצרים הפגיעים לעיין במדריך האבטחה של Cisco ולבצע את הפעולות המומלצות על ידה לסגירת החולשות. 

עדכוני אבטחה למכשירים מבוססי Android נותנים מענה ליותר מ-40 חולשות ברמת חומרה גבוהה

עדכון הגרסה למכשירים סוגר חולשות העלולות לאפשר לתוקף לבצע מספר פעולות במכשירים פגיעים, בהן העלאת הרשאות, גישה למידע המצוי במכשיר, השבתתו ואף הרצת פקודות וקוד על גביו. נכון לכתיבת שורות אלה, אין עדויות לניצול החולשות. בתוך כך, מהמרכז לאבטחת אינטרנט (CIS) נמסר כי גופי ממשל ועסקים גדולים וקטנים נמצאים בסיכון גבוה לחשיפה לחולשה.

צוות קונפידס ממליץ לבעלי מכשירים מבוססי Android לעדכם בהקדם לגרסה M1051.

עדכון אבטחה של Fortinet למוצרים FortiOS ,FortiProxy ו-FortiSwitch Manager נותן מענה לחולשה קריטית 

החולשה (CVE-2022-40684, CVSS 9.6) שנסגרה בעדכון עלולה לאפשר לתוקף לבצע פעולות אדמיניסטרטיביות באמצעות בקשות HTTP ו-HTTPS בעלות מבנה ייחודי. כמו כן, Fortinet דיווחה כי זיהתה ניצול של החולשה, והיא ממליצה למשתמשיה ליצור קשר עם שירות הלקוחות במידה והלוג user=Local_Process_Access זוהה במערכת.

צוות קונפידס ממליץ לבעלי המוצרים לעדכנם לגרסאותיהם האחרונות:

FortiOS 7.0.7, 7.2.2

FortiProxy 7.0.7, 7.2.1 

FortiSwitch Manager 7.2.1

במידה ולא ניתן לבצע את העדכון, יש לפעול על פי הנחיות המדריך המצוי כאן.

עדכון אבטחה ל-Zoom Client for Meetings ב-macOS נותן מענה לחולשה ברמה גבוהה

בעדכון לאפליקציית הפגישות הפופולרית Zoom נסגרת חולשה (CVE-2022-28762, CVSS 7.3) העלולה לאפשר לתוקף לעקוף הגדרות אבטחה על ידי שימוש ב-Debugging port בעל הגדרה שגויה (Misconfiguration flaw). כאשר ה-Camera mode rendering context מאופשר כחלק מה-Zoom App Layers API, נפתח Debugging port לוקאלי ל-Zoom Client. הדבר מאפשר את ניצול החולשה לשם התחברות ושליטה על אפליקציות ה-Zoom שפועלות בתוך ה-Zoom Client. החולשה רלוונטית ל-Zoom Client for Meetings for macOS בגרסה הרגילה ובגרסת ה-IT Admin, מ-5.10.6 עד 5.12.0.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.

עדכוני אבטחה למוצרי SAP נותנים מענה ל-17 חולשות, בהן שתיים קריטיות ו-6 ברמת חומרה גבוהה

החולשה החמורה ביותר (CVE-2022-39802, CVSS 9.9) שנסגרת בחבילת עדכוני האבטחה של החברה לחודש אוקטובר עלולה לאפשר לתוקף לנצל וידוא לא תקין של בקשת מיקומי קבצים במוצר SAP Manufacturing Execution, ובכך לקרוא את תוכנם של קבצים רגישים על השרת. החולשה הקריטית השנייה (CVE-2022-41204, CVSS 9.6) עלולה לאפשר לתוקף לשנות את עמוד ההתחברות לפלטפורמה באמצעות בקשת URL מותאמת, ובכך לאפשר לו לגנוב פרטי התחברות של משתמשים ואף להשבית את המערכת.
צוות קונפידס ממליץ למשתמשים במוצרי SAP לעדכנם לגרסאותיהם האחרונות.


עדכוני אבטחה לדפדפן Google Chrome נותנים מענה ל-6 חולשות ברמת חומרה גבוהה

החולשות שנסגרו בגרסה 106.0.5249.119 של הדפדפן, הרלוונטית עבור מערכות Mac ,Linux ו-Windows, עלולות לאפשר לתוקף מרוחק להריץ קוד שרירותי ולפגוע בנתונים. החולשות משפיעות על כל גרסאות המוצר הקודמות.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.


עדכוני האבטחה של מיקרוסופט לחודש אוקטובר נותנים מענה ל-90 חולשות, בהן שתי חולשות Zero-day ו-13 חולשות קריטיות

העדכונים רלוונטיים למוצרים רבים, בהם Windows 10/11 ,Active Directory Domain Server ,Microsoft Office ,Microsoft Edge ,Azure ואחרים, וחלק מהחולשות שהם סוגרים נצפו מנוצלות ברחבי העולם. אחת מחולשות ה-Zero-day שקיבלה מענה בעדכון (CVE-2022-41033, CVSS 7.8) מנוצלת באופן פעיל ועלולה לאפשר לתוקף לקבל הרשאות System, ואילו השנייה (CVE-2022-41043, CVSS 3.3) עלולה לאפשר לתוקף לקבל אסימוני גישה של משתמשים. החולשות הקריטיות עלולות לאפשר לתוקף להעלות הרשאות, לבצע Spoofing ולהריץ קוד מרחוק. רשימת העדכונים המלאה מצויה כאן.

צוות קונפידס ממליץ למשתמש המוצרים לעדכנם לגרסאותיהם האחרונות בהקדם האפשרי.


עדכוני אבטחה למוצרי Adobe נותנים מענה למגוון חולשות, בהן 15 קריטיות

העדכונים רלוונטיים למוצרים Acrobat Reader ,ColdFusion ,Commerce ו-Dimension וסוגרים חולשות העלולות לאפשר לתוקף להשיג שליטה במערכות הקורבן. חלק מהחולשות מצויות בתוכנת ה-Reader הפופולרית, בהן שתיים (CVE-2022-38450, CVSS 7.8; CVE-2022-42339, CVSS 7.8) מסוג Stack-based buffer overflow, העלולות לאפשר לתוקף להריץ קוד זדוני מרחוק.

צוות קונפידס ממליץ למשתמשי המוצרים לעיין בפרסום האבטחה של Adobe ולעדכנם לגרסאותיהם האחרונות בהקדם האפשרי.

התקפות ואיומים

חולשה קריטית במוצר Zimbra Collaboration נצפתה מנוצלת על ידי תוקפים

Rapid7 מזהירה מפני ניצולה הפעיל של החולשה (CVE-2022-41352, CVSS 9.8) בגרסאות 8.8.15 ו-9.0 של המוצר (פרט לגרסאות מבוססות Ubuntu). החולשה עלולה לאפשר לתוקף להעלות קבצים לסביבת Zimbra עקב פגיעות במתודת cpio בה משתמש Amavis, מנוע האנטי-וירוס של Zimbra, לסריקת מיילים שמתקבלים בארגון. ניצול החולשה מאפשר שליחת מייל המכיל קובץ ״cpio.״, ״tar.״ או ״rpm.״ לשרת פגיע, כך שכאשר הקבצים ייסרקו על ידי רכיב ההגנה של Amavis (ובפרט על ידי המתודה הנוגעת ל-cpio, אשר מחלצת את הקובץ), התוקף יוכל לכתוב לכל נתיב במערכת הקבצים אליו יש למשתמש של Zimbra גישה. ההנחה היא שתוקפים יבחרו לשתול Shell שיאפשר להם להריץ פקודות מרחוק על העמדה הנתקפת, אך ישנן, כמובן, אפשרויות נוספות. על מנת לנצל את החולשה, חייבים להתקיים שני תנאים: 1. גרסה פגיעה של cpio מותקנת בעמדה. 2. ישות ה-pax אינה מותקנת בעמדה. על מנת להתמגן מפני החולשה יש להטמיע את המלצות היצרן, הכוללות התקנה של pax ואתחול שירותי ה-Zimbra. 

חברת Meta תובעת חברות סיניות שגנבו מיליון חשבונות WhatsApp באמצעות אפליקציות זדוניות

החברות נאשמות שייצרו עבור מכשירים מבוססי Android אפליקציות WhatsApp שאינן רשמיות, אשר הורדו מיליוני פעמים. לדברי Meta, באפליקציות הזדוניות היתה גלומה הבטחה, כביכול, לפיצ׳רים של WhatsApp שאינם רשמיים, והן היו זמינות להורדה מה-Google Play Store ומכמה חנויות לא רשמיות נוספות, בהן APK Pure ו-APKSFree. עם התקנתן, הנוזקות שהוטמעו באפליקציות שימשו לגניבת מידע רגיש, כולל אסימוני אימות, כל זאת לשם גניבת חשבונות WhatsApp ומשלוח הודעות ספאם באמצעותם. תביעתה של Meta מתבססת על אי-עמידה בתנאי השימוש ב-WhatsApp ושל סביבות הפיתוח של פייסבוק, בהן השתמשו יוצרי האפליקציות ליצירתן.

צוות מחקר של מעבדות Jamf מצא חולשה בכלי הדחיסה של Apple המיושם בכל macOS בעל מערכת ההפעלה Monterey 

כלי הדחיסה Archive Utility, בו נמצא הפגם, משמש מחשבי macOS לדחיסה וחילוץ קבצים לספריות דחוסות, כאשר מלבד פורמט הספריות הדחוסות של Apple (קבצים בעלי הסיומת ״aar.״) הכלי תומך גם בפורמטים ידועים כגון 7ZIP ,ZIP ,TAR ,CPIO ו-GZIP. הפגם מתבטא בפונקציה של הכלי המיועדת ליצירת תיקייה ייעודית עבור מספר רב של קבצים המחולצים מהספרייה, על מנת לנסוך סדר. ואולם, כאשר התיקייה נוצרת על ידי הכלי, היא אינה מצויה תחת Quarantine. עבור מנגנון ההגנה Apple Gatekeeper, כל תיקייה שאינה נמצאת תחת Quarantine מחילה הגדרה זו באופן רקורסיבי על כל הקבצים והתיקיות הנמצאים בתוכה. לכן, אם דוחסים באמצעות ה-Archive Utility אפליקציה בעלת הסיומת ״app.״, הספרייה תקבל את השם ״app.aar.״, והאפליקציה תדחס ביחד עם קובץ נוסף בתיקיית המקור. בעת חילוץ הספרייה, הסיומת ״aar.״ תוסר על ידי הכלי והיחס אליה יהיה כאל תיקיית המקור, שאינה נמצאת תחת Quarantine. אי לכך, האפליקציה תוכל לרוץ ללא התייחסות מצד מנגנון ההגנה Apple Gatekeeper. צוות המחקר של Jamf דיווח על החולשה ל-Apple, שתיקנה אותה בגרסה Monterey 12.6.

צוות קונפידס ממליץ לבעלי macOS עם מערכת ההפעלה Monterey לעדכנה לגרסתה האחרונה.

האם פונקציית ליבה במערכת ההפעלה Android פוגעת בפרטיות המשתמשים?

במהלך עבודות אבטחה על האפליקציה שלה למערכות מבוססות Android נתקלה חברת Mullvad, המספקת שירותי VPN, בדלף מידע אשר אין ביכולתו של שירות VPN למנוע. הדלף מתבצע בכל חיבור לרשת Wi-Fi, גם כאשר מופעלת האפשרות ״Block connections without VPN״, שאמורה למנוע מכל תעבורה לצאת שלא דרך ה-VPN. הדלף מכיל מידע אודות המכשיר (Metadata) שנדרש עבור בדיקות חיבור, לרבות כתובת המקור (Source IP) של המכשיר. עוד נצפתה תעבורת רשת בפרוטוקולים DNS ,HTTP ו-NTP שנשלחה ישירות ממכשיר, ללא תקשורת באמצעות VPN. ברשתות מסוימות, מידע זה הכרחי ליצירת חיבור ראשוני (Captive portal), אך כאשר המידע יוצא ישירות מן המכשיר - פרטיות המשתמש עלולה להיפגע. לכן, נראה שאפשרות ה-״Block connections without VPN״ אינה כתובה באופן ברור ועלולה להטעות משתמשים לחשוב שבעת החיבור ל-VPN נתונים אודות המכשיר נותרים חסויים. 

Mullvad פתחה למפתחי Android קריאה בדבר הממצאים, אך המפתחים מסרו כי המערכת עובדת כמתוכנן. לדבריהם, תכונה זו של המערכת, כלומר הפונקציה המוציאה את המידע ללא VPN לשם בדיקות חיבור, תהיה מובנת לרוב המשתמשים, שכן היא הכרחית לתפעול תקין של התעבורה. עוד אמרו המפתחים שבדיקות חיבור אינן התעבורה היחידה שעלולה לעבור מבעד לחיבור ה-VPN, מכיוון שגם עבור אפליקציות ספציפיות מתקיים במקרים מסוימים המעקף, לטובת תפעולן. צוות הפיתוח, שהדגיש כי לא ניתן להעביר בדיקות חיבור דרך ה-VPN, סיפק פקודות לביטול בדיקות החיבור, דבר אשר עלול לגרום לבעיות בחיבור לרשתות Wi-Fi מסוימות. 

Caffeine: פלטפורמה חדשה ל״פישינג כשירות״

דוח של חברת אבטחת המידע Mandiant חושף את Caffeine, פלטפורמה חדשה של ״פישינג כשירות״ (Phishing-as-a-Service או PhaaS), המאפשרת להאקרים לפתוח בקמפייני פישינג המתמקדים בגניבת פרטי גישה ל-Microsoft 365. על פי הדוח, ייחודה של הפלטפורמה הוא בכך שהיא אינה מחייבת האקרים לגשת אליה דרך הטלגרם או פורומי פריצה, וניתן להירשם אליה באמצעות חשבון מייל. עוד מצאה Mandiant שהפלטפורמה מספקת מסמכי פישינג ברוסית ובסינית, בעוד ששאר הפלטפורמות מסוגה מתמקדות בשפה האנגלית. עלות השימוש ב-Caffeine גבוהה יותר ביחס לפלטפורמות PhaaS אחרות ועומדת על 250 דולר לחודש. ייתכן והסיבה לכך היא ש-Caffeine מציעה אופציות כמו חסימת כתובות IP, לרבות חסימה על בסיס מיקום גיאוגרפי ונתונים אחרים, ויצירת מנגנונים מותאמים אישית לבנייה דינמית של דפי פישינג. לדברי Mandiant, השימוש בפלטפורמות PhaaS אינו בגדר חידוש, אך Caffeine מציעה להאקרים תכונות עשירות ונגישות מוגברת.

צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את מזהי התקיפה (IOCs) שפורסמו על ידי Mandiant

השבוע בכופרה

ללא עקבות: כופרת ה״בייט השחור״ שעוקפת מערכות הגנה מתקדמות 

במחקר שערכה חברת Sophos על הכופרה BlackByte התגלו טקטיקות חדשות בעלות יכולת עקיפה של מערכות הגנה, באמצעות שימוש בחולשות ידועות בדרייברים לגיטימיים שמותקנים על העמדה הנתקפת. התהליך מתבצע באמצעות השבתת הפלט של הדרייברים ומנגנוני איתור ורישום תהליכים שמערכות ההגנה נתמכות בהם לצפייה במצב המחשב, כך שבלעדיהם הן ״עיוורות״ וחסרות תועלת נגד הכופרה. BlackByte מצליחה לגשת לנתוני הפלט של הדרייברים באמצעות ניצול של דרייבר לגיטימי חתום, כאשר עם קבלת הגישה לדרייבר היא משתמשת בשיטות מתוחכמות להשגת מיקום נתוני הפלט בזכרון ושכתובם לרצף של אפסים, תוך ביצוע ״טלאי״ (Patch) לליבת המערכת. הדבר מאפשר לה לבסס את המשכיות אחיזתה בעמדה וכן שליטה מלאה במערכת הנגועה, לצד מערכות ההגנה.

BlackByte מצוידת במגוון מנגנונים למניעת חשיפת הקוד שלה, באמצעות מגוון תנאים אשר יביאו להפסקת פעילותה. למשל, במקרים שבהם Debbuger יופעל או יבצע עצירה (Break) בתהליך ההרצה, או במקרה בו שם קובץ ההפעלה של הכופרה יהיה ארוך מ-10 תווים. זאת ועוד, BlackByte מופעלת באמצעות הזנת ארגומנט המכונה Seed, שמקומפל ביחד עם הכופרה. אם מחרוזת ה-Seed שגויה, הכופרה תפסיק את פעולתה. נוסף על כך, היא מבצעת בדיקה בספריות המערכת DLL לאיתור ספריות שיכולות לעקוב ולנתח את פעולתה, ובמידה וקיימות כאלה - היא מפסיקה את פעילותה. בחקירת BlackByte נמצאו חלקי קוד זהים, רשימות של מאגרי דרייברים ורשומות של גרסאות Kernel לכלי הקוד הפתוח EDRSandblast, הכתוב בשפת הקוד C. לאור זאת, ניתן להניח שמפתחיה נעזרו במאגר ה-GitHub של EDRSandblast. 

צוות קונפידס ממליץ לעדכן דרייברים על בסיס קבוע ולוודא שלא מותקנים על העמדה דרייברים שאינם בשימוש.

סייבר בעולם

 
 

קבוצת התקיפה הצפון קוריאנית TA444 תוקפת חברה ישראלית בתחום הפינטק

השבוע זיהתה חברת קונפידס תקיפה על חברה ישראלית בתחום הפינטק, בהמשך לקמפיין התקיפה עליו דווח לפני כשבועיים (ראו ״הסייבר״, 29.9.22). המקפיין מתבסס על שימוש שעושה TA444 ברשתות חברתיות, ובעיקר בלינקדאין, ליצירת קשר עם עובדי ארגונים, באמצעות הצעות עבודה או הצעות עסקיות מפוברקות אחרות. המתקפה שנבלמה השבוע על ידי קונפידס החלה במינוף טכניקה של הנדסה חברתית ושליחת מצגת עם קובץ זדוני אל עובד בחברה, שעם הרצתו השיג התוקף דלת אחורית לתחנת הקורבן וכן שליטה חלקית בה. התוקף זוהה כאשר ניסה להרחיב את הרשאותיו ולשלוט ברשת הארגון. נכון לכתיבת שורות אלה, כלי התקיפה בהם נעשה שימוש אינם מזוהים בפלטפורמת VirusTotal ובפלטפורמות דומות, ולכן זהויים ועצירתם מורכבים יותר. 

צוות קונפידס ממליץ לארגונים להטמיע באופן מיידי את ה-IOCs המופיעים כאן במערכות ההגנה שלהם ולהגביר את מודעות העובדים לקמפייני תקיפה דומים ולתקשורת חשודה בלינקדאין. 

סוכלה גניבת ענק בסך כחצי מילארד דולר מ-BSC Token Hub של Binance; נגנבו ״רק״ 80-100 מיליון דולר

ב-7 באוקטובר עצרה בורסת Binance את פעילותה של רשת Binance Smart Chain עקב חשד לגניבה של כ-2 מיליון מטבעות BNB, בשווי כולל של 541 מיליון דולר. עצירת הפעילות, שהביאה לצמצום היקף הגניבה, התאפשרה הודות לשיתוף פעולה מהיר ויעיל עם מפעילי ה-Nodes ברשת. באמצעות ניצול מתוחכם של פרצה ב-BSC Token Hub, המגשר בין השרשראות BEP2 ו-BEP20, עלה בידי התוקפים ליצור כ-2 מיליון מטבעות BNB ולהעביר את חלקם (כ-100 מיליון דולר) אל מחוץ לרשת. בשעה זו פועלת Binance ביחד עם גופי קריפטו נוספים ורשויות אכיפה שונות לאיתור ומעצר של התוקפים, כמו גם להקפאת הכספים שנגנבו. נכון לכתיבת שורות אלה, הוקפאו מטבעות גנובים בשווי של כ-7 מיליון דולר.

יצרנית המשחקים 2K Games מתריעה בפני משתמשי הפלטפורמה כי פרטיהם מוצעים למכירה בדארקנט

לאחר שבחודש שעבר אישרה החברה שחוותה מתקפת סייבר אשר כללה דלף מידע ממערכותיה, השבוע דיווחה ללקוחותיה שנמצא כי פרטיהם האישיים מוצעים למכירה ברשת האפלה. מאגר המידע האמור מכיל יותר מ-4 מיליון רשומות, הכוללות שמות מלאים, שמות משתמשים, כתובות מייל וסוגי קונסולות משחק, אך לא סיסמאות או פרטי אמצעי תשלום בהם נעשה שימוש בפלטפורמה. למרות זאת, בהודעה שהוציאה החברה ללקוחותיה היא מבקשת מהם לנקוט בפעולות מחמירות ולאפס את סיסמאות המשתמשים שלהם, כמו גם להחיל עליהם אמצעי זיהוי רב-שלבי (MFA). 

(מקור: BleepingComputer, 7.10.22)

טויוטה מדווחת על דליפת נתונים של לקוחות: מפתח גישה לשרת הנתונים היה חשוף ב-GitHub משך כמעט 5 שנים

ב-7 באוקטובר פרסם תאגיד הרכב כי לאחורה התברר לו שחלק מקוד המקור של האתר T-Connect, המשמש את בעלי המכוניות לקישור הסמארטפון שלהם למערכת המידע והבידור של הרכב, פורסם בטעות ב-GitHub כקוד ציבורי במקום כקוד פרטי. הקוד הכיל מפתח גישה לשרת הנתונים, שאחסן כתובות מייל ומספרים מזהים של הלקוחות במערכת, אך לא שמות של לקוחות, נתוני כרטיסי אשראי או מספרי טלפון. הפרצה אפשרה לתוקף שאינו מורשה לגשת לפרטיהם של 296,019 מלקוחות החברה בין דצמבר 2017 ל-15 בספטמבר השנה. ב-17 בספטמבר שונו מפתחות מסד הנתונים ונחסמה כל גישה לגורמים שאינם מורשים. עוד נמסר כי למרות שאין סימנים לניצול לרעה של הנתונים, לא ניתן לשלול את האפשרות שהם נגנבו. אי לכך, החברה ממליצה לכלל משתמשי T-Connect לגלות ערנות מפני הונאות ולהימנע מפתיחת קבצים הנשלחים מגורמים שאינם ידועים. טויוטה הפנתה אצבע מאשימה אל קבלן משנה של החברה, אך לקחה אחריות על התקלה והתנצלה בפני הלקוחות על אי הנעימות שנגרמה להם.

Intel מאשרת שהודלף קוד המקור של ה-BIOS של מעבד ה-Alder Lake

Alder Lake הינו מעבד דור 12 של Intel, שיצא אל השוק בנובמבר 2021. לאחרונה, גורם לא ידוע הדליף לאתרים 4chan ו-GitHub כ-6GB של כלים וקוד מקור המשמשים לבנייה ואופטימיזציה של BIOS/UEFI images. נכון לכתיבת שורות אלה, הקוד והכלים הוסרו מן האתרים, אך עדיין זמינים בגרסאות מועתקות. בהודעה רשמית שמסרה Intel לאתר Tom's Hardware היא אישרה את ההדלפה אך טענה שזו לא תגרום לפגיעות, שכן Intel אינה מסתמכת על ערפול מידע (ערפול ההופך את הקוד לקשה להבנה). במקביל, Intel מעודדת חוקרים לדווח לה על חולשות הנוגעות לאירוע, במידה ויימצאו כאלה. למרות שהחברה לא הצביעה על הגורם המדליף, לפי Tom's Hardware מאחורי ההדלפה ל-GitHub עומד, לכאורה, עובד של LC Future Center, חברת (ODM (Original Design Manufacturer שבסיסה בסין, אשר מייצרת חומרה, כגון מחשבים ניידים, עבור Lenovo וחברות נוספות.

סייבר בישראל

 

POLONIUM: קבוצת APT תוקפת יעדים ישראלים עם נוזקה משודרגת

קבוצת התקיפה התגלתה לראשונה על ידי (Microsoft Threat Intelligence Center (MSTIC ביוני השנה וקיים מעט מאוד מידע עליה, אולי מפני שהיא ממוקדת במטרות ספציפיות מאוד. על פי ההערכות, מקורה של POLONIUM בלבנון ועיקר פעילותה קשורה לגורמים המזוהים עם ממשלת איראן. לפי ESET Telemetry, הקבוצה פועלת נגד ארגונים ישראלים מספטמבר 2021 ומתמקדת במגזרי ההנדסה, ה-IT, המשפט, התקשורת, השיווק והמיתוג, המדיה, הביטוחים ועוד. בדוח מפורט מציגה ESET את כלי הריגול וה-Backdoors השונים בהם משתמשת הקבוצה נגד יעדים בישראל, כאשר החוקרים מעריכים שהגישה הראשונית לרשתות הקורבנות נעשית באמצעות אישורי חשבונות VPN שדלפו בספטמבר 2021. POLONIUM נצפתה משתמשת ביותר מ-10 מודולים זדוניים שונים וב-7 דלתות אחוריות באופן מותאם אישית, תוך ניצול שירותי ענן כגון Dropbox ,OneDrive ו-Mega לתקשורת עם שרת C2 של התוקפים. עוד משתמשת הקבוצה ברישומי הקלדות, בצילומי מסך, בפקודות ובמצלמת האינטרנט של הקורבן. נראה שמטרותיה של POLONIUM הן ריגול לטווח ארוך ולא דרישת כופר, דבר הניכר במספרם הרב של הגרסאות והשינויים שהיא מבצעת בכליה באופן תדיר.

צוות קונפידס ממליץ להזין במערכות ההגנה של ארגונים את מזהי התקיפה (IOCs) של הקבוצה.

סייבר ופרטיות - רגולציה ותקינה

 

האיחוד האירופי מאשר את ה-Digital Services Act ומגביר את ההגנות על צרכנים דיגיטליים

אישור ה-Digital Service Act נועד לקדם סביבה דיגיטלית בטוחה יותר, תוך מניעת הפצה של תוכן לא חוקי והבטחת השמירה על זכויותיהם הבסיסיות של משתמשים. החוקים החדשים מגדירים את תחומי האחריות של ספקי השירות המתווכים, בהם רשתות חברתיות, פלטפורמות מקוונות ועוד, בהתאם לתפיסה לפיה ככל שהשפעתו של המתווך גדולה יותר - כך הוא יהיה כפוף לכללים מחמירים יותר. במסגרת החוק, הפלטפורמות יצטרכו להיות שקופות יותר, ויהיה עליהן לקחת אחריות על תפקידן בהפצת תוכן לא חוקי או מזיק. עוד קובע החוק הגנות על קטינים במרחב האינטרנטי, מגבלות על שימוש בנתונים אישיים רגישים לצרכי פרסום וחובות על פלטפורמות בכל האמור לתגובה מהירה להפרות של החוק, תוך כיבוד זכויות יסוד. החוק אף מטיל מגבלות מחמירות יותר על גופים גדולים ומשמעותיים ודורש מהם לנתח את הסיכונים המערכתיים שהם יוצרים ואת השפעתם השלילית על זכויות יסוד, על תהליכי בחירות, על אלימות מגדרית ועל בריאות הנפש. יוזף סיקלה, שר התעשייה והמסחר הצ׳כי, ציין כי החוק הינו פורץ דרך ו״בעל פוטנציאל להפוך ל׳תקן הזהב׳ עבור רגולטורים נוספים ברחבי העולם״. לדבריו, החוק ״מסמן את תחילתה של מערכת יחסים חדשה בין פלטפורמות מקוונות לבין משתמשים ורגולטורים, באיחוד האירופי ומחוצה לו״. 


הנשיא ביידן מסכם את הישגי הבית הלבן בתחום הגנת הסייבר

מסיכום ההישגים בתחום בתקופה האחרונה, שהם פרי של מאמצים לקידום ושיפור הגנת הסייבר בארצות הברית, עולה כי בנוגע להגברת ההגנה על תשתיות קריטיות הממשל הפדרלי עבד בשיתוף פעולה הדוק עם מגזרים פרטיים, בהם גם מגזר הבריאות, על מנת לסייע לבעלי עניין פרטיים להבין את איומי הסייבר הרלוונטיים למערכות הקריטיות שבבעלותם ולאמץ תקני הגנת סייבר אפקטיביים. עוד פירט הממשל את מאמציו להבטחת תשתיות חדשניות, חכמות ומאובטחות ולחיזוק דרישות הגנת הסייבר של הממשלה באמצעות פרסום הנחיות מעודכנות ונוקשות יותר. לדברי הנשיא ג׳ו ביידן, הממשל בהנהגתו פועל למניעת מתקפות כופרה על מנת להגן על אזרחי אמריקה במרחב האינטרנטי, בין היתר באמצעות הקשחת התנאים להעברת כספים, אישור מערבלי מטבעות קריפטוגרפיים והסגרתם לארצות הברית של פושעי סייבר שפעלו מתחומי מדינות אחרות. במסמך שפרסם הבית הלבן מצוין גם כי הממשל פועל ליישום נורמות בינלאומיות מקובלות, לפיתוח תוויות ברורות שיאפשרו לאזרחים לדעת שמכשיריהם עומדים בתקנים מסוימים ומאושרים לשימוש בטוח, ולחיזוק קשרי העבודה עם בעלי ברית ושותפים אחרים, כדי לספק מרחב סייבר מאובטח יותר.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.