WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 14.07.2022

עיקרי הדברים

  1. ישראל: רשויות מקומיות על הכוונת - מערך הסייבר הלאומי מונע מתקפה על משאבות הביוב של אור עקיבא ומטפל במתקפה על עיריית תל אביב; מבקר המדינה: 41% מהרשויות המקומיות חוו מתקפות סייבר בין השנים 2019-2021. 

  2. פרטים חדשים על יחידת הסייבר של חיזבאללה: מתקפות סייבר, ״צבא בוטים״ ופעילות תודעתית ברשתות החברתיות.

  3. ראו הוזהרתם: האקרים מתחזים לחברות אבטחת מידע לשם ביצוע מתקפות סייבר.

  4. Rolling PWN: החולשה המאפשרת לפתוח ולהניע את כלל רכבי Honda משנת ייצור 2012 ואילך.

  5. אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Adobe (קריטי); מוצרי מיקרוסופט (Zero-day); מוצרי SAP (גבוה); פרוטוקול הקוד הפתוח ExpressLRS; מעבדי AMD Zen 1 ו-AMD Zen 2.

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

חולשה בפרוטוקול שליטת רדיו ברחפנים וכלי טיס אחרים מאפשרת להשתלט עליהם מרחוק; טרם פורסם עדכון הנותן מענה לחולשה
עדכוני האבטחה של מיקרוסופט לחודש יולי נותנים מענה ל-86 חולשות במוצריה, בהן חולשת Zero-day וחולשות ברמת חומרה קריטית וגבוהה
20 עדכוני אבטחה למוצרי SAP נותנים מענה ל-4 חולשות ברמת חומרה גבוהה
עדכוני אבטחה למוצרי Adobe נותנים מענה לחולשות קריטיות
עדכוני אבטחה למעבדים AMD Zen 1 ו-AMD Zen 2 נותנים מענה לשתי חולשות ב-16 מוצרים
עדכון ל-BIOS של Lenovo Notebook נותן מענה ל-3 חולשות במוצר

התקפות ואיומים

האקרים מנצלים את חולשת Follina במוצרי מיקרוסופט להחדרת הקובץ הזדוני Rozena והשתלטות על מחשבים באמצעותו
חוקרים מזהירים משתמשי Windows מפני נוזקת Raspberry Robin המאפשרת גישה קבועה למערכת נגועה
משפחת נוזקות חדשה המוסוואת כתוסף לדפדפנים התגלתה על ידי חברת אבטחת המידע Zimperium
לא נעים להכיר: OrBit, נוזקת Backdoor חדשה ל-Linux
כך מנצלים פושעי סייבר את Azure ו-GitHub Actions לכריית מטבעות קריפט
Rolling PWN: החולשה המאפשרת לפתוח ולהניע את כלל רכבי Honda משנת ייצור 2012 ואילך
משתמשי חברת הקריפטו Uniswap נפלו קורבן למתקפת פישינג בה נגנבו כ-8 מיליון דולר

השבוע בכופרה

חוקרים מפרטים את הטכניקות שבהן LockBit משתמשת להדבקת מטרותיה: ניצול חיבורי EDP חשופים ושליחת מיילי פישינג
פיצ׳ר חדש באתר של מפעילי כופרת BlackCat: חיפוש בנתונים גנובים
האקרים מתחזים לחברות אבטחת מידע לשם ביצוע מתקפות סייבר
חברת Bandai Namco מדווחת כי נפרצה
Lilith: כופרה חדשה עם קורבן ראשון

המלחמה במזרח אירופה

מתקפת סייבר חדשה פוגעת במוסדות ציבור אוקראינים באמצעות המייל

סייבר בעולם

מיקרוסופט נסוגה זמנית מתוכניתה לחסום פקודות מאקרו באופן אוטומטי
חברת Google נגד הבוטנט Glupteba - והקשר ל-AWM Proxy
23 מיליון משתמשים נגנבו בחודש מאי מאפליקציית הקומיקסים Mangatoon
מאגר PyPI מחייב פרויקטים קריטיים של Python ליישם מנגנון אימות דו-שלבי
מיקרוסופט: שירות ה-Windows Autopatch זמין לשימוש
ה-CISA מוסיפה חולשה ל״קטלוג החולשות המנוצלות הידועות״ ומגדירה לסוכנויות הפדרליות יעדים לביצוע עדכוני גרסאות

סייבר בישראל

רשויות מקומיות על הכוונת: מערך הסייבר הלאומי מונע מתקפה על משאבות הביוב של אור עקיבא ומטפל במתקפה על עיריית תל אביב
פרטים חדשים על יחידת הסייבר של ארגון החיזבאללה: ״צבא בוטים״ ופעילות תודעתית ברשתות החברתיות

סייבר ופרטיות - רגולציה ותקינה

הכללים החדשים של העברת מידע אל מחוץ לגבולות סין
מבקר המדינה: מרבית הרשויות המקומיות ערוכות לאיומי סייבר ברמה נמוכה בלבד
היבטים תרבותיים של מידע ביומטרי: משרד המשפטים מפרסם טיוטת תקנות המתייחסות לבקשת נשים דתיות שלא לחשוף את פניהן

כנסים

 
 

הציטוט השבועי

״אל דאגה, טיפלנו בזה מהר מאוד והאתר חזר להיות מדהים כפי שהיה עוד לפני שהם הספיקו לשריין לעצמם מקומות בפעילויות של דיגיטף״ 

תגובתה של עיריית תל אביב למתקפת הסייבר על אתרה, 11.7.22.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

חולשה בפרוטוקול שליטת רדיו ברחפנים וכלי טיס אחרים מאפשרת להשתלט עליהם מרחוק; טרם פורסם עדכון הנותן מענה לחולשה

בהמלצת אבטחה שפרסמה NCC Group, דווח כי נמצאה פרצה בפרוטוקול הקוד הפתוח ExpressLRS, המשמש בעיקר לשליטה ברחפני FPV. על פי החוקרים, הפרצה מנצלת הן את העובדה שהפרוטוקול בנוי להעברת מידע רב במהירות ועל פני מרחקים גדולים, והן את העובדה שהוא שולח ל״אוויר״ כ-75% מהמידע הנחוץ לחיבור כל שדר לכל קולט רדיו המתקשרים באמצעות הפרוטוקול. ExpressLRS משתמש ב-Binding phrase, שמוצפן, בין היתר, על ידי אלגוריתם ה-MD5 המיושן, כל זאת על מנת לוודא שהשדר מתקשר עם הקולט המתאים ולמנוע התנגשויות תדר עם שדרים/קולטים אחרים. כחלק מווידוא התקשורת הרציפה בין שדר לקולט, נשלחות פקטות מסוג SYNC בפרקי זמן קבועים. אלא שפקטות אלה חושפות 75% מהמזהה הייחודי (UID) של ה-Binding phrase, כלומר 75% מהמידע הנחוץ להשתלטות על רחפן זר. חשיפה זו משאירה רק בייט אחד של מידע (ה-25% הנותרים של ה-UID) שאותו התוקף צריך למצוא על מנת ״לגנוב״ את החיבור ולעשות כרצונו ברחפן או בכלי הנשלט מרחוק. לאחר מכן עליו לבצע מתקפת Brute-force, במהלכה יהיה עליו לנחש קומבינציה אחת מתוך 256 אפשרויות. בשעה זו טרם תוקן או עודכן הפרוטוקול, המפורסם ב-GitHub

עדכוני האבטחה של מיקרוסופט לחודש יולי נותנים מענה ל-86 חולשות במוצריה, בהן חולשת Zero-day וחולשות ברמת חומרה קריטית וגבוהה

העדכונים רלוונטיים ל-36 מוצרים ותוכנות, לרבות גרסאות 7, 8.1, 10 ו-11 של מערכת ההפעלה Windows וגרסאות 2008, 2012, 2019 ו-2022 של Windows Server. חולשת ה-Zero-day שנסגרה בעדכון (CVE-2022-22047, CVSS 7.8) ותועדה כמנוצלת עלולה לאפשר העלאת הרשאות בכל הגרסאות הפגיעות של Windows. כמו כן, נסגרו 4 החולשות הבאות בשרתי Windows Server ובחלק מגרסאות Windows, שרמת חומרתן קריטית:

CVE-2022-22038, CVSS 8.1 - עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE), אך ניצולה מורכב מאוד ודורש התמדה מצד התוקף בשליחת נתונים לסירוגין או בצורה קבועה אל עמדת הקצה של הקורבן.

CVE-2022-30221, CVSS 8.8 - עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE) בהרשאות משתמש, לאחר שהצליח לשכנע את הקורבן להתחבר לשרת RDP זדוני.

CVE-2022-22029, CVSS 8.1 ו-CVE-2022-22039, CVSS 7.5 - עלולות לאפשר לתוקף לא מאומת לנצל את שירות ה-(NFS (​​Network File System באמצעות מטען מיוחד המאפשר הרצת קוד מרחוק (RCE), אך ניצולן מורכב מאוד. לאחת החולשות (CVE-2022-22029, CVSS 8.1) פורסם באתר מיקרוסופט Workaround, בו מוסבר כיצד לכבות את ה-NFSv3 הפגיע. במקומו, מומלץ להשתמש ב-NFSv4.1, שאינו פגיע לחולשה זאת. 

צוות קונפידס ממליץ למשתמשים במוצרי מיקרוסופט לעדכנם באופן שוטף. לארגונים שאינם יכולים להטמיע את העדכון מומלץ לחפש באתר האבטחה של מיקרוסופט Workarounds עבור החולשות הרלוונטיות להם. 

20 עדכוני אבטחה למוצרי SAP נותנים מענה ל-4 חולשות ברמת חומרה גבוהה

כחלק מיום העדכונים החודשי של החברה פורסמו כ-20 עדכוני אבטחה הסוגרים במוצריה חולשות שהחמורות שבהן (CVE-2022-35228, CVSS 8.3; CVE-2022-32249, CVSS 7.6) עלולות לאפשר לתוקף להשיג מידע רגיש על המערכת אשר באמצעותו ניתן יהיה לחדור אליה, לרבות אסימוני גישה ופרטי התחברות של משתמשים חזקים. עוד מאפשרות החולשות להזריק קוד מרחוק. את כלל פרסומי האבטחה של SAP ניתן למצוא בדוח העדכונים החודשי באמצעות ה-SAP ID הייעודי.
צוות קונפידס ממליץ למשתמשים במוצרי SAP הפגיעים לעדכנם בהקדם האפשרי לגרסתם האחרונה.

עדכוני אבטחה למוצרי Adobe נותנים מענה לחולשות קריטיות

העדכונים שפורסמו סוגרים את החולשות הבאות:

  • RoboHelp - חולשה (CVE-2022-23201, CVSS 6.5) העלולה לאפשר לתוקף להזריק סקריפט זדוני לאתרים או לאפליקציות מהימנות (XSS). החולשה רלוונטית לגרסאות RH2020.0.7 ומטה במערכות מבוססות Windows ו-macOS. יש לעדכן לגרסה RH2020.0.8.

  • Acrobat and Reader - קיימות במוצרים 22 חולשות, חלקן קריטיות ועלולות לאפשר לתוקף להריץ כל קוד או פקודה על העמדה ולגרום לדליפת זיכרון. החולשות רלוונטיות לגרסאות הבאות: גרסאות 22.001.20142 ומטה של Acrobat DC ו-Acrobat Reader DC; גרסאות 20.005.30334 ומטה ב-Windows ו-20.005.30331 ומטה ב-macOS של Acrobat 2020 ו-Acrobat Reader 2020; גרסאות 17.012.30229 ב-Windows וגרסאות 17.012.30227 ומטה ב-macOS של Acrobat 2017 ו-Acrobat Reader 2017. יש לעדכן לגרסה 22.001.20169 ב-Acrobat DC ו-Acrobat Reader DC, לגרסה 20.005.30362 ב-Acrobat 2020 וב-Acrobat Reader 2020 ולגרסה 17.012.30249 ב-Acrobat 2017 וב-Acrobat Reader 2017.

  • Character Animator - שתי חולשות (CVE-2022-34241, CVSS 7.8; CVE-2022-34242, CVSS 7.8) העלולות לאפשר לתוקף לבצע Buffer overflow ולקרוא מידע רגיש ממיקומי זיכרון אחרים במאגר המיועד. החולשה רלוונטית לגרסאות 4.4.7 ומטה של Character Animator 2021 ו-22.4 ומטה של Character Animator 2022. יש לעדכן לגרסה 22.5 של Character Animator 2022.

  • Photoshop - שתי חולשות (CVE-2022-34243, CVSS 7.8; CVE-2022-34244, CVSS 5.5) העלולות לאפשר לתוקף לקרוא או לכתוב למיקומי זיכרון לא צפויים ולפרוץ את התוכנה על ידי ניצול חולשה הקשורה לשימוש לא נכון בזיכרון דינמי במהלך פעולתה. החולשות רלוונטיות לגרסאות 22.5.7 ומטה של Photoshop 2021 ו-23.3.2 של Photoshop 2022. יש לעדכן לגרסה 22.5.8 של Photoshop 2021 ו-23.4.1 של Photoshop 2022.

צוות קונפידס ממליץ למשתמשי מוצרי Adobe לעדכנם לגרסאותיהם האחרונות.

עדכוני אבטחה למעבדים AMD Zen 1 ו-AMD Zen 2 נותנים מענה לשתי חולשות ב-16 מוצרים

העדכונים שפרסמה AMD פותרים את שתי החולשות הבאות:

CVE-2022-23825 - חולשה מסוג (BTC (Branch Type Confusion העלולה לגרום לחיזוי שגוי של נתוני המעבד ולחשיפת מידע.

CVE-2022-29900- חולשת Retbleed שמקורה בקונפיגורציה שגויה של תחזיות המעבד ועלולה לאפשר הרצת פקודות על המעבד באמצעות הנדסה הפוכה.

מיקרוסופט ו-Citrix פרסמו גם הן עדכוני אבטחה נוכח החולשות, שכן חולשות של מעבדים משפיעות על המערכת כולה.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם האפשרי לגרסאותיהם האחרונות.

עדכון ל-BIOS של Lenovo Notebook נותן מענה ל-3 חולשות במוצר

להלן החולשות שנסגרות בעדכון, כולן מאפשרות העלאת הרשאות במערכות פגיעות:

CVE-2022-1890 - שגיאה בניהול הקצאת הזיכרון של דרייבר ReadyBootDxe בחלק ממוצרי Lenovo Notebook. 

CVE-2022-1891 - שגיאה בניהול הקצאת הזיכרון של הדרייבר SystemLoadDefaultDxe בחלק ממוצרי Lenovo Notebook.

CVE-2022-1892 - שגיאה בניהול הקצאת הזיכרון של הדרייבר SystemBootManagerDxe בחלק ממוצרי Lenovo Notebook.

כל החולשות עלולות לאפשר לתוקף בעל גישה מקומית להריץ קוד בתוך הנתיב השמור בזיכרון לדרייבר ובכך להריץ פקודות ברמת הרשאות גבוהה. לרשימה המלאה של המוצרים הפגיעים לחצו כאן

צוות קונפידס ממליץ למשתמשי המוצרים לעדכן בהקדם את ה-BIOS על פי המלצות היצרן.

התקפות ואיומים

האקרים מנצלים את חולשת Follina במוצרי מיקרוסופט להחדרת הקובץ הזדוני Rozena והשתלטות על מחשבים באמצעותו

החולשה Follina (ראו ״הסייבר״, 9.6.22 ו״הסייבר״, 16.6.22) התגלתה בחודש מאי בכלי (MSDT (Microsoft Windows Support Diagnostic Tool, המאפשר לנציגי מיקרוסופט לחקור ולנתח נתונים על מנת למצוא בעיות בשירותי Windows. החולשה מנוצלת על ידי הזרקת קישור זדוני לקובץ של Microsoft Office ושליחתו אל הקורבן. עם פתיחת הקובץ ולחיצה על הקישור, או לחילופין לחיצה על Enable, ירוץ קוד זדוני שיאפשר לתוקף לבצע פקודות שונות ללא הרשאות ניהוליות על מכשיר הקורבן באמצעות MSDT. בתגובה לכך פרסמה מיקרוסופט עדכון למוצריה ביוני האחרון, אך בהמשך החודש זוהו קבצים העוקפים את ״אי-השימוש ב-MSDT" ומורידים Payload נוסף, הדלת האחורית Rozena, המאפשרת השתלטות מרחוק על מכשיר הקורבן: עם לחיצת הקורבן על קובץ ה-Office הזדוני נוצר חיבור חיצוני עם שרת ה-Discord CDN (שרת ציבורי המאפשר גישה להורדת קבצים) ומורד קובץ HTML הגורם להרצת PowerShell, שבתורו מריץ את הקובץ msdt.exe, המבקש להפעיל את כלי החקירה של מיקרוסופט ובהמשך מוריד את Rozena, שנשמרת בשם Word.exe. בתמונה להלן מופיע תרחיש התקיפה.

צוות קונפידס ממליץ לעדכן את מוצרי Office לגרסתם האחרונה באופן מידי ולחסום במערכות ארגונים את ה-IOCs המצויים בסוף כתבה זו.

(מקןר: Fortinet, 6.7.22)


חוקרים מזהירים משתמשי Windows מפני נוזקת Raspberry Robin המאפשרת גישה קבועה למערכת נגועה

חוקרי חברת Cybereason מפנים את תשומת הלב לגל תקיפות מתמשך שגבה כמה קורבנות באירופה ומתבסס על נוזקת Raspberry Robin, התוקפת משתמשי Windows ומתאפיינת בתכונות של תולעת (Worm), שמאפשרות לה להפיץ עצמה במערכות ולהשיג אליהן גישה פרמננטית. הנוזקה זוהתה לראשונה בחודש מאי על ידי חוקרי Red Canary ונמצא כי ההדבקה בתולעת מתבצעת באמצעות התקני USB נשלפים המכילים קובץ LNK זדוני, והתקני אחסון המחוברים לרשת NAS של QNAP כשרתי שליטה ובקרה (C&C). כחלק מפעילותה במערכת נגועה, הנוזקה ממנפת קובץ בינארי לגיטימי של Windows בשם msiexec.exe להורדת והפעלת ספרייה זדונית משותפת (DLL) ממכשיר QNAP NAS פגיע, ומשיגה גישה קבועה למערכת על ידי ביצוע שינויים ב-Registry של Windows לטעינת המטען הזדוני דרך קובץ בינארי לגיטימי של Windows המכונה rundll32.exe בשלב האתחול. כדי להקשות על זיהויה, הנוזקה מזריקה עצמה לתהליכים לגיטימיים של Windows ומשתמשת ביציאות של Tor (רשת Onion) כדי לתקשר עם שאר התשתית. בשעה זו לא ידוע מי עומד מאחורי המתקפה ומה מטרתו. חברת QNAP ממליצה ללקוחותיה לנקוט באמצעים להתגוננות מפני האיום: לא לחשוף שירותי SMB לאינטרנט, לחזק סיסמאות, לבצע גיבויים באופן תדיר ולעדכן את מערכת ההפעלה QNAP לגרסתה האחרונה. נוסף על כך, Cybereason ממליצה לחסום חיבורים היוצאים אל מחוץ לארגון לכתובות הקשורות ל-Tor, שכן Raspberry Robin מתקשרת באופן פעיל עם צמתי יציאה של Tor.

(מקור: Cybereason , 7.7.22)

משפחת נוזקות חדשה המוסוואת כתוסף לדפדפנים התגלתה על ידי חברת אבטחת המידע Zimperium 

דוח שפרסם צוות המחקר של החברה מונה 350 נוזקות בעלות פונקציות ליבה זהות, המוסוות כתוסף בשם ABCsoup, הפועל על שלושה דפדפנים פופולריים: Google Chrome ,Opera ו-Firefox במערכות מבוססות Windows. לדברי Zimperium, נמצא גידול במגוון תוספים לדפדפנים עם מזהה תוסף הזהה לזה של התוסף Google Translate, מה שמאפשר לנוזקה להישאר חבויה, לעקוף את מרבית פתרונות האבטחה של נקודות הקצה ולהוליך שולל את המשתמשים, הסבורים כי הם מתקינים תוסף לגיטימי לדפדפן. התוסף הנגוע מכיל קוד השולח נתונים אישיים ונתוני שימוש של המשתמש אל שרת ה-C2 של התוקפים, והוא כולל גם יכולות הזרקת קוד JavaScript, דבר המאפשר לתוקפים לבצע מגוון תקיפות דרך התוסף. עם זאת, מן הדוח עולה שהנוזקה משמשת בעיקר למניפולציה והתאמה של קמפיינים שיווקיים באמצעות הזרקת נתונים אישיים לאתרי האינטרנט שהקורבן מבקר בהם, לשם קבלת מודעות מותאמות אישית. 

התוסף מותקן במחשב הקורבן באמצעות קובץ הפעלה של Windows, מכיוון שבקרות אבטחה של חנויות מקוונות אינן מאפשרות את קבלת התוסף הזדוני אליהן. מכיוון שכל תוסף ב-Chrome מזוהה עם קוד זיהוי ייחודי, שאינו משתנה עם עדכוני הגרסאות, תוקפים יכולים לזייף את קוד הזיהוי של התוסף ולרשום את גרסתו של זה הזדוני כגבוהה יותר מזו של התוסף המקורי, כך שבעת הפעלת קובץ ה-Windows הזדוני, התוסף יחליף את זה המקורי בשל היותו מעודכן יותר, כביכול, ויבצע שינוי בקובץ ה-Registry של העמדה. כאשר הקורבן יפעיל מחדש את הדפדפן יבוצע החילוף בין התוספים, ואז יופעל התוסף הזדוני וישלח את הנתונים לשרת ה-C2 של התוקפים. על פי הדוח, נראה כי מקור התוקפים במזרח אירופה וברוסיה, משום שהם משתמשים בדומיינים בעלי הסיומת ״ru.״. למרות שמובן שהקמפיין מיועד בעיקר למשתמשים רוסים, תוסף זדוני ממשפחת התוספים ABCsoup יעבוד על כל מחשב מבוסס Windows שעליו יותקן.

צוות קונפידס ממליץ לגלות ערנות בנוגע להורדת קבצי הפעלה של Windows, להוריד תוספים לדפדפן אך ורק ממקורות רשמיים ולהטמיע במערכות ההגנה את ה-IOCs שפורסמו בדוח.

לא נעים להכיר: OrBit, נוזקת Backdoor חדשה ל-Linux

נוזקת OrBit תוקפת מכונות מבוססות Linux ועושה שימוש בטכניקות חמיקה מתוחכמות, משיגה אחיזה קבועה בעמדות פגועות, גונבת מידע, יוצרת Backdoor ומאפשרת לתוקף מרוחק להתחבר לעמדות ב-SSH. לאחר התקנת התוכנה הזדונית על עמדה, היא משפיעה על כל התהליכים בה, לרבות חדשים. הנוזקה נטענת לתוך מכונה או מכשיר Linux באמצעות Dropper, אשר מתקין ומכין את הסביבה לביצוע פעולות זדוניות. את OrBit ניתן להתקין באופן שיאפשר לה גישה מתמדת לעמדה או כ-Volatile Implant - מצב נדיף בו היא מקבלת גישה חד-פעמית למערכת. ה-Payload עצמו הינו אובייקט משותף (הקובץ SO.) שניתן למקמו באחסון מתמשך (למשל /lib/libntpVnQE6mk/), או ב-Shim-memory תחת /dev/shm/ldx/, כאשר בשונה מתוכנות זדוניות אחרות, המשנות את משתנה הסביבה LD_PRELOAD של ספריות משותפות, לנוזקה זו ישנן שתי דרכים לטעינת הספרייה הזדונית: באמצעות הוספת האובייקט המשותף לקובץ התצורה המשמש את ה-Loader, או על ידי תיקון הקובץ הבינארי של ה-Loader באופן המטעין את האובייקט הזדוני המשותף. הנוזקה משתמשת בשתי השיטות כחלק מיכולת ההתחמקות שלה, כך שאם, למשל, אדמין זיהה אותה ומנסה לעצור את פעילותה על ידי הסרת קובץ התצורה, השיטה השנייה נכנסת לפעולה והתיקון הבינארי המשתמש בקובץ אחר מטעין את התוכנה הזדונית ויוצר מחדש את קובץ התצורה. זאת ועוד, מאפיין ייחודיים ל-OrBit הינם גניבת מידע תוך שימוש בכלים שונים ואחסונו בקבצים ספציפיים בעמדה הפגועה, וכן שימוש משמעותי בקבצים לאחסון נתונים, דבר שלא נצפה בעבר. לדוח טכני מפורט אודות OrBit ול-IOCs, לחצו כאן.

שמה של הנוזקה, שהתגלתה לאחרונה על ידי חוקרי חברת Intezer הישראלית, מבוסס על שמו של אחד הקבצים בהם היא משתמשת לאחסון זמני של פלט הפקודות (tmp/.orbit/).

צוות קונפידס ממליץ לארגונים להטמיע במערכות ההגנה שלהם את ה-IOCs שפורסמו.

כך מנצלים פושעי סייבר את Azure ו-GitHub Actions לכריית מטבעות קריפטו

בדוח שפרסם צוות המחקר של Trend Micro מפורטות דרכים בהן מנוצלים (GitHub Actions (GHA ומכונות וירטואליות בעלות מערכות ההפעלה Linux ו-Windows הפועלות בפלטפורמת הענן Microsoft Azure, לכריית מטבעות קריפטוגרפיים מבוססי ענן באמצעות הורדה זדונית והתקנת תוכנות כורייה. חוקרי Trend Micro מצאו ב-GitHub סקריפטים שונים בשפת YAML שניסו לכרות מטבעות על ידי שימוש במכונות אוטומציה שמוצעות על ידי GitHub לשימוש ב-Azure, כאשר במהלך המחקר זוהו יותר מאלף מאגרים (Repositories) ויותר מ-550 קטעי קוד המנצלים לרעה את GHA לכרייה באמצעות מכונות אלה. למרות שפעילות זדונית זו אינה חדשה, תדירותן של התקיפות הולכת וגדלה, לצד הגידול בהופעתם של שירותי ענן חדשים ובמתן גישה חינמית אליהם על ידי הספקיות הענן.

עוד מתועדות במחקר טכניקות התמדה והסוואה מתקדמות בהן משתמשים פושעי סייבר כדי לחמוק מזיהוי על ידי GitHub ולמנוע את השבתת פעילותם. בין אלה ניתן למצוא שימוש במטריצות רב-מימדיות ליצירת פעולות כרייה במקביל לעבודות המכונה השוטפות, כיבוי מצב Fail-fast כך שהפעולות יימשכו גם במקרה של כשלים בפעולות המתרחשות במקביל, הגדרת זמני השהיה שונים לניסיונות הרצה כושלים, שימוש בפקודת Continue-on-error המבטיחה הפעלה מוצלחת של פעולה גם אם מתרחשת שגיאה ושימוש בפקודה המגבילה את ניצול מעבד המכונה ל-70%, על מנת למנוע עומס יתר והתנהגות לא-סבירה של המכונה. כאשר החוקרים הריצו ב-VirusTotal קבצים בינאריים הקשורים למאגרים שמצאו, הם אכן סומנו ככורי מטבעות קריפטוגרפיים, אך כל עוד פושעי הסייבר משתמשים רק בחשבונות שלהם ובמאגריהם, הדבר משפיע על GitHub בלבד ולא על משתמשי הקצה. עם זאת, מכיוון שכל אדם יכול ליצור ולשתף GHA ב-GitHub Marketplace, מומלץ להיזהר ולבחור רק ב-GHA מוכר. אינדיקציות לניצול פלטפורמת הענן על ידי מכונות כרייה כוללות צריכת משאבים מוגברת, עד כדי ניצול 100% ממשאבי המעבד, והאטת הפעולות הרצות על המכונה.

צוות קונפידס ממליץ לנטר את הוצאות הענן, מכיוון ששימוש בכורי מטבעות קריפטוגרפיים עלול לגרור עלויות הגבוהות בעד 600% מאלה הרגילות, עקב שימוש מוגבר במשאבים. עוד מומלץ לנטר את מטריקת השימוש של המכונה ב-CPU כדי לזהות אם קיימת עלייה משמעותית בניצול משאב זה, שכן הדבר עשוי להעיד על פעילות של כורה מטבעות קריפטוגרפיים. במידה והארגון משתמש ב-GHA, מומלץ לנקוט משנה זהירות ולבחור רק ב-GHA מוכר וידוע. מומלץ להזין במערכות ההגנה של הארגון את ה-IOCs שפורסמו בדוח.


Rolling PWN: החולשה המאפשרת לפתוח ולהניע את כלל רכבי Honda משנת ייצור 2012 ואילך

שני חוקרים ממעבדות Star-V הצליחו למצוא פירצה במערכת ה-Rolling Codes, שנועדה למנוע מתקפות שליחה מחדש (Replay Attack) נגד מערכת הנעילה של רכבים מתוצרת Honda. מערכת זו סופרת ושומרת את מספר הנעילות והפתיחות של הרכב כדי לשמר סנכרון בין המפתח המקורי לרכב עצמו. כחלק מאותו מנגנון, המספר המתקבל יהיה מעט נמוך או גבוה יותר מהמספר האמיתי, בכדי למנוע מצב בו לחיצות שנעשו בשוגג יובילו לנעילת בעלי הרכב מחוצה לו. ואולם, הפירצה שנמצאה מאפשרת לתוקף להציף את הקולטן המצוי ברכב ברצפים של מספרים, ובכך לאפס את מנגנון הספירה. עם האיפוס, המנגון יקבל בהצלחה פקודות עם ספירה קודמת, ותוקף שהצליח להקליט אותן מבעוד מועד יוכל לפתוח את הרכב

על פי החוקרים, נמצא כי הפירצה תקפה לעשרת הדגמים הפופולריים ביותר של Honda משנת ייצור 2012 עד 2022, לרבות Civic ו-Accord, כך שניתן להסיק שככל הנראה היא קיימת בכלל רכבי היצרנית הזמינים בשוק. לדברי החוקרים, ניתן לתקן את הפירצה באמצעות עדכוני (OTA (Over-the-Air של הרכבים - שיטה להעברת נתונים אלחוטית באמצעות הרשת הסלולרית, במקום באמצעות כבל או חיבור מקומי אחר. עם זאת, לפי מגזין אבטח המידע BleepingComputer, נכון לעכשיו אין בכוונתה של Honda לעדכן רכבים ישנים. עוד אמרו החוקרים כי ייתכן שהפירצה קיימת גם ברכבים של יצרניות אחרות, אך נכון לעכשיו טענה זו אינה מאומתת.

משתמשי חברת הקריפטו Uniswap נפלו קורבן למתקפת פישינג בה נגנבו כ-8 מיליון דולר 

ב-11 ביולי הפכו משתמשי חברת Uniswap, המובילה במסחר במטבעות Ethereum, לקורבנות מתקפת פישינג רחבה, בה נגנבו כ-8 מיליון דולרים (כ-7,573.94 ETH). במהלך המתקפה השתמש התוקף במפתח זדוני שלכאורה מאפשר לקורבנות להמיר מטבעות Ethereum למטבעות Uniswap. בפועל, דף ההמרה אליו נותבו הקורבנות הינו הדף הזדוני ​​UniswapLP[.]com, שכבר הורד מהרשת, ואשר דומה לעמוד ה-Ethereum המקורי. בעמוד הזדוני התבצעה ואושרה העברת כספי הקורבנות לארנקו של התוקף. להלן צילום מסך של ארנקו של התוקף, כביכול.

(מקור: צילום מסך, Etherscan, 14.7.2)

השבוע בכופרה

חוקרים מפרטים את הטכניקות שבהן LockBit משתמשת להדבקת מטרותיה: ניצול חיבורי EDP חשופים ושליחת מיילי פישינג

LockBit, אשר בדומה למרבית הקבוצות מסוגה פועלת במודל של ״כופרה כשירות״ (Ransomware-as-a-Service, או RaaS), נצפתה לראשונה בספטמבר 2019, ומאז סומנה ככופרה הדומיננטית ביותר במרחב, כזו שהתקפותיה מתפתחות ללא הרף על ידי שימוש במגוון רחב של טכניקות הדבקה והשבתת פתרונות אבטחה. זאת ועוד, התוכנה משתמשת בטכניקה הפופולרית של סחיטה כפולה לגניבת כמויות עצומות של נתונים לפני הצפנת נכסי היעד. 

נכון למאי 2022, באתר דליפת הנתונים של LockBit הופיעו לא פחות מ-850 קורבנות. במאמר חדש מפרטים חוקרים את דרכי ההדבקה הראשונית בהן משתמשת התוכנה: ניצול חיבורי RDP חשופים, שימוש בהודעות פישינג להורדת נוזקות וניצול חולשות אבטחה במוצרים שאינם מעודכנים, לקבלת גישה מרחוק לרשת. לאחר ההדבקה מבצעת הנוזקה פעולות לאיתור וגניבת אמצעי הזדהות ושימוש ב-PsEexec על מנת לאפשר לתוקפים לנוע רוחבית ברשת, לבסס בה אחיזה, להעלות הרשאות ולהפעיל את תוכנת הכופר. בשלוש השנים שחלפו מאז הופעתה, שודרגה התוכנה הזדונית ביוני 2021 לגרסה LockBit 2.0 ובחודש שעבר לגרסה LockBit 3.0, התומכת בתשלום כופר במטבעות קריפטוגרפיים של Zcash ומציגה לראשונה תוכנית Bug Bounty של קבוצת כופרה (ראו ״הסייבר״, 30.6.22). תוכנית זו מציעה, לכאורה, תגמול של עד מיליון דולר עבור מציאת נקודות כשל באבטחת האתר והנוזקה ורעיונות לשיפורה, ועבור זיהוי דרכים לחשיפת ה-IP של האתר ברשת ה-Tor. התוכנית מהווה סימן נוסף לכך שתפקודן של קבוצות האקרים הופך דומה יותר ויותר לזה של ארגוני IT לגיטימיים, לרבות מחלקות משאבי אנוש, מהדורות קבועות של תוכנות ותשלום בונוסים עבור פתרון בעיות מאתגרות.

צוות קונפידס ממליץ לארגונים לעדכן את מוצרי האבטחה שלהם במזהי הכופרה, על מנת לחסום ניסיונות להפעילה.

פיצ׳ר חדש באתר של מפעילי כופרת BlackCat: חיפוש בנתונים גנובים

מפעילי הכופרה, הידועה גם בשם ALPHV, השיקו באתר ההדלפות שבבעלותם מדור ייעודי המאפשר לכל אדם לבצע חיפוש בנתונים גנובים  ומודלפים של קורבנות מן העבר, אשר נגנבו. להלן תמונה מתוך האתר.

(מקור: campuscodi, 13.7.22)

האקרים מתחזים לחברות אבטחת מידע לשם ביצוע מתקפות סייבר

בהתראה שפרסמה ללקוחותיה חברת CrowdStrike נאמר כי ב-8 ביולי צוות המודיעין שלה זיהה מתקפת Callback Phishing, בה נדרש הקורבן לחייג בחזרה אל התוקפים, דבר המוסיף לאמינותם. במסגרת המתקפה תועדה התחזות לחברות אבטחת מידע מוכרות, לרבות CrowdStrike, במייל פישינג בו מופיעה טענה לפיה החברה נפרצה ולכן על העובד להתקשר למספר טלפון שהופיע במייל. קמפיין זה מבוסס על הנדסה חברתית ומטרתו להתקין כלי שליטה מרחוק על רשת החברה של הנמען (RAT). לאחר מכן משתמשים התוקפים בכלי פריצה שונים לשם תנועה רוחבית ברשת והגברת האחיזה בה, כל זאת על מנת להצפין מידע ומערכות ולדרוש כופר. בשעה זו טרם התברר באיזו נוזקה נעשה שימוש, אך לרוב בקמפיינים מסוג זה מדובר בכופרות. כך, למשל, היה בקמפיין BazarCall, שב-2021 הוביל להצפנת מערכות על ידי הכופרה של Conti, אשר לאחרונה חדלה מפעילותה. עם זאת, נראה כי הקמפיין הנוכחי הוא הראשון שמשתמש בטכניקת Callback מאז BazarCall.

(מקור: CrowdStrike, 8.7.22)

חברת Bandai Namco מדווחת כי נפרצה

ענקית המשחקים מאשרת כי ב-13 ביולי התרחשה גישה בלתי מורשית לרשת המחשוב של קבוצת חברות בבעלותה, הממוקמות באסיה. לאחר שהדבר אומת, נקטה החברה בצעדים כגון חסימת גישה אל שרתיה, למניעת נזק נוסף. לדברי Bandai Namco ייתכן ודלף באירוע מידע רגיש השייך ללקוחות של אחת החברות שבבעלותה, והיא חוקרת כעת את המקרה, את דלף המידע ואת היקף הנזק. לדברי החברה, היא תמשיך לחקור את המקור לאירוע, תפרסם את תוצאות החקירה ותעבוד עם חברות חיצוניות על מנת לחזק את אבטחת המידע ולהקשיח את הגדרות ונהלי האבטחה הקיימים, למניעת אירועים דומים בהמשך. בתוך כך, קבוצת התקיפה ALPHV פרסמה באתר ההדלפות החדש שלה (ראו ידיעה לעיל) כי השיגה גישה אל רשת המחשוב של חברת Bandai Namco.

Lilith: כופרה חדשה עם קורבן ראשון

על פי דוח של חברת Cyble, לנוזקה החדשה יכולת הצפנה מתקדמת, המאפשרת לה להצפין מספר רב של סוגי קבצים, להם היא מוסיפה את הסיומת ״Lilith.״, ואז יוצרת מכתב כופר בשולחן העבודה. Lilith זהה לכופרות אחרות בכך שהיא כתובה בשפת C++/C ומשתמשת ב-APIs של Windows לביצוע פעולותיה הזדוניות. במכתב הכופר שמונח על העמדה הנתקפת ניתנים לקורבנות עד שלושה ימים ליצירת קשר לשם ניהול משא ומתן, אחרת יחל לדלוף מידע רגיש שנגנב מהקורבן. בתוך כך, הקבוצה העומדת מאחורי הכופרה פרסמה באתרה ברשת כי גבתה קורבן ראשון. בשעה זו קשה להעריך אם היקף הפעילות של הקבוצה יגדל, אך נראה כי יש להמשיך לעקוב אחריה, לצד קבוצות חדשות נוספות שנצפו לאחרונה משתמשות בנוזקות משוכללות, בהן RedAlert ו-Omega.

המלחמה במזרח אירופה

 

מתקפת סייבר חדשה פוגעת במוסדות ציבור אוקראינים באמצעות המייל

הצוות האוקראיני לתגובת חירום לאירועי סייבר (CERT-UA), הפועל תחת שירות המדינה האוקראיני לתקשורת מיוחדת והגנת מידע (SSSCIP), מזהיר מפני הודעות מייל מסוכנות שכותרתן "פרקליטות צבאית והגנה מתמחה. מידע על משרות פנויות ואיוש עובדים”. להודעות אלה מצורף קובץ XLS המכיל פקודות מאקרו שהפעלתן באמצעות פתיחת הקובץ יוצרת ומפעילה במחשב הקורבן את הקובץ write.exe, המביא להדבקת המכשיר בנוזקת Cobalt Strike Beacon. פעילות זו מקושרת, ככל הנראה, לקבוצת UAC-0056, שכבר היתה מעורבת במתקפות סייבר על אוקראינה בחודשים מרץ ואפריל.

סייבר בעולם

 
 

מיקרוסופט נסוגה זמנית מתוכניתה לחסום פקודות מאקרו באופן אוטומטי

לאחר שבפברואר השנה הודיעה החברה שתשבית כברירת מחדל פקודות מאקרו (VBA) בכל מוצריה, לרבות Word ,Excel ,PowerPoint ,Access ו-Visio, במטרה לצמצם התקפות פוטנציאליות המתבססות על הורדת קבצים מהאינטרנט, כעת היא חוזרת באופן זמני אל גרסה קודמת של הפיצ׳ר, ללא החסימה האוטומטית. בהודעה שפורסמה על ידי דובר מטעם מיקרוסופט נאמר כי ההחלטה התקבלה בעקבות פניות משתמשים, וכי כעת החברה עובדת על מספר שינויים שישפרו את אופן השימוש ביכולת החדשה. עוד הדגישה מיקרוסופט כי מדובר בשינוי זמני בלבד, ושעד להשלמת המהלך לקוחות יוכלו להפעיל פקודות מאקרו דרך הגדרות הקבוצה (GPO).  

 

(מקור: The Hacker News, 8.7.22)

חברת Google נגד הבוטנט Glupteba - והקשר ל-AWM Proxy

הבוטנט משמש את בעליו לגניבת סיסמאות ועוגיות, לכריית מטבעות קריפטוגרפיים וליצירת Proxy על מערכות הפעלה של Windows ומכשירי IoT. לדברי Google, הנוזקה מפיצה עצמה על בסיס (PPI Networks (Pay Per Install ו-Traffic Distribution Systems - שני מנגנונים שבאמצעותם האקרים מוכרים שירותי הפצת נוזקות. עד כה השמידה Google כ-63 מיליון קבצי Google Docs, כמו גם 908 פרויקטים של Google Cloud ו-870 פרסומות ב-Google, שהתגלו כקשורים להפצת נוזקות. במקביל, 3.5 מיליון משתמשים הוזהרו באמצעות הפיצ׳ר Google Safe Browsing לפני שהורידו קבצי נוזקות של Glupteba. 

בפרסום של Google הודיעה החברה כי היא פועלת גם בפן המשפטי וגם בפן הטכני נגד הבוטנט של Glupteba, וכי חרף מאמציה למגר את פעילותו היא מעריכה שמפעיליו ינסו להשיב לעצמם את השליטה בו באמצעות מנגנון גיבוי שליטה המשתמש בטכנולוגיית בלוקצ׳יין.

בתוך כך, מגזין אבטחת המידע Krebs on Security התייחס לתביעה האזרחית של Google מדצמבר 2021 נגד שני אזרחים רוסים, דמיטרי סטרוביקוב ואלכסנדר פיליפוב, החשודים כבעלי הבוטנט Glupteba, שהתגלה ב-2008 על ידי מומחי אבטחת מידע, אז יוחסה לו בעיקר פעילות של הפצת ספאם. ואולם, בשנים האחרונות הסתמן כי בעלי הבוטנט מנצלים אותו לביצוע מתקפות מניעת שירות (DDoS) משמעותיות, להפצת כופרה על מחשבים נגועים, להשבתת מוצרי אבטחת מידע, לגניבת סיסמאות ולהפצה עצמית ברחבי רשתות של מכשירים פגועים. כמו כן, בעשור האחרון גדלה תפוצתו של הבוטנט באופן בלתי נתפס, כאשר הדביק בנוזקות מיליוני מחשבים. במקביל, AWM Proxy, שהינו שירות אנונימיות ידוע בקרב עברייני סייבר, משתמש במכשירי קצה פרוצים לניתוב תעבורה של משתמשים דרכו, לשם טשטוש עקבותיהם ברשת. נראה כי ניתן לבסס קשר בין סטרוביקוב ל-AWM Proxy על סמך העובדות הבאות:

א. חקירה של חוקרי אבטחת מידע מחברת ESET הראתה שכלל המכשירים אשר התווספו לרשימת המכשירים של AWM Proxy נפרצו על ידי Rootkit בשם TDSS, בו נעשה שימוש גם להפצת Glupteba.

ב. ביום הגשת התביעה כבתה לפתע מערכת ה-AWM Proxy, ובאתרה הופיעה הודעה ללקוחות, לפיה השירות עבר לדומיין חדש, ביחד עם סיסמאות הלקוחות והיסטוריית הרכישה שלהם. מאז רדיפתו על ידי הרשויות, השירות ממשיך לנדוד בין דומיינים באופן תדיר. 

23 מיליון משתמשים נגנבו בחודש מאי מאפליקציית הקומיקסים Mangatoon

לפרויקט (HaveIBeenPwned (HIPB, המאגד מאגרי מידע שנפרצו ודלפו, נוסף מאגר המידע של חברת Mangatoon, המספקת פלטפורמה לצריכת קומיקס. במהלך מאי האחרון חוותה החברה דלף של מאגר נתונים שכלל עשרות מיליוני משתמשים, ועל פי HIBP הכיל שמות מלאים, כתובות מייל, פרופילים ברשתות חברתיות, אסימוני גישה וסיסמאות מוצפנות. במקביל לפרסום ההודעה בדבר גניבת המשתמשים, טרוי האנט, מייסד HIBP, פנה לקהל בטוויטר וכתב: ״האם למישהו יש קשר לאיש אבטחה ב-Mangatoon? אין אפשרות ליצור איתם קשר והם לא מגיבים בטוויטר ובמייל לפחות לעוד אדם אחד שמחפש אותם יותר זמן ממני״. על פי מגזין אבטחת המידע BleepingComputer, קבוצת התקיפה pompompurin טוענת כי המידע נגנב ממערכת Elastic Search (מערכת אחסון נתונים) שפרטי הגישה אליה היו קלים לפיצוח, ושסיסמאותיה שונו לאחר שהקבוצה פנתה ל-Mangatoon בנושא. עד לשעה זו לא התקבלה תגובת החברה לדבר הפריצה.

מאגר PyPI מחייב פרויקטים קריטיים של Python ליישם מנגנון אימות דו-שלבי

בעקבות עלייה בכמות ההונאות ואירועי האבטחה בפלטפורמה (ראו ״הסייבר״, 11.2.21, ״הסייבר״ 5.8.21 ו״הסייבר״, 30.6.22), מאגר חבילות הקוד הפתוח של Python יוצא במהלך המחייב מפתחי פרויקטים ״קריטיים״ ליישם מנגנון אימות דו-שלבי (2FA) במטרה לשפר את אבטחת שרשרת האספקה של האקוסיסטם של Python. דרישתה של PyPI תיכנס לתוקף בחודשים הקרובים, כאשר פרויקט יוגדר כ״קריטי״ לפי מספר ההורדות היומי שלו, כמתועד במערכת הנתונים הציבורית של הפרויקט. הגדרה זו אינה ניתנת לשינוי ואינה דורשת הסכמה של בעלי הפרויקט. צוות אבטחת הקוד הפתוח של Google, שנתן חסות לקרן התוכנה Python המנהלת את PyPI, מספק מספר מוגבל של 4,000 מפתחות אבטחה המיועדים למנהלי פרויקטים קריטיים, כדי להבטיח את קיומם של האמצעים ליישום 2FA.

מיקרוסופט: שירות ה-Windows Autopatch זמין לשימוש

Windows Autopatch, שירות ארגוני המעדכן אוטומטית את התוכנות Windows ו-Microsoft 365, הפך לזמין בחינם לכלל משתמשי Windows 10/11 Enterprise בעלי רישיון מסוג E3 ו-E5. השירות מנהל באופן אוטומטי את התקנת עדכוני התוכנה, הדרייברים, הקושחה ואפליקציות Microsoft 365 עבור המשתמשים הרשומים אליו בארגון. לדברי ליאור בלה, מנהל שיווק מוצר אב במיקרוסופט, החברה תמשיך לשחרר עדכונים ביום שלישי השני של כל חודש, אך Autopatch יעזור לייעל את פעולות העדכון ויקל על אנשי IT. לדבריו, לעיתים מהססים אנשי ה-IT להתקין עדכונים פן יגרום הדבר לבעיות אחרות, אך Autopatch יאפשר לשמור על אפליקציות ה-Windows וה-Microsoft 365 מעודכנות ולשפר את רמת ההגנה. רישום מכשירים לעדכון אוטומטי של Windows מתבצע באופן המפורט כאן

ה-CISA מוסיפה חולשה ל״קטלוג החולשות המנוצלות הידועות״ ומגדירה לסוכנויות הפדרליות יעדים לביצוע עדכוני גרסאות

החולשה (CVE-2022-2047, CVSS 7.8) שהוסיפה הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) לקטלוג שהיא מתחזקת מצויה ברכיב המערכת Client/Server Runtime Subsystem) CSRSS) ב-Windows, ועלולה לאפשר העלאת הרשאות בכל הגירסאות הנתמכות של מערכת ההפעלה מבית מיקרוסופט. החולשה נוספה לקטלוג על סמך עדויות לניצולה על ידי קבוצות תקיפה. על אף פי שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפתו לתקיפות סייבר. זאת ועוד, ה-CISA שינתה את מבנה הקטלוג והוסיפה לו עמודה המציינת את תאריך היעד לסגירת החולשות המופיעות במאגר. ככל הנראה, מטרת השינוי היא להאיץ בארגונים לבדוק אם החולשות מצויות במערכותיהם ולטפל בהן במהרה.

צוות קונפידס ממליץ למשתמשי Windows להטמיע במערכותיהם את עדכון האבטחה למוצר, שפורסם ב-12 ביולי.

סייבר בישראל

 

רשויות מקומיות על הכוונת: מערך הסייבר הלאומי מונע מתקפה על משאבות הביוב של אור עקיבא ומטפל במתקפה על עיריית תל אביב

ביום חמישי ה-7 ביולי פרסמו האקרים צילום מסך של ממשק גרפי של מערכת בקרת משאבות הביוב השייכות לאור עקיבא. ההאקרים, שסברו בשגגה כי מדובר במשאבות דלק, כתבו לצד צילום המסך "ווהו, משאבות דלק בישראל. מעניין מה קורה כשהמשאבות אינן זמינות". פעולה זו חשפה את הקלות בה ניתן להציף בביוב עיר בישראל. לדברי עיתון ״הארץ״, מערך הסייבר הלאומי יצר קשר עם העירייה כבר במרץ 2021, לאחר שחוקרי אבטחה ישראלים מחברת Claroty חשפו כמה חולשות מרכזיות במערכות חברת Ovarro בה משתמשת העירייה, חולשות המאפשרות לתוקפים להשתיל קוד זדוני באמצעות מנגנון העדכונים של התוכנה, ולשבש או להשבית את המערכת. למרות זאת, הממשק נותר חשוף והעיריה חסמה את הגישה לממשק רק ביום חמישי שעבר בערב, לאחר שעיתון "הארץ" פנה אליה בנושא. עוד התברר כי עקב אי-עדכון גרסת תוכנה, ממשק השליטה במשאבות היה נגיש משך שנתיים לכל גולש, ללא סיסמה וחיבור מוצפן. עם זאת, לטענת עיריית אור עקיבא הממשק משמש לניטור בלבד ולא ניתן לבצע באמצעותו פעולות אקטיביות לפגיעה במערכת הביוב.

בתוך כך, ב-11 ביולי מערך הסייבר זיהה וטיפל במתקפת מניעת שירות (DDoS) על אתרה של עיריית תל אביב, שנמשכה כשעה עד חזרת האתר לפעילות. קבוצת ההאקרים העיראקית הפרו-איראנית ALtahrea Team, הפועלת כנקמה על חיסולו של הגנרל קאסם סולימאני ב-2020, לקחה אחריות על המתקפה ופרסמה בעמוד הטלגרם שלה הודעה לפיה "בשעה 09:00 לפי שעון כרבלא [עיר בעיראק] הצליחו שלוש יחידות סייבר עיראקיות לפגוע בתשתיות של הישות הציונית, ובאתר של עיריית תל אביב". עוד הביעה הקבוצה מחויבות בפני העם העיראקי וסולימאני המנוח שהפעולות הבאות יהיו חזקות יותר ובעלות השפעה רבה יותר. להלן צילום מסך של תגובתה המשועשעת של עיריית תל אביב לאירוע, בעמוד הפייסבוק שלה.

(מקור: עמוד הפייסבוק של עיריית תל אביב, 11.7.22)

פרטים חדשים על יחידת הסייבר של ארגון החיזבאללה: ״צבא בוטים״ ופעילות תודעתית ברשתות החברתיות

ברשומת בלוג שכתב טל בארי, חוקר במרכז ״עלמא״ לחקר אתגרי הביטחון של מדינת ישראל בגבול הצפוני ובאופן השפעתם על העורף הישראלי, מדווח החוקר על "הצבא האלקטרוני של חיזבאללה" - יחידה  סודית הממוקמת במבנה מיוחד שבבעלות יחידת התקשורת של חיזבאללה, ופועלת ברשתות החברתיות נגד מתנגדי הארגון ולקידום הנרטיבים שלו. 

היחידה מנהלת קמפיינים בפלטפורמות חברתיות, מנסה להשפיע על דעת הקהל, ובמידת הצורך אף מבצעת תקיפות סייבר נגד מתנגדי חיזבאללה. תחת היחידה פועלת יחידה נוספת, האחראית על יצירת ״צבא בוטים״ שמונה אלפי חשבונות ומשמש לקידום המטרות הפוליטיות של חיזבאללה. עוד אחראית היחידה על דיווח על משתמשים מתנגדי חיזבאללה ברשתות החברתיות על מנת שייחסמו, ועל נושאי אבטחת מידע. שתי יחידות משנה נוספות הפועלות תחת יחידת הסייבר של הארגון עוסקות בעיבוד וניתוח מידע המצוי במחשבים וטלפונים שנפרצו ובניטור ומעקב אחר חשבונות. על היחידה מפקד עבדאללה קציר, מנכ״ל ערוץ אלמנאר ועוזרו של  סאפי א-דין. להן תרשים השופך אור על התפלגות הזרוע הביצועית של חיזבאללה. 

(מקור: Alma, 13.7.22)

סייבר ופרטיות - רגולציה ותקינה

 

הכללים החדשים של העברת מידע אל מחוץ לגבולות סין

ב-12 ביולי פרסמה סין כללים המפרטים דרישות לביקורות רגולטורית על כל העברת מידע אל מחוץ לגבולותיה, ומבהירים את הצעדים המוטלים על חברות המבקשות לקבל אישור ממשלתי כנדרש לביצוע העברות מסוג זה. מינהל מרחב הסייבר של סין (CAC), שהינו הגוף המפקח על אכיפת הכללים, פרסם "אמצעים להערכת אבטחה של ייצוא נתונים", בהמשך להערות הציבור שהתקבלו על טיוטת הכללים שפורסמה בנובמבר 2021. בין היתר, הכללים הסינים החדשים יחייבו חברות המעוניינות לייצא נתונים לעבור בדיקות מטעם ה-CAC בנוגע לרמת אבטחת המידע של מערכותיהן ולסוגי המידע שהן מבקשות להעביר, וכן להגיש הערכה עצמית בנוגע לסיכונים הכרוכים בהעברת המידע אל מחוץ למדינה. הכללים החדשים מבוססים על שלושת חוקי הגנת סייבר והגנת המידע שכבר בתוקף בסין: ה-Cybersecurity Law משנת 2017, חוק אבטחת המידע (Data Security Law) משנת 2021 וחוק הגנת המידע האישי (Personal Information Protection Law), גם הוא מ-2021. הכללים החדשים, המיועדים "לתיקון ייצוא הנתונים מסין" ו"להגנה על מידע אישי״ ועל ״הביטחון הלאומי והאינטרס הציבורי", ייכנסו לתוקף בספטמבר 2022. 

מבקר המדינה: מרבית הרשויות המקומיות ערוכות לאיומי סייבר ברמה נמוכה בלבד

לפי דוח מבקר המדינה בנושא "ניהול מערכות מידע ברשויות מקומיות" שהתפרסם לאחרונה, הרשויות המקומיות בישראל מחזיקות במערכות המידע שלהן נתונים אישיים, כולל מידע אישי רגיש על תושביהן, דבר ההופך אותן למטרה אטרקטיבית לתקיפות סייבר. מכאן, מבקר המדינה סבור שיש צורך להגן על מערכות מידע אלה, כדי למנוע דליפת מידע אישי ממאגרים של רשויות. בדוח שפורסם משתף המבקר את תוצאותיו של שאלון שערך בנושא, עליו השיבו 59 מתוך 257 רשויות מקומיות בישראל, ואשר מתוצאותיו עולה ש-24 רשויות מקומיות (41% מהמשיבות) חוו אירוע סייבר בין השנים 2019-2021 וכי ל-36 רשויות (61% מהמשיבות) אין כעת תוכנית התאוששות מאירוע כזה. עוד נחשף כי למרבית הרשויות אין ממונה על אבטחת מידע או מנהל מערכות מידע ראשי, וגם לא נוהל אבטחת מידע סדור - שני דברים הנדרשים על פי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. אי לכך, בדוח שפורסם מופיעה מסקנת מבקר המדינה לפיה רמת אבטחת המידע ורמת המוכנות של מרבית הרשויות המקומיות לאיומי סייבר הן נמוכות. בטבלה להלן מוצגים האתגרים העיקריים בתחום ניהול מערכות המידע ברשויות המקומיות.

(מקור: דו"ח מבקר המדינה, "ניהול מערכות מידע ברשויות מקומיות", 2022, עמ' 1252) 

היבטים תרבותיים של מידע ביומטרי: משרד המשפטים מפרסם טיוטת תקנות המתייחסות לבקשת נשים דתיות שלא לחשוף את פניהן

ב-7 ביולי הוגשה הצעת תיקון לחוק מרשם האוכלוסין התשכ"ה-1965, לפיו נשים המבקשות שלא לחשוף את פניהן ברבים מטעמי דת יוכלו להצטלם לתעודת זהות ביומטרית עם כיסוי ראש. באופן זה, בשבב תעודת הזהות יהיו פניהן חשופות מהמצח ועד הסנטר, כך שהצילום יוכל לשמש לצרכי השוואה דיגיטלית ואלגוריתמית במאגר הביומטרי, בעוד שעל גבי תעודת הזהות הביומטרית תודפס תמונה בכיסוי חלקי של הפנים. התיקון המוצע מתייחס להיבטים התרבותיים והדתיים של מידע אישי החשוף ברבים, גם במסגרת מטרות ראויות וכחלק מפעילות מדינתית שגרתית. זו אינה הפעם הראשונה בה עולה סוגייה זו לדיון, ובשנים עברו הונפקה תעודות זהות ללא תמונה לנשים דרוזיות שהצהירו על עצמן כדתיות אדוקות. נושא כיבוד הערכים התרבותיים והדתיים בהנפקת תעודות זהות ביומטריות נדון גם במדינות אחרות

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.