WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 14.10.2021

עיקרי הדברים

  1. לראשונה בישראל - בית חולים הלל יפה תחת מתקפת כופרה. מנכ״ל משרד הבריאות מבקש ממנהלי בתי החולים ערנות מקסימלית מחשש לאירועים נוספים. פרטים חדשים על האירוע. 

  2.  מתקפת סייבר משביתה את הבנק הכי גדול באקודור Bancho Pichincha.

  3.  מיקרוסופט מתריעה מפני קבוצת תקיפה מדינתית, הפועלת נגד ארגונים בעלי אופי ביטחוני בישראל וארצות הברית. 

  4. האם מותר לחברות ישראליות לשלם דמי כופר להאקרים? עו״ד דב האוסן כוריאל יועמ״ש קונפידס עונה על השאלה. 

  5.  אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Apple (קריטי);  מוצרי מיקרוסופט (קריטי); מוצרי Adobe (קריטי); Apache HTTP Server (קריטי);  מוצרי Cisco (גבוה); מערכת ההפעלה של מוצרי Juniper (גבוה); 

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה ל-Apache HTTP Server נותן מענה למספר חולשות קריטיות מנוצלות
עדכוני אבטחה למספר מוצרים של Cisco
עדכוני אבטחה למוצרי Apple נותנים מענה לחולשה קריטית
עדכון האבטחה החודשי של מיקרוסופט נותן מענה ל-78 חולשות בדרגות חומרה שונות
עדכוני אבטחה ל-Adobe נותנים מענה לחולשות ברמת חומרה קריטית ובינונית
עדכוני אבטחה ל-Juniper נותנים מענה לחולשות ברמת חומרה גבוהה

התקפות ואיומים

מיקרוסופט: תוקפים מרוסיה אחראים ל-58% ממתקפות הסייבר על רשתות ממשלתיות בשנה האחרונה
מתקפת סייבר משביתה את הבנק הגדול באקוודור
חברת Mandiant Intelligence מפרסמת דוח סקירה אודות קבוצת התקיפה FIN12
גרסה חדשה של כלי לכריית ביטקוין מכוונת לשרתים בסביבת Huawei Cloud
חברת Olympus נאלצת להשבית את מערכותיה בעקבות מתקפת סייבר

השבוע בכופרה

חברה המדיה האמריקאית Cox מאשרת כי חוותה מתקפת כופרה
ענקית ההנדסה Weir נפגעה ממתקפת כופר
בנק אמריקאי-קוריאני חשף כי ספג מתקפת כופרה

סייבר בישראל

האם מותר לחברות ישראליות לשלם דמי כופר להאקרים?
חשבון האינסטגרם של עיתון ״הארץ״ נפרץ

מתקפת כופרה על בית החולים הלל יפה מובילה להשבתת רוב מערכותיו

סייבר בעולם

בניגוד לדעה המקובלת: גם השוק הרוסי מצוי על כוונת פושעי הכופרה
ה-CERT מזהיר מפני תעודות דיגיטליות (TLS) עם Wildcards
מיקרוסופט מתריעה מפני קבוצת תקיפה מדינתית, שעיקר פעילותה מכוון נגד ארגונים ישראליים ואמריקאיים בעלי אופי ביטחוני

סייבר ופרטיות - רגולציה ותקינה

הודעות פומביות של משרד הבריאות ושל מערך הסייבר הלאומי על אירוע הסייבר בבית החולים הלל יפה
ממשל ביידן מוביל להגברת רמת הגנות הסייבר בארה"ב ובעולם
הצהרת ממשלת הולנד לפרלמנט: אין מניעה להשתמש בכוחות צבאיים להתמודדות עם מתקפות סייבר
ארגון ה-ASEAN מגבש מדיניות אזורית להגנת סייבר: אימוץ 11 הכללים שקבע האו"ם להתנהגות מדינתית


כנסים

 
 

הציטוט השבועי

״אם מתקפת כופרה, בין אם הכוונה פיננסית ובין אם לאו, מהווה איום על הביטחון הלאומי, למשל תקיפה של מגזרים קריטיים, לממשלה עומדים משאבים אחרים לרשותה ... הולנד יכולה גם להגיב באמצעות הצבא. למשל, פיקוד הסייבר יכול לבצע מתקפת נגד כדי למנוע פעולת אויב או להגן על אינטרס חיוני של המדינה ״ 

בן קנפן, שר החוץ ההולנדי במכתב לפרלמנט ההולדני ב- 6.10.2021

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה ל-Apache HTTP Server נותן מענה למספר חולשות קריטיות מנוצלות

את החולשות (CVE-2021-41773, CVE-2021-42013) הנסגרות בעדכון עלולים תוקפים לנצל על מנת לגשת למידע במערכת הקורבן ולהפעיל עליה קוד מרחוק.

צוות קונפידס ממליץ למשתמשי המוצר להתקין בהקדם את את גרסתו האחרונה (2.4.51).

עדכוני אבטחה למספר מוצרים של Cisco

העדכונים נותנים מענה ל-19 חולשות, בהן 8 ברמת חומרה גבוהה (עד 8.8 CVSS), ורלוונטיים למוצרים הבאים:

Cisco ISE
Cisco ATA 190 Series (190, 191, 192)
Cisco AsyncOS for Cisco WSA
Cisco Intersight Virtual Appliance
Cisco Small Business 220 Series Smart Switches
Cisco AnyConnect Secure Mobility Client for Linux and MacOS
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות. את רשימת החולשות המלאה ופירוט אודותן ניתן למצוא כאן.

עדכוני אבטחה למוצרי Apple נותנים מענה לחולשה קריטית

העדכונים סוגרים חולשת Zero-day קריטית (CVE-2021-30883) ב-iOS וב-iPad, אשר עלולה לאפשר לתוקף להשחית את זיכרון המערכת הנתקפת באופן המאפשר להריץ פקודות מרחוק בהרשאות גבוהות של Kernel. מחברת אפל נמסר כי היא מודעת לאפשרות שהחולשה כבר נוצלה על ידי תוקפים.

אנו ממליצים לכלל משתמשי המוצרים הרלוונטיים לעדכנם בהקדם לגרסה 15.0.2.

עדכון האבטחה החודשי של מיקרוסופט נותן מענה ל-78 חולשות בדרגות חומרה שונות

חלק מהחולשות שטופלו עלולות לאפשר לתוקף להשתלט על מערכת פגיעה מרחוק ולהריץ עליה קוד זדוני.

צוות קונפידס ממליץ לכלל המשתמשים במוצרי מיקרוסופט לעבור על רשימת העדכונים המלאה ולהתקינם בהקדם.


עדכוני אבטחה ל-Adobe נותנים מענה לחולשות ברמת חומרה קריטית ובינונית

העדכונים שפורסמו סוגרים חולשות העלולות לאפשר לתוקף השתלטות מרחוק על מערכת, והם רלוונטיים למערכות ההפעלה macOS ,Windows ו-Linux ולמוצרים הבאים:

Adobe Connect - גרסאות 11.2.2 ומוקדמות יותר
Adobe Acrobat Reader for Android - גרסאות 21.8.0 ומוקדמות יותר
Adobe Ops-CLI - גרסאות 2.0.4 ומוקדמות יותר
Adobe Commerce  - גרסאות 2.4.3 ומוקדמות יותר
Magento Open Source - גרסאות 2.4.3 ומוקדמות יותר
Adobe Campaign Standard - גרסאות 21.2.1 ומוקדמות יותר
Acrobat Reader - כל הגרסאות
צוות קונפידס ממליץ למשתמשי המוצרים לעיין ברשימת העדכונים המלאה ולהטמיעם בהתאם.

עדכוני אבטחה ל-Juniper נותנים מענה לחולשות ברמת חומרה גבוהה

העדכונים רלוונטיים למערכת ההפעלה Junos OS על כל גרסאותיה, ומתקנים 3 חולשות העלולות לאפשר לתוקפים להתחבר למערכת מרחוק, להזריק אליה תהליכים זדוניים, לעקוף את מנגנון ההזדהות של מערכת ההפעלה ולהריץ עליה פקודות ברמת ההרשאה של המשתמש שעל חשבונו השתלטו. את הפרסום המלא בנושא ניתן למצוא באתר הרשמי של החברה. 

צוות קונפידס ממליץ לכלל משתמשי מערכת ההפעלה לעדכנה בהקדם האפשרי. 

התקפות ואיומים

מיקרוסופט: תוקפים מרוסיה אחראים ל-58% ממתקפות הסייבר על רשתות ממשלתיות בשנה האחרונה

במאמר שפרסמה לאחרונה החברה נטען כי תוקפים רוסיים הם הפעילים ביותר בעולם מתקפות הסייבר על תחומיו השונים, וכי יעדם העיקרי הוא ארה״ב, ולאחר מכן אוקראינה, אנגליה ומדינות אירופה החברות באנאט״ו. ההאקרים הפעילים ביותר אחרי הרוסים הם הצפון קוריאנים והסינים. עם העלייה במספר ובהיקף תקיפות הכופרה בעת האחרונה, מתקפות הסייבר המתרכזות בגניבת מידע רגיש ובמקסום רווח כלכלי הפכו לבעיה של ממש. לטענת מיקרוסופט, הצעד הראשון בו על כל ארגון וארגון לנקוט הוא חיזוק אבטחת הרשת שלו. לאחר מכן יש לבצע פעולות נוספות על מנת להימנע ככל הניתן מליפול קורבן למתקפת סייבר.

 

מתקפת סייבר משביתה את הבנק הגדול באקוודור

ב-11 באוקטובר חווה ה-Banco Pichincha מתקפה שהשביתה את הכספומטים שלו ואת פעילותו ברשת, ואילצה אותו לסגור חלקים ברשתותיו על מנת למנוע את התפשטות המתקפה. יומיים לאחר מכן שחרר הבנק הצהרה לפיה פעילותו הפיננסית לא הושפעה מהמתקפה. בתוך כך, נכון לכתיבת שורות אלה פורטל הבנק עודנו מושבת. פריצה זו אינה הראשונה ל-Banco Pichincha, כאשר בפברואר השנה קבוצה בשם Hotarus Corp טענה כי גנבה מידע פנימי ממערכות הבנק ושחררה מסמך עם יותר מ-6,000 שמות משתמשים וסיסמאות מגובבות. הבנק מצדו טען כי חקר את המקרה וכי לא מצא ראיות לדליפת מידע.

חברת Mandiant Intelligence מפרסמת דוח סקירה אודות קבוצת התקיפה FIN12

FIN12 מתמקדת בתקיפות מבוססות כופרה ואחראית על מספר תקיפות רחבות היקף לפחות מאז אוקטובר 2018. על פי הדוח, FIN12 נוהגת לקחת חלק במתקפות כופרה ביחד עם קבוצות תקיפה נוספות, ומתמחה בהוצאה לפועל של הכופרה, תוך שהיא מסתמכת על שותפותיה להשגת גישה למערכות הקורבנות. בדוח מפורטים גם דרכי ומתווי תקיפה, כלים בהם הקבוצה עושה שימוש, סקירה היסטורית וניתוח של קורבנות הקבוצה, ממנו עולה כי היא מכוונת לארגונים המדווחים על רווח שנתי גבוה, בעיקר כאלה מענף הרפואה.

גרסה חדשה של כלי לכריית ביטקוין מכוונת לשרתים בסביבת Huawei Cloud

לפי מחקר שפרסמה השבוע חברת Trend Micro, הקמפיין פוגע בשרתי Linux ומתמקד בניצול חולשות בהגדרות לקויות בשירותים מוכרים באמצעות Brute Force, בניסיון למצוא אמצעי זיהוי חלשים (Weak Credentials) ודרכם לדרוס רגל בשרתי הארגון. קמפיין זה כוון בעבר כלפי Docker Containers, אך כעת מיקד את מאמציו בשרתי הספקית הסינית, לה יותר מ-3 מליון לקוחות.

חברת Olympus נאלצת להשבית את מערכותיה בעקבות מתקפת סייבר

בהצהרה שפרסמה ענקית הטכנולוגיה הרפואית ב-12 באוקטובר נמסר כי זיהתה את המתקפה על מערכותיה יומיים קודם לכן, וכי היא מוגבלת לסניפי החברה בקנדה, בארצות הברית ובאמריקה הלטינית בלבד. עוד נאמר כי עלה בידי הארגון להכיל את המתקפה תוך עבודה משותפת עם מומחים, וכי הודעה על האירוע נמסרה שותפי החברה. טרם צוין אם מדובר במתקפת כופר ואם יש חשש לדליפת מידע. בספטמבר השנה פרסמה החברה הצהרה פומבית לפיה סניפיה באירופה, במזרח התיכון ובאפריקה נפגעו במתקפת כופר, ככל הנראה על ידי כנופיית BlackMatter.

השבוע בכופרה

חברה המדיה האמריקאית Cox מאשרת כי חוותה מתקפת כופרה

במכתב שנשלח לכ-800 אנשים שנפגעו בתקיפה, החברה מאשרת כי באירוע הוצפנו חלק משרתיה ונפגעו שידורי הרדיו הטלוויזיה שלה. לטענתה, התקיפה אירעה ב-3 ביוני והתגלתה עוד באותו היום, כאשר עובדים הבחינו כי לא ניתן לגשת לחלק מהקבצים ברשת וכי חלקם מוצפנים. מיד עם גילוי התקיפה ניתקה החברה את הרשת שלה ויצרה קשר עם ה-FBI ועם חברת אבטחת מידע חיצונית לשם חקירת האירוע. ממצאי החקירה שנערכה מעלים כי התוקפים ניגשו למידע רגיש שהיה מצוי בשרתים ונשמר במאגרי משאבי האנוש של החברה, לרבות שמות מלאים, כתובות, מספרי ביטוח לאומי, מספרי חשבונות בנק ומידע על ביטוחי בריאות ואבחנות רפואיות. עד כה לא נמצאה הוכחה לכך שעלה בידי התוקפים לגנוב את המידע. לטענת Cox לא שולמו דמי כופר לתוקף, ולאחר התקרית ננקטו אמצעי אבטחה נוספים, בהם החלת אימות דו-שלבי (MFA) על כלל חשבונות הארגון, שינוי סיסמאות כלל המשתמשים ובנייה מחדש של הרשת בצורה ״נקייה״.

ענקית ההנדסה Weir נפגעה ממתקפת כופר

ב-8 באוקטובר חשפה הקבוצה הסקוטית הבינלאומית כי במחצית השנייה של ספטמבר הופרעה פעילותה משמעותית באופן זמני, וכי היא עדיין מתמודדת עם השלכות המתקפה, לרבות עיכובים במשלוחים שהסתכמו בנזקים של כ-50 מיליון ליש״ט בחודש ספטמבר. מערכות ואמצעי האבטחה של החברה הגיבו לאיום במהירות ובהיקף רחב, תוך בידוד וסגירת מספר מערכות, כולל מערכת ה-ERP, אפליקציות ההנדסה של החברה ומערכות מידע קריטיות. לדברי החברה, המתקפה לא השפיעה על הייצור עבור לקוחות ברבעון הנוכחי, וכל המפעלים שברשותה מתפקדים ומתמודדים השלכות האירוע. עוד צוין כי למתקפה לא תהיה השפעה על הרבעון הבא. לגברי החברה, לא דלף או הוצפן כל מידע רגיש או אישי, והתוקפים לא יצרו קשר איתה או אם גורם הקשור אליה.

בנק אמריקאי-קוריאני חשף כי ספג מתקפת כופרה

ה-Pacific City Bank הפיץ ללקוחותיו התראות בנוגע לפרצת אבטחה שזיהה במערכותיו ב-30 באוגוסט. לדברי הארגון, האירוע טופל מידית והגיע לכדי סיום ב-7 בספטמבר. עוד נמסר כי מתחקיר האירוע עלה שהתוקפים השיגו גישה לשמות, לכתובות, למספר ביטוח לאומי  ולפרטי שכר ומס של לקוחות, לרשומות שכר ומיסים של חברות לקוחות, לתיעודי החזרי מס ולטפסי הלוואות. עם זאת, לא כל הלקוחות הושפעו מהתקיפה באותה המידה, משום שכל לקוח סיפק לבנק מסמכים שונים. בשלב זה טרם נקבע אם הרשת נפרצה בכללותה או בחלקה. בתוך כך, הבנק המליץ ללקוחותיו להיזהר מהודעות חשודות, לשים לב לתנועות בחשבון ולדווח על כל סימן להונאה. התקיפה בוצעה על ידי קבוצת האקרים חדשה יחסית בשם AvosLocker, המשתמשת בתוכנת כופרה מסוג Multithreaded, שמאפשרת הצפנת קבצים מהירה בזמן שהתוכנה עצמה מופעלת ידנית על ידי התוקף. התוכנה כוללת שיטות ערפול שיש ביכולתן להימנע מגילוי סטטי, אך היא אינה מתאפיינת בשכבת הצפנה חזקה.

סייבר בישראל

 
 

האם מותר לחברות ישראליות לשלם דמי כופר להאקרים? 

במאמר דעה שכתבה למגזין גלובס עו"ד דבורה האוסן-כוריאל, יועמ"ש וסמנכ"ל רגולציה בחברת הגנת הסייבר Konfidas, היא מתייחסת לשאלה העומדת בפני כל ארגון המותקף במתקפת כופרה ומתחבט בשאלה אם לשלם את דמי הכופר. לדברי האוסן-כוריאל, בגל הנוכחי והמתגבר של מתקפות הסייבר המשפיע על אלפי חברות ישראליות בולטת במיוחד מתקפת הכופרה, אשר במהלכה פורצים התוקפים למערכותיו של ארגון ומשתלטים עליהן. לאחר מכן הם מצפינים קבצים הכוללים מידע, לעתים רגיש, ובשלב הבא מפרסמים דרישת הכופר, שלאחר שישולם אמורה החברה לקבל את מפתחות הפענוח, לשחרור הקבצים שהוצפנו. לרוב יידרש תשלום במטבעות דיגיטליים, דבר המקשה על זיהוי התוקפים. במידה והארגון בוחר שלא לשלם, הקבצים נותרים מוצפנים והמידע שנגנב עלול להיות מודלף. בעוד שתשובה מלאה בנוגע לחוקיות הכופר עודנה מתגבשת, נכון להיום מותר לשלם דמי כופר להאקרים, בתנאי שמי שמקבל את התשלום אינו משתייך לגוף המצוי ברשימת הגופים הפסולים שמפרסמת הרשות לאיסור הלבנת הון ומימון טרור במשרד המשפטים. רשימה זו כוללת קבוצות טרור ומדינות שנגזרו עליהן סנקציות בינלאומיות, בהם איראן, צפוון קוריאה, גורמים רוסיים ועוד. המאמר המלא מומלץ לקריאה ומצוי בקישור זה

חשבון האינסטגרם של עיתון ״הארץ״ נפרץ

לאחר שפורץ אנונימי הצליח להשיג גישה לחשבון והעלה אליו פוסטים רבים, כעבור יומיים חזר החשבון לידי מערכת העיתון. בציוץ בטוויטר שהעלה אייל גיל, אחד מעורכיו, הוא מפרט כי הגורם לפריצה הינו מייל פישינג שקיבלה המערכת מכתובת שהתחזתה לזו של חברת אינסטגרם. המייל כלל בקשה לסיסמת החשבון, שנענתה. צוות קונפידס ממליץ לאבטח חשבונות באמצעות אימות דו-שלבי (MFA), המצמצם באופן משמעותי את הסיכוי שפורצים ישיגו אליהם גישה, גם אם הם מחזיקים בסיסמה ובשם המשתמש הנכונים.

מתקפת כופרה על בית החולים הלל יפה מובילה להשבתת רוב מערכותיו

התקיפה התגלתה ביום רביעי ה-13 באוקטובר בשעה 4 לפנות בוקר, כאשר מערכות בית החולים נחסמו והתקבלה דרישת כופר מהתוקפים. על פי הפרסום ב-ynet, התקיפה השביתה את רוב מערכות המוסד והובילה למעבר לעבודה ידנית, לביטול ניתוחים, להפסקה בקבלתם של חולים חדשים, להעברת מחצית מהחולים לבית החולים לניאדו ולקושי בשחרור חולים שכבר נקלטו. מספר הטיפולים במכונות רפואיות, כגון רנטגן ואולטרה סאונד, ירד ל-20% ביחס ליום רגיל, ובית החולים קולט כעת רק מקרי חירום. נכון לשעה זו לא ניתן לזמן תורים עתידיים עבור מכונות רפואיות, דלתות המוסד האלקטרוניות אינן נפתחות ושערי החניונים ומערכות סליקת האשראי חדלו לתפקד. באותו היום שלח מנכ״ל משרד הבריאות מכתב למנהלי בתי החולים בארץ, בו ביקש מהם לגלות ערנות מרבית, להנחות את העובדים בהתאם למצב ולרענן התנהגויות למזעור סיכונים: ״הנכם מתבקשים לוודא שיש גיבוי מידע שיהיה ניתן להשתמש בו לטובת רציפות הטיפול הרפואי, היה ומתרחש אירוע כזה בארגונכם, בדגש על גיבוי שמנותק מרשת ביה"ח, ובכלל זה גם הדפסת החומר הרפואי הקריטי, במידת הצורך״. לפי דיווחים בקבוצות שונות ברשת, התוקפים משתייכים לקבוצת כופרה חדשה יחסית, הפעילה מאוגוסט 2021, לכל הפחות, ומכונה DeepBlueMagic. למרות שבתי חולים בארץ ספגו בעבר מתקפות כופרה, זוהי הפעם הראשונה בה בית חולים בישראל הופך קורבן למתקפה כה משמעותית. בהודעה מטעם הלל יפה נמסר כי ״בית החולים מתנהל כעת במערכות חלופיות לטיפול בחולים. הטיפול הרפואי בבית החולים מתקיים באופן שוטף למעט פעילות אלקטיבית לא דחופה. הארוע דווח למשרד הבריאות ולמערך הסייבר הלאומי באופן מידי ונמצא בטיפול של טובי המומחים בתחום״. בהמשך לתקיפה הוציא מערך הסייבר קובץ מזהים להזנה במערכות ההגנה של ארגונים, לשם התגוננות מפני סוג התקיפה שחווה המוסד הרפואי הלל יפה. את הקובץ המלא ניתן למצוא בקישור זה

סייבר בעולם

 

בניגוד לדעה המקובלת: גם השוק הרוסי מצוי על כוונת פושעי הכופרה

בניגוד לדעה הרווחת לפיה השוק הרוסי איננו סובל ממתקפות כופרה, מעצם העובדה שהשחקנים הגדולים בתחום, כדוגמת REvil, פועלים מרוסיה עצמה, מדיווח של מגזין אבטחת המידע BleepingComputer עולה כעת תמונה אחרת, לפיה עשרות שחקנים אחרים בזירה פוגעים באופן שוטף בשוק הרוסי, הסובל מאלפי מתקפות כופרה בחודש. על אף שנראה שאין מדובר במתקפות המאופיינות בתיחכום ובמשאבים בקנה המידה בו מתהדרים שחקנים הפוגעים בשוק העולמי, קבוצות אלה, בהן BigBobRoss ,Crysis ֿ,Phobos ,CryptConsole ואחרות, מסבות נזק גדול לשוק הרוסי.

ה-CERT מזהיר מפני תעודות דיגיטליות (TLS) עם Wildcards

אזהרתו של צוות החירום האמריקאי לטיפול באירועי מחשב, המופיעה בעלון שפרסם בעלון שפרסם, מתייחסת לסימן כוכבית (*) בו ניתן להשתמש בשדה מסוים בתעודות TLS על מנת להקל על תהליך יצירת ותחזוק תעודות TLS לאתרים שונים. דוגמה ל-Wildcard היא *.example.com, בה יכללו גם site.example.com ו-test.example.com. ה-CERT מזהיר ששימוש ב-Wildcards בתעודות TLS עלול לאפשר לתוקף המשתלט על שרת שמחזיק בתעודת TLS עם Wildcard להתחזות לכלל האתרים המשתמשים באותה תעודה ולנצלם לביצוע תקיפות של לקוחות המתחברים לאתרים אלה. צוות קונפידס ממליץ לבעלי אתרים להימנע משימוש בתעודות TLS עם Wildcards.

מיקרוסופט מתריעה מפני קבוצת תקיפה מדינתית, שעיקר פעילותה מכוון נגד ארגונים ישראליים ואמריקאיים בעלי אופי ביטחוני

הקבוצה, שקיבלה את הכינוי DEV-0343, פועלת גם נגד חברות העוסקות בתובלה ימית במפרץ הפרסי וחברות העוסקות במידע גיאוגרפי (GIS), המשתמשות בשירותי הענן של Office 365. פעילות התוקפים זוהתה החל מיולי 2021, כאשר עד כה תקפה הכנופייה יותר מ-250 ארגונים. על פי אופי המטרות, ניתן לשער כי מקור התוקפים באיראן. בתקיפותיה עושה הקבוצה שימוש בשיטה המכונה Password Spraying, המתבססת על ניסיון התחברות לפלטפורמה תוך שימוש בשמות משתמש שהתוקף מנחש או מצא, בשילוב סיסמאות ספורות עבור כל חשבון. זאת ועוד, תוקפי DEV-0343 מסווים עצמם על ידי שימוש ברשת ה-TOR, שהינה תוכנה המנתבת תקשורת מוצפנת ואנונימית בין מחשבים. התרעתה של מיקרוסופט נגד פעילות הקבוצה כוללת גם דרכי התמודדות עמה, לרבות שימוש באימות רב-שלבי (MFA) עבור כל החשבונות הנמצאים ב-Office 365, תוך דגש על שימוש באפליקציית Authenticator. לדברי מיקרוסופט, אין ביכולתה לפרסם כתובות IP מדויקות בהן התוקפים משתמשים, משום שהם מטשטשים את עקבותיהם בהצלחה. לכן, היא חושפת את דפוסי הפעילות והטקטיקות המאפיינים את הכנופייה, תוך המלצה לארגונים לבדוק את הלוגים ואת התעבורה ברשתותיהם. 

סייבר ופרטיות - רגולציה ותקינה

 

הודעות פומביות של משרד הבריאות ושל מערך הסייבר הלאומי על אירוע הסייבר בבית החולים הלל יפהבהמשך לדיווח של בית החולים ב-13 באוקטובר על אירוע הסייבר שחווה, משרד הבריאות ומערך הסייבר פרסמו גם הם הודעות לציבור בנושא. משרד הבריאות הודיע כי אנשיו "עודכנו בפרטי האירוע ומשתתפים בחקירתו ובטיפול בו", וכי המשרד הפיץ עדכון רלוונטי לבתי החולים בארץ, כצעד מנע. מערך הסייבר הודיע  כי "לאחרונה בוצעה מתקפת כופרה כנגד אחד מגופי מגזר הבריאות בישראל על ידי קבוצת תקיפה", וכי הוא "מוצא לנכון לשתף מזהים אשר עלו עד כה במסגרת החקירה, על מנת לאפשר לארגונים במשק לזהות ולמנוע מתקפה דומה אשר עלולה לצאת לפועל כנגדם." אירוע הסייבר בהלל יפה ממשיך להתפתח (ראו ידיעה לעיל).

ממשל ביידן מוביל להגברת רמת הגנות הסייבר בארה"ב ובעולם

בעקבות עלייה במספר מתקפות הסייבר על תשתיות קריטיות בארה"ב, כמו מתקפת הכופרה על Colonial Pipeline בחודש מאי השנה, הבית הלבן מגביר קצב ההתמודדות של הממשל הפדרלי עם איומי סייבר. בשבועות האחרונים יזם הבית הלבן פעילות ממוקדת במישור הלאומי והבינלאומי, במטרה לקדם את ההובלה של ארה"ב בתחום ואת ההיערכות מפני איומי סייבר מסוגים שונים. דוגמאות לכך במישור הלאומי: פרסום מה-6 באוקטובר של משרד המשפטים האמריקאי בנוגע לחובתם של קבלנים וספקים של גורמים בממשל הפדרלי לעמוד בדרישות ספציפיות של הגנת סייבר פנים-ארגונית; חתימתו של הנשיא ביידן ב- 8 באוקטובר על ה-K-12 Cybersecurity Act, חוק חדש שנועד לשפר את רמת הגנת הסייבר בבתי ספר בכל רחבי המדינה; בימים אלה מתקדמת בקונגרס חקיקה שתחייב חברות המפעילות תשתיות קריטיות לדווח על מתקפות סייבר. דוגמאות לכך במישור הבינלאומי: בסוף חודש ספטמבר כינס הבית הלבן שלוש מדינות אסיאתיות - יפן, אוסטרליה והודו - על מנת לדון בשיתוף פעולה לקידום אינטרסים משותפים, לרבות בתחום הגנת הסייבר, ופרסם הצהרה של הקבוצה (המכונה ״ה-Quad״) בנושאים אלה (ראו הסייבר מיום 30.9.2021); ב-12 באוקטובר הכריז ביידן על התנעת תהליך בינלאומי בהובלת ארה"ב למלחמה במתקפות כופרה. בתהליך ה-Counter-Ransomware Initiative ישתתפו 30 מדינות, והמפגשים הראשוניים ביניהן ייערכו בפורמט וירטואלי ב- ב-14-15 באוקטובר. דובר הבית הלבן מסר כי "מפגשי היוזמה נגד מתקפות כופרה יתקיימו במשך יומיים, והמשתתפים בהם יעסקו בכל - ממאמץ לשיפור החוסן הלאומי ועד להתנסויות בהתמודדות עם שימוש לרעה במטבעות וירטואליים להלבנת תשלומי כופר, למאמצינו לשבש בהתאם ולהעמיד לדין פושעי תוכנות כופר ולדיפלומטיה ככלי נגד תוכנות כופר."

הצהרת ממשלת הולנד לפרלמנט: אין מניעה להשתמש בכוחות צבאיים להתמודדות עם מתקפות סייבר

במכתב פומבי שהוגש לפרלמנט ההולנדי ב-6 באוקטובר בנושא מעורבות כוחות ביטחון מדינתיים בהתמודדות עם מתקפות סייבר אזרחיות ומסחריות, קבעה ממשלת הולנד שהיא מוכנה להפעיל כוחות צבאיים בהקשר זה. לדברי שר החוץ בן קנאפן, "אם מתקפת תוכנת כופר, בין שמטרתה כלכלית ובין אם לאו, עוברת את סף האיום על הביטחון הלאומי, למשל בשל כישלון של מגזרים קריטיים, הרי שלרשות הממשלה עומדים גם משאבים אחרים". קנאפן המשך ואמר כי במקרה הצורך ממשלתו תפעיל את שירותי הביון שלה וכוחות צבאיים, כולל פעולה צבאית הגנתית, על מנת לשמור על אינטרס חיוני של הולנד. המכתב יוצא הדופן נשלח במסגרת הדיונים הפרלמנטריים בהולנד, בהם חברי פרלמנט יכולים לדרוש הסברים מפורטים אודות מדיניות החוץ של הממשלה. ביולי 2019 פורטה במכתב מסוג זה נכונותה של הולנד לנקוט בפעולות של הגנה עצמית מדינתית כנגד תקיפות סייבר בכלל, נושא שעד כה לא קיבל התייחסות פומבית רבה מצד ממשלות. 

  

ארגון ה-ASEAN מגבש מדיניות אזורית להגנת סייבר: אימוץ 11 הכללים שקבע האו"ם להתנהגות מדינתית

בכנס השרים של מדינות ה-ASEAN בנושא הגנת סייבר שהתקיים ב-6 באוקטובר, אימץ הארגון באופן רשמי את 11 הכללים שקבעה ה-Group of Governmental Experts של האו"ם בשנים 2010, 2013 ו-2015 בנוגע להתנהגות מדינות במרחב הסייבר. המהלך מתבסס על הסכם בין מדינות הארגון בנושא הגנת סייבר משותפת שנחתם בספטמבר 2018. ב-ASEAN חברות כיום 10 מדינות: ברוניי דארוסלאם, קמבודיה, אינדונזיה, לאוס, מלזיה, מיאנמר, פיליפינים, סינגפור, וייטנאם ותאילנד.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, שי שבתאי,  אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, סער אביבי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.