דו״ח סייבר שבועי
עדכון שבועי 15.06.2023
עיקרי הדברים
1. ישראל: קבוצת אירני, הבעלים של רשת חנויות פקטורי 54 חוותה מתקפת כופרה; הרשות להגנת הפרטיות: משרד התחבורה הפר את הוראות חוק הגנת הפרטיות. מערך הדיגיטל הלאומי מנע מתקפת DDoS משמעותית על אתרי הממשלה.
2. סייבר בבריאות: קבוצת הכופרה Daixin תקפה את המרכז הרפואי האזורי של קולומבוס (CRHS) בארה״ב
3. סייבר ולוגיסטיקה: למעלה מ-40 נמלים ורשוית ים באירופה נתקפו במהלך השבוע במתקפת DDoS ע״י קבוצת NoName המקושרת לממשל הרוסי.
4. קבוצת Pink Drainer גנבה נכסים דיגיטליים בשווי של מעל 3 מיליון דולר באמצעות פישינג ב Discord.
5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Fortinet (קריטי); מוצר MOVEit Transfer (קריטי); מוצרי Microsoft (קריטי); דפדפן Google Chrome (גבוה);*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
התגלתה חולשה קריטית ב-FortiGate
חולשה קריטית ב-MOVEit Transfer של חברת Progress מנוצלת לתקיפה
עדכון אבטחה ל Google Chrome נותן מענה לארבעה חולשות ברמת חומרה גבוהה וחולשה ברמת חומרה קריטית
מיקרוסופט תיקנה 78 חולשות במוצריה במסגרת העדכון החודשי ביניהן שבע קריטיות
התקפות ואיומים
מתקפת כופרה על ספק IT של ממשלת שוויץ
סייבר בעולם
CISA מוסיפה חולשה חדשה לקטלוג החולשות המנוצלות שלה
קבוצת תקיפה אוקראינית השביתה את ספקית התקשורת ״Infotel״ הרוסית
קבוצת Pink Drainer גנבה מעל 3 מיליון דולר באמצעות פישינג ב Discor
סייבר בגופי בריאות
קבוצת הכופרה Daixin תקפה את המרכז הרפואי האזורי של קולומבוס (CRHS)
סייבר בספנות ולוגיסטיקה
עשרות נמלים באירופה וארה״ב תחת מתקפת DDoS שביצעה קבוצת NoNam
סייבר בישראל
קבוצת האופנה ״אירני״ תחת מתקפת כופר
נבלמה מתקפת סייבר משמעותית נגד אתרי ממשלה ישראליים.
ניצול לרעה במידע אישי בענין החזקת רשיון נהיגה: משרד התחבורה לא עמד בדרישות תקנות הגנת הפרטיות
כנסים
הציטוט השבועי
״_"כולנו מתמודדים עם אותו איום סייבר הרסני שגורמות מתקפות כופרה. לכן, אנחנו צריכים להעלות את רמת הגנת הסייבר של בתי חולים, רשויות ציבוריות, רשויות מקומיות וחברות פרטיות, ולעזור להם להגן על עצמם"_
- וינסנט סטרובל, מנכ"ל סוכנות הסייבר הלאומית של צרפת (ANSSI)
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
התגלתה חולשה קריטית ב-FortiGate
טהחולשה הקריטית, שקיבלה את המזהה CVE-2023-27997 עם ציון CVSS של 9.8 עלולה לאפשר הרצת קוד לא מבוקר מרחוק על Fortinet SSL VPN. החולשה ניתנת לניצול עוד לפני אימות המשתמש, כך שהתוקף יכול לנצל את החולשה ללא צורך התחברות ל-VPN כלל. חולשה זו תוקנה בגרסאות האחרונות של FortiOS. חולשה נוספת פורסמה CVE-2022-41327 עם ציון CVSS של 7.8 המוגדרת גבוהה ומכילה מידע רגיש בטקסט גלוי שיכול לאפשר לתוקף עם הרשאות super admin להשיג cookies של משתמשי אדמין אחרים על ידי האזנה לתעבורת הרשת.
צוות קונפידס ממליץ לעדכן את גרסת ה-FortiOS לעדכנית ביותר כדי להימנע מניצול חולשה זו.
חולשה קריטית ב-MOVEit Transfer של חברת Progress מנוצלת לתקיפה
נחשפה חולשה חדשה (CVE-2023-35036) מסוג SQL Injection ב- MOVEit Transfer MOVEit Cloud שעלול לאפשר לתוקף לא מאומת לקבל גישה לא מורשית למאגר המידע של MOVEit Transfer. התוקף עלול להרחיב את הגישה שלו ולקבל מידע על מבנה ותוכן במאגר הנתונים ולהפעיל פקודות SQL כדי לשנות או למחוק אותם.
על פי הדיווח של חברת Progress קבוצת כופר CL0P , תקפה את MOVEit Transfer באמצעות פגיעות SQL Injection שלא הייתה ידועה בעבר באפליקציה באתר.
על פי דיווחים נוספים חברות רבות כבר נפגעו כתוצאה מניצול חולשות שהיו בחודש האחרון על ידי קבוצת התקיפה CL0P. ההאקרים פרסמו הודעה באתר שלהם ודרשו מכל החברה שנפגעה בעקבות התקיפה ליצור עימם קשר עד ה- 14 ביוני על מנת להימנע מדליפת נתונים.
החולשה משפיעה על כל גרסאות התוכנה הקודמות הבאות: 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1.6), ו2023.0.2 (15.0.2). צוות קונפידס ממליץ למשתמשי המוצר לבצע עדכון גרסה לגרסה האחרונה
(צילום מסך מהאתר של קבוצת הכופרה CL0P)
עדכון אבטחה ל Google Chrome נותן מענה לארבעה חולשות ברמת חומרה גבוהה וחולשה ברמת חומרה קריטית
Google מפיצה עדכון אבטחה עבור Google Chrome הנותן מענה לחמישה חולשת במערכת ארבעה חולשות ברמת חומרה גבוהה וחולשה אחת ברמת חומרה קריטית. בין החולשות ברמת חומרה גבוה קיימת חולשת Zero-day אחת, החולשה CVE-2023-3079 היא חולשה מסוג Type Confusion ברכיב V8 של גוגל כרום תוקף בניצול מוצלח של חולשה זו יכול לבצע הרצת קוד זדוני במערכת, ברכיב זה התגלתה חולשה נוספת CVE-2023-3216 מסוג Type Confusion ברמת חמורה גבוהה. שתי החולשות הנוספות ברמת חומרה גבוהה הם CVE-2023-3217 ו CVE-2023-3215 מסוג Use after free ב WebXR ו WebRTC. החולשה ברמת חומרה הקריטית שדווחה במערכת CVE-2023-3214 היא חולשה מסוג heap corruption ב Autofill payments.
צוות קונפידס ממליץ למשתמשי המוצר לבצע עדכון גרסה לגרסאות הבאות על מנת להימנע מפגיעות לחולשה זו , גרסה 114.0.5735.133 ומעלה עבור מערכות הפעלה מסוג Mac ו Linux וגרסה 114.0.5735.133/134 ומעלה עבור מערכות הפעלה של Windows.
מיקרוסופט תיקנה 78 חולשות במוצריה במסגרת העדכון החודשי ביניהן שבע קריטיות
מיקרוסופט שחררה במסגרת ״Patch Tuesday״ עדכוני אבטחה עבור 78 ליקויים אבטחתיים במוצריה, בין ליקויים אלו נמצאו 38 חולשות של הרצת קוד מרחוק. הליקויים הבולטים ביותר מבין כולם הם בין היתר חולשה קריטית (CVE-2023-29357 CVSS 9.8) של העלאת הרשאות של תוקפים לא מזוהים ב-Microsoft Sharepoint, החולשה יכולה להיות מנוצלת לאחר שתוקף השיג JWT token והשתמש בו כדי לעקוף אימות כדי להשיג הרשאות של משתמשים מאומתים אחרים. בנוסף לכך יש את החולשה (CVE-2023-32031 CVSS 7.7) המאפשרת הרצת קוד מרחוק ב-Microsoft Exchange כתוצאה מניצול מוצלח של חולשה זו, תוקף יכול להריץ קוד לא מבוקר על שרת ה-Exchange.
צוות קונפידס ממליץ לעדכן את מוצרי Microsoft הרלוונטים כדי להימנע מניצול פוטנציאלי של החולשות.
התקפות ואיומים
מתקפת כופרה על ספק IT של ממשלת שוויץ
ממשלת שוויץ חוותה לאחרונה מספר מתקפות סייבר כנגד שירותים שונים שלה. בדיווח שיצא ביום רביעי ה-8 לחודש על ידי ממשלת שוויץ, נחשף כי ספק צד שלישי בשם Xplain המספק שירותי IT למספר מחלקות בממשלת שוויץ כולל שירותים לצבא שוויץ חוותה מתקפת כופרה ב 23 למאי השנה. ע״י קבוצת התקיפה Play. הקבוצה פרסמה שיש בידיהם מסמכים מהחברה שכוללים מידע אישי וחסוית מידע פיננסי ועוד, ב 1 בינואר השנה קבוצת התקיפה פירסמה את מאגר הנתונים שנלקח מהחברה במהלך הפריצה לאחר שלא קיבלו תשלום כופר מהחברה, בהודעה שפורסמה על ידי ממשלת שוויץ נמסר כי עדיין חוקרים את המידע שפורסם על מנת לקבוע אילו יחידות ממשלתיות נפגעו ומה המידע שהופץ. בנוסף לתקיפה זו קבוצת הכופרה Play הייתה אחראית גם לפריצה שהתרחשה בבנק ספרדי בשבוע שעבר (ראה דוח הסייבר 08.06) כרגע בהודעה נוספת שפרסמה ממשלת שוויץ הודיעה כי מספר אתרי אינטרנט ממשלתיים חווים תקלות בעקבות מתקפת DDoS נגדם על ידי קבוצת התקיפה הפרו רוסית NoName.
בהודעה שפורסמה נמסר כי ביום שני ה 12 ביוני מספר אתרי אינטרנט ממשלתיים היו לא נגישים בעקבות המתקפה בנוסף באותה הודעה פורסם כי קבוצת התקיפה NoName הייתה אחראית גם על מתקפה כנגד האתר parlament.ch שהתרחשה בשבוע שעבר.
(צילום מסך מאתר ההדלפות של קבוצת הכופרה Play)
סייבר בעולם
CISA מוסיפה חולשה חדשה לקטלוג החולשות המנוצלות שלההסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה השבוע ל״קטלוג החולשות הידועות״ שהיא מתחזקת חולשה חדשה.
החולשה (CVE-2023-27997) הינה חולשה ב FortiOS ו FortiProxy SSL-VPN מבית חברת Fortinet, בניצול מוצלח של חולשה זו תוקף מרוחק לא מאומת יכול לבצע הרצת קוד ופקודות במערכת באמצעות בקשות שמנוסחות בצורה זדונית. חולשה זו תוקנה בגרסאות 7.2.5 ו ו7.0.9 ומעלה עבור FortiOS וגירסאות 7.2.2 ו 7.0.8 ומעלה עבור FortiProxy.
צוות קונפידס ממליץ למשתמשי המוצרים לבצע עדכון גרסה לגרסה האחרונה בהתאם לעדכון של חברת Fortinet על מנת להימנע מפגיעות לחולשות אלו.
קבוצת תקיפה אוקראינית השביתה את ספקית התקשורת ״Infotel״ הרוסית
ב-8 ביוני, קבוצת תוקפים אוקראינים המזוהים בשם Cyber.Anarchy.Squad טענה שגרמה להשבתת התקשורת של ספקית האינטרנט הגדולה ״Infotel״ הרוסית. חברת ״Infotel״ אחראית לחיבור בין הבנק הרוסי המרכזי לבנקים רוסים שונים, ספקי אשראי וחנויות אינטרנטיות. המתקפה על החברה גרמה להשבתת השירות שלה במשך 34 שעות וגרמה לשיבוש משמעותי לשירותי בנקאות דיגיטליים עבור שלל בנקים משמעותיים ברוסיה. לקבוצת התקיפה Cyber.Anarchy.Squad יש היסטוריה של התקפת מטרות רוסיות מאז הפלישה הרוסית לאוקראינה. בעבר, הקבוצה הדליפה מידע מסדי נתונים של חברות רוסיות העוסקות במסחר ותכשיטים, מסדי נתונים אלו כללו מידע אישי על לקוחות, עובדי החברה ומיילים פנימיים. התקיפה על ״Infotel״ היא התקיפה המשמעותית ביותר על מטרות רוסיות בחודשים האחרונים, עד כה גורמי תקיפה אוקראינים תקפו אתרי ממשל רוסיים, גורמי מדיה וחברות אספקת אנרגיה. התקפות אלו הן חלק ממאמץ הלחימה של הצד האוקראיני מתוך כוונה לשבש את הכלכלה והתשתיות של רוסיה.
קבוצת Pink Drainer גנבה מעל 3 מיליון דולר באמצעות פישינג ב Discord
קבוצת תקיפה בשם Pink Drainer טוענת שהיא אחראית למספר פריצות לחשבונות Discord בשבועות האחרונים וגרמה לגניבת מטבעות דיגיטליים ו-NFT בשווי כולל של כ-3 מיליון דולר מכ-1932 קורבנות, חלק מהקורבנות הם OpenAI CTO, Orbiter Finance, Pika Protocol ועוד. הגניבה נעשית לאחר גניבת משתמש דיסקורד המשתמש לתהליכי עסקאות. גניבת משתמשי הדיסקורד מתבצע על ידי התחזות התוקפים לכתבי קריפטו מחברות עיתונאות בולטות בתחום המטבעות הדיגיטליים, לאחר שהקורבן מתחיל לסמוך על התוקף, נשלח לקורבן טופס זדוני המכיל קוד שגונב את ה-token של חשבון ה-Discord של הקורבן. ברגע שלתוקף יש גישה לשרת הדיסקורד של הקורבן, הוא שולח לינקים זדוניים בשרת זה המובילים לגניבת המטבעות הדיגיטליים או NFT של הקורבנות. ScamSniffer, פלטפורמה המספקת שירותי מניעת הונאות עקבה אחרי קבוצת PInk Drainer וזיהתה מעל 7 שרתי דיסקורד שנפרצו על ידם. בנוסף לכך, קבוצה זו פעילה בטוויטר וכנראה משם היגעו לקורבנות בכירים כמו ה-CTO של OpenAI. חברת ScamSniffer דיווחה ל-Discord על התקיפות ועל הלינקים הזדוניים שנשלחו בשרתים.
סייבר בגופי בריאות
קבוצת הכופרה Daixin תקפה את המרכז הרפואי האזורי של קולומבוס (CRHS)
המרכז הותקף ב-18 במאי ע״י הקבוצה שדרשה כ-2 מיליון דולר עבור מפתחות ההצפנה ואי פרסום המידע שנגנב. סכום הכופר ירד למיליון דולר אך בית החולים טען כי אינו יכול להרשות לעצמו לשלם את הכופר וטען שהוא ארגון ללא כוונת רווח. לאחר מו״מ של מספר שבועות, ב-6 ביוני, הקבוצה הסיקה שבית החולים לא מתכוון לשלם את הכופר ופרסמה את המידע. עוד היא ציינה כי היה קל לפרוץ למערכות בית החולים וציינה כי רמת הגנת הסייבר של בית החולים הייתה ירודה.
סייבר בספנות ולוגיסטיקה
עשרות נמלים באירופה וארה״ב תחת מתקפת DDoS שביצעה קבוצת NoName
קבוצת ההאקרים NoName היא קבוצה רוסית הפעילה משנת 2022. הקבוצה לקחה אחריות על מספר התקפות, כולל התקפות על אתרי ממשלה, עסקים ותשתיות קריטיות.
במהלך השבוע האחרון הקבוצה פרסמה בערוץ הטלגרם שלה שהיא ביצעה מתקפות DDoS נגד עשרות נמלים ורשויות ים באירופה וארה״ב.
סייבר בישראל
קבוצת האופנה ״אירני״ תחת מתקפת כופר
קבוצת "אירני" היא אחת מקבוצות האופנה הגדולות בישראל, המייצגת מותגים בינלאומיים, כמו בלנסיאגה, איב סאן לורן, וולנטינו. מותגי הקבוצה נמכרים ברשת החנויות Factory54, ויש 150 סניפים של החנות בארץ. בשבוע האחרון זיהתה החברה פעילות חריגה במערכותיה, והגיבה במיידית בהפעלת מערכות הגיבוי שלה. מהחברה נמסר ״שמערך ההגנה פעל באופן מיידי תוך כדי פריסה של הגיבויים וההקשחות הרלוונטיות. החברה נמצאת בשלבי סיום של האירוע עם מומחים מובילים. הפעילות העסקית לא נפגעה ונמשכה כסדרה". ייתכנו השלכות של האירוע גם בהקשר של הגנה על הפרטיות של מידע אישי שנשמר במערכותיה של הקבוצה, נושא שעשוי לחייב דיווח לרשות להגנת הפרטיות.
נבלמה מתקפת סייבר משמעותית נגד אתרי ממשלה ישראליים.
ב-7 ביוני, זיהה מערך הגנת הסייבר הלאומי תעבורת רשת המגיעה מיותר מ-18 אלף עמדות קצה מ-117 מדינות, אשר החלה להגיע אל מספר אתרי ממשלה בישראל. לפי ההערכה, מדובר בגוף מדיני שעומד מאחורי מתקפה זו. המתקפה היא מסוג DDoS מתוחכמת, אשר נבלמה בין היתר על ידי מערכות מבוססות Machine Learning שפותחו על ידי מערך הסייבר בעקבות מתקפות קודמות אל עבר אתרים ממשלתיים. בשנים האחרונות, המתקפות האלה הפכו ליותר ויותר מתוחכמות. דוגמה אחת לכך היתה במהלך חודש אפריל 2023, במסגרת קמפיין OPIsrael המתרחש מידי שנה לקראת חג הפסח. התגוננות מפני מתקפות אלו נהיית מורכבת משנה לשנה עם התחכמות התוקפים.
ניצול לרעה במידע אישי בענין החזקת רשיון נהיגה: משרד התחבורה לא עמד בדרישות תקנות הגנת הפרטיות
בהליך פיקוח שיזמה הרשות להגנת הפרטיות לאחר קבלת פניות רבות על שימוש לרעה מצד ישיבות חרדיות במוקד השירות ואתר האינטרנט של משרד התחבורה, משרד התחבורה נמצא בהפרה של דיני הגנת הפרטיות בישראל, על כך שאיפשרה שימוש לרעה במידע האישי שנמצא במערכותיו. מדובר בפעילות של ישיבות לברר אם תלמידי הישיבה מחזיקים ברישיון נהיגה או לא: הישיבות ביצעו בדיקה זו על ידי פנייה באמצעות מוקד השירות ואתר האינטרנט של משרד התחבורה, תוך הזדהות עם מספר תעודת זהות ותאריך לידה של אותם התלמידים - פרטים שנמסרו על ידי התלמידים במהלך ההרשמה לישיבה. בכך, הזדהו בתלמידים במערכות של משרד התחבורה ללא הסכמתם. כתוצאה מהפעילות של הישיבות, סולקו מהישיבה תלמידים המחזיקים ברישיון נהיגה. מהליך הפיקוח של הרשות להגנת הפרטיות, נמצא כי לא נעשה שימוש במנגנון זיהוי מספק לאימות זהות של אדם בממשק הציבורי של משרד התחבורה: השימוש במספר תעודת זהות ושנת לידה על מנת לגלות האם מחזיק ברישיון נהיגה - דבר שמהווה פגיעה בפרטיותו של אדם - לא סיפק הגנה מספקת מפני השימוש לרעה במידע האישי. במכתב ששלחה הרשות להגנת הפרטיות למשרד התחבורה בענין ההפרה של דרישות הדין, היא קבעה כי משרד התחבורה הפר את חובתו שלא למסור מידע על אדם מתוך מאגר ציבורי למי שהוא אינו בעל המידע, וללא הסכמתו. לגבי אכיפת הדין מול הגורמים בישיבות שניצלו את המידע האישי של תלמידיהם לרעה - הטיפול בתהליך.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, רוני עזורי, יובל אוחנה, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ואורי יוסף.