דו״ח סייבר שבועי
עדכון שבועי 17.08.2023
עיקרי הדברים
1. ישראל: מתקפת הסייבר על מרכז הרפואי מעייני הישועה - רוב פעילותו לסידרה: המחלקות כולן, מרפאות החוץ ורוב המכונים פועלים כעת במלואם. חשש משמעותי לדלף מידע של מטופלי המרכז בהיקף של 2TB; פרצת אבטחה חמורה באפליקציית Moovit אפשרה נסיעות חינם וגישה למידע. האקרים פרצו למקררים בסניף של שופרסל וגרמו לקלקול מזון בשווי מאות אלפי שקלים.
2. סייבר בבריאות: ארה״ב - מתקפת כופר ממשיכה לשבש 2 מערכות CT בבתי חולים; דלף מידע מהמחלקה למדיניות ומימון שירותי בריאות (HCPF) בקולורדו.
3. מנהל הסייבר הלאומי בבית הלבן (ONCD) יוצא במיזם אבטחת קוד פתוח ושפות תכנות.
4. ״מבצע Jackal״ של האינטרפול הוביל למעצר של 103 חשודים וסגירת Black Axe וקבוצות פשיעת סייבר נוספות במערב אפריקה שעסקו ב BEC, הונאות ירושה וכו׳.
5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצר IBM Security Guardium (קריטי); כרטיסי המסך מתוצרת NVIDIA (גבוה); דפדפן Google Chrome (גבוה);*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה נותן מענה לחולשה ברמת חומרה גבוהה במנהל התקן של כרטיסי המסך מתוצרת NVIDIA
עדכון אבטחה ל-Google Chrome אשר הותן מענה לחולשות ברמת חומרה גבוהה
עדכון אבטחה ל-IBM Security Guardium הנותן מענה לחלשה ברמת חומרה קריטיות
התקפות ואיומים
חברת אנרגיה בארה״ב תחת קמפיין פישינג הכלל סריקת QR
CISA מוסיפה פגיעות מנוצלת של Citrix לקטלוג פגיעויות
נוזקת כופרה בשם Knight מופצת באמצעות מייל בקמפיין התחזות לתלונות בפלטפורמת TripAdvisor.
כ-2000 שרתי Citrix Netscaler נוצלו במהלך קמפיין ניצול חולשה
פריצה ברשת החברתית LinkedIn: משתמשים מרובים דיווחו על מחיקה או חסימה של החשבון
סייבר בעולם
מנהל הסייבר הלאומי בבית הלבן (ONCD) יוצא במיזם אבטחת קוד פתוח ושפות תכנות
דלף מידע של 760,000 משתמשים מ-Discord.io
סגירת פלטפורמת הפישינג 16Shop: חקירות מובילות לשלושה עצורים אחראים במבצע משטרתי בינלאומי
קבוצת התקיפה Charming Kitten מכוונת למתנגדי משטר בגרמניה
DHS פרסמה דוח על פעילויות קבוצת $Lapsus
האקרים רוסים בשיתוף שירותי המודיעין הרוסים מתכננים לתקוף את Starlink
ממשלת ארה״ב בשיתוף עם מומחי סייבר עובדים על חיזוק האבטחה במערכות החלל
פריצת הלוויין בערב המלחמת באוקראינה הייתה תקיפה מתואמת ורב-כיוונית
סייבר בגופי בריאות
ארה״ב: מתקפת כופר ממשיכה לשבש 2 מערכות CT בבתי חולים
ארה״ב: המחלקה למדיניות ומימון שירותי בריאות (HCPF) בקולורדו מודיעה על דלף מידע בעקבות הפריצה ל-Moveit
סייבר בישראל
ישראל: דיווחים על דלף מידע ממתקפת הסייבר על בית חולים מעייני הישועה
הרשות להגנת הפרטיות מפרסמת המלצות למשתמשי אתרים שפרטיהם האישיים דלפו
פרצת אבטחה חמורה באפליקציית Moovit אפשרה נסיעות חינם וגישה למידע
כנסים
הציטוט השבועי
_״אחרי שניסינו בלי סוף במשך שנתיים לנהל אתר שיתוף קבצים באנונימיות של המשתמשים, נמאס לנו להתמודד עם הכמויות הקיצוניות של אנשים שעושים בו שימוש לרעה ומכאבי הראש שזה יצר עבורנו [...] זה לא יכול להימשך.״_
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה נותן מענה לחולשה ברמת חומרה גבוהה במנהל התקן של כרטיסי המסך מתוצרת NVIDIA
Cisco Talos איתרה לאחרונה חולשה (CVE 2023-1721) ברמת חומרה גובהה (ציון CVSS 8.5) מסוג השחתת זכרון מערכת Hyper-V אשר מובנית במערכת ההפעלה של Windows Server ומאפשרת להקים ולנהל סביבה וירטואלית. הסביבה הוירטואלית מדמה רכיבים פיזיים על מנת להקים מכונות עם ניצול יעיל של תשתית פיזית קיימת. חולשה זו עלולות לאפשר לתוקף לכתוב אל הזיכרון ולהריץ קוד שרירותי על מערכת פגיעה על ידי שליחת קובץ EXE זדוני אל הקורבנות ובאמצעות זה התוקף מצליח לצאת מהמערכת הוירטואלית הרצה אל מערכת של הקורבן. החולשה תקפות לגרסאות 528.24 ו- 31.0.15.2824 של המוצר NVIDIA D3D10. צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.
עדכון אבטחה ל-Google Chrome אשר הותן מענה לחולשות ברמת חומרה גבוהה
Google פרסמו את העדכון Chrome 116 עבור מערכות ההפעלה Windows, Mac ו-Linux. עדכון זה יושק בהדרגה במהלך הימים הקרובים על פי אזורים גיאוגרפיים. העדכון מגיע בגרסאות שונות בהתאם לסוגי מערכות הפעלה, גרסה 116.0.5845.96 של Chrome זמינה עבור לינוקס ו-Mac, בעוד שגרסה 116.0.5845.96/97 מיועדת למשתמשי Windows. גרסאות אלו כוללות תיקון של החולשה ועדכון תכונות הדפדפן. לדפדפן כרום פורסמו 26 תיקוני אבטחה כאשר 8 מהם הם ברמת חומרה גבוהה. ספציפית מדובר בחולשות מסוג Use After Free שהן חולשות שחיתות זיכרון ותיקות אשר מתרחשות כאשר קיימים נסיונות גישה חוזרות לתווך כתובתו בזכרון של האובייקט המבוקש שכבר עיבד את הקצאותו, כלומר גישה לזכרון חופשי בחיפוש אחרי משהו לא קיים, מה שמוביל לקריסה של הדפדפן דלף מידע, העלת הרשאות של הדפדפן ואף הרצת קוד לא מבוקר.
צוות קונפידס ממליץ לעדכן לגרסה העדכנית ביותר (116.0.5845.96/97 , 116.0.5845.961 ומעלה) של Chrome.
עדכון אבטחה ל-IBM Security Guardium הנותן מענה לחלשה ברמת חומרה קריטיות
התגלתה חולשה ב- IBM Security Guardium בגרסאות 10.6, 11.3, 11.4 ו- 11.5 אשר מושפעה מפגיעות פקודה ב-CLI. החולשה (CVE-2023-35893) ברמת חומרה קריטית עם ציון CVSS 9.9. פגיעות זו עשויה לאפשר לתוקף מאומת מרחוק לבצע פקודות שרירותיות במערכת על ידי שליחת בקשה דרך ה- Command Line interface) CLI).
צוות קונפידס ממליץ ללקוחותיו לבצע את עדכוני התוכנה בהתאם.
התקפות ואיומים
חברת אנרגיה בארה״ב תחת קמפיין פישינג הכלל סריקת QR
במהלך חקירה של חברת Cofence, התגלה קמפיין פישינג משמעותי מכוון לחברת אנרגיה אמריקאית גדולה, אך כלל גם שלל חברות אחרות. הקמפיין כולל הטמעה של קוד QR בתמונה הנשלחת במייל כדי להימנע מזיהוי על ידי מערכות הגנה על המייל, ההודעה כוללת התראה על שינוי סיסמה דחוף שצריך להתבצע תוך ימים ספורים וקוד QR מצורף שם כדי לעבור לדף הרלוונטי. ברגע שהקורבן סורק את הקוד QR הוא מועבר לדף זדוני העשוי לנצל חולשות שלא תוקנו במערכות שהחברה משתמשת ולהוציא את תחנת המשתמש מטווח ההגנה של הארגון. תוקפים יכולים למנף את תופעה זו לגניבת מידע, גניבת כספים, סחיטה ועוד. בדוח מצויין שהפופולריות של מתקפות פישינג של גדלות בכ-270% כל חודש ובכ-2400% החל מחודש מאי. אמנם קמפייני פישינג המשמשים את קודי QR שומשו בעבר, הם עדיין מצריכים אינטראקציית משתמשים, כך שחשוב שעובדי ארגונים יהיו מודעים לתופעה זו כדי שיוכלו להימנע מניצול חולשה זו. מעבר לכך, חשוב גם להטמיע מערכות היכולות לחסום מקרים כאלו על ידי סריקת תמונות המצורפים למיילים.
CISA מוסיפה פגיעות מנוצלת של Citrix לקטלוג פגיעויות
הסוכנות להגנת סייבר ותשתיות (CISA) עדכנה את קטלוג הפגיעות המנוצלות הידועות בציבור הרחב עם ערך חדש עקב עדויות לניצול מתמשך. הפגיעות החדשה שנוספה מזוהה כ- CVE-2023-24489 הפגיעות הינה באג קריפטוגרפי במערכת Citrix ShareFile’s Storage Zones Controller, המערכת הינה אפליקציית .NET הפועלת תחת IIS. פגיעות זו מאפשרת לתוקפים לא מאומתים להעלות קבצים זדוניים, מה שמוביל לביצוע הרצת קוד מרחוק. לפגיעות הוקצה ציון CVSS של 9.8, המעיד על חומרתה הקריטית. פגיעויות כאלה מנוצלות בדרך כלל על ידי גורמי סייבר זדוניים ונושאות סיכונים משמעותיים עבור מערכות ממשלתיות. צוות קונפידס ממליץ לעדכן לגרסה העדכנית ביותר ShareFile storage zones controller 5.11.24 ומעלה.
נוזקת כופרה בשם Knight מופצת באמצעות מייל בקמפיין התחזות לתלונות בפלטפורמת TripAdvisor.
נוזקת כופרה בשם Knight (בעבר נקראה cyclop) מופצת בקמפיין ספאם שמנסה להתחזות לתלונות המוגשות בפלטפורמת TripAdvisor. נוזקה זו היא שדרוג של נוזקת כופר דומה הנעשה בה שימוש בעבר ונמכרת כשירות הצפנה בתשלום (RaaS) בפורומים ב-dark web הזמינים אך ורק ברוסיה וסין. בקניית השירות התוקף מקבל פלטפורמה שלמה עם פאנל אדמין ועמוד של קבלת דמי הכופר וניהול תהליכי המתקפות. במסגרת הקמפיין נשלחים מיילים המצורפים אליהם קבצי ZIP בשם ״TripAdvisorComplaint.zip״ או ״TripAdvisor-Complaint-[random].PDF.htm״ ולאחר פתיחת קבצים אלו, מתבצעת הורדה של קובץ Excel XLL בשם ״TripAdvisor_Complaint-Possible-Suspension.xll״. קובץ זה נוצר על ידי שימוש ב-Excel-DNA ולאחר פתיחתו, הקובץ מזריק את תוכנת ההצפנה בתהליך חדש בשם "explorer.exe" ומתחיל להצפין את הקבצים על התחנה. לקבצים המוצפנים תתווסף הסיומת ״knight_l ״ וייוצר קובץ עם מכתב מהתוקף הדורש 5000 דולר בביטקוין עם כתובת הארנק וכתובת לאתר של התוקף. אין וודאות בכך שהתוקף יספק את את מפתח ההצפנה לאחר העברת תשלום הכופר, לכן, מומלץ להימנע מתשלום הכופר במהלך קמפיין זה כיוון שיש סבירות גבוהה שלא יישלח מפתח ההצפנה לאחר מכן.
כ-2000 שרתי Citrix Netscaler נוצלו במהלך קמפיין ניצול חולשה
בעקבות קמפיין תקיפה שמטרתו לזהות שרתי Citrix Netscaler נגישים וחשופים לחולשה הקריטית CVE-2023-3519 המאפשרת הרצת קוד לא מבוקר מרחוק בעת ניצול מוצלח. לרגע כתיבת דוח זה, כמעט 2000 שרתים הותקפו וכתוצאה מכך הושתל בהם backdoor. חוקרים מחברת Fox-IT והמכון לחקירת פגיעויות ההולנדי DIVD חשפו את הקמפיין הכלל השתלת של webshell על שרתי Citrix Netscaler פגיעים. חולשה זו נוצלה כ-zero day כך שלא היה תיקון ברור עבור הפגיעות והיה ניתן להריץ קוד לא מבוקר מרחוק ללא אימות. כלומר החולשה נוצלה על כ-6 אחוז מכלל השרתים שנמצאו פגיעים (31,127), חשוב לציין שרוב השרתים שנפגעו נמצאים במדינות אירופאיות. חוקרי הקמפיין זה ממליצים למנהלי רשתות ואנשי אבטחת מידע של ארגונים המשתמשים בשרתי Citrix Netscaler לבדוק האם בוצע ניסיון ניצול או ניצול מוצלח של חולשה זו בסביבתם. בנוסף, החוקרים פרסמו סקריפט python הסורק אחר סממנים לניסיונות ניצול החולשה.
פריצה ברשת החברתית LinkedIn: משתמשים מרובים דיווחו על מחיקה או חסימה של החשבון
לפי דיווח של Cyberint בשבועות האחרונים, צוות המחקר זיה קמפיין פריצה לחשבונות LinkedIn. הקמפיין משפיע כרגע על משתמשים בכל ברחבי העולם, וגורם למספר משמעותי של קורבנות לאבד את הגישה לחשבונותיהם. חלק מהם נלחצים לשלם על מנת לקבל את החשבון חזרה. במועד הזה, למרות ש-LinkedIn עדיין לא הפיצה הודעה רשמית, נראה כי זמן התגובה של התמיכה התארך, עם דיווחים על נפח גבוה של בקשות תמיכה. משתמשים בפלטפורמות תקשורת חברתיות שונות כמו Twitter ו-Reddit משתפים מקרים של פרופילים שנפרצו, ומחפשים סיוע.
צוות המחקר של Cyberint הגיע למסקנה כי התגלתה עלייה משמעותית לא רק בשיחות ברשתות החברתיות בנוגע לחשבונות שנפרצו, אלא גם בתדירות החיפושים לתמיכה ב-LinkedIn ולייעוץ בנושאים הנוגעים לפעולות המומלצות במקרה של פריצת חשבון. ניתוח באמצעות Google Trends מצביע על גידול משמעותי ב-90 הימים האחרונים בנפח החיפושים ב-Google הקשורים לקמפיין פריצת החשבונות. שאלות חיפוש כמו "חשבון LinkedIn נפרץ" או "שחזור חשבון LinkedIn" הראו טרנד עולה.
ניתן לראות כי היו שני סוגים שונים של ההתקפה: נעילת חשבון זמנית ופריצה מוחלטת לחשבון. במקרה הראשון המשתמשים שנפגעו מקבלים מייל רשמי מהחברה שמודיע על נעילת החשבון. במקרים אלו, החשבונות עצמם אינם נפרצים, אלא פעילות חשודה או ניסיונות פריצה הובילו לנעילה זמנית. משתמשים הנפגעים מתבקשים לאמת את חשבונם, לעדכן את הסיסמה ולשחזר גישה. לגבי פריצה מוחלטת לחשבון, חשבונות של הנפגעים נפרצו באופן מוחלט, כלומר אין אפשרות לשחזר את החשבון באופן עצמאי. הדרך פעולה של התוקפים במקרה הזה היא לגשת לחשבון ולשנות את כתובת הדוא"ל המקושרת לחשבון לכתובת דוא"ל אחרת. לאחר מכן, משנים את הסיסמה של החשבון. על ידי שינוי כתובת הדוא"ל, הם מונעים את יכולת הקורבנות לשחזר את החשבון באמצעות הדוא"ל, ולכן החשבון נשאר ללא אפשרות לשחזורו.
הנזק המוניטורי הוא חמור, מאחר שמשתמשים בדרך כלל מתבטאים ב-LinkedIn כדי להציג את ההישגים המקצועיים שלהם ולפרסם תוכן. חשבונות שנפרצים יכולים לשמש להפצת תוכן לא לגיטימי, למחוק מידע של המשתמש, למחוק חיבורים עם אנשים ולשלוח הודעות, מה שגורם בכך נזק חמור למוניטין האישי של האדם.
צוות קונפידס ממליץ לאבטחת החשבון להוסיף מייל נוסף לאימות, שימוש בסיסמא חזקה, הימנע משימוש באותה הסיסמה פלטפורמות שונות ו2MFA.
סייבר בעולם
מנהל הסייבר הלאומי בבית הלבן (ONCD) יוצא במיזם אבטחת קוד פתוח ושפות תכנות
משרד מנהל הסייבר הלאומי שבבית הלבן (ONCD), בשותפות עם הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), הקרן הלאומית למדע (NSF), סוכנות המחקר המתקדם לפרויקטים בתחום הביטחון (DARPA) ומשרד הניהול והתקציב (OMB), מכריז על בקשת מידע (RFI) בנושא אבטחת תוכנה באמצעות קוד פתוח ושפות תכנות בטוחות לזכרון. ה-RFI בונה על ההתחייבות שהממשלה נתנה באסטרטגיית הסייבר הלאומית, "להשקיע בפיתוח תוכנה מאובטחת, כולל שפות לזכרון וטכניקות לפיתוח תוכנה וכלי בדיקה מתקדמים." בנוסף ליתרונותיו הרבים של השימוש בקוד פתוח במוצרים מסחריים, במערכות ממשלתיות ובפלטפורמות צבאיות מציעים היבטי אבטחה ייחודיים להם. על פי כך, הבית הלבן הקים את מיזם האבטחה של התוכנה בקוד פתוח (OS3I) שהוא בעצם קבוצות עבודה בין סוכנויות עם המטרה לזהות פתרונות מדיניות ולנתב את המשאבים הממשלתיים לקידום האבטחה של התוכנה בקוד פתוח. על ידי שיתוף פעולה עם שותפים מסוכנויות נוספות, ה-OS3I זיהה מספר תחומי שהתמקדו בהם בשלב ראשון של התוכנית:
1. הגדלת השפעת שפות תכנות בטוחות לזכרון.
2. תכנון דרישות ליישום לצורך הוכחת אבטחה בטוחה ושמירת פרטיות.
3. זיהוי וקידום תחומים ממוקדים למטרת העדיפות.
הסוכנות מחפשת תגובה מגורמים הציבוריים והפרטי העוסקים בתחום לצורך פיתוח ויישום פתרונות מדיניות ארוכי הטווח ותקפים לקידום המדיניות.
דלף מידע של 760,000 משתמשים מ-Discord.io
Discord.io, שירות צד שלישי המאפשר הזמנת משתמשים בהתאמה אישית לקבוצות בשרתי Discord שאינו קשור ישירות ל-Discord השהה את כלל שירותיו עקב דלף מידע אישי של 760,000 משתמשים. משתמש המזוהה בשם "Akhirah" פרסם בפורומים של קהילות תוקפים את מסד הנתונים המכיל את המידע האישי למכירה, וכדי לאמת את המידע הוא פרסם מידע אישי של ארבעה משתמשי Discord.io. מסד הנתונים שדלף, כולל בתוכו מידע כמו שמות משתמשים, כתובות מייל, מספר מועט של כתובות מגורים, סיסמאות מגובבות ומזהיי משתמשי Discord. דלף המידע עלול לאפשר קישור בין שמות משתמשים לכתובות מייל ולקבל זהות פוטנציאלית של משתמשים. Discord.io אימתה שדלף המידע אכן התרחש ומיד עצרה את כלל השירותים שהיא מציעה וביטלה את המנויים בתשלום. פורסם שהתוקף, מעבר לאינטרס הכלכלי, דורש גם מ-Discord.io שינחו את לקוחותיהם על הסרה של כלל הערוצים המכילים תכנים לא חוקיים. משתמשי Discord.io צריכים לעקוב אחר ההתפתחויות המעודכנות באתר של Discord.io ולשים לב למיילים חשודים העלולים להיות פישינג ממוקד.
סגירת פלטפורמת הפישינג 16Shop: חקירות מובילות לשלושה עצורים אחראים במבצע משטרתי בינלאומי
פלטפורמת פישינג בשם '16Shop', המספקת שירותי (Phishing-as-a-Service (PhaaS, נסגרה במסגרת חקירה גלובלית מתואמת שבוצעה על ידי INTERPOL וגופים נוספים. במהלך החקירה, הרשויות האינדונזיות עצרו שני נאשמים, ונאשם נוסף נעצר ביפן. הפעולה בוצעה על ידי אגודות שונות לאכיפת החוק, כולל את המערכת הלאומית לאכיפת החוק באינדונזיה, יפן וארצות הברית. גורמים מן המגזר הפרטי, כולל את המכון להגנת הסייבר Group-IB, Palo Alto Networks Unit 42 ו-Trend Micro, השתתפו גם בפעולה. המטרה העיקרית של הפעולה היא להלחם בפעילויות פליליות בתחום הסייבר הקשורות לפישינג.
דיווחים מצביעים על כך שפלטפורמת 16shop הציעה ערכות פישינג שהיו מיועדות לחשבונות כמו אפל, פייפאל, אמריקן אקספרס, אמזון ו-Cash App. לפחות 70,000 משתמשים מ-43 מדינות חוו פגיעה ממתקפות פישינג שנוצרו על בסיס פלטפורמה זו. הפלטפורמה יצרה 150,000 דפים מדומים המיועדים בעיקר לאנשים מגרמניה, יפן, צרפת, ארצות הברית ובריטניה. בנוסף, הנתונים שנגנבו במהלך ההתקפות כללו פרטים אישיים, כתובות דואר אלקטרוני וסיסמאות לחשבונות, מספרי כרטיסי אשראי ומספרי טלפון.
פלטפורמת PaaS מכרה "ערכות פישינג" להאקרים, הכוללות רכיבים כמו תקיפה באמצעות דואר אלקטרוני עם קובץ PDF או קישור המפנה לאתר הדורש פרטי בנק של הקורבנות או כל מידע רגיש אחר. מתקפת פישינג היא איום הסייבר הנפוץ ביותר בעולם היום.
צוות החקירה של INTERPOL כיום בתהליך חקירה שמטרתה חשיפת הזהות והמיקום של אחראי הפלטפורמה. נראה כי המעצרים הם אפשרות סבירה ועשויה לסייע בחקירות נוספות הקשורות לפישינג. מבצע זה מציין את החשיבות של שיתוף הפעולה הבינלאומי במאבק לשמירה על אבטחת המידע ומדגיש את המחויבות של גופים בינלאומיים לשיתוף פעולה על מנת לסייע נגד מתקפות כאלו.
פלטפורמות אלו מהוות סיכון משמעותי מאחר והן מאפשרות לתוקפים חסרי ניסיון ללא צורך בידע טכני מתקדם ומספקות דרך פשוטה וחסכונית לתקיפות פישינג שנעשות בכמה לחיצות בלבד. המבצע מעניק תזכורת להישאר ערניים מול ניסיונות הפישינג, לא ללחוץ על לינקים לא מוכרים ולהקשיב להמלצות הרלוונטיות כדי לשמור על המידע הפרטי בצורה הכי מובטחת .
קבוצת התקיפה Charming Kitten מכוונת למתנגדי משטר בגרמניה
שירות הביון הפנימי של גרמניה - המשרד הפדרלי להגנת החוקה (BfV), פרסם אזהרה על פעילויות ״ריגול״ סייבר על ידי קבוצת התקיפה האיראנית Charming Kitten. הקבוצה מכוונת לארגונים מתנגדים איראנים וליחידים המתגוררים בגרמניה. Charming Kitten משתמשים בטקטיקות מתוחכמות של הנדסה חברתית, הם יוצרים פרופילים מותאמים אישית כדי ליצור קשר עם הקורבנות ולסכן את המערכות שלהם. אזהרה זו מחדדת התראות קודמות של מרכז אבטחת הסייבר הלאומי של בריטניה (NCSC) והיא מבוססת על מחקר של גופים כמו CERTFA. הטקטיקה של הקבוצה כוללת הפניית קורבנות לדפי אימות פרטים מזויפים באמצעות קישורי צ'אט. הפעילויות של Charming Kitten נקשרו גם לתקריות הקשורות ל-Human Rights Watch. פעילות הקבוצה מעלה חששות לגבי פגיעה אפשרית במטרותיה, עם הצעות לקשרים לחיל משמרות המהפכה האיראני (IRGC) ואפשרות של פגיעה פיזית באויבי המשטר הנתפסים.
DHS פרסמה דוח על פעילויות קבוצת $Lapsus
המשרד לבטחון לאומי של ארצות הברית פרסם דוח המפרט את הפעילויות של קבוצת התקיפה $Lapsus. בפרטי הדוח ניתן למצוא שבמסגרת פעילותה קבוצת התקיפה השתמשה בדרכים נגישות, כמו שיחות טלפון לעובדים לאחר השגת מספרם, עם בקשה לשיתוף ה-2FA. שיטה זאת אפשרה לתוקפים לעקוף את מנגנוני אבטחה וצלחו לחדור למספר ארגונים. הדוח מציג 10 דרכים מומלצות עבור ארגונים ממשלתיים ופרטיים בהן ניתן להגביר את ההגנה מפני שיטות תקיפה דומות. המשרד לביטחון לאומי של ארה״ב ממליץ לארגונים להשתמש בפתרונות הכוללים MFA ללא סיסמה, בנוסף מבקשת מספקי סלולר להקשיח את שיטות האימות של בכדי להגביר את ההגנה עבור לקוחותיהם. הדוח מדגיש את החשיבות של יישום הגנה הדוקה יותר בארגונים כדי שיוכלו להגן על עצמם משיטות תקיפה ההולכות ומתקדמות.
האקרים רוסים בשיתוף שירותי המודיעין הרוסים מתכננים לתקוף את Starlink
האקרים המקושרים לשירותי המודיעין של רוסיה מתכוונים לתקוף את רשת הלוויין Starlink של אילון מאסק עם תוכנת פריצה מותאמת אישית, על פי סוכנות הביון של אוקראינה. שירות הביטחון הממלכתי של אוקראינה (SBU) פרסם דוח שחשף כי תוכנות זדוניות שפותחו על ידי סוכנות הריגול הרוסית GRU נועדו לרגל אחר תנועות חיילים באמצעות לווייני Starlink .Starlink, מפעילה רשת לוויינים לכיסוי אינטרנט לוויני עולמי, חיונית לתקשורת בין יחידות צבאיות אוקראינים. ה-SBU גילה תוכנה זדונית במכשירי טאבלט אוקראינים שפותחו על ידי כוחות רוסים על מנת לרגל אחרי חיילים אוקראינים. שיטה אחת להפצת תוכנות זדוניות כוללת השארת מכשירים נגועים בתקווה שייעשה בהם שימוש. בתוכנה הזדונית היו עקבות הקשורות לקבוצת האקרים Sandworm, על פי הערכות שהיא חלק מה-GRU של רוסיה. הדו"ח של ה-SBU קבע כי מטרת התוכנה הזדונית הייתה לאסוף נתונים מלווייני Starlink.
ממשלת ארה״ב בשיתוף עם מומחי סייבר עובדים על חיזוק האבטחה במערכות החללהאקרים המשתתפים בוועידת הסייבר של DEFCON בלאס וגאס מנסים לשגר התקפות סייבר על לוויין ממשלתי ארה"ב בשם Moonlighter, בפיקוח חיל האוויר וחיל החלל האמריקאי. יוזמה זו נועדה לשפר את האבטחה של מערכות החלל על ידי זיהוי נקודות תורפה שעלולות להיות מנוצלות על ידי יריבים כמו סין. ההאקרים מחולקים לחמישה צוותים המתחרים להשתלט מרחוק על הלוויין, ליצור קישור נתונים ולהגן על המערכות שלהם מפני התקפות באמצעות הגנות הצפנה ו- Firewall. הלוויין, הממוקם במסלול הנמוך של כדור הארץ, הוא חיוני לפעולות צבאיות שונות ולתקשורת. האירוע נושא פרס של $50,000 לצוות המנצח ומדגיש את הדאגה הגוברת לגבי יכולות הסייבר של יריבים פוטנציאליים כמו סין ורוסיה, שעלולים לשבש או לתמרן פונקציות לוויין לטובתם. סין פיתחה אסטרטגיות לשבש לווייני האויב, בעוד שרוסיה הפגינה את יכולות פריצת לוויינים שלה במהלך הסכסוך באוקראינה. צבא ארה"ב מסתמך במידה רבה על נתוני לוויין עבור פונקציות שונות, מה שהופך אותם למטרה פוטנציאלית להתקפות סייבר. תחרות "Hack-A-Sat" שמה לה למטרה להפעיל מומחי אבטחת סייבר בטיפול באתגרי אבטחה אלו ובשילוב אמצעי אבטחת סייבר במערכות החלל מלכתחילה. האירוע מדגיש את החשיבות של אבטחת תשתיות החלל מפני איומי סייבר בעולם דיגיטלי ומקושר יותר ויותר. הזוכה בתחרות אמור להתפרסם בקרוב.
פריצת הלוויין בערב המלחמת באוקראינה הייתה תקיפה מתואמת ורב-כיוונית
במהלך כנס Black Hat בלאס וגאס, בכיר מ-Viasat חשף כי למתקפת הסייבר ששיבשה את התקשורת הלווינית רגע לפני מלחמת אוקראינה הייתה משמעות רחבה יותר ממה שהובן בהתחלה. מארק קוללוקה, סמנכ"ל ומנהל אבטחת המידע של Viasat הודיע שישנה עוד התקפה משנית ולא ידועה ברשת והחברה נשארת תחת התקפה. תקיפה נוספת על גבי פרוטוקולי הרשת גרמה למניעת התחברות מחדש לרשת. המתקפה כללה פריצה ל-VPN של Viasat והשגת גישה לשרתי הבקרה של רשת האינטרנט הלווינית. תוכנת זדונית בשם "Acid Rain" נפרסה, והפכה אלפי מודמים לבלתי פעילים. בנוסף, ההאקרים הסציפו את שרתי Viasat בבקשות, הבקשות הציפו את הרשתות שלהם ומנעו מציוד תקשורת להתחבר מחדש. רוסיה הואשמה בתור אחראית לתקיפה על הרשת KA-SAT של Viasat. לתקיפה הייתה השפעה משמעותית על תשתית התקשורת של אוקראינה במהלך המלחמה. גילוייה של החברה דרבנו את שחרור התראות והמלצות של סוכנויות אמריקאיות כמו סוכנות הסייבר לאבטחת תשתיות (CISA) וה-FBI כדי לשפר את אבטחת התקשורת לוויינית. התקרית הדגישה את החשיבות של שיפור אבטחת הסייבר עבור מערכות החלל.
סייבר בגופי בריאות
ארה״ב: מתקפת כופר ממשיכה לשבש 2 מערכות CT בבתי חולים
מתקפת הכופר על חברת שירותי הבריאות Prospect Medical Holdings ממשיכה להשפיע על חלק מהשירותים של בתי החולים שנמצאים תחת חברת האם שנפגעה במתקפת סייבר. כזכור, מתקפת סייבר החלה ב-3 באוגוסט (ראו: הסייבר, 10.08.23) ופגעה ב-16 בתי חולים שונים, מה שגרם להסתת מטופלים, ביטול תורים וסגירת מרפאות לטובת ניהול האירוע. בנוסף, שני בתי חולים בקונטיקט פרסמו ביום שישי (ה-11 באוגוסט) ששירותי המעבדות ומכוני ה-CT שלהם מושבתים. בתי החולים פרסמו הודעה באתר האינטרנט שלהם על השהיית הפעילות במכוני CT ובמעבדות, אף שחלף למעלה משבוע ממועד הדיווח של חברת האם על מתקפת הכופר. לפי ההודעה, "ההפסקה השפיעה על חלק משירותי החוץ שלנו, בעיקר בדיקת דם ותורים שנקבעו מראש במרפאות החוץ. יצרנו קשר ונמשיך ליצור קשר עם כל המטופלים שנפגעו", פורסם באתר האיטרנט של המרכז הרפואי Waterbury Health שנפגעה שלה, והפנתה את המטופלים למוקד הפניות לקבלת מידע נוסף.
המחלקה פרסמה אזהרה לדלף מידע אישי של אנשים מסוימים ו/או מידע בריאותי מוגן. הארגון מפקח על Health First Colorado (להלן: HCPF), שהיא תוכנית Medicaid של קולורדו, על תוכנית ביטוחי הבריאות לילדים (CHP+) ועל תוכניות בריאות אחרות עבור תושבי האזור.
כזכור, מידע של חברות רבות הודלף לרשת לאחר פריצה לשרתי MOVEit על ידי קבוצת הכופרה Clop. הפריצה לשרתי MOVEit היוותה חלק ממתקפה עולמית של קבוצת הכופרה שהחלה ב 27 למאי בה התמקדו בניצול חולשת Zero-Day (CVE-2023-34362) שהתגלתה בתוכנה. ב-HCPF נעשה שימוש ביישום MOVEit כדי להעביר קובצי נתונים פנימיים. לאחרונה, חברת IBM הודיעה ל-HCPF שהיא הושפעה מתקרית MOVEit. בתגובה לכך, פתחה החברה מיד בחקירה כדי להבין אם התקרית השפיעה על המערכות של HCPF עצמה, וכדי לקבוע אם קיים סיכון לדלף מידע בריאותי מוגן של לקוחות החברות שהושפעו מהפגיעה. בעוד ש-HCPF אישר שלא הושפעו מערכות או מסדי נתונים של HCPF, ב-13 ביוני 2023, החקירה זיהתה גישה של גורם לא מורשה לקובצי HCPF מסוימים באפליקציית MOVEit ב-28 במאי 2023. קבצים אלה הכילו כמה מידע על חברי Health First Colorado ו-CHP+.
לפי ההודעה שפורסמה, ייתכן שהפרטים הבאים נחשפו בדלף מידע: שם מלא, מספר תעודת זהות, מספר תעודת Medicaid, מספר תעודת Medicare, תאריך לידה, כתובת בית ופרטי קשר אחרים כמו מידע דמוגרפי או הכנסה, מידע קליני ומידע רפואי (כגון אבחנה/מצב, תוצאות מעבדה, תרופות או מידע טיפולי אחר), ומידע על ביטוח בריאות.
בתגובה לאירוע HCPF מציעה לאנשים שייתכן שהמידע שלהם נחשף שנתיים של שירותי ניטור אשראי ושחזור זהות בחינם וממליצה לנקוט בצעדים להגנה על מידע אישי.
סייבר בישראל
ישראל: דיווחים על דלף מידע ממתקפת הסייבר על בית חולים מעייני הישועה
ביממה האחרונה דווח שקבוצת הכופר Ragnar locker שתקפה את בית חולים מעייני הישועה מחזיקה במידע שנגנב משרתי בית החולים. בעקבות החשש מדלף מידע פרסמה הרשות להגנת הפרטיות הבהרה לציבור שבה נכתב ש״קיימת אינדיקציה של ממש לדלף מידע מבית החולים מעייני הישועה. בהמשך לכך, ונוכח פוטנציאל פרסום מידע אישי רגיש של מטופלים, מבהירה הרשות כי קיים איסור לעשות שימוש במידע אישי רפואי של מטופלים, לרבות עצם העתקתו, הפצתו, פרסומו, העברתו לאחר, עיבודו, אגירתו במאגרי מידע אחרים וכיו"ב. האיסור כולל שימוש במידע לצורך אימון מערכות AI (בינה מלאכותית). הפרת האיסורים האלה עשויה להוות עבירה פלילית והרשות מבהירה כי תשקול הפעלת סמכויותיה, הפליליות והמנהליות, כנגד מי שיפעל בניגוד לאמור.״
באתרי החדשות פורסם שהתוקפים מחזיקים מידע רפואי על אישים בעלי פרופיל ציבורי גבוה שטופלו בבית החולים בשנים האחרונות, כמו ראש הממשלה נתניהו ואדמו״רים בכירים. קבוצת התקיפה מאיימת לפרסם מידע רפואי על מאות אלפי מטופלים וטוענת שבידיה מידע רפואי כולל ממצאים פסיכיאטריים ובדיקות רפואיות עם סודיות גבוהה.
שבוע לאחר התקיפה על בית החולים, פורסם באתר האינטרנט שלו ש״התגובה המהירה והמקצועית של צוות ביה״ח מנעה הצפנה נרחבת של המערכות, דבר אשר צימצם משמעותית את הנזק.״ עוד נכתב ש״בימים אלו השלמנו את תהליך החזרה לעבודה ממוחשבת כמעט בכל ביה״ח, כך שבאפשרותנו להמשיך ולהעניק טיפול איכותי ובטוח לכלל מטופלינו כבשגרה. בימים הקרובים, יחזור צוות זימון התורים לכלל הפניות עבור קביעת תורים.״
הרשות להגנת הפרטיות מפרסמת המלצות למשתמשי אתרים שפרטיהם האישיים דלפו
הרשות להגנת הפרטיות פרסמה המלצות למשתמשים שנפגעו מאירועי אבטחת מידע ובעקבות כך פרטיהם האישיים דלפו לציבור.
ההמלצות שהרשות פרסמה:
1. מדיניות סיסמאות: שימוש בסיסמה שונה בכל שירות. מומלץ לנהל את הסיסמאות בתוכנה ייעודית לניהול סיסמאות כמו (LastPass,OnePassword ועוד ) אשר מצפינה את הסיסמה ומתאימה אותה לשירות המוגדר.
2. במקרה שבו יש חשש לדלף מידע כלשהו , מומלץ לשנות מיד את הסיסמה בשירות הפרוץ .
הפעלת אימות דו שלבי להגברת האבטחה על המשתמש (יש את האפשרות בשירות המבוקש).
3.להתייחס בחשדנות מוגברת לכל פנייה יזומה בדוא״ל , בהודעות טקסט ובשיחות טלפון .
לוודא שאכן יש קשר בין הבקשה לבין השירות.
4. להיזהר מדוא״ל הדוחק לבצע פעולות מיידיות או ניסיונות ליצירת מצב של לחץ ודחיפות .
5. להיזהר מדוא״ל המכיל הצעות שמבטיחות זכייה כלשהי או הנחה גדולה .
הרשות פרסמה עוד המון המלצות בכל הקשור להתנהלות השוטפת במרחב הדיגיטלי ואמצעי זהירות , שאפשר לראות כאן .
פרצת אבטחה חמורה באפליקציית Moovit אפשרה נסיעות חינם וגישה למידע
חוקר אבטחה ישראלי בשם עומר אטיאס מחברת Safebreach חשף פרצת אבטחה באפליקציית התחבורה הציבורית הפופולארית מוביט (Moovit), אשר מאפשרת להאקרים לפרוץ אל חשבונות משתמש ולקבל נסיעות חינם ולגשת למידע האישי של המשתמשים. לדברי החברה, הפרצה תוקנה באופן מיידי עם היודעה, מבלי שנגרם נזק למשתמשים.
החוקר טען שמצא שלוש חולשות באפליקציית Moovit, שאפשרו לו לאסוף פרטי רישום חדשים של משתמשי Moovit מכל רחבי העולם - כולל מספרי טלפון סלולרי, כתובות אימייל, כתובות בית וארבע האחרונות ספרות של כרטיסי אשראי
במוביט מיהרו להרגיע ומסרו כי "מוביט הייתה מודעת לבעיה ותיקנה אותה כאשר היא דיווחה, ונקטה בצעדים מידיים כדי לסיים את תיקון הבעיה". דיווחים ציינו כי הפירצה התגלתה בזמן, שכן אף גורם זדוני לא ניצל אותה כדי לגשת לנתוני לקוחות. בנוסף, לא נחשפו פרטי כרטיס אשראי כיוון ש-Moovit אינו שומרות את פרטי כרטיסי האשראי של לקוחותיו.
עומר אטיאס אמר שלמרות שהוא ביצע את הבדיקה רק בישראל, הוא חושב שזה יכול היה לעבוד גם במדינות אחרות, בהתחשב בעובדה שמוביט פועלת בכל העולם, ומשרתת 1.7 מיליארד משתמשים ב-3,500 ערים וב-112 מדינות. חשוב לציין כי מידע לא זלג לגורמים זדוניים, אף משתמש לא נפגע והחברה נקטה בצעדים מיידיים לתיקון הבעיה.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ויובל גורי.