WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 18.08.2022

עיקרי הדברים

  1.  ישראל: האיראנים ממשיכים לתקוף - נפרץ אתר הכרויות של חרדים; חברת Mandiant זיהתה קבוצה איראנית שפועלת בישראל ותוקפת חברות ספנות; הרשות להגנת הצרכן מפרסמת הנחיה לגילוי סיכוני סייבר במוצרים חכמים. 

  2. המלחמה בין רוסיה לאוקראינה: מיקרוסופט מזהירה מפני קמפיין פישינג רוסי שנועד למטרות ריגול אחר ארגונים; אתר התאגיד האוקראיני האחראי על התחנות הגרעיניות במדינה הותקף במתקפת מניעת שירות.

  3. שיבושים קשים בשירותי הבריאות באנגליה (NHS 111) כתוצאה ממתקפת כופרה על ספקית התוכנה Advanced.

  4. כופרה: הרשות השופטת בעיר קורדובה שבארגנטינה חווה מתקפת כופרה; מחלקת המדינה של ארצות הברית מגבירה את מאמציה למציאת חמשת חברי קבוצת הכופרה Conti וחושפת את תמונתו של אחד מהם.

  5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Apple (חולשת Zero-day); הדפדפן Google Chrome (חולשת Zero-day); מוצרי Cisco (גבוה); הממשק Zimbra Collaboration Suite (גבוה); מוצרי Trend Micro (בינוני); מעבדי AMD ו-Intel (בינוני); מצלמות Zyxel.*

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני תוכנה של Cisco נותנים מענה לחולשה ברמה גבוהה המאפשרת דליפת מפתחות RSA פרטיים
עדכוני תוכנה למוצרי Trend Micro במערכת ההפעלה Windows נותנים מענה לחולשה ברמה בינונית המאפשרת גניבת מידע מעמדות

התקפה חדשה על מצלמות Zyxel מאפשרת גישה רשתית אליהן ללא הרשאות; טרם פורסם עדכון אבטחה
עדכוני אבטחה ל-Google Chrome נותנים מענה למספר חולשות, בהן אחת קריטית ואחת מסוג Zero-dayחולשות חומרה במעבדי AMD ו-Intel עלולות לאפשר השגת מפתחות הצפנה פרטיים וחשיפת מידע רגיש

חוקרי Eclypsium מצאו חולשות במטעני האתחול של Windows
עדכוני אבטחה של Apple נותנים מענה לשתי חולשות Zero-day שנמצאו במערכותיה

ה-CISA מדווחת על ניצול חולשות ב-Zimbra Collaboration Suite

התקפות ואיומים

קבוצת ההאקרים הסינית (Iron Tiger (APT27 הצליחה לגשת למכשירים מבוססי Linux ו-macOS בטאיוואן ובפליפינים באמצעות האפליקציה הסינית MiMi

רוגלת ה-Android הפופולרית SOVA חוזרת בגרסה מחודשת בעלת יכולות כופרה
חוקרי Cyble: עלייה בכמות ניסיונות הניצול של VNCs

באג בסמארטפונים של Xiaomi אפשר זיוף תשלומים ועסקאות מהנייד
מיקרוסופט מזהירה מפני קמפיין פישינג רוסי שנועד למטרות ריגול אחר ארגונים

PyPI כפלטפורמה להנגשת ספריות קוד זדוניות

השבוע בכופרה

ה-CISA וה-FBI פרסמו ייעוץ אבטחה משותף אודות הכופרה Zeppelin

ארגנטינה: הרשות השופטת בעיר קורדובה חווה מתקפת כופרה
מחלקת המדינה של ארצות הברית מגבירה את מאמציה למציאת חמשת חברי קבוצת הכופרה Conti וחושפת את תמונתו של אחד מהם

שיבושים קשים בשירותי הבריאות באנגליה (NHS 111) כתוצאה ממתקפת הכופרה על ספקית התוכנה Advanced
ספק מים מרכזי בבריטניה סופג מתקפת כופרה

ארה״ב: מרכז רפואי שילם לעובדיו משכורות מנופחות עקב מתקפת כופרה על גורם בשרשרת האספקה; הטעות הסתכמה בכ-2 מיליון דולר

המלחמה במזזרח אירופה

אתר התאגיד האוקראיני האחראי על התחנות הגרעיניות במדינה הותקף במתקפת מניעת שירות (DDoS) על ידי ״צבא הסייבר העממי״ של רוסי

סייבר בעולם

התגלתה חולשת חומרה בר שת לווייני ה-Starlink של אילון מאסק

בריטניה מגדירה אסטרטגיית הגנה ימית חדשה להתמודדות עם איומים פיזיים ובמרחב הסייבר

קבוצת האקרים הצליחה להשתלט על לוויין מסחרי מושבת ושידרה באמצעותו סרטים

סייבר בישראל

קבוצת תקיפה פרו-פלסטינית תוקפת אתרים של הקהילה הדתית-חרדית

Mandiant חושפת מידע אודות קבוצת התקיפה UNC3890 שככל הנראה מקורה באיראן

ממשלת אסטוניה חוותה את מתקפת הסייבר הגדולה ביותר שאירעה במדינה מאז 2007; כמעט ולא הורגשו שיבושים

סייבר ופרטיות - רגולציה ותקינה

הנחיה חדשה לגילוי מידע במכירה של מוצרי Io

כנסים

 
 

הציטוט השבועי

״אתמול אסטוניה חוותה את מתקפות הסייבר הנרחבת ביותר מאז 2007. ניסיונות ה-DDoS כוונו גם למוסדות ציבוריים וגם למגזר הפרטי. [...] ההתקפות לא היו אפקטיביות. כ-CIO של ממשלתי, ישנתי טוב״ 

לוקאס אילבס, מנהל מערכות המידע הממשלתי, אסטוניה, 17.08.2022

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני תוכנה של Cisco נותנים מענה לחולשה ברמה גבוהה המאפשרת דליפת מפתחות RSA פרטיים

החולשה (CVE-2022-20866, CVSS 7.4) מצויה במכשירים המריצים את התוכנות (Cisco Adaptive Security Appliance (ASA ו-(Cisco Firepower Threat Defense (FTD ועלולה לאפשר לתוקף מרוחק שאינו מאומת לאחזר מפתחות RSA פרטיים, שבאמצעותם יוכל לפענח את תעבורת המכשיר או להתחזות להתקני FTD/ASA על ידי מתקפת ערוץ צדדי מסוג Lenstra. מקור החולשה בשגיאה לוגית הגורמת לשמירת מפתח ה-RSA בזיכרון של פלטפורמת חומרה המבצעת הצפנה מבוססת חומרה. לדברי Cisco, אין עדויות לניצול פעיל של החולשה והיא ממליצה ללקוחות שבבעלותם התקנים המריצים FTD/ASA להסיר מהם מפתחות RSA בעלי מבנה שגוי או רגיש, ואף לבטל אישורים הקשורים למפתחות אלה, מחשש לדליפת המפתח הפרטי לידיו של שחקן זדוני.
העדכונים רלוונטיים למוצרי ה-ASA הבאים:

ASA 5506-X with FirePOWER Services

ASA 5506H-X with FirePOWER Services

ASA 5506W-X with FirePOWER Services

ASA 5508-X with FirePOWER Services

ASA 5516-X with FirePOWER Services

ויש לבצע את העדכונים על פי המתכונת הבאה:
גרסה 9.18 - לעדכן לגרסה 9.18.2

גרסה 9.17 - לעדכן לגרסה 9.17.1.13

גרסה 9.16 - לעדכן לגרסה 9.16.3.19
גרסה 9.15 וגרסאות מוקדמות יותר אינן פגיעות לחולשה.

כמו כן, העדכונים רלוונטיים למוצרי ה-FTD הבאים:

Firepower 1000 Series Next-Generation Firewall

Firepower 2100 Series Security Appliances

Firepower 4100 Series Security Appliances

Firepower 9300 Series Security Appliances

Secure Firewall 3100 

ויש לבצע את העדכונים על פי המתכונת הבאה:

גרסה 7.2.0 - לעדכן לגרסה 7.2.0.1

גרסה 7.1.0 - לעדכן לגרסה הרלוונטית מבין הבאות:
Cisco_FTD_Hotfix_P-7.1.0.2-2.sh.REL.tar

Cisco_FTD_SSP_FP1K_Hotfix_P-7.1.0.2-2.sh.REL.tar

Cisco_FTD_SSP_FP2K_Hotfix_P-7.1.0.2-2.sh.REL.tar

Cisco_FTD_SSP_Hotfix_P-7.1.0.2-2.sh.REL.tar

Cisco_FTD_SSP_FP3K_Hotfix_Q-7.1.0.3-2.sh.REL.tar

גרסה 7.0.0 - לעדכן לגרסה 7.0.4

גרסה 6.7.0 וגרסאות מוקדמות יותר אינן פגיעות לחולשה.

צוות קונפידס ממליץ לבעלי המוצרים לעיין בפרסום המלא של Cisco, להזין במערכותיהם את ה-IOCs המופיעים בו, לעקוב אחר

המלצות החברה ולעדכן את המוצרים לגרסאותיהם האחרונות.

עדכוני תוכנה למוצרי Trend Micro במערכת ההפעלה Windows נותנים מענה לחולשה ברמה בינונית המאפשרת גניבת מידע מעמדות

העדכון, שפורסם ב-17 באוגוסט, נותן מענה לחולשה (CVE-2022-30702, CVSS 7.3) מסוג Out-of-bounds Read, העלולה לאפשר לתוכנה לקרוא מעבר לכמות המידע שהוקדש לה בזיכרון, ובכך לאפשר גישה למידע רגיש שאינו אמור להיקרא.

צוות קונפידס ממליץ לכלל משתמשי Trend Micro Security במערכת ההפעלה Windows מגרסאות 17.7.1130 ומטה לעדכן את מוצריהם בהקדם האפשרי.

התקפה חדשה על מצלמות Zyxel מאפשרת גישה רשתית אליהן ללא הרשאות; טרם פורסם עדכון אבטחה

בדוח טכני שפורסם השבוע על ידי חוקר אבטחת המידע hydrogen18 נחשפות 3 חולשות במוצרי מצלמות הרשת מבית Zyxel, בדגמים IPC-3605N ו-IPC-4605N, ואולי גם אחרים. החולשה הראשונה עלולה לאפשר גישה לצפייה במצלמות ללא כל גישה למערכת, אלא מתוך הרשת אליה מחוברת המצלמה. בנוגע לחולשה השנייה מוכיח החוקר היתכנות למתקפת מניעת שירות (DDoS) ול- Reverse Shell נגד מערכות הצילום בעזרת פונקציה לטעינת Crontab בממשק הניהול (הדורש הזדהות, אך כברירת מחדל מגיע עם פרטי ההזדהות הגנריים admin:admin/admin:1234). החולשה השלישית מנצלת פגיעות בפרוטוקול UPnP, אשר כברירת מחדל המגיע פתוח במערכת המצלמות. נכון לכתיבת שורות אלה, טרם התקבלה תגובה רשמית של Zyxel למחקר שפורסם וטרם תוקנו החולשות במוצרים.

צוות קונפידס ממליץ למנהלי מערכות העושות שימוש במצלמות החברה לבצע סגמנטציה ולהפריד בין רשת הארגון למצלמות, וכן לאפס את סיסמאות ברירת המחדל של משתמש האדמין במערכת. 

עדכוני אבטחה ל-Google Chrome נותנים מענה למספר חולשות, בהן אחת קריטית ואחת מסוג Zero-day

גרסאות המוצר 104.0.5112.101 עבור Mac ו-Linux ו-104.0.5112.102/101 עבור Windows, שיהיו זמינות בימים או בשבועות הקרובים, סוגרות חולשה קריטית, חולשת Zero-day וחולשות נוספות, בהן 6 בדרגת חומרה גבוהה. חולשת ה-Zero-day שנמצאה במוצר (CVE-2022-2856) מנוצלת באופן פעיל, ונעוצה באימות שגוי של קלט שאינו מהימן. החולשה עלולה לאפשר מעקף של הגנות וחריגה מהפונקציונליות המיועדת של הקלט, דבר העלול לאפשר גלישת חוצץ, מעבר בין ספריות, מתקפת Cross-site scripting, הזרקת SQL ועוד. החולשה הקריטית (CVE-2022-2852) שנסגרת בעדכון עלולה לאפשר הרצת קוד שרירותי, התקנת תוכנות, צפייה/עריכת/מחיקת נתונים ויצירת חשבונות בעלי הרשאות מלאות, כל זאת בהתאם להרשאות המשויכות למשתמש המחובר בעת הניצול. אי לכך, עמדות פגועות בעלות הרשאות נמוכות יושפעו מניצול החולשות פחות מעמדות אליהן מחובר משתמש בעל הרשאות גבוהות.

צוות קונפידס ממליץ למשתמשי Google Chrome לעדכנו לגרסתו האחרונה, עם שחרורה. 

חולשות חומרה במעבדי AMD ו-Intel עלולות לאפשר השגת מפתחות הצפנה פרטיים וחשיפת מידע רגיש

קבוצת חוקרים מאוניברסיטאות וארגונים שונים חשפו חולשה חדשה (CVE-2022-21233, CVSS 6.0) ברמת חומרה בינונית בכל מעבדי Intel המבוססים על ארכיטקטורת Sunny Cove. החולשה, המכונה AEPIC Leak, עלולה לאפשר לתוקפים להשיג מפתחות הצפנה פרטיים, והיא חושפת נתונים רגישים באופן הדומה לקריאה של הזיכרון המשמש את המעבד עצמו. מקור החולשה בתקלת ייצור (באג) בארכיטקטורת המעבד, החושפת את המידע ישירות, ללא ניסיון להסתרה או בידוד של משאבי המעבד המשותפים. החשיפה נעשית באמצעות ערוצים צדדיים שיכולים להעיד על תוכן המידע, כגון צריכת הזרם, זמן ההרצה והפליטה האלקטרומגנטית, כולם אינדיקטורים המסייעים לפענוח תוכן באמצעות טכניקות שהוכחו כיעילות לפיצוח אלגוריתמים וערכי קריפטוגרם. החולשה מושרשת ברכיב במעבד המכונה Advanced Programmable Interrupt Controller) APIC), אשר מהווה מנגנון לטיפול וניתוב של קריאות Interrupt, המורות למעבד לחדול מביצוע קוד ולהשהותו.

לדברי החוקרים, ״הסריקה של כתובת ה-I/O על מעבדי Intel המבוססים על המיקרוארכיטקטורה של Sunny Cove חשפה שרשומות מיפוי הזיכרון של ה-APIC לא הוגדרו כראוי. כתוצאה מכך, קריאת ארכיטקטונית של רגיסטרים אלה מחזירה נתונים מהמיקרוארכיטקטורה. כל נתון שמועבר מה-L2 לרמה האחרונה של ה-Cache יכול להיקרא באמצעות הרגיסטרים הללו״. בתגובה לממצאים, Intel פרסמה עדכון קושחה למעבדים הפגיעים, וציינה כי החולשה נעוצה בבידוד לא תקין של משאבים משותפים, ועלולה לחשוף תוקפים למידע רגיש באמצעות מתן גישה מקומית.

בתוך כך, קבוצה נוספת של חוקרים חשפה חולשת ערוץ צדדי דומה (CVE-2021-46778, CVSS 7.5) במעבדי AMD מסוג Zen 2 ,Zen ו-Zen 3. החולשה, המצויה במגנון ריבוי הרבדים (SMT) של המעבד, מאפשרת למדוד ערכי שימוש (תפוסה) בתור מזדמן באמצעות בדיקת קריאות Interrupt, ובכך לחשוף מידע רגיש, כמו מפתחות הצפנה פרטיים. AMD טרם פרסמה עדכון קושחה לטיפול בחולשה והיא ממליצה למפתחי תוכנה על Best Practices, לרבות שימוש באלגוריתמים והימנעות מבקרת ״סוד״ המכילה תכנים רגישים, כל זאת על מנת להפחית את הסיכון לפגיעה.

צוות קונפידס ממליץ לבעלי המעבדים הרגישים להיכנס לאתרי היצרנים ולבצע את הפעולות המומלצות על ידיהם על מנת לסגור או להפחית את הסיכון להיפגע מהחולשות שנמצאו במוצרים.


חוקרי Eclypsium מצאו חולשות במטעני האתחול של Windows

החולשות שהתגלו משפיעות על עומסי אתחול ה-Bootloader של UEFI של 3 ספקי צד שלישי של Windows ושל ספקיות נוספות, והן עלולות להיות מנוצלות לעקיפת תכונת האתחול המאובטח במחשבים מבוססי Windows. אתחול מאובטח הוא חלק ממפרט UEFI שנועד להבטיח שרק קוד מהימן, שנחתם עם אישור ספציפי על של יוצר ה-Bootloader, יבוצע לשם פתיחה בתהליך האתחול של מערכת ההפעלה. החולשות שהתגלו עלולות לאפשר לתוקפים להריץ קוד זדוני על המערכת בשלב מוקדם מאוד, עוד לפני טעינת מערכת ההפעלה, ועל ידי כך להשיג גישה מתמדת למערכת, שלא ניתן להסירה גם על ידי התקנת מערכת ההפעלה מחדש. מה-CERT (צוות חירום לטיפול באירועי מחשב) של אוניברסיטת Carnegie Mellon נמסר שהקוד הזדוני עלול לחמוק ממערכות הגנה נפוצות, כמו EDR, וממנגנוני אבטחה המבוססים של מערכת ההפעלה. החוקרים מצאו ב-3 מאגרי האתחול הבאים של UEFI, שאושרו על ידי מיקרוסופט, חולשות שאפשרו לעקוף את תכונת האתחול המאובטח ולהפעיל קוד שאינו חתום:

  • New Horizon Datasys Inc: CVE-2022-34302 - bypass Secure Boot via custom installer

  • CryptoPro Secure Disk: CVE-2022-34301 - bypass Secure Boot via UEFI Shell execution

  • Eurosoft (UK) Ltd: CVE-2022-34303 - bypass Secure Boot via UEFI Shell execution 

בשיתוף עם שני הספקים האחרונים פרסמה מיקרוסופט עדכון אבטחה KB5012170 הנותן מענה לבעיה במטען האתחול שסופק, על ידי הוספת החתימות של מודולי UEFI הפגיעים הידועים ל-DBX.

היצרניות האמורות ממליצות לבדוק אם נעשה בארגון שימוש באחד ממטעני האתחול הפגיעים, ובמידה וכן - להתקין את העדכון האחרון שפרסם היצרן. אם לא פורסם עדכון רלוונטי, יש להמתין לפרסומו ולא להתקין עדכון ממקור שאינו רשמי. כמו כן, אין להתקין עדכון DBX לפני עדכון מטען האתחול, פן הדבר יוביל לקריסת המערכת.


עדכוני אבטחה של Apple נותנים מענה לשתי חולשות Zero-day שנמצאו במערכותיה

העדכונים רלוונטיים למכשירים iPhone ,iPad ולמחשבי Mac. החולשה הראשונה (CVE-2022-32894) שנסגרה בעדכון היא מסוג Out-of-bounds write ומצויה ב-Kernel של מערכת ההפעלה של Mac. החולשה עלולה לאפשר לתוקף להשתמש בהרשאות הגבוהות ביותר ולהריץ במכשיר כל קוד ונוזקה, לבחירתו. החולשה השנייה (CVE-2022-32893) שנסגרה גם היא מסוג Out-of-bounds write ומאפשרת את אותן פעולות זדוניות, אך מקורה ב-WebKit של מנועי דפדפנים מוכרים, כגון Safari ואפליקציות שונות בעלות גישה לרשת. רשימת המוצרים הפגיעים המלאה מצויה כאן.

צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.

ה-CISA מדווחת על ניצול חולשות ב-Zimbra Collaboration Suite

בהמשך לדיווח על 3 חולשות שהתווספו לאחרונה ל״קטלוג החולשות הידועות המנוצלות״ של הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) (ראו ״הסייבר״, 11.8.22), כעת מפרסם הארגון התראה נוספת וממוקדת בנוגע לממשק ה-Zimbra Collaboration, בה מדווח כי האקרים מנצלים באופן פעיל גרסאות לא מעודכנות של המוצר במגזר הממשלתי והפרטי כאחד. החולשות שזוהה ניצולן הן:

CVE-2022-24682, CVSS 6.1 - חולשה ברמת חומרה בינונית מסוג XSS, המשפיעה על לקוחות שירות ה-Webmail של ZCS ועלולה לאפשר לתוקף להריץ קוד JavaScript בצד הלקוח של המשתמש לשם גניבת עוגיות.

CVE-2022-27924, CVSS 7.5 - חולשה ברמת חומרה גבוהה, העלולה לאפשר לתוקף שאינו מאומת להזריק פקודות אל הזיכרון המוטמן של שרתים פגיעים ולשכתב את הנקודות שמפנות אליו. הדבר מאפשר השגת פרטי אימות לחשבונות בהם לא מוגדר שירות אימות דו-שלבי (2FA).

CVE-2022-27925, CVSS 7.2 ו-CVE-2022-37042, CVSS 9.8 - חולשה ברמת חומרה גבוהה וחולשה קריטית ששילובן יחדיו עלול לאפשר לתוקף מאומת להעלות קבצים באופן שרירותי וליצור דלת למעבר בין ספריות.

CVE-2022-30333, CVSS 7.5 - חולשה ברמת חומרה גבוהה מסוג מעבר בין ספריות, המצויה בשירותים Rarlab ו-UnRAR על מערכות מבוססות Linux, ועלולה לאפשר לתוקף לכתוב קבצים בעת חילוץ שנעשה על ידי אחד משני השירותים הללו. לשם כך, התוקף שולח מייל המכיל קובץ RAR זדוני מחולץ וכותב אותו אל השרת. באמצעות מעבר בין ספריות, הדבר מאפשר לתוקף להריץ את הקובץ על ידי השרת.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם על פי הוראות היצרן.

התקפות ואיומים

קבוצת ההאקרים הסינית (Iron Tiger (APT27 הצליחה לגשת למכשירים מבוססי Linux ו-macOS בטאיוואן ובפליפינים באמצעות האפליקציה הסינית MiMi

MiMi הינה אפליקציית הודעות למשתמשים סיניים, המונגשת לנייד ולמחשב ומתאימה למערכות ההפעלה Windows ,macOS ,Android ו-iOS. קבוצת Iron Tiger, אשר לראשונה, כך נראה, מתמקדת במכשירים המבוססים על macOS, הצליחה לחדור לשרת המכיל קובצי הורדה לגיטימיים של האפליקציה ולזווד לקובץ ההורדה המקורי שני קבצים זדוניים נוספים, HyperBro ו-Mach-O (או rshell), המאפשרים גניבת מידע וביצוע פקודות זדוניות במכשירים המבוססים על מערכות ההפעלה Linux ,macOS ו-Windows, ועם כל הורדה מעניקים לתוקפים יכולת לגישה מלאה למכשיר הקורבן. 

לאחר הורדת והתקנת האפליקציה, היא מתקינה קובץ זדוני נוסף, בהתאם למערכת ההפעלה; HyperBro ל-Windows ו-rshell ל-macOS ול-Linux, כל זאת על בסיס הרכיב electronJs, המאפשר למפתחים ליצור אפליקציות שונות ולהפיצן רוחבית, לכלל מערכות ההפעלה. כשעה וחצי לאחר הורדת האפליקציה, התוקפים עורכים את הקובץ electron-main.js ומוסיפים לו קוד המבצע הורדה של קובץ DLL ושל קובץ בינארי נוסף, המאפשרים אחיזה במכשיר הקורבן. יצויין כי אותה שיטה זוהתה באפריל 2021 לתקיפת ארגונים בתעשיית ההימורים. לפי דוח של חברת Trend Micro, לא נמצאו ראיות המעידות על שינויים בקובץ ההתקנה של Windows, על אף שהקבוצה ניסתה להשיג גישה גם למערכת הפעלה זו. עד כה זוהו 13 יעדים שונים של התקיפה בשתי מדינות, טאיוואן והפיליפינים.

רוגלת ה-Android הפופולרית SOVA חוזרת בגרסה מחודשת בעלת יכולות כופרה

דוח חדש של חברת Cleafy חושף כי רוגלת הבנקאות, שנצפתה לראשונה בספטמבר 2021, מציגה בגרסתה החדשה, v5, יכולות מעודכנות ומדאיגות. בין היתר, הרוגלה, שבעבר ״תמכה״ בכ-60 אפליקציות במכשיר הקורבן, הרחיבה את הרשימה לכ-200 אפליקציות, דבר אשר בא לידי ביטוי במידע שהיא מסוגלת לגנוב מהן. ואולם, היישומון אליו מפנה SOVA את מרבית משאביה הוא אפליקציית בורסת הקריפטו Binance, ממנה היא מסוגלת לשאוב, למשל, את סכום הכסף שנמצא בחשבון, את היסטוריית הפעולות של המשתמש באפליקציה ואף את ה-Seed phrase המשמש לגישה אל הארנק ביישומון. זאת ועוד, ליכולותיה המדאיגות של הגרסה הקודמת, v4, בהן שליטה מרחוק על מכשיר הקורבן, קבלת צילומי מסך ו-וידאו, גניבת עוגיות משלל אפליקציות רגישות, כמו Gmail ו-GPay, ו״התגוננות״ מפני ניסיונות מחיקה של הקורבן, מתווספת בגרסת v5 גם הצפנת קבצים על מכשיר הקורבן. למרות שנראה כי יכולת זו מצויה עדיין בשלבי פיתוח, מהניתוח של Cleafy, עולה כי הרוגלה-כופרה נועדה להצפין את קובצי הקורבן באמצעות אלגוריתם ה-AES והוספת הסיומת "enc." לקבצים שהוצפנו. יכולות כופרה ברוגלות למכשירים ניידים אינן דבר שכיח, אך מכיוון שמרבית המשתמשים שומרים את כלל המידע הרגיש שלהם על מכשיריהם הניידים, סביר שהדבר יהפוך פופולרי יותר בעתיד.

צוות קונפידס ממליץ להימנע מלהוריד אפליקציות שאינן מוכרות או מספק שאינו מוכר.

חוקרי Cyble: עלייה בכמות ניסיונות הניצול של VNCs

לפי החוקרים, האקרים מנסים לנצל (VNCs (Virtual Network Computing החשופים לאינטרנט ואינם דורשים אימות. VNC משמש לשליטה מרחוק על מערכות, ולמרות שחוקרי Cyble הסבירו בעבר את החסרונות שבהקמת VNC החשוף לאינטרנט, נמצא שעדיין קיימים יותר מ-8000 VNCs חשופים, שניתן להתחבר אליהם ללא אימות, בעיקר בסין (1,555), בשוודיה (1,506) ובארצות הברית (835). מניתוח מידע שהתקבל מ-Cyble Global Sensor Intelligence, הסיקו החוקרים שקיימת עלייה בכמות התקיפות בפורט 5900 - פורט ברירת המחדל ל-VNC, וכי מקורן של רוב המתקפות הוא בהולנד, ברוסיה ובאוקראינה. באחד המקרים, האקר המכונה Spielerkid89 הצליח להתחבר באמצעות שימוש ב-VNC למחשב של עובד במשרד הבריאות הרוסי באזור אומסק, כל זאת ללא דרישה לסיסמה או לפרטי אימות אחרים, ולגשת לשמות של אנשים, למסמכים פיננסיים ולכתובות IP נוספות, שהובילו למחשבים אחרים באותה הרשת.

מכיוון שבכל תקיפת סייבר הפעולה הראשונית היא מציאת נקודה חולשה שתאפשר כניסה למערכת, ארגון המשאיר VNC חשוף מגדיל את הסיכוי לתקיפה מוצלחת שלו. עוד מצאו חוקרי Cyble שמידע אודות VNCs הפתוחים לעולם נמצא לעיתים תכופות בפורומים ומוצע למכירה על ידי האקרים, ולמרות שכמות ה-VNCs החשופים נמוכה לעומת שנים קודמות, קיימים VNCs פתוחים בארגונים המוגדרים כבעלי תשתית קריטית, כגון מפעלי טיהור מים. כמו כן, החוקרים מצאו VNC חשוף במערכות SCADA, שהינן שילוב של תוכנה וחומרה המאפשרות אוטומציה של תהליכים תעשייתיים על ידי ניטור מידע המגיע ממערכות הטכנולוגיה התפעוליות (Operational Technology, או OT). שליטה מרחוק על מערכות IT/OT הפכה נפוצה במיוחד במהלך תקופת הקורונה ומדיניות העבודה מרחוק שנלוותה לה. בין ההמלצות שפורסמו על ידי Cyble להתגוננות מפני תקיפות עקב VNC חשוף (רשימת ההמלצות המלאה מצויה כאן):

להפעיל הגנת Firewall על נכסי IT/OT קריטיים בארגון.

לצמצם את חשיפת ה-VNC לאינטרנט.

להחיל בארגון מדיניות של סיסמאות חזקות.

להחיל אימות בעת התחברות ל-VNC.

להפעיל בקרת גישה למערכות בארגון. 

באג בסמארטפונים של Xiaomi אפשר זיוף תשלומים ועסקאות מהנייד

חוקרי Check Point חשפו בשבוע שעבר בכנס ה-DEF CON כי פגם בסמארטפון של Xiaomi, יצרנית הטלפונים הסלולריים השלישית בגודלה בעולם, עלול היה לאפשר להאקרים לחטוף את מערכת התשלום של הנייד ולהשבית אותה, או ליצור ולחתום על עסקאות מזויפות, כל זאת בהתבסס על אפליקציות Android חסרות הרשאות. לדברי החוקר סלבה מקבייב, הפגיעות נעוצה באוסף חולשות שהתגלו במכשירים. מכיוון ש-1 מכל 7 טלפונים סלולריים בעולם הוא מתוצרת Xiaomi, מדובר במאגר עצום של קורבנות פוטנציאליים. לשם הוכחת טענותיהם, פרצו החוקרים לאפליקציית WeChat Pay, המשמשת לביצוע תשלומים עסקאות מקוונות בנייד וכארנק דיגיטלי, ונמצאת בשימוש בקרב יותר מ-300 מיליון משתמשי Android ברחבי העולם. בשעה זו לא ברור כמה זמן הפגיעות קיימת או אם נוצלה על ידי תוקפים בפועל, אך הבאג (CVE-2020-14125) תוקן על ידי Xiaomi בחודש יוני וקיבל ציון חומרה (CVSS) גבוה.

עוד עולה מן המחקר כי בעיית הליבה בניידים של Xiaomi היתה שיטת התשלום ורכיב סביבת הביצוע המהימנה שלהם (Trusted Execution Environment, או TEE). ה-TEE הוא הרכיב האחראי על עיבוד ואחסון מידע אבטחתי רגיש במיוחד, כגון טביעות אצבע ומפתחות הצפנה המשמשים לחתימה על עסקאות. ללא התקנת העדכון שפורסם על ידי החברה, תוקף יוכל להוציא אל הפועל את המתקפות הבאות:

  • באמצעות אפליקציית Android ללא הרשאות: המשתמש מתקין אפליקציה זדונית ומפעיל אותה, והאפליקציה מחלצת את המפתחות ושולחת למשתמש חבילת תשלום מזויפת, על מנת לגנוב את הכסף שיועבר. דוגמה לכך היא גניבת מפתחות פרטיים ששימשו לחתימה על חבילות שליטה ותשלום של WeChat Pay, כפי שביצעו החוקרים.

  • באמצעות מכשיר פגיע המצוי ברשות התוקפים: הגורם הזדוני משיג הרשאות Root במכשיר (ההרשאות הגבוהות ביותר), ולאחר מכן משנמך את גרסת ה-TEE לגרסתה הפגיעה ומריץ קוד ליצירת חבילת תשלום מזויפת ללא אפליקציה.

צוות קונפידס ממליץ למשתמשים בסמארטפונים של Xiaomi להתגונן מפני הפגיעות על ידי הטמעת עדכון האבטחה האחרון שפורסם.


מיקרוסופט מזהירה מפני קמפיין פישינג רוסי שנועד למטרות ריגול אחר ארגונים

במאמר שפרסם MSTIC, צוות מחקר האבטחה של מיקרוסופט, נחשף כי קבוצת התקיפה הרוסית SEABORGIUM, אחריה עוקבת מיקרוסופט מאז 2017, מפעילה קמפיין פישינג שמתמקד במשתמשי שירות המייל שלה וכולל דיוג מתמיד וגניבת פרטי הזדהות לצורך פריצה לארגונים וגניבת מידע. על סמך אופי המידע שנגנב, נראה שמטרתה לרגל אחר ארגונים, ושהיא אינה מונעת מאינטרס כלכלי. בטרם התקיפה, SEABORGIUM נוטה לבצע מעקב ומחקר על מטרותיה, בכדי לזהות קשרים לגיטימיים שהן מקיימות, כל זאת תוך שימוש ברשתות חברתיות וב-OSINT. בשלב הבא התוקפים פותחים חשבון מייל חדש תחת ספק המיילים של הקורבן, עם כתובת שתואמת, למשל, את שמו של שותף לגיטימי של הקורבן, ולאחר מכן נוצר הקשר עם המטרה. לרוב, ההודעה הראשונית ששולחת הקבוצה היא ״בטוחה״, וכוללת שיחת חולין בה משולב פרט אישי אודות הקורבן, כגון תחביב. במידה והקורבן משיב להודעה, נשלח אליו מייל המכיל בגופו, באופן ישיר, קישור זדוני, אם כי לעתים נעשה שימוש בשירות של קיצור URL והפניות מחדש, על מנת להחביא את הכתובת מהקורבן. המיילים הזדוניים משתנים ונעים מהתכתבות מזויפת עם מנהל בחברה המכילה היפר-קישור, ועד למיילים המחקים כאלה שנשלחו מתוכנות או משירותים שונים. זאת ועוד, צוות MSTIC הבחין בעלייה בכמות הצרופות המחקות כאלה שנשלחו, כביכול, משירות אחסון קבצים, כגון OneDrive. ככל הנראה, SEABORGIUM מנצלת את OneDrive לאחסון קובצי PDF המכילים קישור זדוני, דבר שאינו מייצר התראת אבטחה. כך או כך, ללא קשר לאמצעי בו מועבר הקישור הזדוני, ברגע שהקורבן לוחץ עליו הוא מופנה לשרת שנשלט על ידי התוקף וכולל תשתית לביצוע פישינג, לרוב EvilGinx. בשלב זה הקורבן מופנה לאתר בו מופיע דף שמתחזה לדף של ספק לגיטימי של הקורבן, ובו דרישה להזנת פרטי כניסה.

מיקרוסופט ממליצה למשתמשיה לבצע את הפעולות הבאות על מנת להימנע מליפול קורבן למתקפה מסוג זה:

  1. לוודא שהגדרות סינון המיילים כוללות חסימה של מיילים עם נוזקה ומיילים המתחזים לכאלה המגיעים משולח אחר (Spoofed emails).

  2. להגדיר את ה-365 כך שהפניית המיילים האוטומטית תבוטל.

  3. לבדוק שמזהי התקיפה (IOCs) מוזנים במערכת המיילים.

  4. להחיל אימות דו-שלבי (2FA) על המשתמשים.


PyPI כפלטפורמה להנגשת ספריות קוד זדוניות

לאחרונה זוהו חבילות קוד זדוניות ב-PyPI, פלטפורמת צד שלישי רשמית של Python המאפשרת העלאה ושיתוף של חבילות קוד. במקרה הראשון, צוות המחקר של Checkmarx זיהה כי משתמש בשם devfather777 העלה 12 ספריות שונות עם שמות המחקים את אלה של ספריות Python פופולריות. עם הרצת הספריות המתחזות, הן מוודאות כי מערכת ההפעלה הינה Windows, ובהינתן תשובה חיובית - הן מורידות ממאגרי GitHub את הקובץ הזדוני test.exe, שקיבל את הציון 11 מתוך 69 במנוע החיפוש VirusTotal. הקובץ מותקן על מכשיר הקורבן ומבסס אחיזה במערכת על ידי שמירת עותק של קובץ ההתקנה בתיקיית ה-Startup, כדי שלא יימחק לאחר אתחול המכשיר. בשלב הבא מתבצעת העלאת הרשאות לכדי משתמש Root. מטרתן של כל הפעולות הללו היא לבצע מתקפת מניעת שירות (DDoS) נגד השרת של Counter-Strike 1.6, משחק יריות פופולרי מרוסיה. 

במקרה נוסף שתועד נצפתה כרייה של מטבע הקריפטו Monero. ספרייה זדונית בשם secretslib, המתוארת כ״ספרייה המקלה על אימות הרשאות״, מריצה כורה של מטבעות Monero מתוך זיכרון ה-RAM של עמדת ה-Linux של הקורבן. המשתמש שהעלה את secretslib עשה זאת תוך התחזות למהנדס תוכנה העובד במשרד האנרגיה האמריקאי, על מנת לנסוך בקובץ אמינות, בעוד שבפועל הספרייה מכילה קוד המבצע הורדה של קובץ זדוני (ELF) המכונה tox, שמותקן על מכשיר הקורבן בהרשאות sudo, ומיד לאחר מכן מוחק את עצמו, על מנת שלא להשאיר עקבות. נכון לכתיבת שורות אלה, בסריקה של VirusTotal קיבל הקובץ ציון של 0 מתוך 62. עוד ניתן לראות ב-VirusTotal ש-toe.exe מוריד קובץ ELF נוסף לזכרון המערכת memfd, שהוא כורה המטבעות. לאחר שאנליסטים של חברת Sonatype זיהו את המשתמש ואת הקבצים הזדוניים, הם פנו לחברה בארצות הברית בה הוא עובד על מנת לברר אם אכן פרסמה את הספריות מטעמה, ונענו בשלילה.

נכון לעכשיו, שתי הספריות הזדוניות הוסרו מהפלטפורמה הלגיטימית.

השבוע בכופרה

ה-CISA וה-FBI פרסמו ייעוץ אבטחה משותף אודות הכופרה Zeppelin

Zeppelin הינה ״כופרה כשירות״ (Ransomware-as-a-Service, או RaaS), אשר שייכת למשפחת הנוזקות Vega, המבוססת Delphi. מ-2019 משמשת Zeppelin לתקיפת עסקים וארגונים של תשתיות קריטיות מגוונות, כגון חברות טכנולוגיה, ארגונים במגזרי הביטחון והתעשייה ומוסדות חינוך, עם התמקדות בתעשיית הבריאות והרפואה.. 

על מנת לגשת לרשתות הקורבנות, Zeppelin מנצלת את ה-RDP או חולשה במערכת חומת האש של SonicWall, או מבצעת קמפיין פישינג. לאחר שהתוקפים אוספים נתונים מרשת הקורבן משך שבוע עד שבועיים, הם מדליפים ממנה מידע רגיש, אותו ניתן למכור או לפרסם במידה והקורבן יחליט שלא לשלם את הכופר. לקבצים המוצפנים נוסף כסיומת מספר הקסדצימלי אקראי בן 9 ספרות, למשל filename.txt.txt.C59-E0C-929, ובמקרים מסוימים התוקפים מפעילים את התוכנה פעמים רבות, על מנת ליצור לקבצים כמה סוגי סיומות, שכל אחד מהם דורש מפתח פיענוח אחר. לרוב, הודעת הכופרה נשמרת ב-Notepad על שולחן העבודה (ראו תמונה להלן). הייעוץ שפורסם כעת על ידי הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) ולשכת החקירות הפדרלית (FBI) הינו חלק ממאמץ מתמשך של יוזמת StopRansomware#, והוא כולל מזהי תקיפה (IOCs), המלצות התגוננות ומידע מפורט על גרסאות הכופרה, כפי שעלה מחקירות ה-FBI ביוני האחרון.

צוות קונפידס ממליץ להטמיע את מזהי התקיפה, להשתמש בסיסמאות חזקות, להטמיע אימות דו-שלבי (2FA), לבצע גיבויים באופן תדיר, לעדכן מערכות באופן שוטף, להשתמש במנהל סיסמאות ולהגביר את מודעותם של עובדי ארגונים לאיומים במרחב הסייבר, תוך תרגול התמודדות עם האיומים הרלוונטיים לארגון.

 

 

 

 

 

 

 

 

 

(מקור: CISA, 11.8.22)


ארגנטינה: הרשות השופטת בעיר קורדובה חווה מתקפת כופרה

הרשות חזרה לעבודה באמצעות עט ונייר, לאחר שאולצה לסגור את מערכות ה-IT ואת הפורטל המקוון שלה עקב תקיפתה של הכופרה החדשה PLAY. בניגוד לכופרות אחרות, השותלות הודעות כופר ארוכות, PLAY, שנראתה לראשונה ביוני 2022, משאירה הודעות פשוטות ביותר, המכילות את אך ורק את המילה ״PLAY״ וכתובת מייל ליצירת קשר. על מנת לחקור את המתקפה, הרשויות בארגנטינה פנו לחברות מיקרוסופט, Cisco ו-Trend Micro ולמומחים מקומיים. נכון לשעה זאת טרם פורסמו פרטי המתקפה והחדירה לרשת הארגון, ואין אינדיקציה לדליפת מידע רגיש. זו אינה הפעם הראשונה שסוכנות ממשלתית בארגנטינה סובלת ממתקפה מסוג זה, כאשר בספטמבר 2020 קבוצת הכופרה Netwalker תקפה את משרד ההגירה הארגנטינאי ודרשה כופר בסך 4 מיליון דולר (ראו ״הסייבר״, 10.9.20).

מחלקת המדינה של ארצות הברית מגבירה את מאמציה למציאת חמשת חברי קבוצת הכופרה Conti וחושפת את תמונתו של אחד מהם

כנופיית הכופרה המפורסמת, הפועלת מרוסיה ועובדת על פי מודל ה״כופרה כשירות״ (Ransomware-as-a-Service, או RaaS), אחראית לפגיעה ביותר מ-1,000 ארגונים ועד כה שלשלה לכיסה דמי כופר בשווי של כ-150 מיליון דולר. הודעתה של מחלקת המדינה בדבר הגברת המאמצים ללכידת חברי הקבוצה מגיעה לאחר שבחודש מאי פרסמה הצהרה בה מוצע תשלום של עד 10 מיליון דולר עבור מידע אודות בכירי Conti (ראו ״הסייבר״, 12.5.22). בהודעה העדכנית שפורסמה כעת נחשפת לראשונה תמונתו של אחד המבוקשים במטרה לגלות את שמו, לצד התייחסויות לארבעת חברי הקבוצה הנותרים בכינויים שהוענקו להם, על מנת לקבל מהציבור מידע שיוביל לזיהויים או למיקומם. עוד חותרת ממשלת ארצות הברית להשגת מידע בנוגע לכנופיות הסייבר TrickBot ו-Wizard Spider, המשתפות פעולה עם Conti. על אף שבמאי השנה Conti התפצלה לקבוצות קטנות יותר, פעיליה עדיין ממשיכים לפרוץ לארגונים, לגנוב מידע ולדרוש כופר.

שיבושים קשים בשירותי הבריאות באנגליה (NHS 111) כתוצאה ממתקפת הכופרה על ספקית התוכנה Advanced 

בהמשך לדיווח על תקיפתה של חברת Advanced, המספקת שירותים לשירות הבריאות הלאומי הבריטי (NHS) (ראו ״הסייבר״, 11.8.22), החברה אישרה כי מדובר במתקפת כופרה שבוצעה על ידי גורם שזהותו אינה ידועה. על פי מסמכים פנימיים, נראה שהמתקפה פגעה בפעילותם של מספר שירותים חיוניים במערכת ה-NHS, בהם ניהול הקריאות הטלפוניות, מוסדות לבריאות הנפש ושירותים המספקים טיפול רפואי ראשוני, המשתמשים בשירותיה של Advanced. במייל ששלח מנכ״ל ה-NHS באוקספורד לעובדיו נכתב כי עשויים לחלוף יותר משלושה שבועות בטרם ישוב הארגון לפעילות שגרתית. מכיוון שהמתקפה כפתה על הארגון מעבר לתיעוד ידני של פעילותו, יידרש מאמץ רב להזנת כל המידע שהתקבל בזמן התקיפה, לאחר שההשבתה תגיע לכדי סיום. תקיפה זו מהווה אחת מני רבות הפוקדות ארגוני בריאות ברחבי העולם, כאשר מספרן של התקיפות במגזר עלה ב-90% ברבעון השני של 2022 בהשוואה לרבעון הראשון. בתוך כך, חברת Advanced טוענת כי רק 2% מכלל תשתיותיה נפגעו, וכי היא עובדת עם צוותי פורנזיקה ו-IR להכלת ובדיקת האירוע. בהצהרה שפרסמה ב-10 באוגוסט נאמר כי טרם התברר במלואו וקטור התקיפה, וכי עדיין נבדק אם נחשף מידע אישי של לקוחות. עוד פרסמה החברה עדכוני אבטחה למוצריה.

ספק מים מרכזי בבריטניה סופג מתקפת כופרה

South Staffordshire Water, המספקת 330 מיליון ליטר מי שתייה ל-1.6 מיליון צרכנים מדי יום, אישרה כי היא חווה שיבושי IT כתוצאה ממתקפת סייבר, אך הוסיפה כי מערכות הבטיחות וחלוקת המים שלה פועלות כסדרן, וכי לא נפגעה אספקת המים ללקוחותיה לחברות הבת שלה, Cambridge Water ו-South Staffs Water. במקביל, קבוצת התקיפה Clop טוענת כי תקפה את Thames Water, ספקית המים והטיפול בשפכים הגדולה בבריטניה, המשרתת את לונדון והאזורים שסביב נהר התמזה. לטענת Clop, היא השיגה גישה למערכות ה-SCADA של החברה, אך בחרה לנהוג באחריות ובמקום להצפין אותן הסתפקה בגניבת מידע רגיש, לרבות פרטי דרכונים, רשיונות נהיגה ותצלומי מסך ממערכות ה-SCADA. ואולם, חברת Thames Water דחתה את הטענות והצהירה כי דיווחיה של Clop הם בגדר "מתיחת סייבר", וכי החברה פועלת כסדרה. מהדברים עולה החשד שקבוצת התקיפה טעתה בזיהוי הקורבן, או שלחילופין בחרה לנסות ולסחוט חברה גדולה יותר באמצעות ראיות מזויפות. המתקפה מגיעה על רקע בצורת קשה שחווה בריטניה, כאשר על שמונה אזורים במדינה מוטלת מדיניות של הקצבת מים. 

ארה״ב: מרכז רפואי שילם לעובדיו משכורות מנופחות עקב מתקפת כופרה על גורם בשרשרת האספקה; הטעות הסתכמה בכ-2 מיליון דולר

במהלך נובמבר האחרון חוותה קבוצת UKG, המספקת פלטפורמה לניהול משכורות וכוח אדם, מתקפת כופרה על שרתיה, דבר שאילץ את לקוחות החברה בארצות הברית לעבור לעבודה ידנית עד לסיום האירוע. כעת, חודשים לאחר מכן, התברר שעקב התקרית המרכז הרפואי St. Charles שבמדינת אורגון העביר לעובדיו כ-2 מיליון דולר במצטבר שנוספו למשכורותיהם בשוגג, 100-3,000 דולר עובד. אי לכך, המוסד ביקש מעובדיו שיחזירו את הפרשי השכר, ואולם חלקם טענו שלא קיבלו על כך שום הודעה מוקדמת וכי הבקשה הפתאומית אינה כוללת הוכחות להתרחשותו של תשלום עודף. האירוע מצטרף לסדרת קשיים שחווה המרכז הרפואי, לאחר שבחודש יולי הפסיד כ-40 מיליון דולר ופיטר כ-100 עובדים, במה שכינה תחילה ״משבר״, אך לאחר מכן חזר בו מהגדרה זו.

המלחמה במזרח אירופה

 

 אתר התאגיד האוקראיני האחראי על התחנות הגרעיניות במדינה הותקף במתקפת מניעת שירות (DDoS) על ידי ״צבא הסייבר העממי״ של רוסיה

בהודעה שפורסמה בערוץ הטלגרם הרשמי של Energoatom, הגוף הממשלתי האחראי על 4 תחנות הכוח הגרעיניות באוקראינה, נכתב כי עמוד האינטרנט שלו ״היה נתון למתקפה הגדולה ביותר שחווה מאז תחילת המלחמה באוקראינה״, ואשר כללה שימוש ביותר מ-7.2 מיליון בוטים, שדימו פעילות של משתמשים באתר במשך שלוש שעות״. נכון לשעה זו נראה שהאתר פועל כסדרו, ושלא נגרם נזק מלבד מניעת הגישה לאתר בזמן המתקפה. 

סייבר בעולם

 
 

התגלתה חולשת חומרה בר שת לווייני ה-Starlink של אילון מאסק

לנרט ואוטרס, חוקר אבטחת מידע מהאוניברסיטה הבלגית KU Leuven, חשף ברשת הלוויינים חולשת חומרה המאפשרת הרצת קוד על טרמינל המשתמש באמצעות צלחת לוויין ״מטופלת״, לשם קבלת גישה לא מורשית. ואוטרס פירק צלחת לוויין ויצר כלי פריצה פיזי אותו חיבר ישירות ללוח האם שלה, כל זאת באמצעות רכיבים אלקטרוניים נפוצים שעלותם הכוללת היא 25 דולר, לרבות לוח אלקטרוני המכונה Modchip. בכך עלה בידיו של ואוטרס לבצע מתקפת Fault Injection על ידי גרימת קצר זמני ומתוזמן בקפידה במערכת. הקצר נוצר באמצעות ניתוק זמני של קבלי הצלחת והחזרתם לפעולה, מה שאיפשר מעקף של מערכות ההגנה (Secure boot) הבודקות חתימה קריפטוגרפית לאימות ולהפעלת המערכת. בכך קיבל ואוטרס גישה לרכיבי מערכת נעולים ולתוכנת הצלחת ותקף את טוען המערכת הראשוני, ה-ROM Bootloader, שאינו ניתן לעדכון, ואשר העניק לו שליטה על הצלחת. את כלי התקיפה שיצר פרסם ב-GitHub, לרבות חלק מהפרטים הטכניים של ייצור ה-Modchip . עם זאת, ואוטרס אינו מספק מידע שלם אודות הרכיב, אך הוא מסביר שהדרך הקלה ביותר לפגוע בלוויין עצמו היא דרך הצלחות. Starlink, שעודכנה בחולשות שנמצאו, פרסמה עדכוני קושחה, שלטענת ואוטרס אכן מקשים על ביצוע המתקפה, אך היא עדיין אפשרית באמצעות שינוי של ה-Modchip. לדבריו, הבעיה איננה ניתנת לתיקון, ועד שיוחלפו לוחות האם של הצלחות - כולן פגיעות.

בידיעון שפרסמה Starlink בתגובה, מופיע פירוט על מערכות ההגנה, ארכיטקטורת הרשת ותוכנית ה-Bug Bounty של החברה, אשר מזמינה חוקרים מרחבי העולם לגלות חולשות במערכותיה. על פי הידיעון, מכיוון שצלחות הלוויין נמכרות לקהל הרחב, אין לחברה שליטה על שימוש לרעה שנעשה באמצעותן, אך ה-Secure boot הוא חלק חשוב ממערך ההגנה של המערכת, מכיוון שהוא מספק הגנה מפני תקיפות מרחוק דרך הרשת. זאת ועוד, מתבצעים דרך קבע עדכוני תוכנה למוצר, הנותנים מענה לחולשות ומשפרים את ההגנה עליו. עוד נכתב כי בכל צלחת קיים רכיב זיהוי המזכיר את פעולתו של כרטיס SIM בטלפונים חכמים, ומשתמש בהצפנה עם מפתחות פומביים, תעודות חתומות דיגטלית ואמצעי זיהוי המוטמעים בחומרה, אשר מאפשרים לחברה לזהות התנהגות זדונית באמצעות צלחות ולנתק את השירות עבור המשתמש. החברה אף ציינה שבכל רכיבי המערכת מוגדרות ההרשאות הנמוכות ביותר המאפשרות את פעילותם התקינה, כך שבמידה ורכיב נחשף לתוקפים, תהיה לדבר השפעה קטנה על הסביבה. זאת ועוד, התקשורת דרך הלוויינים מוצפנת, ולא מתאפשרת תקשורת בין טרמינלים. Starlink מבטיחה למשתמשי הקצה שלה שהם אינם נדרשים לבצע כל פעולה מיוחדת ושלא נשקפת להם סכנת חשיפת מידע או הפרעה בשירות עקב גילוי אפשרות התקיפה.

בריטניה מגדירה אסטרטגיית הגנה ימית חדשה להתמודדות עם איומים פיזיים ובמרחב הסייבר 

ב-15 באוגוסט חשף שר התחבורה הבריטי גרנט שאפס את אסטרטגיית 5 השנים לאבטחה ימית של מדינתו ואת העקרונות המנחים את ממשלת בריטניה לניהול איומים וסיכונים במדינה עצמה וברחבי העולם. האסטרטגיה מגדירה מחדש את הביטחון הימי כשמירה על חוקים, תקנות ונורמות במטרה לספק תחום ימי חופשי, הוגן ופתוח. במקביל, לשיפור הידע אודות האבטחה הימית של בריטניה, הקימה הממשלה את המרכז הבריטי למיפוי קרקעית הים (UK CSM). לצד ההגנה על הנכסים הפיזיים של המגזר הימי בבריטניה, האסטרטגיה מתייחסת להמשך התמיכה הממשלתית בבניית חוסנו של המגזר נוכח מגוון איומי סייבר, לרבות ריגול סייבר, פשיעת סייבר וכופרות. המגזר הימי בבריטניה כבר רושם התקדמות טכנולוגית רבה בכל הנוגע לניהול נמלים, לוגיסטיקה ושרשראות האספקה, וכן הושקו בו רשתות 5G ונבחן הנושא של שילוח אוטונומי. ואולם על פי האמור במסמך האסטרטגיה, כתוצאה מהעלייה העולמית בתקריות הכופרה, גם המגזר הימי חש בגידול, ומצריך שיפורים בהבנת האיום ובנקיטת שיטות להפחתת השפעתו.

קבוצת האקרים הצליחה להשתלט על לוויין מסחרי מושבת ושידרה באמצעותו סרטים

במהלך ועידת ההאקרים DEF CON, שהתקיימה בלאס וגאס, סיפר קארל קושר, חבר בקבוצת ההאקרים Shadytel, על האופן בו הצליחו הוא וחבריו לפרוץ ללווין המסחרי Anik F1R, המצוי במרחק 35,786 ק״מ מכדור הארץ והוגדר כ״לוויין מושבת״, עם הגיע לסוף דרכו ב-2020. הלוויין יועד להגיע ב-2021 ל״בית הקברות של הלוויינים״, השוכן בחלל, ואולם עד אז יכול היה להשתמש בו כל מי שהשיג אליו גישה. לדברי קושר, הוא וחבריו הצליחו לגשת למתקן Uplink שאינו בשימוש (תוסף לחומרה הנדרשת לחיבור ללוויין), דבר שאפשר להם לשדר אותות ללוויין שהוצא משימוש. עוד אמר כי היה ברשותם רישיון לשימוש ב-Uplink, וכי הם שכרו משדר לוויינים, שהינו יחידה הפותחת ערוץ תקשורת בין האנטנות הקולטות והמשדרות. עם האמצעים הללו ברשותם, כל שהיה חסר ל-Shadytel הוא Hack RF, רדיו מוגדר תוכנה, שעלותו כ-300 דולר. לאחר שרכשו כזה והשתלטו על הלוויין, הם שידרו את שיחות כנס ההאקינג ToorCon, שהתקיים בשנה שעברה בסן דייגו, ובמהלך אותו לילה אף הזרימו דרך הלוויין סרטי האקרים קלאסיים, כמו WarGames. לטענת קושר, הרצאתו הדגימה מה ניתן לבצע כששולטים בלוויין, בין אם באמצעות גישה למתקן Uplink ובין אם בונים כזה באופן עצמאי. לדבריו, "לוויינים רק משקפים כל אות שנשלח אליהם. אין שום אימות או משהו מעין זה. אם אתה קולני מספיק, ואם יש עוד משתמש על אותו משדר, עליך רק לצעוק חזק יותר ממנו. אבל אם אין שם איש, [הלוויין] פשוט יחזור על זה".

סייבר בישראל

 

קבוצת תקיפה פרו-פלסטינית תוקפת אתרים של הקהילה הדתית-חרדית

הקבוצה, המכונה AMC239, פירסמה בעמוד הטלגרם שלה שב-11 באוגוסט בלילה פרצה לאתר tehillim-center.co.il, דבר אשר מנע גישה אל האתר משך כמה שעות. עוד לדברי הקבוצה עלה בידה לפרוץ לאפליקציית ההכרויות "7 ברכות" של הקהילה החרדית, ולגנוב את מסד הנתונים שלה, הכולל התכתבויות ומידע אישי על משתמשי האפליקציה, תמונות שהועלו על ידיהם ואף היסטוריית הודעות שנמחקו. בפרסום בטלגרם כתבו התוקפים: ״כעת מסד הנתונים שלנו הושלם כמו מחסן הטילים שלנו. אנו נשמור את המידע הזה עד להודעה חדשה, אך אם תעשו טעות, נחשוף אותו״. ככל הנראה, התקיפה בוצעה בתגובה למבצע הצבאי האחרון של ישראל בעזה, ״שחר עולה״, כאשר לדברי מיי ברוקס-קמפלר, מומחית סייבר ומייסדת קהילת הפייסבוק "בטוחים אונליין", החשש העיקרי הוא מהדלפת תכתובות רגישות, בהינתן פלח האוכלוסייה שהפלטפורמה משרתת.

Mandiant חושפת מידע אודות קבוצת התקיפה UNC3890 שככל הנראה מקורה באיראן 

ממעקב אחר הקבוצה שערכה בשנה האחרונה חברת אבטחת המידע, עולה שהיא התמקדה בתקיפת ארגוני ממשל, בריאות, אנרגיה וספנות ישראליים, כמו גם בחברות גלובליות שונות, כל זאת באמצעות שימוש בהנדסה חברתית ובהתקפת ״בור מים״ (Watering hole). לדברי Mandiant, התקפת בור המים הייתה מכוונת לסקטור הספנות הישראלי, בדגש על גופים העוסקים בטיפול ושילוח של מטענים מסוכנים בעלי רגישות לחום, והתבססה על דף התחברות של חברת שילוח ישראלית, שככל הנראה נפרץ על ידי קבוצת התקיפה. נכון לשעה זו, האתר אינו פעיל. כמו כן, ישנה אינדיקציה לניסיון תקיפה של חברת ספנות ישראילת גדולה. עוד נכתב בדוח של Mandiant כי קמפיין התקיפה של UNC3890, שהחל ב-2020 ונמשך עד היום, כולל שימוש בשני כלים ייחודיים: SUGARUSH, שהוא סוג של דלת אחורית, ו-SUGARDUMP, המשמש לגניבת פרטי משתמשים מהדפדפן והעברת המידע אל התוקפים דרך שירותי מייל של Yahoo ,Gmail ו-Yandex. נוסף לכלים אלו, הקבוצה משתמשת ב-METASPLOIT וב-NorthStar C2 כשרתי פיקוד ושליטה, המשתמשים בדומיינים ובעמודים מזויפים לשם כניסה לשירותים לגיטימיים, כגון Office 365, ולרשתות חברתיות, בהן לינקדאין ופייסבוק. עוד התגלו במסגרת הקמפיין הצעות עבודה מפוברקות ופרסומות מזויפות לרכישת בובות רובוטיות מבוססות בינה מלאכותית. להערכתה של Mandiant, קבוצת UNC3890 מתמקדת באיסוף מודיעין, אך ההתבססות ברשתות הקורבנות נועד לאפשר לה להוציא בעתיד אל הפועל מתקפות סייבר נוספות ומתקפות קינטיות.

צוות קופנידס ממליץ להזין את מזהי התקיפה (IOCs) במערכות ההגנה של הארגון ולהימנע מלחיצה על קישורים שאינם מוכרים, מפתיחת מיילים ממקורות שאינם ידועים וממסירת פרטים בנוגע לחשבונות ברשתות חברתיות.

ממשלת אסטוניה חוותה את מתקפת הסייבר הגדולה ביותר שאירעה במדינה מאז 2007; כמעט ולא הורגשו שיבושים

לוקאס אילבס, תת השר לטרנספורמציה דיגיטלית וה-CIO של ממשלת אסטוניה, הודיע בציוץ בטוויטר כי ב-17 באוגוסט חוותה ממשלתו את מתקפת מניעת השירות (DDoS) הגדולה ביותר שנרשמה במדינה ב-15 השנים האחרונות, כאשר המתקפה הגדולה הקודמת, שהתרחשה ב-2007, כוונה אל המגזר הפרטי והציבורי כאחד. עוד אמר אילבס כי מרבית השירותים שהותקפו לא הושפעו כלל, וכי אתרי האינטרנט שהיו על הכוונת נותרו נגישים וזמינים לאורך כל היום, ללא הפרעות. בהמשך השרשור בציוץ הטוויטר שלו הוא משבח את הצוותים שבלמו את המתקפה ומציין שכ-CIO של אסטוניה הצליח לישון היטב, למרות היקפה הגדול של המתקפה. מנגד, קבוצת ההאקרים הרוסית Killnet לקחה אחריות על המתקפה, שכוונה כלפי 207 אתרי אינטרנט, לרבות מערכות מידע הנוגעות לסליקה, לבנקים, לגופי ממשל ולשירותים ציבוריים. על פי דיווח בתקשורת הרוסית, המתקפה הינה פעולת מחאה בעקבות הסרת האנדרטה בה הוצג טנק רוסי מהתקופה הסובייטית, שהיתה מוצבת בעיר נרווה שבאסטוניה.

סייבר ופרטיות - רגולציה ותקינה

 

הנחיה חדשה לגילוי מידע במכירה של מוצרי IoT

ההנחייה החדשה, שהופצה על ידי הממונה על הרשות להגנת הצרכן ולסחר הוגן בשיתוף מערך הסייבר הלאומי, קובעת חובת גילוי מידע בעת רכישת מוצרים חכמים המחוברים לאינטרנט (IoT, או ״האינטרנט של הדברים״) והסבר על חשיפתם לסיכוני סייבר ועל דרכי התגוננות מפניהם. ההנחיה מגיעה מתוך המסגרת החוקית, הקובעת כי יש חובה לגלות לצרכן על ״השימוש שניתן לעשות בנכס או בשירות, התועלת שניתן להפיק מהם והסיכונים הכרוכים בהם", ולידעו כי ישנו סיכון בחיבור ציוד IoT לרשת האינטרנט, וכי עליו לבצע מספר צעדי מנע לשם הקטנת הסיכון שבחיבורם. על פי ההנחיה, ״הגילוי חייב להיות להיעשות בטרם עשיית העסקה ובכל שלבי העסקה כגון בשלב השיווק ואף בשלב הפרסום. כמו כן הגילוי חייב להיות ברור ומובן לצרכן וכן באופן מובלט ככל שהוא ניתן בפרסום או בכתב אחר או בעל פה״. כדי לצמצם את הסיכון, מערך הסייבר ממליץ על מספר פעולות פשוטות לחיזוק מערך ההגנה על מוצרי IoT:

  1. החלפת סיסמת ברירת המחדל של המכשיר לסיסמה מורכבו וייחודית, ושינויה לעתים תכופות, תוך הקפדה שלא למסור אותה לגורמים אחרים.

  2. התקנת מוצרי תוכנה של היצרן בלבד, תוך הימנעות מהתקנת מוצרים שאינם מקוריים, והורדת יישומים מחנויות רשמיות בלבד. את האפליקציה למחשב או לנייד שממנה ניתן לשלוט במכשיר יש להוריד רק מחנות האפליקציות הרשמית.

  3. ביצוע עדכוני תוכנה, שלרוב מכילים תיקוני אבטחה, בסמוך למועד פרסומם. דבר זה מגביר את ההגנה על המוצר מפני תקיפות.

  4. וידוא שההגדרות לא שונו או אופסו לברירת המחדל, לאחר כל עדכון תוכנה, ביקור טכנאי, טיפול או שדרוג.

  5. לשנות את שם הרשת של הנתב הביתי ולהגדיר לו סיסמה ייחודית, שכן ניתן לפרוץ באמצעותו למכשירים חכמים.

  6. להפעיל הזדהות חכמה, המכילה עוד אימות בנוסף לסיסמה, במידה וקיימת אפשרות כזו.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.