דו״ח סייבר שבועי
עדכון שבועי 20.01.2022
עיקרי הדברים
-
גל מעצרים של סוכנות ה-FSB הרוסית משבש את פעילות קבוצת הכופרה REvil.
-
מתקפת סייבר על הצלב האדום חושפת מידע של 515,000 אנשים המחפשים את משפחותיהם.
-
חברת האופנה Moncler חוותה מתקפת כופרה שהובילה לאירוע דלף מידע.
-
מתקפת סייבר מאסיבית פוגעת באתרי האינטרנט של ממשלת אוקראינה.
-
אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Cisco (קריטי); ל-Manage Engine של Zoho (קריטי); עדכוני חירום של מוצרי Microsoft (קריטי); דפדפן Safari של Apple (קריטי); מוצרי Oracle (קריטי); המוצר SolarWinds (קריטי); דפדפן Google Chrome (קריטי).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה למוצרי Citrix נותן מענה לחולשה ברמת חומרה גבוהה
עדכוני אבטחה למוצרי Jenkins נותנים מענה לחולשות ברמות חומרה שונות
חברת Ivanti מעדכנת את מיפוי המוצרים הפגיעים לחולשה בספריית Log4j
חולשה ב-WP Plugin של XootiX חושפת עשרות אלפי אתרי WordPress לסיכוני אבטחה
עדכוני תוכנה למוצרי Cisco נותנים מענה לחולשות קריטיות
באג בדפדפן Safari של Apple מאפשר הדלפת מידע של גולשים
עדכוני חירום של מיקרוסופט פותרים בעיות שגרמו העדכונים האחרונים שפרסמה
עדכון אבטחה קריטי ל-Manage Engine של Zoho
עדכוני האבטחה של Oracle לחודש ינואר נותנים מענה לחולשות קריטיות במוצרי החברה
13 חולשות המנוצלות כעת על ידי תוקפים התווספו לקטלוג של CISA
עדכון אבטחה של SolarWinds נותן מענה לפגיעות שאפשרה לנצל את חולשת Log4j
עדכוני אבטחה ל-Google Chrome נותנים מענה ל-26 חולשות בדרגות חומרה שונות
התקפות ואיומים
חולשה ב-AWS Glue אפשרה לחוקרים לגשת למידע בפלטפורמה
חוקר אבטחת מידע מ-SentinelOne איתר חולשה ב-MS Defender
פלטפורמת ה-NFT של Lympo מדווחת על גניבת טוקנים בשווי 18.7 מיליון דולר
קבוצת תוקפים מקוריאה הצפונית גנבה מיליונים מחברות קריפטו ברחבי העולם
Nintendo מזהירה מפני אתרים המתחזים לאתרי החברה
חברת האופנה Moncler חוותה מתקפת כופרה שהובילה לדלף מידע
שירותי פלטפורמת VPNLAb שובשו בפעולה של רשויות אכיפת החוק באירופה
BHUNT: נוזקה חדשה לגניבת קריפטו
גל מעצרים של סוכנות ה-FSB הרוסית משבש את פעילות קבוצת התקיפה REvil
נוזקת Qlocker חוזרת לתקוף יחידות QNAP NAS
קבוצת הכופרה Hive תוקפת מרכז רפואי ממשלתי
כופרה חדשה בשם White Rabbit תקפה בנק בארה״ב
השבוע בכופרה
גל מעצרים של סוכנות ה-FSB הרוסית משבש את פעילות קבוצת התקיפה REvil
נוזקת Qlocker חוזרת לתקוף יחידות QNAP NAS
קבוצת הכופרה Hive תוקפת מרכז רפואי ממשלתי
כופרה חדשה בשם White Rabbit תקפה בנק בארה״ב
סייבר בישראל
כלכליסט: משטרת ישראל עושה שימוש בתוכנת Pegasus של NSO למעקב אחר אזרחים ישראלים
סייבר בעולם
המשרד האמריקאי לאחריות ממשלתית מפרסם את מסקנותיו מחקירת תקיפות ה-Microsoft Exchange וה-SolarWinds
מתקפת סייבר מאסיבית פוגעת באתרי האינטרנט של ממשלת אוקראינה
פגישה בבית הלבן לקידום אבטחת תוכנה והגנת סייבר
שחקן מרכזי בשוק הונאות כרטיסי האשראי הודיע על פרישה מה-Dark web לאחר 9 שנות פעילות
DHL מובילה במספר ניסיונות הפישינג שבוצעו תוך התחזות למיילים וקישורים מטעמה
האפליקציה הרשמית של משחקי אולימפיאדת החורף בבייג'ינג אינה מגינה על מידע אישי כראוי
הצעת חוק חדשה תחייב גופי ממשל אמריקאיים להעניק גישה למשאבים לשם צמצום משטח תקיפת הסייבר בלוויינים
מתקפת סייבר על הצלב האדום חושפת מידע של 515,000 אנשים המחפשים את משפחותיהם
סייבר ופרטיות - רגולציה ותקינה
הפורום הכלכלי העולמי (WEF) מפרסם דוח שנתי על סיכוני הסייבר הצפויים בשנת 2022
פנייה ליועמ״ש מצד ארגונים חברתיים בישראל: לעצור מיד את השימוש בתוכנת המעקב Pegasus של NSO נגד אזרחים ישראליים
הנשיא ג׳ו ביידן פרסם מזכר תקדימי לגורמי ביטחון לאומי בארה"ב: הגברה משמעותית של דרישות הגנת הסייבר במערכות ביטחון לאומי
הרגולטור לנושא פרטיות המידע של האיחוד האירופי מחייב את היורופול למחוק מידע אישי שאינו קשור לפשע מקוון
פגישה בבית הלבן עם חברות מובילות בסקטור הפרטי נועדה לקדם אבטחת תוכנה והגנת סייבר
כנסים
הציטוט השבועי
״במבט קדימה על 2022-2023, יש לראות את הגנת הסייבר כנושא עסקי אסטרטגי, המשפיע על קבלת החלטות. כדי להפחית סיכונים, כמו תוכנות כופר והנדסה חברתית, ארגונים חייבים לשאול לא רק כיצד הם מוגנים, אלא כמה טוב - מבחינת חוזק, תחכום ויעילות.״
ננסי לוקט, סמנכ"לית, מנהלת סיכונים ותאימות ראשית, S&P העולמי, ארה"ב, World Economic Forum Global Cybersecurity Outlook 2022, עמ' 7.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה למוצרי Citrix נותן מענה לחולשה ברמת חומרה גבוהה
החולשה (CVE-2021-22928, CVSS 7.8) התגלתה במוצרים הוירטואליים של החברה ובמוצרי ה-Desktop שלה, ועלולה לאפשר לתוקף להעלות הרשאות באופן לוקאלי. החולשה רלוונטית למוצרים הבאים:
-
Citrix Virtual Apps and Desktops 2106 וגרסאות מוקדמות יותר.
-
Citrix Virtual Apps and Desktops 1912 LTSR CU3 וגרסאות מוקדמות יותר.
-
Citrix XenApp/XenDesktop 7.15 LTSR CU7 וגרסאות מוקדמות יותר.ֿ
צוות קונפידס ממליץ למשתמשי המוצרים לעיין בעדכונים בעמוד הרשמי של החברה ולהתקינם בהקדם.
עדכוני אבטחה למוצרי Jenkins נותנים מענה לחולשות ברמות חומרה שונות
שתיים מהחולשות (CVE-2022-20613, CVE-2022-20614) הבולטות שנסגרות בעדכון, אשר רלוונטיות לגרסאות Jenkins 2.329 ו-LTS 2.319.1 ומוקדמות יותר, עלולות לאפשר מתקפת CSRF, המבוססת על שליחת בקשות ישירות לשרת, ללא בדיקת הרשאות. חולשה נוספת (CVE-2022-20615) שקיבלה מענה רלוונטית ל-Matrix Project Plugin 1.19 ולגרסאות מוקדמות יותר של המוצר, ועלולה לאפשר מתקפת Stored XSS, הכוללת הזרקת קוד JavaScript זדוני שירוץ על דפדפן המשתמש. עוד חולשה (CVE-2022-23105) שנסגרת בעדכון מצויה בתוסף של Active Directory ואחראית לשליחת סיסמאות של משתמשים ב-Cleartext, ללא הצפנה. חולשה זו רלוונטית לגרסאות 2.25 של התוסף וקודמות לה.
צוות קונפידס ממליץ לעיין ברשימה המלאה של עדכוני האבטחה, המופיעה באתר החברה.
חברת Ivanti מעדכנת את מיפוי המוצרים הפגיעים לחולשה בספריית Log4j
החולשה הקריטית (CVSS 10.0), ששיגעה את העולם בדצמבר האחרון עקב השימוש הנרחב בספרייה בה היא מצויה, מאפשרת לתוקף יכולת הרצת קוד מרחוק ללא אימות. לדברי Ivanti, החולשה רלוונטית ל-15 ממוצריה.
צוות קונפידס ממליץ למשתמשים במוצרי החברה לעקוב אחר פרסומיה האחרונים והעתידיים ולעדכן את המוצרים שברשותם במידת הצורך. לפרטים נוספים ניתן לעיין בפרסום הרשמי של Ivanti.
חולשה ב-WP Plugin של XootiX חושפת עשרות אלפי אתרי WordPress לסיכוני אבטחה
במחקר שפרסמה השבוע חברת אבטחת המידע Wordfence דווח על גילויה של חולשה (CVE-2022-0215, CVSS 8.8) מסוג CSRF בשלושה פלאגינים נפוצים בפלטפורמת WordPress, המציבים בסיכון יותר מ-84,000 אתרים. החולשה פוגעת במשתמשי קצה הגולשים באתר וייתכן כי יש ביכולתה לאפשר לתוקף לבצע פעולות בשמם. שלושת הפלאגינים הפגיעים לחולשה הם:
Login/Signup Popup
Side Cart Woocommerce
Waitlist Woocommerce
צוות קונפידנס ממליץ לבעלי אתרים ב-WordPress לעדכן את הפלאגינים לגרסאותיהם האחרונות, בהתאם להמלצות היצרן. נכון לכתיבת שורות אלה, הגרסאות העדכניות ביותר הן:
Login/Signup Popup 2.3
Side Cart Woocommerce 2.1
Waitlist Woocommerce 2.5.2
עדכוני תוכנה למוצרי Cisco נותנים מענה לחולשות קריטיות
העדכון סוגר 3 חולשות קריטיות, 5 חולשות ברמת חומרה גבוהה ו-12 חולשות ברמת חומרה בינונית. אחת מהחולשות הקריטיות (CVE-2022-20658, CVSS 9.0) מצויה בתוכנת ה-StarOS ועלולה לאפשר לתוקף לגשת למידע רגיש על עמדת הקורבן או להריץ קוד זדוני מרחוק כמשתמש Root (בעל ההרשאות הגבוהות ביותר במערכת). חולשה קריטית נוספת (CVE-2022-20658, CVSS 9.6) רלוונטית לפורטל האינטרנטי Cisco Unified Contact Center Management ועלולה לאפשר לתוקף להעלות הרשאות במערכת לרמת Administrator ולהריץ פקודות בהרשאות גבוהות.
אנו ממליצים למשתמשי מוצרי Cisco לעיין ברשימת העדכונים המלאה המופיעה באתר החברה ולהטמיעם בהקדם.
באג בדפדפן Safari של Apple מאפשר הדלפת מידע של גולשים
הבאג, שטרם טופל באמצעות עדכון תוכנה, נצפה לראשונה על ידי חברת FingerprintJS בהטמעה של IndexedDB API בדפדפן Safari 15. החברה דיווחה ליצרנית על הממצא עבר בנובמבר אשתקד. IndexedDB הינה מערכת אחסון שפועלת בצד הלקוח ומאפשרת ניהול מיטבי של שטח אחסון למטרות צפייה במצב לא-מקוון ושמירה של קבצי Cache. במאגר המידע של IndexedDB משתמשים גם תוספים וכלי פיתוח שונים, העלולים להכיל מידע מעט רגיש יותר מזה שדפדפנים שומרים באופן שרירותי. כדי למנוע מתקפות מסוג CSRF, מאגר המידע IndexedDB פועל לפי מדיניות Same-origin, הקובעת אילו משאבים יוכלו לגשת לאיזה מידע. על ידי הפרה של מדיניות זו בהטמעה של IndexedDB, כפי שמאפשר הבאג שנמצא, כל אתר שאליו יגש הקורבן באמצעות Safari יוכל לדלות מידע אודות גלישתו באתרים אחרים ישירות ממאגר המידע של IndexedDB, אשר לרוב מכיל גם את המספר המזהה של חשבון הגוגל של המשתמש. דבר זה עלול לאפשר לתוקף לבטל את אנונימיות הגלישה ברשת על ידי חיפוש המספר המזהה של החשבון, הורדת תמונת הפרופיל של המשתמש וחיפוש באמצעותה, שירות אשר מרבית מנועי החיפוש מספקים כיום. הפרת הפרטיות שנגרמת על ידי הבאג משפיעה על דפדפנים נוספים המשתמשים באותו מנוע המבוסס על מאגר המידע בעדכוני iOS, ipadOS ו-macOS. להמחשת הבאג יצרה FingerprintJS אתר POC וסרטון.
עדכוני חירום של מיקרוסופט פותרים בעיות שגרמו העדכונים האחרונים שפרסמה
העדכונים מטפלים בבעיות שנמצאו בחיבורי VPN, באתחול שרתי DC, בהפעלת מכונות וירטואליות ועוד, וניתנים להתקנה דרך פורטל העדכונים של מיקרוסופט או ה-Windows Update Center שבעמדה עצמה. העדכונים רלוונטיים למוצרים הבאים:
Windows 11, version 21H1 (original release): KB5010795
Windows Server 2022: KB5010796
Windows 10, version 21H2: KB5010793
Windows 10, version 21H1: KB5010793
Windows 10, version 20H2, Windows Server, version 20H2: KB5010793
Windows 10, version 20H1, Windows Server, version 20H1: KB5010793
Windows 10, version 1909, Windows Server, version 1909: KB5010792
Windows 10, version 1607, Windows Server 2016: KB5010790
Windows 10, version 1507: KB5010789
Windows 7 SP1: KB5010798
Windows Server 2008 SP2: KB5010799
צוות קונפידס ממליץ להתעדכן במידע המלא המופיע בפרסום מטעם החברה.
עדכון אבטחה קריטי ל-Manage Engine של Zoho
העדכון, שפורסם ב-17 בינואר, רלוונטי ל-Desktop Central ול-Desktop Central MSP ונותן מענה לחולשה (CVE-2021-44757) המאפשרת לתוקף לעקוף את מנגנון האימות של המוצר, לבצע פעולות ללא אישור ואף להטמיע קבצים זדוניים על השרת, עד כדי שליטה מלאה של התוקף על המערכת.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה ולפעול בהתאם להוראות היצרן לשימוש בטוח בו.
עדכוני האבטחה של Oracle לחודש ינואר נותנים מענה לחולשות קריטיות במוצרי החברה
העדכונים רלוונטיים ליותר מ-100 מוצרים וסוגרים, בין היתר, חולשות המאפשרות לתוקף להריץ קוד מרחוק ללא אימות. שלוש מהחולשות שטופלו בעדכון קיבלו את ציון החומרה הגבוה ביותר האפשרי (CVSS 10.0). רשימת החולשות המלאה נמצאת ב-Advisory הרשמי של החברה.
צוות קונפידס ממליץ למשתמשים במוצרי Oracle לעדכנם בהקדם לגרסאותיהם האחרונות.
13 חולשות המנוצלות כעת על ידי תוקפים התווספו לקטלוג של CISA
הסוכנות האמריקאית לאבטחת סייבר ותשתיות עדכנה את הקטלוג, המבוסס על מחקר מודיעיני ואיסוף פרואקטיבי של מזהים. החולשות משפיעות על מספר מוצרים ומערכות הפעלה.
צוות קונפידס ממליץ לעקוב אחר עדכונים ופרסומי אבטחה רשמיים של יצרניות המוצרים הרלוונטיים, על מנת לסגור את החולשות במערכותיהם.
ֿ
עדכון אבטחה של SolarWinds נותן מענה לפגיעות שאפשרה לנצל את חולשת Log4j
בהמשך לפרסום בשבוע שעבר בו דיווחה מיקרוסופט על מציאת החולשה (CVE-2021-35247) על ידי החוקר יונתן בר אור, SolarWinds סוגרת כעת את האפשרות לנצל את Log4j על מנת להתחבר לממשק ההתחברות Serv-U מבלי שהקלט שהוזן על ידי המשתמש יעבור ולידציה מקיפה. העדכון רלוונטי לגרסאות 15.2.5 ומוקדמות יותר של המוצר.
צוות קונפידס ממליץ לכלל משתמשי המוצר לעדכנו לגרסתו האחרונה, Serv-U 15.3.
עדכוני אבטחה ל-Google Chrome נותנים מענה ל-26 חולשות בדרגות חומרה שונות
העדכונים רלוונטיים למשתמשי Windows ,Linux ו-Mac. חולשה אחת שנסגרת בעדכון (CVE-2022-0289) היא קריטית, 16 אחרות הן ברמת חומרה גבוהה ו-5 ברמת חומרה בינונית.
צוות קונפידס ממליץ לכל משתמשי הדפדפן לעדכנו לגרסתו האחרונה - 97.0.4692.99.
התקפות ואיומים
חולשה ב-AWS Glue אפשרה לחוקרים לגשת למידע בפלטפורמה
החולשה בשירות, המאפשר מציאת, שילוב ושינוי דאטה לצרכי פיתוח אפליקציות, למידת מכונה וקבלת תובנות, התגלתה על ידי חוקרים מחברת Orca, ואיפשרה להם קבלת Roles בחשבונות אחרים ב-AWS Glue, אשר לחשבון המקור הייתה גישה אליהם. עוד מאפשרת החולשה לתשאל ולשנות מידע בתהליכים שעובדים עם הפלטפורמה, לרבות משימות שהוגדרו מראש, שיטות עבודה, Crawlers ועוד. מקורה של החולשה הוא בפיצ׳ר ב-AWS Glue, אשר בשילוב עם שירות API פנימי המוגדר בצורה שאינה נכונה - ניתן לניצול לשם הזדהות בתור השירות עצמו. עדכון הגדרות הרכיבים בוצע על ידי AWS ולא נדרשת כל פעולה מצד המשתמשים.
חוקר אבטחת מידע מ-SentinelOne איתר חולשה ב-MS Defender
אנטוניו קוקומאצי גילה חולשה המאפשרת לתוקף לעקוף בקלות יחסית את מנגנון ההגנה הקיים במוצר של מיקרוסופט, זאת על ידי קריאת התיקיות והקבצים המוחרגים במערכת ההגנה. תוכנות אנטי-וירוס רבות מאפשרות יצירת תיקיות מוחרגות, על מנת למנוע התנגשות בין תוכנת האנטי-וירוס לבין קבצים לגיטימיים. גם משתמשי מערכת שאינם פריבילגיים יכולים לפתוח את ה-GUI של האנטי-וירוס ולצפות בהחרגות, אך הבעיה נעוצה בכך ש-MS Defender מאפשר לכל משתמש בתחנה להיחשף להן באמצעות קריאת ערכי Registry (מערכת הרישום המרכזית של Windows) אשר שומרים את המידע של Microsoft Defender בנוגע להחרגות שהוגדרו. סוגייה זו הינה בעיה מורכבת, משום שלרוב תוקף יצליח להשיג אחיזה ראשונית בתחנה הנתקפת באמצעות Shell (ממשק מסוג CLI), וקריאה של ערכי Registry דרך ממשק מסוג תהיה מבחינתו אפשרית וקלה לביצוע. בתוך כך, חוקר אבטחת המידע נתן מק׳נלטי אישר כי החולשה תקפה גם לגרסאות Windows 10 העדכניות ביותר, אך כנראה שאינה רלוונטית ל-Windows 11 החדש. עוד הוסיף מק׳נלטי כי קיימת דרך נוספת לקריאת ההחרגות דרך ממשק מסוג CLI, זאת על ידי קריאת ערכי ה-GPO המצויים ב-Registry - מידע רגיש אף יותר, אשר יכול להכיל, למשל, החרגות השייכות למספר רב של מחשבים ברשת ארגונית. על ידי זיהוי התיקיות המוחרגות, תוקף שכבר השיג אחיזה ראשונית בתחנה יוכל לבצע פעולות רבות ללא חשש להיחשף או להיתפס על ידי מנגנוני המוצר. יש לציין כי ישנן החרגות הנקבעות שרירותית, כאשר נוצרים משתמשים חדשים או מותקנים שירותים מסוימים בשרתים מסוג Windows Server, הפועלים בתאימות גבוהה עם Microsoft Defender. חולשה זו במוצר אינה חדשה, והתגלתה לראשונה במאי אשתקד על ידי פול בולטון. למרות שנראה כי היא קיימת מזה זמן רב, טרם ניתן לה מענה מצד מיקרוסופט.
צוות קונפידס ממליץ לאנשי סיסטם ולמנהלי רשתות לעקוב אחר הוראותיה של מיקרוסופט בנוגע ליצירת החרגות בצורה מאובטחת ב-Microsoft Defender, ולהימנע מהחרגות כלליות של תיקיות שלמות אם אין בכך צורך, שכן הדבר מקל על תוקפים המנצלים את החולשה. עוד יש לוודא שקבצים מוחרגים מקבלים רמת הרשאות גבוהה לביצוע שינויים בהם.
פלטפורמת ה-NFT של Lympo מדווחת על גניבת טוקנים בשווי 18.7 מיליון דולר
בפוסט חריג שפורסם בבלוג בפלטפורמת Medium טוענת החברה כי הטוקנים נגנבו מארנקים ״חמים״ שלה. בתגובה למתקפה הסירה Lympo את המטבע מ-Liquidity Pools, זאת על מנת להוריד באופן דרסטי את ערכו, והיא מבקשת מלקוחותיה שלא לבצע מכירות או רכישות של המטבע מסוג LMT, עד שיתבהרו ממצאי חקירת האירוע.
קבוצת תוקפים מקוריאה הצפונית גנבה מיליונים מחברות קריפטו ברחבי העולםבמהלך השבוע האחרון, חוקרים מחברת אבטחת המידע Kaspersky חשפו קמפיין התקפי מסוג APT המיוחס לקבוצת התקיפה BlueNoroff, אשר כוון נגד חברות קטנות ובינוניות העוסקות במטבעות קריפטוגרפים ברחבי העולם. קמפיין התקיפה, לו ניתן הכינוי SnatchCrypto, גרם לקורבנות לאבידות משמעותיות במטבעות קריפטוגרפיים, והתבסס על ניצול אמונם של עובדי ארגונים לפתיחת קובץ זדוני שהתחזה לחוזה או לתיק עסקי, הנראה לגיטימי. בפועל, הקובץ שימש כדלת אחורית למערכת Windows וכלל פונקציות מעקב. קבוצת התקיפה נמצאת תחת חסותה של קבוצת התקיפה המוכרת Lazarus, המתמחה בפעולות זדוניות נגד בנקים ושרתים המקושרים ל-SWIFT, ומקושרת לחברות הקשורות למטבעות קריפטוגרפים מזויפים. BlueNoroff משתמשת בטכנולוגיות תקיפה מורכבות, הכוללות כלים לניצול חולשות ולשתילת נוזקות, ותשתיות מורכבות לתקיפת חברות בינוניות וקטנות. משיכת התוקפים לחברות כאלה, שלרוב הן חברות סטארטאפ, נובעת מהנחתם שאין ביכולתן להשקיע סכומי כסף גדולים במערכות אבטחת המידע שלהן, ולכן הן מהוות טרף קל. זאת ועוד, פעמים רבות חברות סטארטאפ מקבלות כדבר שבשגרה הודעות וקבצים ממקורות שאינם מוכרים, ולכן ניתן ביתר קלות להערים על עובדיהן ולחדור אל מערכותיהן.
Nintendo מזהירה מפני אתרים המתחזים לאתרי החברה
באזהרה שפרסמה חברת משחקי הווידאו הידועה נטען כי האתרים המזויפים מנסים להידמות לאתר החברה הרשמי, תוך שימוש בלוגו שלה. לדבריה, האתרים מפרסמים מוצרים מזויפים במחירים נמוכים משמעותית ממחיר המוצרים המקוריים, ורכישתם עלולה להוביל לגניבת זהות, פרטים אישיים ופרטי תשלום. עוד מסרה נינטנדו כי תדווח לרשויות על ההונאה.
חברת האופנה Moncler חוותה מתקפת כופרה שהובילה לדלף מידע
במהלך סוף השבוע האחרון של 2021 דיווחה חברת האופנה האיטלקית היוקרתית על שיבושים בשירותי ה-IT שלה, אך ציינה כי אינה צופה נזק משמעותי, מלבד השבתה זמנית של שירותיה. 10 ימים לאחר מכן, Moncler הפעילה מחדש את מערכותיה הלוגיסטיות, תוך תיעדוף משלוחים ממסחר אלקטרוני, אשר התעכבו בעקבות השיבושים. ואולם, ב-18 בינואר אישרה החברה כי כמות מסוימת של מידע אודות עובדים, עובדים לשעבר, ספקים, יועצים, שותפים עסקיים ולקוחות החברה דלף בעקבות חדירת הכופרה (ALPHV (BlackCat למערכותיה. לדברי Moncler, בקשת התוקפים לתשלום דמי הכופר עבור המידע שנגנב נענתה בשלילה, היות והדבר נוגד את עקרונות היסוד של החברה. אי לכך, הפרטים הגנובים פורסמו ב-Dark web, אך לטענת החברה לא נחשפו פרטי כרטיסי אשראי או אמצעי תשלום אחרים של לקוחות, היות והיא אינה שומרת כאלה במערכותיה. עוד הזהירה Moncler כי החזקה או הפצה של נתונים השייכים לה תחשב עבירה פלילית, שכן כל המידע שברשות התוקפים מצוי בידיהם כתוצאה מפעילות בלתי חוקית. לדברי החברה, מידע אודות מתקפת הסייבר נמסר לבעלי העניין הרלוונטיים ולרשות האיטלקית להגנת המידע.
שירותי פלטפורמת VPNLAb שובשו בפעולה של רשויות אכיפת החוק באירופה
פעולת הרשויות שבוצעה השבוע נועדה לפגוע בשימוש פלילי בשירותי ה-VPN המסתמכים על תשתית של VPNLab.net הפופולרית, שהוקמה ב-2008. התשתית היתה נפוצה מאוד בקרב פושעי סייבר, היות ושירותיה אפשרו להם להמשיך ולבצע פשעים ללא חשש מחשיפה על ידי הרשויות. במהלך חקירה שבוצעה נמצא כי השירות, שנועד להציע אפשרות לתקשורת מוגנת בגישה לאינטרנט, נוצל לתמיכה במעשים פליליים חמורים, בהם הפצה ופריסת כופרות ופעולות אחרות שתמכו בפשעי סייבר. אי לכך, רשויות אכיפת החוק שיבשו את 15 השרתים הידועים ככאלה שאירחו את השירות שהעניק הספק, בפעולה שנעשתה בחסות ה-EMPACT, יוזמה ביטחונית של האיחוד האירופי לזיהוי, תיעדוף וטיפול באיומים הנובעים מפשיעה בינלאומית חמורה. בשעה זו לא ניתן להשתמש בשירותי VPNLab.net, וכל ניסיון לגשת לאתרים שהושבתו נתקל בהודעה לפיה הדומיין ״נתפס על ידי רשויות אכיפת החוק״.
BHUNT: נוזקה חדשה לגניבת קריפטו
בתחקיר קצר שפרסמה השבוע חברת Bitdefender נחשפה נוזקה שמטרתה לגנוב ארנקי קריפטו או מידע שעשוי לעזור לתוקפים להשגת מטרה זו. BHUNT, שכתובה ב-dotNET, מסוגלת לגנוב מידע מארנקים פופולריים, בהם Exodus ,Electrum ,Atomic ,Jaxx ,Ethereum ,Bitcoin ואחרים, ולגנוב סיסמאות וקבצי Cookies המאוחסנים ב-Cache של הדפדפן. על מנת להימנע מגילוי על ידי תוכנות EDR ואנטי-וירוס, הנוזקה מוצפנת וארוזה באמצעות התוכנות Themida ו-VMProtect, המקשות על הנדסה לאחור של הנוזקה. זאת ועוד, הגורמים הזדוניים שיצרו את BHUNT חתמו אותה באמצעות חתימה דיגיטלית שנגנבה מחברת Piriform, אך מכיוון שזו הועתקה מקובץ הרצה אחר - מערכות הפעלה מסמנות אותה כלא-תקינה. עוד נראה כי BHUNT מגיעה למערכות ההפעלה של הקורבנות דרך הורדת התוכנה הפופולרית KMSpico, המאפשרת להפעיל מוצרים של חברת מיקרוסופט בצורה שאינה חוקית. נכון לשעה זו, הנוזקה נצפתה, בין היתר בארצות הברית, באוסטרליה ובספרד, והיא נפוצה מאוד בהודו.
השבוע בכופרה
גל מעצרים של סוכנות ה-FSB הרוסית משבש את פעילות קבוצת התקיפה REvil
המבצע הנרחב שביצעה סוכנות הביטחון הפדרלית של רוסיה בשיתוף פעולה עם משרד הפנים הרוסי, אשר דווח באתרה הרשמי של הסוכנות, יצא אל הפועל ב-14 בינואר, לאחר עתירה של הרשויות בארצות הברית. לפי העתירה, מנהיג קבוצת התקיפה REvil היה מעורב בגניבה והצפנת מידע רגיש של חברות הייטק זרות, חלקן ממוקמות בארצות הברית, ובסחיטת כספים עבור מסירת מפתח לפענוח ההצפנה. במבצע, שהתקיים במוסקבה ובסנקט פטרסבורג, פשטו הרשויות על 25 כתובות מגורים השייכות ל-14 חברי כנופיה שנעצרו, והחרימו כ-426 מיליון רובל (כ-6 מיליון דולר) במזומן ובארנקי קריפטו, ציוד מחשב יקר ערך וכ-20 רכבי יוקרה שנרכשו באמצעות כספים שהושגו תוך ביצוע עבירות פליליות. למרבה ההפתעה, עד כה הואשמו חברי הכנופייה בעבירה אחת בלבד: העברה בלתי חוקית של אמצעי תשלום. למרות שה-FSB לא פרסם את שמות העצורים, סוכנות הידיעות הרוסית TASS נקבה בשמותיהם של שניים מהם, רומן מורומסק ואנדריי בסונוב, שנכון לשעה זו תפקידם ומעמדם בקבוצת התקיפה אינם ידועים לציבור. ככל הנראה, שיתוף הפעולה של הרשויות הרוסיות והאמריקאיות מגיע על רקע המתקפה שביצעו במאי האחרון קבוצות התקיפה REvil ו-DarkSide על מערכת צינורות הנפט הטקסנית Colonial Pipeline. המתקפה, אשר פגעה באספקת הדלק בארצות הברית והביאה לעליית מחירי הדלק במדינה, גררה בתגובה תקיפה והשבתה של אתר האינטרנט של REvil על ידי הרשויות האמריקאיות, במה שנראה כמעין הכרזת מלחמה על הכנופייה. זאת ועוד, לגל המעצרים שבוצע בשבוע שעבר קדם מעצרם של 5 חברי קבוצת REvil על ידי היורופול בנובמבר האחרון, סמוך להסגרתו לארצות הברית של אזרח אוקראיני שהיה אף הוא חבר בקבוצת התקיפה. REvil ידועה בגודל ורוחב פעולותיה, ובסכומי הכסף העצומים שהיא משלשלת לכיסה. באוקטובר 2020 טען אחד מחבריה בראיון לערוץ YouTube רוסי שבמהלך השנה הרוויחה הקבוצה יותר מ-100 מיליון דולר. טענות אלה גובו על ידי IBM, אשר פרסמה דוח בו נטען כי בשנת 2021 גרפה REvil לארנקה כ-123 מיליון דולר. קשה לשערך את סכום ההכנסות הכולל של הקבוצה בכל תקופת פעילותה, אך נראה שלא תשוב לפעילות כלכלית בזמן הקרוב. לדברי ה-FSB, הקבוצה ומערכות המחשוב והתקשורת של חבריה הושבתו ו״נוטרלו״.
נוזקת Qlocker חוזרת לתקוף יחידות QNAP NAS
Qlocker הינה נוזקה מוכרת, שפעילותה זוהתה כבר באפריל 2021. ואולם, ב-6 בינואר השנה נצפתה עלייה חדה בשימוש בה, תוך יישום נרחב של תקיפות Brute-force. בשעה זו טרם ידוע אם אם וקטור החדירה ל-QNAP NAS זהה לזה שנצפה באפריל אשתקד (שימוש ב-Brute-force ובפורט 8080 לשם גישה לממשק הניהול של המוצר), משום שמשתמשים דיווחו כי מערכות ההגנה שברשותם לא תמיד זיהו את המתקפה בעת שהתרחשה. לאחר שהתוקף מצליח לגשת למערכת ולהחדיר אליה את הנוזקה, היא מעבירה את כל הקבצים שנמצאים על המוצר, המהווה יחידת גיבוי אשר מחוברת לאינטרנט, לתיקיית ארכיון 7Zip, המוגן בסיסמה. לאחר הצפנת המידע יימצא על בגיבוי קובץ txt. המכיל את דרישת התוקפים לתשלום דמי כופר בסכום של 0.02-0.03 ביטקוין, לצד קישור לאתר התוקפים ברשת ה-Tor, עם כתובת הארנק שלהם לביצוע התשלום. בפורום המשמש לדיונים של קורבנות תקיפה נצפו שיחות בהן נאמר כי התוקפים אינם אמינים במיוחד, וכי ישנם קורבנות ששילמו את דמי הכופר אך לא קיבלו את מפתחות ההצפנה. בתוך כך, חברת QNAP פרסמה מדריך להקשחת סביבת המוצר, והדגישה כי מוצר החשוף לאינטרנט ללא מוצרי הגנה והגדרות מתאימות - עשוי להיות פגיע לתקיפה.
קבוצת הכופרה Hive תוקפת מרכז רפואי ממשלתי
הקבוצה, לה היסטוריה של תקיפת מוסדות רפואיים, תוקפת הפעם מוסד רפואי ממשלתי, כך עולה מהתכתבות שפורסמה בטוויטר. בתכתובת מופיעה פנייה ל״שירות הלקוחות״ של Hive, בה המרכז הרפואי, שזהותו אינה ידועה, מבקש לקבל את מפתח ההצפנה. בתגובה דורשים התוקפים דמי כופר בסך 3.5 מיליון דולר במטבעות ביטקוין, ואינם משנים את דרישתם גם כאשר הקורבן מעמת את הקבוצה עם העובדה שתקפה מוסד רפואי ממשלתי.
(קרדיט תמונה: עמוד הטוויטר של MalwareHunterTeam, פורסם ב-14.1.21)
כופרה חדשה בשם White Rabbit תקפה בנק בארה״ב
בדוח ניתוח הנוזקה שפורסם על ידי חברת Trend Micro, אשר גילתה את White Rabbit, נטען כי היא נצפתה לראשונה בדצמבר 2021 בעת תקיפת המוסד הפיננסי, וכי נראה שהיא משתמשת בפקודות המשויכות ל-Cobalt Strike לשם כניסה לרשת והחדרת הקוד הזדוני המשמש, בסופו של דבר, להצפנה. זאת ועוד, חוקרים מחברת Lodestone מצאו כי כתובת ה-URL המשוייכת לנוזקה קשורה גם לקבוצת התקיפה FIN8. כופרת White Rabbit משתמשת בשיטת ה-Double Extortion, הכוללת הצפנה של הקבצים וגניבתם לשם דרישת כופר כפולה, האחת עבור מפתח ההצפנה והאחרת עבור אי-פרסום הקבצים. הסממן העיקרי של הכופרה החדשה הינו העובדה שבעת הרצתה נדרשת סיסמה, אשר משמשת להרצת הנוזקה KissMe. סממן נוסף הוא הוספת הסיומת scrypt.txt. לשמות קבצים מוצפנים.
(קרדיט תמונה: Trend Micro, פורסם ב-18.1.21)
סייבר בישראל
כלכליסט: משטרת ישראל עושה שימוש בתוכנת Pegasus של NSO למעקב אחר אזרחים ישראלים
הרוגלה, אשר משמשת לעיתים משטרים במדינות זרות לביצוע מעקבים אחר גורמים פוליטיים, עיתונאים ועוד, מאפשרת למשתמש להשתלט על טלפון הקורבן ולגשת לכל המידע המצוי בו, כאילו היה בעל המכשיר עצמו. לטענת ״כלכליסט״, מאז השמישה משטרת ישראל את הרוגלה Pegasus בתקופת כהונתו של המפכ״ל רוני אלשיך, היא מופעלת בידיעתם ובאישורם של קציני משטרה בכירים ביותר, על ידי צוות המבצעים המיוחדים של יחידת הסייבר המשטרתית ״סיגינט״. בין היתר, המשטרה משתמשת ב-Pegasus למעקב אחר ראשי מחאת ״הדגלים השחורים״, גורמים בולטים בקרב מתנגדי מצעד הגאווה, אנשים שהיו בתהליכי חקירה בגין עבירות פליליות כמו רצח או גניבה, ראש עיר מכהן שנמצא בתהליך חקירה ועוד. ראיות שהתקבלו באמצעות הכלי והועברו לחקירה משפטית - הוצגו עם תעודת חיסיון על מקור המידע, או במקרה של חשד לביצוע עבירות - הולבנו כמידע מודיעיני, שגרם לפתיחה בחקירה גלויה. בתגובה לפרסום ב״כלכליסט״ נמסר מהמשטרה כי ״משטרת ישראל פועלת בהתאם לסמכויות המוקנות לה בחוק וככל שנדרש על פי צווי בית המשפט, במסגרת נהלים וכללים שנקבעו על ידי הגורמים המוסמכים״.
סייבר בעולם
המשרד האמריקאי לאחריות ממשלתית מפרסם את מסקנותיו מחקירת תקיפות ה-Microsoft Exchange וה-SolarWinds
לדברי ה-GAO, הגוף המפקח והמבקר את הוצאות הממשלה ופעולותיה תחת סמכותו של המבקר הכללי, תוצאות המחקר מדגישות את התגברות סיכוני הסייבר והפיכתם להרסניים יותר למערכות טכנולוגיות המידע והתשתיות הקריטיות של ארצות הברית. הגורמים להסלמת הסיכונים הם השתכללות התוקפים, לצד חוסר המודעות של עובדי ארגונים לסיכוני סייבר. כזכור, בתחילת 2019 נמצא כי שירות הביון הרוסי פרץ ל-Orion, תוכנת ניהול הרשת של SolarWinds, בה משתמשת באופן נרחב ממשלת ארצות הברית, ואשר נועדה לניהול התקנים ולניטור פעולות ברשת. במרץ 2021, תוך כדי חקירת התקרית הראשונה, חברת Microsoft דיווחה על חולשות שנמצאו במספר גרסאות של Microsoft Exchange ונוצלו לרעה על ידי תוקפים, בהן גרסאות ששימשו סוכנויות פדרליות שונות. על פי הצהרת הבית הלבן, תוקפים המזוהים עם המשרד לביטחון המדינה של סין ניצלו את החולשות לשם התחברות לשרתי Exchange ממקורות חיצוניים שאינם מורשי חיבור לשרת. לאחר ההתחברות השתמשו התוקפים בחולשות נוספות במערכת על מנת לקבל הרשאות גבוהות יותר, עד שקיבלו גישה להתחברות מרחוק לשרת ה-Exchange. בעקבות שני האירועים הוקמו בארצות הברית שתי קבוצות תגובה בתמיכת הסוכנות האמריקאית לביטחון לאומי (NSA), בהן לוקחות חלק הסוכנות לאבטחת סייבר ותשתיות (CISA), לשכת החקירות הפדרלית (FBI) ומשרד ראש המודיעין הלאומי (ODNI).
מתקפת סייבר מאסיבית פוגעת באתרי האינטרנט של ממשלת אוקראינה
בלילה שבין ה-13 ל-14 בינואר נפרצו מספר אתרים ממשלתיים השייכים לממשלת אוקראינה, בהם גם משרד החוץ, ומשרד החינוך והמדע, ובעמודיהם הראשיים פורסמו על ידי התוקפים הודעות פרובוקטיביות. לפי מידע ראשוני מה-CERT-UA, תוכן האתרים לא השתנה ולא התרחשה דליפת נתונים אישיים, אך על מנת למנוע את התפשטות המתקפה, הופסקה באופן זמני פעילותם של מספר אתרים של סוכנויות ממשלתיות. נכון לשעה זו, שירות התקשורת המיוחד של אוקראינה חבר לשירות הביטחון של המדינה ולמשטרת הסייבר במטרה לאסוף ראיות דיגיטליות לצורך חקירת האירוע. במקביל, הגופים מעניקים סיוע למנהלי האתרים שניזוקו במתקפה ומצויים בהליך התאוששות. בעקבות האירועים, מיקרוסופט מזהירה מפני תוכנות זדוניות והרסניות שמטרתן למחוק נתונים ממערכות של קורבנות, אשר מופעלות נגד ארגונים רבים באוקראינה, לרבות סוכנויות ממשלתיות, במסווה של תוכנות כופר. החל מה-13 בינואר זיהתה מיקרוסופט את ההתקפות החדשות, בהן פעלו יחדיו התוכנה MBRLocker ותוכנה זדונית המשמידה נתונים בכוונת תחילה. בעת כיבוי מכשיר הקורבן מופעלת התוכנה הזדונית, אשר מחליפה את תוכנת ה-MBRLocker בהודעת כופר, שאינה אלא תחבולה. בפועל, הנוזקה הורסת הן את תוכנת ה-MBRLocker והן קבצים ממוקדים. תוכנה זדונית זו משתייכת למשפחה חדשה של תקיפות המכונה על ידי מיקרוסופט WhisperGate, ואשר מתבססת על מתקפה דו-שלבית של הרס נתונים באמצעות שני רכיבי תוכנה זדוניים. הודעת הכופר של WhisperGate מורה לקורבן לשלוח 10,000 דולר במטבעות ביטקוין לכתובת המצוינת על המסך, ולאחר מכן ליצור קשר עם גורמי האיום באמצעות מזהה צ'אט של Tox. אלא שלדברי מיקרוסופט, השימוש ב-Tox מצביע על כך שתוכנת הכופר מזויפת. זאת ועוד, בהודעת הכופר נעשה שימוש באותה כתובת ביטקוין עבור כלל הקורבנות. לדברי מיקרוסופט, מכיוון שאף אחד משני רכיבי התוכנה הזדונית אינו מציע אמצעים להזנת מפתחות פענוח לשחזור רשומת האתחול הראשית המקורית, ומכיוון שהקבצים מוחלפים בנתונים סטטיים בלתי ניתנים לפענוח, ברור כי ההתקפה נועדה למטרות הרס ולא לקבלת תשלומים. בעת כתיבת שורות אלה טרם עלה בידה של מיקרוסופט לייחס את ההתקפות לגורם איום מסוים, אך היא עוקבת אחר פעילותו של תוקף המכונה על ידה DEV-0586, ומאמינה שההסלמה נועדה לזרוע הרס באוקראינה על רקע המתיחות הגיאופוליטית בינה לבין רוסיה. מתקפה דומה לזו הנוכחית התרחשה ב-2017, כאשר אלפי עסקים אוקראינים הותקפו על ידי כופרת NotPetya, שהתבססה על הכופרה הידועה Petya. התקפות ה-NotPetya שימשו כנשק סייבר נגד אוקראינה, למטרת יצירת תשלומים. בשנת 2020 ארצות הברית הפלילה באופן רשמי קבוצת האקרים רוסית כאחראית לאירועי 2017, אשר ייתכן ומהווה חלק מקבוצת הפריצה הרוסית Sandworm. בין ששת החשודים שנגדם הוגש כתב אישום בפרשה היו גם כאלה שהשתייכו למנהל המודיעין הראשי של רוסיה (GRU). בחזרה לתקיפות שאירעו השבוע, נראה כי לפחות 15 אתרים של מוסדות ציבוריים וסוכנויות ממשלתיות באוקראינה נפרצו, הושחתו ולאחר מכן הועברו למצב לא-מקוון. בהודעה שהוצגה באתרים לאחר ההשחתה הוזהרו הגולשים שנתוניהם נגנבו ושותפו באופן ציבורי באינטרנט. כחלק ממסע ההפחדה בו נקטו התוקפים, הם יצרו חשבונות חדשים בפורום הפריצה הפופולרי RaidForums, שם חשפו את הנתונים שגנבו, לכאורה. ואולם, גורמי סייבר שבדקו את הנתונים שפורסמו טוענים כי אין להם זיקה לסוכנויות ממשלתיות באוקראינה וכי מקורם בהדלפה ישנה. אוקראינה מצדה ייחסה את התקיפות לרוסיה, בטענה שזו מנסה לערער את אמון אזרחי אוקראינה בממשלתם. ב-17 בינואר פרסמה ממשלת אוקראינה את ההודעה הבאה: "חיילי הסייבר של רוסיה פועלים לעתים קרובות נגד ארצות הברית ואוקראינה, ומנסים להשתמש בטכנולוגיה כדי לזעזע את המצב הפוליטי. מתקפת הסייבר האחרונה היא אחד הביטויים של המלחמה ההיברידית של רוסיה נגד אוקראינה, שנמשכת מאז 2014״. בתוך כך, מיקרוסופט מפצירה בכל ארגון לערוך חקירה יסודית ומידית וליישם במערכותיו הגנות בהתאם למידע המופיע בדוח שפרסמה החברה, אשר צפוי להמשיך ולהתעדכן עם התקדמות החקירה. כמו בכל פעילות התקפית שנצפית במדינה ריבונית, מיקרוסופט מודיעה באופן ישיר ויזום ללקוחותיה שנפגעו במתקפה ומספקת להם את המידע הדרוש כדי לסייע להם בחקירותיהם. זאת ועוד, ה-(Microsoft Security Intelligence Center (MSTIC פועל כעת ביחד עם חברי קהילת הסייבר העולמית ועם שותפים אסטרטגיים אחרים לשיתוף מידע שיכול לסייע רבות להתמודדות עם האיום המתפתח.
פגישה בבית הלבן לקידום אבטחת תוכנה והגנת סייבר
הבית הלבן כינס בעלי עניין ממשלתיים ופרטיים על מנת לדון ביוזמות לשיפור אבטחתן של תוכנות קוד פתוח ובדרכים להניע שיפורים בתחומים אלה באמצעות שיתופי פעולה חדשים. מרבית חבילות התוכנה העיקריות כוללות תוכנת קוד פתוח, לרבות אלה המשמשות את קהילת הביטחון הלאומי. תוכנות קוד פתוח ניצבות בפני אתגרי אבטחה ייחודיים, בשל רוחב השימוש שנעשה בהן ומספר המתנדבים האחראים על תחזוקת האבטחה השוטפת שלהן. הדיון שהתקיים בבית הלבן התמקד בשלושה נושאים: מניעת ליקויי אבטחה וחולשות בחבילות קוד וקוד פתוח, שיפור תהליכי איתור הליקויים ותיקונם וקיצור זמן התגובה להפצה והטמעת התיקונים. נשיא ארצות הברית ג׳ו ביידן הפך את נושא אבטחת התוכנות לעדיפות לאומית וקבע הוראה ביצועית לפיה רק חברות המשתמשות בפרקטיקות מאובטחות של פיתוח תוכנה ועומדות בהנחיות אבטחה פדרליות ספציפיות יוכלו למכור את המוצרים לממשלה הפדרלית. הוראה זו נועדה, בין היתר, למינוף כוח הקנייה של הממשל הפדרלי לשם הנעת שיפורים בשרשרת האספקה, מהם יהנו חברות וממשלות ברחבי העולם.
שחקן מרכזי בשוק הונאות כרטיסי האשראי הודיע על פרישה מה-Dark web לאחר 9 שנות פעילות
פלטפורמת UniCC, המתמחה בהונאות כרטיסי אשראי על ידי מכירת פרטי כרטיסים גנובים בפורומים מוכרים ברשת האפלה, מסיימת את פעילותה לאחר שרשמה מכירות בשווי כולל של כ-358 מיליון דולר. הפלטפורמה, שהייתה פעילה משנת 2013, פרסמה בפורומים בשפה האנגלית והרוסית פוסט פרידה: ״הצוות שלנו פורש. תודה לכל מי שהיה חלק מאיתנו במהלך השנים. לשותפינו, לקוחותינו ועמיתינו הנאמנים, אשר סייעו לנו בדרכים רבות. במידה ואני או אחד מחברי הצוות שלנו אכזבנו אתכם, אנו מצטערים על כך מאוד״. פרטי אשראי גנובים נמכרים ומוצעים למכירה בפורומים רבים ברחבי ה-Dark web תמורת מטבעות קריפטוגרפיים, היות וניתן להשתמש בפרטים הגנובים לביצוע רכישות של כרטיסי מתנה באשראי, אשר נמכרים במועד מאוחר יותר עבור כסף מזומן. זאת ועוד, פרטים אלה משמשים להלבנת מטבעות קריפטוגרפיים שנגנבים במהלך פשעי סייבר שונים. אל הסיבות לסיום פעילותם התייחסו חברי צוות UniCC במילים הבאות: ״אל תבנו שום תיאוריות קונספירציה סביב הבחירה שלנו לסיים את פעילותנו. זו הייתה החלטה כבדת משקל, שנעשתה בשל גילם ומצבם הבריאותי של חברי הצוות, אשר אינו מאפשר לנו עוד לעבוד במתכונת זו״. הצוות המליץ למשתמשי הפלטפורמה לנקות ממנה את חשבונותיהם בהקדם, בטרם תסגר ביחד עם הדומיין הנלווה לה, LuxSocks, ואף ביקש מהקוראים ״לא להיות חכמים ולא לעקוב אחר זיופים הקשורים לקאמבק שלנו״.
DHL מובילה במספר ניסיונות הפישינג שבוצעו תוך התחזות למיילים וקישורים מטעמה
חברת שירותי השילוח עקפה חברות כמו Google ו-Microsoft במדד המפוקק במהלך הרבעון האחרון של שנת 2021. רבעון זה היווה קרקע פוריה מאוד לתוקפים לביצוע ניסיונות דיוג, בשל תקופת החגים ואירועי פתיחת השנה החדשה, במהלכה מתגברות הרכישות ברשת בכל רחבי העולם. בשל הגידול בהיקף החבילות הנשלחות מדי יום, גדל גם הסיכוי שמקבל ההודעה אכן ימתין למייל לגיטימי מחברות השילוח ויפול קורבן לניסיון הפישינג.
האפליקציה הרשמית של משחקי אולימפיאדת החורף בבייג'ינג אינה מגינה על מידע אישי כראוי
MY2022 הינה אפליקציית חובה שכל משתתפי האירוע, שיתקיים בחודש הבא בסין, נדרשים להוריד למכשיריהם, לרבות הספורטאים, אנשי התקשורת והקהל. לאפליקציה שימושים רבים, בהם שימוש בצ׳אט ובצ׳אט עם אודיו, העברות קבצים וקבלת מידע ועדכונים על המשחקים האולימפיים. עוד נותנת האפליקציה מענה לצרכים הנובעים ממגפת הקורונה, לרבות איסוף מידע רפואי אודות המבקרים במשחקים. ואולם, מבדיקה שביצעה חברת Citizen Lab, עולה כי האפליקציה סובלת מכשלים מהותיים בשמירה על פרטיות משתמשיה. למרות שהכשלים שנמצאו דווחו לחברה המתפעלת את האפליקציה ב-3 בדצמבר, בעדכון שפורסם למוצר ב-17 בינואר לא ניכרה התייחסות לדברים. אי לכך, ב-18 בינואר הוחלט להביא לידיעת הציבור את המידע הבא: ממשתמשים סיניים תאסוף האפליקציה שמות, מספרי זיהוי, מספרי טלפון, כתובות מייל, תמונות פרופיל ומצב תעסוקתי, ומזרים המגיעים למשחקים יאסף המידע המופיע בדרכוניהם (תאריך הוצאה ותפוגה), מידע דמוגרפי ושיוך ארגוני. זאת ועוד, מכלל המשתמשים אוספת האפליקציה נתונים הנוגעים לבקרה בריאותית, בהם תוצאות בדיקות קורונה, סטטוס חיסונים ודיווחים אישיים בנושא מאת המשתמשים. עוד נאסף מידע על סוגי מכשירים, ספקי שירות, אפליקציות המותקנות על המכשירים, מצב הרשת, מיקומים בזמן אמת, הגדרות שמע וגישה לאחסון המכשיר. למרות שהחברה המפעילה את האפליקציה מפרסמת בגלוי שהיא אוספת את המידע הנזכר לעיל, לא מצוין לאילו גורמים מועבר המידע הרפואי שנקלט בה. מלבד זאת, החוקרים גילו חולשה מהותית באפליקציה, שמקורה בכך שהיא אינה מבצעת אימות מול אתרים עמם היא מנהלת תקשורת. הדבר עלול לאפשר לתוקף להתחזות לאתר לגיטימי העובד עם האפליקציה ובכך ליירט את התקשורת עם המוצר. במילים אחרות, על אף שהמידע המועבר עשוי להיות מוצפן, הוא עלול ליפול לידיים הלא נכונות ולאפשר לתוקפים גישה למידע ו/או הצגת מידע כוזב למשתמשים. בתוך כך, חולשה נוספת נמצאה באחד מהאתרים שאליהם מעבירה האפליקציה מידע דמוגרפי על משתמשים, נתוני דרכונים, מידע אודות נסיעות ומידע רפואי, ונמצאו גם אתרים אליהם מועבר מידע מהאפליקציה ללא הצפנה או כל אמצעי אבטחה אחרים. לדברי חוקרי Citizen Lab, בשל הכשלים הקיימים במוצר הוא מפר את תנאי השימוש של החנויות האינטרנטיות של Google ו-Apple, כמו גם את חוקי מדינת סין עצמה. למרות זאת, האפליקציה עודנה זמינה להורדה בחנויות.
הצעת חוק חדשה תחייב גופי ממשל אמריקאיים להעניק גישה למשאבים לשם צמצום משטח תקיפת הסייבר בלוויינים
ב-19 בינואר הציגו הסנטורים גארי פיטרס וג׳ון קורנין הצעת חוק אשר תחייב את ענף הגנת הסייבר של המחלקה לביטחון המולדת (DHS) לספק לבעלי ולמפעילי לוויינים מסחריים כלי הגנה מפני מתקפות סייבר. הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) השיקה במהלך השנה החולפת קבוצת עבודה בתחום התשתיות הקריטיות של מערכות חלל, שמטרתה ליצור מאגר מקוון וזמין לציבור שיאפשר גישה לחברות שונות למשאבי אבטחת סייבר הספציפיים לתחום ויספק המלצות רלוונטיות לאבטחת רשת. ״החוק לאבטחת סייבר בלוויינים״ יחייב כעת את ה-CISA ליצור מאגר מקוון וזמין לציבור שיאפשר לחברות גישה למשאבים העוסקים בהיבטי אבטחת סייבר ספציפיים ללוויינים. זאת ועוד, החוק יאפשר למשרד האמריקאי לאחריות ממשלתית (GAO), המכונה "כלב השמירה של הקונגרס", לבחון את תמיכתה של ממשלת ארצות הברית בהיבטי אבטחת סייבר של תעשיית הלוויינים המסחרית כיום. ״תוקפים כבר הצליחו לתקוף בהצלחה לוויינים ממשלתיים, וזה רק עניין של זמן עד שהם יחלו להתמקד בלוויינים המשמשים למסחר,״ אמר הסנטור פיטרס, יו״ר הוועדה לביטחון המולדת של הסנאט, והוסיף כי ״פגיעות במערכות אלה מהוות הזדמנות ליריבים זרים ולפושעי סייבר לשבש באופן משמעותי את חייהם ופרנסתם של אמריקאים״. ג׳ון קורנין, חבר בוועדת המודיעין של הסנאט, הוסיף ואמר כי לוויינים מסחריים ״הינם חלק בלתי נפרד מרשת התשתית שלנו וחייבים להיות מוגנים מפני התקפות סייבר אשר עשויות לפגוע בביטחון הלאומי שלנו״.
מתקפת סייבר על הצלב האדום חושפת מידע של 515,000 אנשים המחפשים את משפחותיהם
המתקפה חשפה נתונים אישיים ומידע סודי על מאות אלפי אנשים הרשומים במאגרי הארגון, בהם כאלה שהופרדו ממשפחותיהם עקב סכסוך, הגירה או אסון, כמו גם נעדרים ומשפחותיהם ועצירים. מקור הנתונים הוא ביותר מ-60 איגודים לאומיים של הצלב האדום והסהר האדום ברחבי העולם, והחשש הגדול העולה בעקבות המתקפה הוא מפני פגיעה באנשים שעליהם מנסה הארגון להגן. בשלב זה אין בידי הצלב האדום מידע אודות מבצעי המתקפה או אינדיקציה לכך שהמידע הודלף או שותף באופן ציבורי. בפנייה לתוקף אמר מנכ״ל הארגון רוברט מרדיני כי "פעולותיך עלולות לגרום לנזק וכאב נוספים לאלה שכבר סבלו סבל עצום. האנשים האמיתיים והמשפחות האמיתיות שמאחורי המידע שיש בידיך כעת הם מהחלשים בעולם. אנא עשה את הדבר הנכון. אל תשתף, תמכור, תדליף או תשתמש בכל דרך אחרת בנתונים הללו".
סייבר ופרטיות - רגולציה ותקינה
הפורום הכלכלי העולמי (WEF) מפרסם דוח שנתי על סיכוני הסייבר הצפויים בשנת 2022
ה-Global Cybersecurity Outlook 2022, שפורסם במהלך כנס דאבוס, מתמקד בחמישה ממצאים עיקריים: (1) המעבר לדיגיטיזציה של ארגונים כתוצאה מעידן הקורונה מחזק את החוסן של ארגונים במרחב הסייבר; (2) קיימים פערים משמעותיים בין מנהלי אבטחת מידע (CISOs) למנהלים בכלל בנוגע להבנת סיכוני הסייבר לארגונים; (3) איומי הכופרה ימשיכו להתעצם ב-2022; (4) 88% מהמשיבים לסקר שביצע ה-WEF סבורים שחברות קטנות ובינוניות (SMEs) מהוות סיכון עיקרי לארגונים גדולים יותר, בשל החשיפות שהן מכניסות לשרשרת האספקה; ו-(5) יש לקדם פורומים לשיתוף מידע לשם הקטנת סיכוני הסייבר, לאור הממצא לפיו יותר מ-90% מהנשאלים השיבו שהם נחשפים למידע רלוונטי ותומך-פעולה ממנגנוני שיתוף מידע. בנוסף לממצאים אלה, המחקר שנערך לקראת כתיבת הדוח זיהה כי רגולציה בתחום הסייבר אינה מהווה תמריץ עיקרי לגיבוש תפיסה ארגונית להגנת סייבר. מנגד, ג'ים אלקוב, בכיר בחברת Salesforce, הדגיש כי גם עמידה בדרישות הרגולציה אינה מספקת לבניית ארגון המסוגל להתמודד עם סיכוני סייבר. אלקוב אמר כי "מנהיגים עסקיים חייבים ליישם אסטרטגיית הגנת סייבר המתמקדת בכל הדרוש לבניית מיזם מהימן - לא רק עמידה בדרישות המינימום מבחינה משפטית או רגולטורית".
(מקור: הפורום הכלכלי העולמי, Global Cybersecurity Outlook 2022, עמ' 21)
פנייה ליועמ״ש מצד ארגונים חברתיים בישראל: לעצור מיד את השימוש בתוכנת המעקב Pegasus של NSO נגד אזרחים ישראליים
בהמשך לדיווחנו לעיל על מעקב המשטרה אחר אזרחים באמצעות תוכנת NSO ללא צו בית משפט ומבלי שמתנהלת חקירה נגד האזרחים הנמצאים במעקב (ראו ״סייבר בישראל״ בדוח זה), הארגונים שפנו ליועץ המשפטי לממשלה מאיימים להגיש עתירה לבג"ץ אם לא תתקבל החלטה בנושא תוך שבוע ימים. הארגונים העומדים מאחורי הפנייה הם איגוד האינטרנט הישראלי, המכון הישראלי לדמוקרטיה, עמותת ״פרטיות ישראל״, התנועה לחופש המידע, הקליניקה למשפט, לטכנולוגיה ולסייבר וארגון ״זולת״. בתוך כך, מפכ"ל המשטרה רנ"צ יעקב שבתאי הודיע כי "אם היו מקרים נקודתיים של חריגה מנהלים - נתקן". עוד הוסיף המפכ״ל שבתאי כי "בימים האחרונים פורסמו בעיתון 'כלכליסט' דיווחים על פעולות חקירה, אשר נעשו לכאורה שלא בהתאם לנהלים. פעולות אלה אירעו, בהתאם לפרסומים, על פני תקופה ממושכת. המשטרה בראשותי קשובה לכל ביקורת עניינית. ואכן, החל ממועד הפרסום, החלה המשטרה בבדיקה פנימית קפדנית. הבדיקה לא העלתה כל ממצא המלמד על חריגה לכאורה מהוראות הדין".
הנשיא ג׳ו ביידן פרסם מזכר תקדימי לגורמי ביטחון לאומי בארה"ב: הגברה משמעותית של דרישות הגנת הסייבר במערכות ביטחון לאומי
במזכר הנשיאותי, שפורסם ב-19 בינואר, קורא ביידן להגברת הגנת הסייבר על מערכות בעלות זיקה לביטחון לאומי, וקובע דרישות חדשות שיחולו על משרד ההגנה, על גורמי המודיעין האמריקאיים ועל רשויות ביטחוניות נוספות, בהן לשכת החקירות הפדרלית (FBI) והסוכנות להגנת סייבר ותשתיות (CISA). המזכר נועד לתמוך בתגובה הלאומית של ארצות הברית למתקפות כופרה כמו אלה שאירעו לאחרונה, ומוסיף אמצעי הגנת סייבר נוספים על אלה שנדרשו הסוכנויות הביטחוניות הפדרליות לאמץ במסגרת הצו הנשיאותי 14028 שפורסם במאי 2021, לרבות הצפנה ואימות רב-שלבי (MFA). זאת ועוד, המזכר מעניק לסוכנות לביטחון לאומי (NSA) סמכויות פיקוח על הסוכנויות הבטחוניות האחרות של ארצות הברית. גלן גרסטל, לשעבר היועץ המשפטי של ה-NSA, תיאר את המזכר החדש כ״המשך והבהרה״ של אחריות ה-NSA להגנה על רשתות ממשלתיות רגישות: "מה שקריטי במיוחד הוא שכעת סוכנויות אחרות המפעילות רשתות מסווגות נדרשות לדווח ל-NSA על פריצות [לרשתות אלה], ול-NSA יש את הסמכות לומר לסוכנויות כיצד להגן על רשתותיהן".
הרגולטור לנושא פרטיות המידע של האיחוד האירופי מחייב את היורופול למחוק מידע אישי שאינו קשור לפשע מקוון
בהחלטה שהתפרסמה לאחרונה, ה-European Data Protection Supervisor, שמקום מושבו בבריסל, קבע כי ארגון השיטור האירופי אוסף מידע אישי של תושבי היבשת הרבה מעבר לנדרש, מעבד מידע אישי של אנשים שאין להם כל קשר לפעילות פלילית ואף שומר אותו במערכותיו, תוך הפרת ״עקרון הגבלת האחסון״. אי לכך, הרגולטור תבע מהארגון למחוק את המידע האישי האמור תוך שישה חודשים. ואולם, ב-14 בינואר היורופול הגיש את התנגדותו לטווח הזמן שנקבע לביצוע המחיקה, בהסבירו שההחלטה תשפיע על יכולת הארגון לנתח מאגרי מידע גדולים ומורכבים במסגרת פעולות אכיפת החוק של האיחוד, לרבות המלחמה בטרור, בפשעי סייבר, בסחר בינלאומי בסמים ובהתעללות בילדים.
פגישה בבית הלבן עם חברות מובילות בסקטור הפרטי נועדה לקדם אבטחת תוכנה והגנת סייבר
בפגישה שכינס הבית הלבן ב-19 בינואר בהשתתפות בעלי עניין ממשלתיים ופרטיים, לרבות חברות טק מובילות כגון IBM, מיקרוסופט, Oracle ו-Meta, דנו הגורמים ביוזמות לשיפור אבטחת תוכנות קוד פתוח ובדרכים להניע שיפורים שיוצעו בתחום, כל זאת במסגרת שיתוף פעולה חדש בין גורמי ממשל למגזר הפרטי. חבילות התוכנה העיקריות עשויות לכלול תוכנת קוד פתוח, לרבות אלה המשמשות את קהילת הביטחון הלאומי. תוכנות אלה ניצבות בפני אתגרי אבטחה ייחודיים, בשל רוחב השימוש שנעשה בהן ומספר המתנדבים האחראים על תחזוקת האבטחה השוטפת שלהן. הדיון שהתקיים בבית הלבן התמקד בשלושה נושאים: מניעת ליקויי אבטחה וחולשות בחבילות קוד וקוד פתוח, שיפור תהליכי איתור הליקויים ותיקונם וקיצור זמן התגובה להפצה והטמעת התיקונים. נשיא ארצות הברית ג׳ו ביידן הפך את נושא אבטחת התוכנות לעדיפות לאומית וקבע הוראה ביצועית, לפיה רק חברות המשתמשות בפרקטיקות מאובטחות של פיתוח תוכנה ועומדות בהנחיות אבטחה פדרליות מסוימות יוכלו למכור את מוצריהן לגופי הממשל הפדרלי. הוראה זו נועדה, בין היתר, למינוף כוח הקנייה של הממשל לשם הנעת שיפורים בשרשרת האספקה, מהם יהנו חברות וממשלות ברחבי העולם.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס וגיא פינקלשטיין.