WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 22.09.2022

עיקרי הדברים

  1. . ישראל: צה״ל מדווח על עלייה של 70% בתקיפות האיראניות נגד ישראל ב-2022; 10 יחידות סייבר איראניות פועלות נגד ישראל; ״ארגונים ישראלים מהווים יעד בעדיפות עליונה למתקפות סייבר״. 

  2. ארה״ב תממן תוכנית סיוע בתחום הסייבר לארגונים ממשלתיים בשווי מיליארד דולר; האיחוד האירופי מטיל חובות בתחום הגנת הסייבר על יצרני מוצרים בתחום ה"אינטרנט של הדברים".

  3. קבוצת התקיפה Ragnar Locker פרסמה מידע אישי של כ-1.5 מיליון לקוחות של חברת התעופה הפורטוגלית TAP. מנכ״לית TAP: ״לא רוצים לנהל משא ומתן, […] מקווים שתתמכו בגישתנו האתית.״

  4. שיא חדש: תועדה מתקפת DDoS שכללה 25.3 מיליארד בקשות.

  5. *אנו ממליצים לעדכן את המוצרים הבאים: פסי השקע של חברת Dataprobe (קריטי); המוצר Microsoft Endpoint Configuration Manager (גבוה); הדפדפן Firefox של Mozilla (גבוה); Microsoft WDAC OLE DB (אין ציון).*

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

חולשה חדשה ב-Microsoft WDAC OLE DB שרמת חומרתה גבוהה עלולה לאפשר הרצת קוד מרחוק; טרם פורסם עדכון אבטחה
עדכון אבטחה לפסי השקע של חברת Dataprobe נותן מענה לחולשה קריטית חדשה
עדכון אבטחה לדפדפן Firefox של Mozilla נותן מענה ל-7 חולשות, 3 מהן ברמת חומרה גבוהה
עדכון אבטחה ל-Microsoft Endpoint Configuration Manager נותן מענה לחולשה ברמת חומרה גבוהה העלולה לאפשר מתקפת Spoofing
באג בן 15 שנה שלא ניתן לו מענה נמצא בחבילת tarfile של Python

התקפות ואיומים

חולשה חדשה ב-Microsoft WDAC OLE DB שרמת חומרתה גבוהה עלולה לאפשר הרצת קוד מרחוק; טרם פורסם עדכון אבטחה
עדכון אבטחה לפסי השקע של חברת Dataprobe נותן מענה לחולשה קריטית חדשה
עדכון אבטחה לדפדפן Firefox של Mozilla נותן מענה ל-7 חולשות, 3 מהן ברמת חומרה גבוהה
עדכון אבטחה ל-Microsoft Endpoint Configuration Manager נותן מענה לחולשה ברמת חומרה גבוהה העלולה לאפשר מתקפת Spoofing
באג בן 15 שנה שלא ניתן לו מענה נמצא בחבילת tarfile של Python
Emotet חוזרת לכותרות: רשת הבוטים בגל הדבקות חדש ב-2022
האקרים פרצו לסביבת הפיתוח של LastPass; אין חשש לחשיפת סיסמאות של לקוחות
קוריאה הצפונית מציגה: פישינג ב-WhatsApp
״מדריכים לפריצת משחקים״ ב-YouTube מובילים משתמשים להורדת נוזקות אשר מפיצות את עצמן
לקוח של Akamai חווה מתקפת DDoS שנייה השנה, שנבלמת למרות היקפה המאסיבי
חזרתה של קבוצת התקיפה TeamTNT

השבוע בכופרה

ארה״ב: בית החולים OakBend בטקסס מצוי תחת מתקפת כופרה ומאשר כי פרטי מטופלים הודלפו
ספקית שירותי החירום הניו יורקית Empress EMS חוותה מתקפת כופרה שכללה אירוע דלף מידע
קבוצת התקיפה Ragnar Locker פרסמה מידע אישי של כ-1.5 מיליון לקוחות של חברת התעופה הפורטוגלית TAP.
תוקף אלמוני חדר לשרתי LockBit 3.0 וגנב את כלי התקיפה של הקבוצה

המלחמה במזרח אירופה

קבוצת התקיפה UAC-0113 תוקפת ישויות אוקראיניות תוך התחזות לספקי תקשורת מקומיים

סייבר בעולם

בדיקת האיות ב-Google Chrome וב-Microsoft Edge מעבירה ל-Google ולמיקרוסופט מידע אישי
חברת Uber נפרצה; לטענתה לא נחשף מידע רגיש
פריצה לאתר Rockstar Games הובילה להדלפת קוד המקור וסרטונים של GTA 6
חברת התעופה American Airlines פרסמה כי נפרצה במתקפת סייבר
מידע אישי רגיש של עשרות אלפי לקוחות נגנב מחברת הבנקאות Revolut
חברת SEKOIA מצאה קשר בין הכלי PrivateLoader לבין שירות ה-PPI הנפוץ ruzki
שיא חדש: תועדה מתקפת DDoS שכללה 25.3 מיליארד בקשות
רשות התקשורת הפדרלית (FCC) מוסיפה שתי חברות תקשורת סיניות לרשימת החברות המהוות איום פוטנציאלי לביטחון ארה״ב ואזרחיה

סייבר בישראל

מערך הסייבר בצה״ל הודף 10 יחידות סייבר התקפיות של צבא איראן; עלייה של 70% בתקיפות האיראניות נגד ישראל ב-202

סייבר ופרטיות - רגולציה ותקינה

ארה״ב: הוועדה לניירות ערך ובורסות (SEC) מטילה קנס בגובה 35 מיליון דולר על חברת מורגן סטנלי בגין הפרה בוטה של זכויות הגנת הפרטיות של לקוחותיה
ארה״ב תממן תוכנית סיוע בתחום הסייבר לארגונים ממשלתיים בשווי מיליארד דולר
חברת Meta משתפת גורמי אכיפה במדינת נברסקה בשיחות פייסבוק בין אם ובתה כראיה מרכזית בכתב אישום שהוגש נגדן בגין ביצוע הפלה
נאט"ו מגנה את פעילות הסייבר נגד אלבניה

כנסים

 
 

הציטוט השבועי

״אחת המטרות העיקריות של איראן היא השפעה תודעתית ונסיון להפחיד את הציבור. על כן, היא נוהגת לנסות לתקוף מטרות אזרחיות שאין להן בהכרח ערך מבצעי, ואינן מיצרות נזק ממשי לצה"ל ולמדינת ישראל.״ 

- מייא הררי, מערכת אתר צה״ל

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

חולשה חדשה ב-Microsoft WDAC OLE DB שרמת חומרתה גבוהה עלולה לאפשר הרצת קוד מרחוק; טרם פורסם עדכון אבטחה 

השירות ​​Microsoft WDAC OLE DB מאפשר לחבר שרתי SQL ו-Azure SQL לתוכנות, ובאמצעות החיבור לקיים אינטראקציה עם מאגר המידע המחובר. ניצול החולשה החדשה (CVE-2022-35836, CVSS 7.7) מתבסס על הטעיית משתמש מאומת להתחבר לשרת SQL זדוני דרך OLE DB, מה שעלול לגרום לשרת לקבל פאקטה זדונית ובכך לאפשר לתוקף להריץ קוד מרחוק אצל המשתמש שהתחבר לשרת. לביצוע המתקפה נגד הרכיב הפגיע לא נדרשים תנאים מיוחדים, מלבד הפעולה הראשונית שעל המשתמש לבצע במערכת, דבר שלרוב מושג באמצעות פישינג. בשעה זו מיקרוסופט טרם פרסמה עידכון או דרכי מיטיגציה רלוונטיות.

צוות קונפידס ממליץ לנטר את רכיב התוכנה באופן שוטף לזיהוי פעילות חריגה, ולעדכן את התוכנה כאשר מיקרוסופט תפרסם גרסה מתוקנת שלה.


עדכון אבטחה לפסי השקע של חברת Dataprobe נותן מענה לחולשה קריטית חדשה

החולשה, שהתגלתה על ידי חברת אבטחת המידע Claroty ופורסמה גם על ידי הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), עלולה לאפשר לתוקף לזהות פסי שקע המחוברים לרשת, לעקוף את מנגנוני האימות שלהם ואף להריץ קוד מרחוק. פסי שקע מאפשרים חלוקה שווה של מתח וחשמל למוצרי חשמל שונים, והם חלק חשוב מאוד מחוות שרתים וממרכזי מידע. פסי השקע של חברת Dataprobe, המהווים כ-31% מפסי השקע המחוברים לרשת ברחבי עולם, מאפשרים ניטור של מכשירים ואף שליטה בהם דרך ממשק דפדפן. החולשה עלולה לאפשר לגורמים זדוניים לחבל בחוות שרתים ובמרכזי מידע, ובכך לגרום לחברות ברחבי העולם נזק הרסני.

צוות קונפידס ממליץ לבעלי פסי שקע של חברת Dataprobe לעדכן את המוצרים לגרסאותיהם האחרונות בהקדם האפשרי.


עדכון אבטחה לדפדפן Firefox של Mozilla נותן מענה ל-7 חולשות, 3 מהן ברמת חומרה גבוהה
3 החולשות שרמת חומרתן גבוהה, ואשר מטופלות בגרסה 105 של הדפדפן, הן:

CVE-2022-40962 - באג בזיכרון, שניצולו עלול לאפשר לתוקף להריץ קוד מרחוק.

CVE-2022-40959 - חולשה שמקורה בכך שבעת ״ניווט״ באמצעות iframe דפים מסוימים אינם מכילים בצורה מלאה את מערכת ה-FeaturePolicy. הדבר עלול להוביל לעקיפת ההגבלות שיוצר הדפדפן לשם הגנה מפני דלף מידע.

CVE-2022-40960 - חולשה מסוג Use-After-Free בעת פרסור כתובות (URLS) עם תוכן שאינו מקודד ב-UTF-8. הדבר עלול לאפשר הרצת קוד על עמדה פגיעה.

ניצול החולשות עלול לאפשר לתוקפים לשלוט באופן מלא על עמדות פגיעות באמצעות הרצת קוד שרירותי. כל גרסאות המוצר הקודמות לגרסה 105 פגיעות לחולשות.

צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו בהקדם על פי הוראות היצרן.

עדכון אבטחה ל-Microsoft Endpoint Configuration Manager נותן מענה לחולשה ברמת חומרה גבוהה העלולה לאפשר מתקפת Spoofing

ניצולה של החולשה (CVE-2022-37972, CVSS 7.5), שהתגלתה בשירות המשמש מנהלי IT לניהול מחשבים ושרתים, לעדכון תוכנות, לביצוע הגדרות אבטחה ולניטור מצבן של מערכות, אינו דורש פעולה מהצד המותקף, משום שהרכיב הפגיע נמצא ברמת הרשת וחשוף לפגיעה מכל רחביה. לשם ניצול החולשה לא נדרשים תנאי גישה או ביצוע מיוחדים, ואין צורך באימות במערכת לפני הוצאת התקיפה אל הפועל. ניצולה המוצלח של החולשה עלול לאפשר לתוקף להשפיע על משאבים ורכיבים בדומה למשתמש רגיל של השירות.

צוות קונפידס ממליץ למשתמשי השירות לעדכן את תוכנתו לגרסה האחרונה שפורסמה על ידי מיקרוסופט.


באג בן 15 שנה שלא ניתן לו מענה נמצא בחבילת tarfile של Python

ברשומת בלוג חדשה שכותרתה ״Exploiting the World With a 15-Year-Old Vulnerability" ואשר נכתבה על ידי קזימיר שולץ מחברת Trellix, מתוארת החולשה (CVE-2007-4559), שהתגלתה בעת חקירתה של חולשה אחרת. תחילה סברו חברי צוות המחקר שמצאו חולשת Zero-day חדשה, אך לאחר בדיקה קצרה גילו שמדובר בחולשה מסוג מעבר בין ספריות. חיפוש מהיר ב-GitHub העלה כי 588,840 מאגרי קוד פתוח המפורסמים בפלטפורמה משתמשים בחבילת ה-Python האמורה. כעת הצוות חוקר את רמת החומרה של החולשה, אשר ב-2007, כאשר דווחה לראשונה, קיבלה את ציון ה-CVSS 6.8. בסרטון POC שפרסמו באתרם הראו החוקרים כיצד החולשה מאפשרת, באמצעות הרשאות הכתיבה, להריץ קוד על עמדה פגיעה. לשם כך, החוקרים הדגימו הרצת קוד באמצעות ניצול האפליקציה Universal Radio Hacker. מאז דווחה החולשה לפני כעשור וחצי, הבאג טרם קיבל מענה, פרט לאזכור בדוקומנטציה של חבילת ה-Python, המזהיר מפתחים מפניו. פרטים טכניים נוספים מצויים עוד בדוח הראשון שפורסם בנושא ב-2007. בשעה זו לא ידוע על ניצול החולשה, אך הדבר ממחיש את הסיכון שבשרשרת האספקה של פיתוח תוכנה.

התקפות ואיומים

Emotet חוזרת לכותרות: רשת הבוטים בגל הדבקות חדש ב-2022
לפי חברת AdvIntel, רשת הבוטים הידועה לשמצה הדביקה השנה יותר ממיליון עמדות ברחבי העולם, בעיקר בחודשים פברואר, מרץ, יוני ויולי. רשת הבוטים, שהופיעה לראשונה ב-2014 כנוזקת בנקאות, זוהתה בעיקר עם קבוצת התקיפה הרוסית המפורסמת Conti, ומרבית פעילותה הופסקה עם סגירת הקבוצה ב-2022. גל ההדבקות האחרון מיוחס לקבוצות התקיפה Quantum ו-BlackCat, שעל פי ההערכות הוקמו על ידי ״יוצאי Conti״, ואשר לדברי החוקרים משתמשות ברשת הבוטים על מנת להפעיל על העמדות המודבקות את הכלי Cobalt Strike ובאמצעותו להזריק אל מכונת הקורבן את נוזקותיהן. לאורך השנים, מרבית מקרי ההדבקה של Emotet התבססו על מיילי פישינג.

צוות קונפידס ממליץ לנהוג משנה זהירות בעת קבלת מיילים ממקורות חדשים הכוללים קישורים לאתרים או צרופות. עוד מומלץ להשתמש ב-EDR או באנטי-וירוס לחסימת הפעלה ופעילות של קבצים זדוניים במחשב. לפרטים נוספים חייגו 8272*.


האקרים פרצו לסביבת הפיתוח של LastPass; אין חשש לחשיפת סיסמאות של לקוחות   

בהודעה שמסר ב-25 באוגוסט מנכ״ל LastPass כרים טובה, נאמר כי שבועיים לפני כן צוות האבטחה של החברה הבחין באירוע שבמהלכו נגנבו פיסות מקוד המקור של גרסת הפיתוח ומידע טכני אודותיה. בהודעה נוספת שפרסמה החברה ב-15 בספטמבר, נמסר כי פרצת האבטחה הוגבלה לסביבת הפיתוח בלבד, ושבחקירה משותפת עם חברת Mandiant נמצא שגישת התוקפים נמשכה ארבעה ימים, במהלכם פעל צוות ההכלה של החברה למיגור המתקפה. בשל פעולות אלה, לא נמצאה עדות לגניבת מידע אודות לקוחות או כספות של סיסמאות. עוד עלה מן החקירה שה-Patient Zero בתקיפה היה עמדתו של אחד המפתחים, אך לא ברור כיצד בוצעה הגישה הזדונית אליה. עם זאת, ידוע שלאחר שהעובד התחבר באמצעות אימות דו-שלבי (2FA), התוקפים התחזו אליו, ובכך הצליחו לגשת למידע בסביבת הפיתוח. מכיוון שסביבת הפיתוח של החברה ממודרת ואין לה חיבור רשת ישיר אל הסביבה הראשית של החברה - היא אינה מכילה מידע על לקוחות או על סיסמאות. לדברי טובה, ללא הסיסמה הראשית (Master Password), אשר אינה נשמרת על ידי LastPass, לא ניתן לפענח את תוכן הכספת, ולכן אין סכנה לסיסמאות הלקוחות. עוד הובהר כי צוות הפיתוח אינו יכול לשנות את קוד המקור הפועל בסביבה הראשית, ולכן אין אפשרות שהקוד הקיים ״הורעל״ במהלך פריצה שהוגבלה, כאמור, לסביבת הפיתוח בלבד. בעקבות המתקפה, החברה פועלת במגוון מישורים לחיזוק מערך ההגנה והמוכנות שלה, ומבטיחה ללקוחותיה שהמידע האישי שלהם, לרבות סיסמאותיהם, מוגנים.


קוריאה הצפונית מציגה: פישינג ב-WhatsApp
מתחקיר של חברת Mandiant עולה שקבוצת התקיפה UNC4034, המיוחסת לקוריאה הצפונית, הערימה על קורבן וגרמה לו להתקין נוזקה טרויאנית באמצעות קבצים זדוניים שנשלחו אליו ב-WhatsApp. הקשר הראשוני עם הקורבן נוצר דרך מייל פישינג, בו הוצעה לקורבן משרה בחברת Amazon, כביכול. לאחר התכתבות ראשונית במייל, השיחה עברה לאפליקציית WhatsApp, בה לא קיים מנגנון סינון קבצים, ואשר דרכה הועבר לקורבן קובץ ״הערכת תפקיד״ מסוג ISO. קובצי ISO מופעלים אוטומטית ו״מורכבים״ על כונן דיגיטלי במערכות ההפעלה Windows בגרסאות 10 ומעלה. הקובץ ששלח התוקף כלל גרסה זדונית של תוכנת ההתחברות מרחוק PuTTY, אשר הכילה העתק לגיטימי של התוכנה, אך בעת התחברות לכתובת IP מסוימת שסופקה לקורבן הפעילה קוד זדוני שהפעיל נוזקת Backdoor על המכונה הנתקפת. לדברי החוקרים, מקרה זה מהווה דוגמה לשיטת תקיפה המכונה ״עבודת החלומות״, בה נוהגים להשתמש גורמים זדוניים מקוריאה הצפונית, ואשר מתבססת על פנייה אל הקורבן במייל או ברשתות החברתיות עם הצעה למשרה נחשקת, ופיתויו להוריד קובץ או ללחוץ על לינק זדוני. השימוש ב-קובצי ISO מהווה גם הוא חלק ממגמה הולכת וגוברת שזיהו החוקרים, כאשר אפילו קבוצות תקיפה בעלות פרופיל גבוה, כמו APT29 המקושרת לרוסיה, משתמשות בקובצי ISO לצורך הדבקה.

צוות קונפידס ממליץ לנקוט משנה זהירות בעת קבלת קבצים או קישורים מגורמים שאינם מוכרים בסביבת המייל או הטלפון האישי.


״מדריכים לפריצת משחקים״ ב-YouTube מובילים משתמשים להורדת נוזקות אשר מפיצות את עצמן
על פי דוח חדש של חברת Kasperksy, סרטוני Youtube רבים המסבירים כיצד ניתן לרמות במשחקי מחשב פופולריים, כגון FIFA ,Spider-Man ו-APB, מפנים את המשתמש להורדת Bundle המכיל הן את הצ׳יטים (המסייעים למשתמש לרמות במשחקים), והן נוזקה מסוג Stealer וקוד שמוריד את הסרטון המקורי, משכפל את הנוזקה ומעלה מחדש את ״סרטון ההסבר" מחשבון ה-YouTube של המשתמש. מלבד גניבת המידע האישי והרגיש על ידי הנוזקה הנפוצה RedLine Stealer, הקורבן אף מתקין, שלא בידיעתו, כורה קריפטו. הוספת הכורה לחבילת הנוזקות המופצת בסרטונים העוסקים בנושאים כמו גיימינג הינה צעד מתוחכם למדי מצד התוקפים, שכן לרוב כריית מטבעות דיגיטליים דורשת כוח עיבוד גרפי רב, שנמצא בשפע במכשירים של גיימרים, הזקוקים למעבדים גרפיים מתקדמים לשם הרצת משחקי המחשב. השכפול האוטומטי של הנוזקה מתבצע באמצעות סקריפט #C שמופץ גם הוא בחבילה המורדת למחשב. הסקריפט הזדוני סורק את המחשב עבור קובצי עוגיות מהדפדפנים המותקנים עליו, ובאמצעות אלה משיגים התוקפים גישה לחשבון ה-YouTube של המשתמש, שדרכו הם מעלים מחדש את הסרטון המקורי בצירוף קישור לצ׳יטים (ולנוזקות). על סיום ההעלאה מדווחים התוקפים בפורום Discord ייעודי, עם קישור לסרטון החדש. פעולות אלה מהוות דוגמה לאופן בו שוק הורדת התוכנות והמשחקים הפיראטי רווי גורמים זדוניים ונוזקות.

צוות קונפידס ממליץ להימנע מהורדת תוכנות שלא דרך משווקן הרשמי. עוד מומלץ להשתמש בתוכנות הגנה, כמו אנטי-וירוס או EDR.


לקוח של Akamai חווה מתקפת DDoS שנייה השנה, שנבלמת למרות היקפה המאסיבי
דוח של חברת הגנת הסייבר Akamai מציג מתקפת מניעת שירות (DDoS) מתוחכמת שבשיאה רשמה 704.8 pps (חבילות מידע בשנייה). קורבן המתקפה הוא לקוח של החברה, אשר בחודש יוני ספג מתקפה קטנה יותר, שכללה את מרכז המידע הראשי שלו בלבד, בעוד שבזו הנוכחית הותקפו 6 מרכזי מידע בינלאומיים, לרבות באירופה ובארצות הברית. לאחר המתקפה שחווה ביוני, הלקוח החיל על כל מרכזי המידע שבבעלותו את הכלי Prolexic, המיועד להגנה על אתרי אינטרנט, ואשר במתקפה הנוכחית שימש ככלי מרכזי במיגורה. המתקפה, שנבלמה ב-99.8%, הסלימה באמצעות גידול מ-100 ל-1,813 כתובות במאגר כתובות ה-IP של החברה, אשר נמצאות ב-8 תת-רשתות ב-6 מיקומים גיאוגרפיים שונים, כל זאת תוך 60 שניות.

צוות קונפידס ממליץ לארגונים להטמיע בנכסיהם כלים להגנה מפני מתקפות DDoS, ליזום תוכנית פעולה לשעת משבר סייבר ולדאוג לצוות ניהול משברים זמין.  לפרטים נוספים חייגו 8272*.


חזרתה של קבוצת התקיפה TeamTNT

חוקרי אבטחת מידע מחברת Aqua זיהו פעילות של קבוצת תקיפה שאת הכלים בה היא משתמשת הצליחו לקשר לקבוצת TeamTNT, שבנובמבר 2021 הכריזה על סיום פעילותה. לאחר ההודעה פחת משמעותית זיהויים של שיטות, טכניקות ותהליכים שקושרו לקבוצה, אך לאחרונה זוהו מספר סוגי תקיפות המבוצעות על ידי כלים של TeamTNT, חלקם עברו שדרוג:

  1. The Kangaroo Attack - סריקת האינטרנט אחר שרתי Docker שאינם מוגדרים בצורה מאובטחת, על מנת להתקין בהם קובץ Image של מערכת ההפעלה Vanilla, שבסיום פעולתה מורידה סקריפט Shell. הסקריפט מוריד בתורו פרויקט מ-GitHub, אשר ככל הנראה שייך לקבוצת התקיפה, ותפקידו לנסות ולשבור את ה-(ECDLP (Elliptic Curve Discrete Logarithm Problem שמשמש בתחום הביטקוין לקריפטוגרפיה של המפתחות. תיאורטית, פענוח ה-ECDLP אינו אפשרי, אך הקבוצה משתמשת במשאבים של קורבנותיה על מנת לנסות ולפענחו בעבודה רוחבית.

  2. Cronb Attack - באמצעות מספר סקריפטי Shell, הקבוצה מתקינה תוכנות לכריית קריפטו, ומגבירה אחיזה במכונות על ידי הוספת דלתות אחוריות והרצתן באמצעות Cron jobs, ובאמצעות שיטות נוספות. 

  3. What Will Be - שני סקריפטים של Shell שנועדו ״לברוח״ מגבולות הקונטיינר על מנת לקבל גישה ואחיזה בשרת כולו. אחד הסקריפטים אף משמש לביצוע אופטימיזציה של פעילות כריית המטבעות של הקבוצה על השרת.

השבוע בכופרה

ספקית שירותי החירום הניו יורקית Empress EMS חוותה מתקפת כופרה שכללה אירוע דלף מידע
לדברי ספקית שירותי החירום והאמבולנס, ב-26 במאי נפרצו מערכותיה, אך רק ב-13 ביולי הדליף התוקף קבצים בנפח 280GB עם מידע אודות לקוחותיה, וב-14 ביולי הצפין אותם. לדברי הארגון, "חלק מהקבצים הכילו שמות של מטופלים, תאריכי מתן שירות, מידע ביטוחי, ובמקרים מסוימים מספרי ביטוח לאומי״. עוד נמסר כי החברה יוצרת קשר עם הלקוחות שהושפעו מדלף המידע ומציעה להם שירותי ניטור כרטיסי אשראי. למרות ש-Empress EMS טרם חשפה את זהות הקבוצת העומדת מאחורי אירוע הסחיטה הכפולה, (גניבת קבצים, הצפנת מערכות ואיום לפרסם את הנתונים אם לא ישולם כופר), ב-26 ביולי קבוצת התקיפה Hive פרסמה באתרה דגימה מתוך דלף הנתונים האמור, שלאחר מכן הוסרה מן האתר. עם זאת, לאחר בדיקת היסטוריית הנתונים ברשת האפלה, חברת מודיעין הסייבר KELA הצליחה לאמת את פרסום הנתונים על ידי Hive. בתוך כך, הארגון המותקף הודיע למחלקת הבריאות ושירותי האנוש של ארצות הברית שלפחות 300 אלף איש הושפעו מהאירוע, עם פוטנציאל למספר גבוה הרבה יותר. אי לכך, כל אדם שהשתמש בשירותיה של Empress EMS ויכול להוכיח זאת באמצעות הצהרת בריאות, רשאי ליצור קשר עם החברה עד ל-9 באוקטובר וליהנות משירותי הניטור המוצעים. לדברי Empress EMS, היא חיזקה את אבטחת מערכותיה כדי למנוע את הישנות המקרה. במקביל, משרד עורכי הדין האמריקאי Cole & Van Note, המתמחה בזכויות צרכנים, הכריז שיחקור את התקרית, כדי לבחון פוטנציאל ליטיגציה והחזרים עבור האנשים שנפגעו כתוצאה ממנה.


קבוצת התקיפה Ragnar Locker פרסמה מידע אישי של כ-1.5 מיליון לקוחות של חברת התעופה הפורטוגלית TAP
בסוף חודש אוגוסט טענה Ragnar Locker שפרצה למערכותיה של TAP, והפצירה בה להודות בדבר (ראו ״הסייבר״, 8.9.22). לאחר מאבק דיגיטלי בין שני הגורמים, שכלל הדלפה ״מזערית״ של מידע אודות כ-100,000 מלקוחות החברה ומתקפת DDoS מצד חברת התעופה, כעת הציבה Ragnar Locker רף חדש במאבק, כשהדליפה מידע אודות 1.5 מיליון לקוחות של חברת התעופה, לצד מסמכים עסקיים. בהודעה שפרסמה הקבוצה, היא מסבירה כי בחרה להדליף את כלל המידע שגנבה מ-TAP משום ש״אנו רואים של-TAP Air כלל לא אכפת מפרטיות המידע האישי שאספה מלקוחותיה. TAP Air ניסתה לעשות הכל מלבד להגן על מידע של לקוחות, בניסיון להסתיר את האמת, ואף ניסתה לתקוף את משאבינו, ׳פתרון הגיוני׳ מאוד עבור חברה במעמדה״ (להלן צילום מסך של הודעת הקבוצה).

ב-21 בספטמבר פרסמה מנכ״לית החברה כריסטין אורמייר-וויידנר סרטון בו התייחסה לפריצה, באומרה כי ״לאחרונה סבלנו ממתקפת סייבר. לצערי, האקרים הצליחו להוריד מידע מהשרתים המוגנים שלנו. הם פגעו בנו ופגעו בכם, לקוחותינו. עכשיו הם מפרסמים את המידע בדארקנט. חשוב לומר שאיננו רוצים לנהל מו״מ ולתת פרס להתנהגות כזאת, בשום צורה. אנו מקווים שתתמכו בגישתנו האתית״. בהודעה רשמית של החברה, שפורסמה באותו היום, נכתב כי המידע של הלקוחות היה שמור ״באופן מאובטח במערכות המחשוב של TAP, באמצעים ארגוניים וטכנולוגיים העומדים בתקנים ובדרישות החוק״, וכן הובעה התנצלות בפני הלקוחות שנפגעו בדלף המידע. עוד הצהירה החברה על חידוש התחייבותה להגנה על המידע של לקוחותיה, ומסרה כי היא מפתחת אמצעים נוספים לשמירה ולהגנה עליו.

                                                                   (מקור: DarkFeed, 19.9.22@)

תוקף אלמוני חדר לשרתי LockBit 3.0 וגנב את כלי התקיפה של הקבוצה

בחשבון טוויטר חדש, שנפתח תחת השם Ali Qushji, פורסם דיווח לפיו ״הקבוצה שלנו הצליחה לחדור לשרתי LockBit, ולהוציא את הבילדר של LockBit 3.0״. הציוץ כלל גם קישור וסיסמה להורדת הבילדר הגנוב. קהילת החוקרים לא נותרה אדישה לידיעה, והחלה בשיתוף הדבר ברשת ובתהליכי ״הנדסה לאחור״, ליצירת מפתחות פענוח לקבצים מוצפנים. אליה וקוץ בה: מאחר והבילדר מכיל בתוכו את מחולל הסיסמאות, את עורך הקבצים ואת סקריפט ההרצה, הנחת היסוד היא שמביני דבר יאמצו את הכלים לייסוד קבוצות תקיפה נוספות, וישתמשו בהם לביצוע מתקפות כופרה נגד ארגונים. 

ֿ

                                                                     (מקור: all_qushji, 21.9.22@)

ארה״ב: בית החולים OakBend בטקסס מצוי תחת מתקפת כופרה ומאשר כי פרטי מטופלים הודלפו

לדברי המוסד הרפואי, החל מה-1 בספטמבר הוא חווה מתקפת כופרה, ובשעה זו הוא עוסק בשחזור מערכותיו ובתגובה לאירוע ביחד עם רשויות החוק ומומחי סייבר מקומיים. בעדכון האחרון שפרסם בית החולים באתרו הרשמי, הוא מאשר כי נגנב מידע רפואי על מטופלים ומידע על עובדיו, וכי בהתאם לנהלי העבודה המערכות כובו לצורך טיפול באירוע. עוד פורסמה באתר רשימת קווי חירום לסיוע מיידי, כאשר לדברי המוסד מערכות המייל הארגוני שלו שבו לפעילות מלאה, והשירותים הניתנים טלפונית צפויים לשוב בקרוב (נכון לכתיבת שורות אלה, טרם דווח אם אלה שבו לפעול). בחשבון הטוויטר של מומחה אבטחת המידע ברט קלואו פורסם כי קבוצת התקיפה Daixin טוענת שהיא האחראית לתקיפה ושברשותה יותר ממיליון רשומות הכוללות מידע אישי ובריאותי מתוך מערכות בית החולים.  

המלחמה במזרח אירופה

 
 

קבוצת התקיפה UAC-0113 תוקפת ישויות אוקראיניות תוך התחזות לספקי תקשורת מקומיים

צוות החוקרים Insikt Group מבית Recorded Future פרסם דוח מחקר המבוסס על מעקב אחר פעולות ריגול סייבר נגד ארגונים ממשלתיים ופרטיים באזורים רבים, לרבות אוקראינה. מהדוח עולה שהחל מאוגוסט 2022 ניכרה עלייה עקבית בתשתית הפיקוד והבקרה (C2) המשמשת את הקבוצה UAC-0113, אחריה עקב ה-CERT-UA, צוות החירום האוקראיני לטיפול באירועי מחשב, וקישר אותה לקבוצת ה-APT הרוסית Sandworm. בדוח מודגשות מגמות שנצפו בניטור התשתיות של UAC-0113, בהן שימוש חוזר בדומיינים דינמיים של DNS תוך התחזות לספקי טלקומוניקציה הפועלים באוקראינה, דבר המעיד על המשך מאמצי הקבוצה לפגוע בישויות במדינה. זאת ועוד, באמצעות שילוב בין זיהוי יזום של תשתיות יריב וטכניקות של ניתוח דומיינים, עלה בידי Insikt Group לקבוע שהשימוש של UAC-0113 בתשתית שהתגלתה לאחרונה חופף לטקטיקות, לטכניקות ולנהלים אחרים (TTPs) שה-CERT-UA ייחס בעבר לקבוצה. העתקת התשתיות וההתחזות ממשיכות את מגמת ההתחזות לספקי תקשורת באוקראינה, ומתאפיינות בהפצת מטענים זדוניים באמצעות טכניקת HTML smuggling, הפורסת את התוכנות הזדוניות Colibri Loader ו-Warzone RAT.

במסגרת ההתחזות נצפה מסמך הטעיה שמטרתו אינה ברורה במלואה, אך סביר להניח שיבוצע בו שימוש נגד מטרות באוקראינה לתמיכה בפעולה צבאית באזור, בדומה לפתיונות אחרים בהם משתמשת UAC-0113. מסמך הפיתוי פורס את הנוזקה DarkCrystal RAT, בפעולות המכוונות בעיקר נגד מטרות באוקראינה, ובייחוד נגד אנשים וגופים המחפשים מידע על אנשי צבא אוקראינים הקשורים לנושאי סיוע משפטי. עם זאת, למרות שכותרת מסמך הפיתוי נוגעת לעניינים משפטיים הקשורים לאנשי צבא, ה-CERT-UA סבור שהפעילות הזדונית כוונה גם נגד ספקי תקשורת אוקראינים.

DarkCrystal RAT היא תוכנת זדונית נסחרת הפעילה לפחות מ-2018, ומאז גילויה נראה שהוצעה למכירה בפורומים מחתרתיים. ככל הנראה, הנוזקה מהווה מוקד משיכה למגוון רחב של קבוצות תקיפה, לרבות גופים המחפשים כלי לגניבת מידע שיש ביכולתו לשבש מאמצים לייחוס הפעילות הזדונית. בניתוח של תשתית המקושרת ל-UAC-0113 נחשף קובץ ISO זדוני שהכיל את מסמך פיתוי הכתוב באוקראינית, המתחזה לבקשה להנחות על דלק לאזרחי מחוז אולקסנדריה שבדונייצק, ומספק קובץ הפעלה הפורס את Colibri Loader ואת Warzone RAT במחשב היעד. Colibri Loader הינה נוזקה שהושכרה בפורום XSS על ידי המשתמש c0d3r_0f_shr0d13ng3r, ואשר כתובה בשפות אסמבלי ו-C, במטרה להתמקד במערכות המבוססות על מערכת ההפעלה Windows. הכלי הפופולרי Warzone RAT (הידוע גם בשם Ave Maria Stealer), המשמש לגישה מרחוק למוצרים (RAT), נמצא בפיתוח פעיל מאז 2018.

בניתוח אופן ההתחזות לדומיינים לגיטימיים של חברות תקשורת אוקראיניות, נחשפו, בין היתר, פעולות של זיוף תעודות TLS ושימוש בבאנרים בדפי HTML כדי להערים על הנכנסים לאתרים. הדומיינים ett[.]ddns[.]net ,star-link[.]ddns[.]net ו-kievstar[.]online וכתובות ה-IP הבאות: 103[.]150[.]187[.]121 ו-217[. ]77[.]221[.]199 אירחו, בזמנים שונים, את אותו דף אינטרנט, הכולל את הטקסט בשפה האוקראינית ״ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ״, שפירושו "המינהל הצבאי האזורי של אודסה", ואת הטקסט באנגלית "File is downloaded automatically". בתוך ה-HTML של דף האינטרנט כלול קובץ ISO מקודד, שנפרס באמצעות טכניקת HTML smuggling ומוגדר להורדה אוטומטית בעת ביקור באתר. 

סייבר בעולם

 
 

בדיקת האיות ב-Google Chrome וב-Microsoft Edge מעבירה ל-Google ולמיקרוסופט מידע אישי
המידע כולל, בין היתר, סיסמאות לחשבונות ב-Google ובמיקרוסופט. שליחת המידע מתבצעת בעת הפעלתה של האופציה Extended spellcheck בדפדפן, דבר שמפעיל בתורו את שידור המידע לאותן חברות. המידע המועבר תלוי באתר בו גולש המשתמש, והוא עשוי לכלול מספרי זהות, שמות, כתובות, תאריכי לידה ועוד, ואף אינפורמציה על מאגרי מידע ותשתיות ענן. התקלה התגלתה על ידי ג׳ון סאמיט מחברת otto-js, שהסביר כי במידה והמשתמש יבחר באפשרות Show password, הסיסמה תשלח ל-Google או למיקרוסופט ישירות. התקלה בשירות משפיעה על אתרים רבים, אשר מידע רגיש של משתמשים שמוקלד בהם מועבר לאותן חברות. מחקר התקלה נראה כי מידע מבדיקת האיות מועבר ל-Google גם בשימוש באתרים גדולים, כגון האתרים של CNN ,Facebook ,Bank of America ועוד. על אף שהמידע מועבר בצורה מאובטחת (HTTPS), לא ברור מה עולה בגורלו כשהוא מגיע לצד השני. יודגש כי בגישה להגדרות בדיקת האיות תחת האפשרות של Extended spellcheck (בדפדפן Chrome), נרשם במפורש כי ״טקסט שמוקלד בדפדפן נשלח ל-Google״. מחברת Google נמסר כי היא אינה שומרת את המידע או משייכת אותו למשתמש מסוים, וכי המידע מעובד בשרת זמני. עוד נמסר כי צוותי הפיתוח של החברה יעבדו על פתרון להחרגת שדות סיסמה משליחה לבדיקת איות. בפנייה למיקרוסופט לקבלת התייחסות לנושא נמסר כי הוא מצוי בבדיקה.
צוות קונפידס ממליץ ממשתמשים לוודא שאפשרות ה-Extended spellcheck ב-Chrome וב-Edge כבויה. זאת ועוד, בעלי אתרים יכולים להחיל את התווית "spellcheck=false" על כל שדות הקלט באתר, או לחלופין על שדות עם מידע אישי, עד להפצת עדכונים שיתנו מענה לחולשה.


חברת Uber נפרצה; לטענתה לא נחשף מידע רגיש
לאחר שב-15 בספטמבר הודיעה החברה כי מערכותיה נפרצו ודיווחה על האירוע לרשויות האכיפה, כעת היא מעדכנת שמחקירת האירוע נראה כי לא נחשף מידע רגיש של משתמשים (למשל מסלולים). עם זאת, החברה אינה מכחישה שהתוקף הצליח להשיג מידע כלשהו של משתמשים. בשעה זו, כל מערכותיה של Uber, כגון אפליקציית החברה, שבו לפעול כרגיל, ואילו כלים שהיו בשימוש פנימי של והורדו מהרשת לצורך הכלת האירוע חוזרים לשימוש בהדרגה. ככל הנראה, המתקפה בוצעה על ידי האקר בן 18, שהצליח לגנוב משתמש VPN של אחד מעובדי Uber באמצעות הנדסה חברתית, ולגרום לו להזין את פרטי המשתמש שלו ואת קוד האימות הרב-שלבי (MFA) באופן שאפשר לתוקף לרשום מכשיר בבעלותו כמורשה לקבלת קודי ה-MFA. בכך עלה בידיו להשיג גישה אל הרשת הפנימית של החברה, לסרוק אותה ולמצוא בה תיקיית רשת המכילה סקריפטים של PowerShell עם Credentials למשתמש אדמין. באמצעות משתמש זה הצליח התוקף לגשת אל מערכות פנימיות נוספות של Uber, בהן AWS, G-Suite, OneLogin ואחרות. טרם התברר המניע לפריצה, אך בהודעה שפרסם התוקף בערוץ ה-Slack הפנימי של החברה הוא קרא להעלאת השכר של נהגיה.


פריצה לאתר Rockstar Games הובילה להדלפת קוד המקור וסרטונים של GTA 6
על פי מגזין אבטחת המידע BleepingComputer, הסרטונים וקוד המקור הודלפו לראשונה ב-GTAForums, כשתוקף המכונה teapotuberhacker שיתף קישור לארכיון RAR המכיל 90 סרטונים גנובים, אותם השיג, לכאורה, בפריצה לשרת ה-Slack של Rockstar Game ול-Wiki (אתר המידע הארגוני) של Confluence. כל הנראה, הסרטונים נוצרו על ידי מפתחים האחראים על גילוי באגים בתכונות שונות של המשחק, וחלקם מכילים שיחות קוליות בין גיבור המשחק לאנשי Non-playable characters) NPC) אחרים. בינתיים, הסרטונים הגיעו ל-YouTube ולטוויטר, דבר אשר גרר הודעות על הפרת DMCA מצד חברת Rockstar Games, שאף שלחה בקשות להסרת הסרטונים מהרשת. הדבר מחזק את הטענה בדבר האותנטיות של סרטוני ה-GTA 6 שהודלפו.

בעוד שמאמצי ההסרה החלו מאוחר מדי והתוקף כבר הדליף את הסרטונים בטלגרם, במקביל הוא מנסה לסחוט את Rockstar Games, בטענה כי בידיו מצויים קוד המקור ונכסים נוספים של המשחקים GTA 5 ו-GTA 6. התוקף דורש תשלום כספי עבור מניעת פרסום נתונים נוספים, ומול חברי GTAForums שהביעו ספקות בדבר המתקפה טען שהוא העומד מאחורי מתקפת הסייבר האחרונה על Uber (ראו ידיעה קודמת בדוח זה), והדליף צילומי מסך של קוד מקור של GTA 5 ו-GTA 6, לחיזוק טענותיו. לדברי התוקף, הוא מקבל הצעות של יותר מ-10,000 דולר עבור קוד המקור והנכסים של GTA 5, אך בשלב זה אינו מציע למכירה את קוד המקור של GTA 6.

למרות שהמגזין BleepingComputer פנה ל-Rockstar Games לקבלת תגובה, החברה טרם פרסמה הצהרה או הגיבה לפניית המגזין, ואולם ג'ייסון שרייר מחדשות Bloomberg אישר בטוויטר את דבר ההדלפה, על סמך שיחותיו עם מקורות ב-Rockstar Games. למרות ש-BleepingComputer לא הצליח לאשר את טענות התוקף בדבר אחריותו למתקפה על Uber, אך ידוע שבמהלך מתקפת הסייבר על Uber השיג התוקף גישה לשרת ה-Slack של החברה ולשירותים פנימיים נוספים באמצעות מתקפת הנדסה חברתית על אחד מעובדיה. למרות שטרם ידועים פרטים רבים על הפריצה ל-Rockstar Games, מסתמן שסוגי השרתים אליהם בוצעה גישה וההודעות הפומביות שפרסם התוקף דומים מאוד לאלה של ההאקר העומד מאחורי תקיפת Uber.


חברת התעופה American Airlines פרסמה כי נפרצה במתקפת סייבר 

החברה האמריקאית, שהינה מהגדולות בתחומה בעולם ומונה יותר מ-1,300 מטוסים, 120 אלף עובדים ו-6,700 טיסות יומיות, הודיעה ללקוחותיה ב-16 בספטמבר שנפרצה ושקיים סיכון לדלף מידע אישי ורגיש, לאחר שתוקף הצליח להשיג אחיזה במספר חשבונות מייל של עובדיה. לאחר ש-5 ביולי גילתה American Airlines כי נפלה קורבן למתקפת סייבר, היא פעלה באופן מידי לאבטחת חשבונות המייל עליהם השפיע הפריצה ושכרה את שירותיה של חברת אבטחת סייבר ופורנזיקה לחקירת האירוע ולקביעת היקף הנזק. המידע שנחשף כתוצאה מהמתקפה, ואולי מצוי בידי התוקף, עלול להכיל פרטים על עובדים ולקוחות, לרבות שמות, תאריכי לידה, כתובות מגורים, מספרי טלפון, כתובות מייל, מידע על דרכונים ותעודות זהות ועוד. מחברת התעופה נמסר שכחלק מהפיתרונות שתספק ללקוחותיה שהושפעו מהמתקפה, תעניק לכל אחד מהם מנוי לשנתיים, ללא עלות, לשירות Experian IdentityWorks, הכולל ייעוץ וליווי במקרים של גניבת זהות. עם זאת, לדברי החברה לא נמצאו עדויות לניצול המידע שנגנב. בשלב זה טרם נחשפו נתונים אודות מספר הלקוחות שהושפעו מהאירוע ומספר חשבונות המייל שנפרצו. אין זה מקרה הפריצה הראשון שמשפיע על חברת התעופה האמריקאית, כאשר במרץ 2021 נפרצה חברת SITA, ספקית שירותי IT לחברות תעופה, והתוקפים הצליחו לגשת למערכת ניהול לקוחות בה משתמשות מרבית חברות התעופה, בהן גם American Airlines (ראו ״הסייבר״, 11.3.21).


מידע אישי רגיש של עשרות אלפי לקוחות נגנב מחברת הבנקאות Revolut

החברה הבריטית, המציעה שירותי בנקאות, ניהול כספים והשקעות, נפרצה וחוותה גנבת נתונים אישיים של 50,150 לקוחות (0.16% מכלל לקוחותיה), הכוללים שמות מלאים, כתובות מגורים, כתובות מייל, נתוני חשבונות, מספרי טלפון, מיקוד ונתונים חלקיים של כרטיסי אשראי. ככל הנראה, הגישה אל מאגר הנתונים של החברה נעשה באמצעות שיטות תקיפה של הנדסה חברתית. צוות האבטחה של החברה פעל מידית למיגור המתקפה, ובשעה זו נמשכת חקירת האירוע על ידי החברה והסוכנות להגנת המידע של ממשלת ליטא (ADSP), שם יש ל-Revolut זיכיון, למרות שרק חלק זעום מהנפגעים בתקיפה הם אזרחים ליטאים. לדברי החברה, היא יצרה קשר עם הלקוחות שהושפעו, אך למניעת נפילת קורבן למתקפות פישינג היא מדגישה כי בשום אופן לא תבקש מלקוחותיה מידע אודות פרטי התחברות או קודי כניסה. עוד אמרה החברה כי זיהתה ובודדה את המתקפה באופן מידי, וכי לא נגנבו במהלכה כספים. בתוך כך,  Revolut התנצלה בפני הלקוחות שנפגעו והנחתה את כלל לקוחותיה להמשיך ולהשתמש בכרטיסיהם ובחשבונותיהם ללא חשש, תוך הבטחה שהיא מתייחסת אל האירוע במלוא כובד הראש.


חברת SEKOIA מצאה קשר בין הכלי PrivateLoader לבין שירות ה-PPI הנפוץ ruzki
החברה הבחינה כי PrivateLoader, שנצפה לראשונה ב-2021, הוא אחד הכלים הנפוצים ביותר מסוגו בהם נעשה שימוש ב-2022. תפקידו של הכלי הוא להוריד בצורה שקטה ודיסקרטית נוזקות ומטעני נוזקה אל עמדה מודבקת, ולהקשיח את רמת האחיזה של התוקף בעמדה. אנליסטים מחברת SEKOIA עקבו אחרי התשתית של PrivateLoader לאורך זמן, ולאחרונה החלו בניתוח והנדסה לאחור של הכלי. במקביל, הם עקבו אחר פעולות הקשורות לשירות ה-PPI של ruzki, המשווק בפורומים רוסים מחתרתיים ובערוצי טלגרם ייעודיים לפחות ממאי 2021, כאשר השירות העיקרי המוצע על ידי ruzki הוא באנדלים של אלפי התקנות במערכות מסביב לעולם. מחקירתה של SEKOIA עולה כי PrivateLoader הינו קניין רוחני של ruzki, וכי ערוצי הטלגרם והמשתמשים המקדמים את שירות ה-PPI נפתחו במאי 2021 - התאריך בו להערכת צוות המחקר INTEL471 נצפה PrivateLoader לראשונה. עוד הצליחו חוקרי SEKOIA לזהות כי רשת בוטנט אחת מחוברת אל כל שרתי ה-C2 השולטים בהתקנות על המחשבים הנגועים.


שיא חדש: תועדה מתקפת DDoS שכללה 25.3 מיליארד בקשות
מתקפת מניעת השירות (DDoS), שנחשפה על ידי חברת אבטחת הסייבר Imperva, התרחשה ב-27 ביוני וכוונה נגד חברת תקשורת סינית ששמה לא נחשף. המתקפה נמשכה ארבע שעות, ובשיאה נשלחו 3.9 מיליון בקשות לשנייה (rps). התוקף השתמש בטכניקה המכונה HTTP/2 multiplexing, שהינה דרך לאחד מספר פאקטות לאחת, ובכך לשלוח מספר בקשות במקביל בכל פעולה. לדברי Imperva, מקור המתקפה ברשת בוטנטים שהדביקה כ-170 אלף מכשירים ב-180 מדינות, בעיקר בארצות הברית באינדונזיה ובברזיל. בחודש שעבר דיווחה חברת Akamai על מתקפת DDoS שבשיאה נרשמו 704.8 מיליון בקשות לשנייה.

רשות התקשורת הפדרלית (FCC) מוסיפה שתי חברות תקשורת סיניות לרשימת החברות המהוות איום פוטנציאלי לביטחון ארה״ב ואזרחיה

החברות PacNetֿ\ComNet ו-China Unicom נוספו לרשימה מחשש שהן עלולות "למקד, לאסוף, לשנות, לחסום ולנתב מחדש את תעבורת הרשת". חברות אלה מצטרפות לענקית אבטחת המידע Kaspersky, שנוספה לרשימה בחודש מרץ האחרון (ראו ״הסייבר״, 17.3.22), ולחברות התקשורת China Telecom Corp ו-China Mobile International. 

סייבר בישראל

 

מערך הסייבר בצה״ל הודף 10 יחידות סייבר התקפיות של צבא איראן; עלייה של 70% בתקיפות האיראניות נגד ישראל ב-2022

בצה״ל מסכמים שנה של הגנת סייבר מול יחידות הסייבר ההתקפיות של איראן. על פי דובר הארגון, בצבא איראן פועלות כ-20 יחידות סייבר, 10 מהן עוסקות בתקיפות נגד מדינת ישראל וגופיה. השנה חלה עלייה של כ-70% בכמות התקיפות האיראניות נגד גופים בישראל, כאשר לדברי צה״ל מרבית התקיפות סוכלו ומעטות צלחו, בהן תקיפת בית החולים ״הלל יפה״ בחדרה, שגרמה נזק לתפקודו השוטף של המוסד הרפואי. אל ניסיונות ההתגוננות ומבצע החזרה לשגרה של בית החולים התגייסו מספר גופים שסייעו לו לטפל באירוע, בהם היחידות הצה״ליות הרלוונטיות. 

סייבר ופרטיות - רגולציה ותקינה

 

ארה״ב: הוועדה לניירות ערך ובורסות (SEC) מטילה קנס בגובה 35 מיליון דולר על חברת מורגן סטנלי בגין הפרה בוטה של זכויות הגנת הפרטיות של לקוחותיה 

ב-20 בספטמבר הטילה ה-SEC את הקנס על מורגן סטנלי סמית' ברני (MSSB) לאחר תהליך פשרה בין שני הגורמים, וכתוצאה מהפרת חובותיה של החברה להגן על המידע האישי של יותר מ-15 מיליון לקוחות. לטענת ה-SEC (לגביה MSSB אינה נוקטת עמדה ואינה מקבלת או דוחה את ממצאי הוועדה), בין השנים 2015 ל-2017 החברה השתמשה בשירותיו של ספק הובלה ואחסון שלא היה בעל ניסיון מספק, לשם השמדת אלפי כוננים קשיחים ושרתי מחשב בהם אוחסן מידע פרטי רב של לקוחות MSSB. מאוחר יותר, הספק מכר לצדדים שלישיים את הציוד האמור, שעדיין כלל מידע אישי רב ולא מוצפן, כאשר חלק מהציוד אף הגיע למכירה פומבית. כשנודע ל-MSSB על הכשל, החברה ניסתה לרכוש את הציוד בחזרה, אך את רובו לא הצליחה להשיג. לפי גורביר ס. גרוואל, מנהל חטיבת האכיפה של ה-SEC, "כישלונותיה של MSSB במקרה זה מדהימים. לקוחות מפקידים את המידע האישי שלהם בידי אנשי מקצוע פיננסיים מתוך הבנה וציפייה שהוא יהיה מוגן, ו-MSSB כשלה בכך קשות. […] אם לא יישמר כראוי, מידע רגיש זה עלול להגיע לידיים הלא-נכונות ולהביא להשלכות הרות אסון למשקיעים. הפעולה שננקטה היום מעבירה מסר ברור למוסדות פיננסיים, שהם חייבים לקחת ברצינות את חובתם לשמור על נתונים כאלה".


ארה״ב תממן תוכנית סיוע בתחום הסייבר לארגונים ממשלתיים בשווי מיליארד דולר

בזכות חוק התשתיות הדו-מפלגתי, המחלקה לביטחון המולדת (DHS) של ארצות הברית הכריזה על תוכנית מענקי סייבר עבור ארגונים ממשלתיים, לרבות ממשל אזורי ומקומי, שיוקצו לזכאים בפריסה של 4 שנים, על מנת לתמוך בטיפול ובחיזוק התמודדותם עם סיכוני סייבר למערכותיהם. בנוסף למענק הכספי, יתקיים שיתוף פעולה בין הארגונים הזכאים לבין הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA). תוכנית זו מגיעה על רקע שורת הצהרות ותובנות מצד הממשל האמריקאי בנוגע לשיפור יכולות ההגנה והעמידות של ארצות הברית בפני מתקפות סייבר. גופים העומדים בקריטריונים שנקבעו רשאים להגיש בקשה למענק דרך אתר ה-DHS. 


חברת Meta משתפת גורמי אכיפה במדינת נברסקה בשיחות פייסבוק בין אם ובתה כראיה מרכזית בכתב אישום שהוגש נגדן בגין ביצוע הפלה
האם ובתה עומדות לדין על תכנון וביצוע הפסקת הריון של הבת. בהתכתבות שהשתיים ניהלו בפייסבוק בנושא, האם כתבה כי ״הגלולה הראשונה עוצרת את ההורמונים, ולאחר מכן את צריכה לחכות 24 שעות ואז לקחת את הגלולה השנייה״. לפי הרישומים המשטרתיים, יומיים לאחר מכן הבת השתמשה בגלולה לצורך ביצוע הפלה. התקשורת הפרטית שהתקיימה בפייסבוק בין השתיים הושגה באמצעות צו משטרתי והפכה לראיה מרכזית בכתב האישום שהוגש נגד האם והבת. למרות שהאירוע התרחש לפני ביטול פסק הדין ההיסטורי רו נ׳ וויד בידי בית המשפט העליון האמריקאי (ראו ״הסייבר״, 30.6.22), ההאשמות נגד השתיים מתבססות על חוקי מדינת נברסקה, שאוסרים על ביצוע הפלות לאחר השבוע ה-20 להריון. המקרה מעלה חששות כבדים בנוגע לאופן בו גופי תקשורת פרטיים, כגון פייסבוק, משתמשים ומספקים את פרטיהם האישיים של משתמשיהם וחושפים את שיחותיהם הפרטיות על רקע אישומים פליליים. 


נאט"ו מגנה את פעילות הסייבר נגד אלבניה
בהודעה שפרסם הארגון, הוא מצהיר על תמיכתו באלבניה בעקבות מתקפת הסייבר האחרונה על התשתיות הלאומיות הקריטיות של המדינה (ראו ״הסייבר״, 8.9.22). בכך, נאט״ו מצטרף לקריאות של חלק מהמדינות החברות בו לייחס את האחריות לתקיפות הסייבר הללו לממשלת איראן, ומגנה אותן בחריפות. עוד הודגש בהודעה כי נאט״ו רואה בחומרה את המתקפה, שמשבשת את חיי האזרחים, וכי יש לקדם את החלת הדין הבינלאומי גם במרחב הסייבר. בשבועות האחרונים היתה אלבניה נתונה במתקפת סייבר שפגעה בתשתיות התשלומים הממשלתיים, בזימון התורים לבדיקות רפואיות, באתרי האינטרנט של הפרלמנט האלבני ושל משרד ראש הממשלה ובאתרים נוספים המספקים שירותים ציבוריים לאזרחים. כתוצאה מהמתקפות, ובצעד תקדימי בהקשר זה, אלבניה ניתקה את קשריה הדיפלומטיים עם איראן.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.