עדכון שבועי 22.12.2022

ה-CISA מזהירה מפני תוקפים המתמקדים בספקי משלוחי מזון באמצעות תקיפות Business Email Compromise

במסמך ייעוץ המיועד למגזר המזון והחקלאות שפרסמו במשותף הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), לשכת החקירות הפדרלית (FBI), המשרד לחקירות פליליות של מנהל המזון והתרופות האמריקאי (OCI FDA) ומחלקת החקלאות של ארצות הברית (USDA) מוצגות דרכי הפעולה של התוקפים נגד המגזר והמלצות להתגוננות מפניהן. לפי ה-FBI, ב-2021 קורבנות של מתקפות Business Email Compromise (או BEC) דיווחו על הפסדים של כמעט 2.4 מיליארד דולר, אך בשונה ממתקפות BEC ״קלאסיות״, בהן תוקפים מנסים לגנוב העברות בנקאיות, במתקפות האמורות נעשה ניסיון לגנוב סחורות פיזיות, באופן הבא: התוקפים שולחים לספקי מזון מייל המתחזה לכזה הנשלח מעובדים של חברות לגיטימיות, תוך שימוש בטכניקות כמו Spoofing או השגת גישה למערכת המייל של חברה אמיתית על מנת לבצע הזמנות של משלוחי מזון בסכומים של מאות אלפי דולרים. החברה שמקבלת את ההזמנה שולחת את הסחורות, אך בפועל לא מועבר לה תשלום עבורן. התוקפים מצדם עשויים לארוז את הסחורות מחדש ולמכור אותן ללא עמידה בתקנות בטיחות המזון ובנהלי תברואה, תוך השמטה, למשל, של מידע חשוב על רכיבים, על אלרגנים ועל תאריכי תפוגה, דבר שעלול לפגוע במוניטין של מותג המזון.

ההמלצות שפורסמו כוללות, בין היתר, אימות פרטי הקשר של שולחים המבצעים פניות מקוונות, עם דגש על קישורים וכתובות המייל של השולחים ושימת לב לסימני פיסוק, לחילופי אותיות ולשינויים בדומיין (למשל ״gov״ במקום ״com״), וכן השוואת אתר החברה לזה המצוי בכתובת שסופקה במקור המקוון והתייחסות חשדנית לבקשות דחופות ולשינויים שנעשים ״ברגע האחרון״ בפרטי קשר, בכתובות ובהוראות העברה. הדוח המלא, עם כלל ההמלצות, מצוי כאן.

צוות קונפידס ממליץ לחברות במגזר המזון ליישם את ההמלצות המופיעות בדוח, וכן לתדרך עובדים בנושא ולרתום אותם לדיווח על פעילויות חשודות.

נתונים של 9,098,506 כרטיסי אשראי נמצאו חשופים ברשת 

חוקר אבטחת המידע ג'רמיה פאולר וצוות המחקר של Website Planet גילו מסד נתונים פתוח שאינו מוגן בסיסמה, ואשר הכיל נתונים פיננסיים ומידע אישי מזהה, לרבות מספרי כרטיסי אשראי חלקיים, סוגי הכרטיסים ותאריכי התוקף שלהם, פרטי תרומות (סכום ויעד התרומה), תשלומים חוזרים, תשלומים עבור סחורות ועסקאות והערות. עוד נחשפו נתוני תשלום בצ'קים אלקטרוניים, לרבות מספרי הצ'קים, שמות הבנקים ומידע על תשלומים שנדחו, כולל הסיבות לכך. תיקייה גלויה נוספת הכילה מידע על עסקאות פנימיות, שכלל שמות משתמשים ושמות לקוחות, כתובות פיזיות וכתובות מייל, מספרי טלפון ועוד. צוות המחקר של Website Planet הצליח לשייך את מסד הנתונים ל-Cornerstone Payment Systems שבקליפורניה, ופנה אל הארגון על מנת שיסגור את הגישה אל המסד, כפי שאכן עשה כבר באותו היום. מאחורי פשעי סייבר רבים עומדים מניעים פיננסיים. גישה למידע אישי מזהה ולנתוני כרטיסי אשראי ועסקאות עלולה לאפשר להאקרים להקים פרופילים מזויפים ולפצוח בקמפיין המבוסס על פישינג או הנדסה חברתית. 

ה-FBI השבית 48 דומיינים ששימשו כשירותי DDoS להשכרה

לדברי לשכת החקירות הפדרלית (FBI), שירותי מתקפות מניעת השירות (מכונים גם Booters) שהושבתו במסגרת מבצע PowerOFF, ״אפשרו למשתמשים לבצע בתשלום מתקפות DDoS עוצמתיות, שמציפות את המטרות שנבחרו במידע ומונעות מהן גישה לרשת״. במסגרת המבצע אף נעצרו 6 חשודים בהפעלת הדומיינים. חלק מהשירותים שהושבתו כונו על ידי מפעיליהם Stressers, על מנת לשוות להם תדמית של שירות המסייע ללקוחות לבדוק את עמידות אתריהם או השירות שהם מציעים. במקביל, ה-FBI עובד בשיתוף פעולה עם גופי שיטור באירופה, בהם גם משטרת הולנד ומשטרת בריטניה, להפצה ברשת של פרסומות עבור שירותים מסוג זה, על מנת לנטר פעילות עבריינית פוטנציאלית וליידע את הציבור בדבר אי-החוקיות של פעילויות DDoS. 

פלטפורמת ה-CRM למסעדות SevenRooms אישרה כי נפרצה

הפלטפורמה, המשמשת מסעדות ובתי מלון, בהם MGM Resorts ,Bloomin' Brands ,Mandarin Oriental ,Wolfgang Puck ועוד, אישרה כי חוותה אירוע פריצה ודלף מידע, לאחר שמידע שנגנב ממנה פורסם למכירה בפורומים שונים. על פי הדיווח, ב-15 בדצמבר תוקף שאינו מוכר פרסם דגימות מהנתונים שבידיו בפורומים של האקרים, וטען כי הצליח לגנוב מידע בנפח 427GB, בין היתר על לקוחות החברה. בדגימה שפורסמה נכללו תיקיות עם שמות של רשתות מסעדות גדולות שהן לקוחות של SevenRooms, ובתוכן מפתחות API, דוחות תשלומים, רשימות הזמנות ועוד. לאחר שמגזין אבטחת המידע BleepingComptuer יצר קשר עם SevenRooms, האחרונה אישרה כי המידע שנמכר אכן שייך לה, והגיע לידי המוכרים באמצעות גישה שאינה מאושרת אל המאגר. לדבריה, מאגר המידע נפרץ על ידי ממשק העברת קבצים של ספק צד ג׳ שפעל ללא מערכת אימות. עוד מסרה החברה כי נתוני כרטיסי אשראי של לקוחות, חשבונות בנק ומספרי ביטוח לאומי לא אוחסנו על השרת שנפרץ, ולכן לא דלפו. בתוך כך, SevenRooms הבהירה כי מערכותיה לא נפרצו באופן ישיר, ונותרו מאובטחות מפני גישה שאינה מאושרת על ידי גורמים מחוץ לארגון. בשעה זו טרם התברר אילו לקוחות ומסעדות הושפעו מהפריצה, אך סביר להניח שבהמשך יימסרו הודעות בנושא ממסעדות שמידע אודות לקוחותיהן נחשף.

ארה״ב: זכיין של T-Mobile נידון ל-10 שנות מאסר ותשלום פיצויים בסך 28.5 מיליון דולר בגין פתיחת חסימות של טלפונים סלולריים
העונש נגזר על ארגישטי חודוורדיאן, בעלים לשעבר של חנות קמעונאית של T-Mobile בקליפורניה, לאחר שהורשע כי בין אוגוסט 2014 ליוני 2019 פתח ושחרר במרמה חסימות של טלפונים סלולריים על ידי פריצה למערכות הפנימיות של T-Mobile, כך נמסר בהודעת משרד המשפטים האמריקאי לעיתונות. החוזה של חודוורדיאן כבעל החנות הופסק על ידי T-Mobile ביוני 2017, עקב התנהגות מחשב חשודה ופתיחה לא מורשית של טלפונים סלולריים. פעילותו של חודוורדיאן כללה מכירת טלפונים בשוק השחור באופן שאיפשר ללקוחות T-Mobile להפסיק להשתמש בשירותי החברה, ובכך נשללו ממנה הכנסות מחוזי שירות ותוכניות תשלומים של לקוחות. הגישה למערכות המחשב הפנימיות של T-Mobile התאפשרה לחודוורדיאן בסיועו של אלן גרבגלו, שותפו העסקי בחנות, באמצעות אישורים שנגנבו במתקפות פישינג שכוונו נגד יותר מ-50 עובדים של T-Mobile. עוד שימשו האישורים הגנובים לאיפוס סיסמאות, באופן שנעל את בעלי החשבונות הלגיטימיים מחוץ למערכת. במסגרתם פעילותם הפלילית פרסמו השניים ״שירותי פרימיום״ לפתיחה ישירה של טלפונים של כל ספקיות המכשירים הסלולריים, כל זאת באמצעים שונים, לרבות מיילים ואתרים ייעודיים, כגון unlocks247.com ,swiftunlocked.com ,unlockitall.com ,tryunlock.com ו-unlockedlocked.com. ​באמצעות האישורים הגנובים ומספרי ה-IMEI (מזהה מספרי בינלאומי של מכשירים ניידים) שנשלחו על ידי לקוחות דרך האתרים שבשליטת השניים, חודוורדיאן וגרבגלו פתחו מאות אלפי מכשירים מבוססי Android ו-iOS, תוך שימוש בכלים הייעודיים MDU ו-MCare. בעוד שהראשון יכול לשמש רק עובדי T-Mobile מורשים, עבור השימוש ב-MCare לא נדרש אימות, שכן הכלי מתבסס על בלוקים של כתובות IP שהוקצו למיקומי T-Mobile/Metro. על פי כתב האישום, חודוורדיאן אמר ללקוחותיו כי "בין אם ה-iPhone נקי, ממומן, חסום או מושכר, אנו יכולים לבצע פתיחת נעילה נוחה ברמת היצרן בכל מכשירי ה-iPhone וה-iPad שננעלו ב-iCloud, ללא ביטול האחריות על המכשיר״.

קבוצת ההאקרים הרוסית Fancy Bear פרצה לספקית תקשורת לוויינית אמריקאית 

לדברי חוקרי הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA), שחשפו את התקרית, החברה שנפרצה מספקת שירותים ללקוחות המתפעלים תשתיות קריטיות. במסגרת הפרטים המוגבלים שפורסמו אודות המתקפה, נמסר כי פעולות זדוניות אלה של Fancy Bear (או APT28) מסכנות את ביטחון תעשיית החלל. לדברי מ. ג׳יי. עמנואל, אנליסט תגובה לאירועים מארגון ה-CISA, שחשף את הפריצה בכנס הסייבר CYBERWARCON שהתקיים בחודש שעבר, החוקרים גילו שהתוקפים נמצאו ברשתות הקורבן משך חודשים, תוך ניצול חולשה מ-2018 שאותרה ברשת פרטית וירטואלית, ושהעניקה להאקרים גישה לאותה רשת ויכולת לחטוף אישורים. לשיפור רמת האבטחה של תעשיית החלל, ה-CISA טענה בעבר כי יש להדיר את טכנולוגיות החלל כתשתית קריטית, ובכך להעניק לה גישה רבה יותר למנגנוני שיתוף מודיעין ולמשאבי תכנון אסונות. זו אינה הפעם הראשונה בה האקרים רוסים תוקפים את תעשיית החלל האמריקאית: במאי האחרון ה-CISA ולשכת החקירות הפדרלית (FBI) פרסמו מסמך ייעוץ משותף, בו הן מסבירות ללקוחות ולספקי שירות כיצד לחזק את הגנות הסייבר של רשתות לווייניות, על מנת להתמגן מפני מתקפות רוסיות (ראו ״הסייבר״ 12.5.22).

חברת הימורי הספורט DraftKings הודיעה כי 67 אלף ממשתמשיה נפלו קורבן למתקפה שהתבססה על אתרים שהתחזו לפלטפורמה שבבעלותה

ב-21 בנובמבר פרסמה החברה כי משתמשים רבים פנו אליה בטענה שהם נתקלים בבעיות בניסיון להתחבר לחשבונותיהם (ראו ״הסייבר״ 24.11.22). ב-16 בדצמבר פרסמה DraftKings דוח עם פרטי חקירת האירוע, לפיו כ-67 אלף משתמשים נפלו קורבן לתקיפה המתבססת על אתרים זדוניים המקושרים, כביכול, לפלטפורמת החברה. לפי הדוח, המשתמשים הזינו את סיסמאותיהם דרך פלטפורמה צד ג׳, שהעבירה את פרטי המשתמשים לתוקפים. באמצעות פרטים אלה משכו התוקפים כספים בסך כולל של כ-300 אלף דולר. בתגובה לתקרית, החברה איפסה את סיסמאותיהם של כל המשתמשים שנפלו קורבן לתקיפה, וחייבה אותם בהחלת אימות דו-שלבי (2FA) על חשבונותיהם. בתוך כך, מייסד החברה פול ליברמן הודיע כי החזיר את הכספים שנמשכו מחשבונות הקורבנות.

ספקית הבריאות Keralty נמצאת תחת מתקפת כופרה המשבשת את פעילותה

Keralty היא ספקית בריאות קולומביאנית שמפעילה רשת בינלאומית המונה 9 בתי חולים ו-173 מרכזים רפואיים באמריקה הלטינית, בספרד, בארצות הברית ובאסיה, ומעסיקה כ-24,000 עובדים ו-10,000 רופאים, המספקים שירותי בריאות ליותר מ-6 מיליון מטופלים. למתקפת הכופרה שחווה Keralty בשבוע האחרון אחראית קבוצת התקיפה RansomHouse, הטוענת כי גנבה מהארגון נתונים בנפח 3TB. לדברי החברה, תקיפת שרתי המחשבים שלה יצרה כשלים טכניים במערכותיה, והיא וחברות הבת שלה, EPS Sanitas ו-Colsanitas, סבלו משיבושים בפלטפורמות ובערוצים הדיגיטליים שלהן ובמערכות זימון התורים. על פי כלי תקשורת מקומיים, מטופלים נאלצים להמתין יותר מ-12 שעות לקבלת טיפול רפואי, חלקם אף מאבדים את הכרתם בזמן ההמתנה. ברשתות החברתיות מטופלים מדווחים כי ״אנשים על הרצפה וסובלים מכאבים עזים. כשאנחנו ניגשים לשאול, אומרים לנו שאין מערכות. אנו קוראים לבדוק את הנושא, מגיע לנו יחס הוגן״. בתוך כך, הרשתות החברתיות מוצפות בתלונות נוספות על השירותים שקרסו. להלן הודעת הכופר התקבלה במחשבי החברה:

​

​

​

​

​

​

​

​

ֿ

​

​

(מקור: xfalexx, 30.11.22@)

​

טורונטו: בית החולים לילדים SickKids חווה מתקפת סייבר; עד כה הטיפול בחולים לא נפגע

בית החולים הקנדי לילדים SickKids פרסם בעמוד הטוויטר הרשמי שלו כי הוא מגיב כעת לאירוע סייבר השמשפיע על כמה ממערכות הרשת שלו, לרבות קווי טלפון. בעקבות התקרית הוכרז בארגון Code Grey (״כשל מערכות״), ובית החולים הפיץ הודעה לפיה ״בטיחות ורווחת מטופלינו ובני משפחותיהם הן בראש סדר העדיפויות שלנו", וכן ״הטיפול בחולים נמשך במלואו, ובשעה זו אין ראיות להשפעה על מידע אישי או מידע בריאותי אישי״. לדברי המוסד, עם היוודע דבר האירוע הוא הפעיל מיד את מרכז הפיקוד לניהולו ופתח בחקירה, אך בשעה זו טרם התבררו מהות התקרית והיקפה. בשלב זה, נראה שהאירוע השפיע רק על מספר מערכות קליניות וארגוניות פנימיות, ועל כמה קווי טלפון ודפי אינטרנט של בתי חולים, שכרגע הגישה אליהם מוגבלת. עוד נמסר כי עם פרוץ התקרית הועבר דיווח לשותפי בית החולים ולממשלה, והארגון חבר למומחים על מנת לסיימו בהקדם. הארגון הפגין את הערכתו לסבלנות ולהבנה שמגלים המטופלים ומשפחותיהם, בזמן שהצוותים הקליניים מבצעים מעבר לפעילות בתנאי השבתה על מנת להבטיח שהטיפול בחולים לא ייפגע.

ה-FBI מזהיר מפני מתקפות פישינג והפצת נוזקות באמצעות מנועי חיפוש

לדברי לשכת החקירות הפדרלית (FBI), תוקפים משתמשים במערכות פרסום של מנועי חיפוש לקידום אתרים המפיצים כופרות ונוזקות וגונבים פרטי כניסה לשירותים בנקאיים ולבורסות קריפטו. באזהרה שפורסמה נמסר כי המתקפות מתבססות על פרסום מודעות המתחזות לעסק או שירות לגיטימיים המקודמים לראש עמוד תוצאות החיפוש, כאשר הקישור המופיע במודעות מוביל לאתר מזויף. בין המודעות הזדוניות ניתן למצוא כאלה המתיימרות לספק קישור להורדת תוכנה לגיטימית, שבפועל מוריד אל מחשב הקורבן תוכנה מתחזה. התמקדות נוספת של הקמפיין היא בגניבת פרטי כניסה לפלטפורמות פיננסיות, ובעיקר לשירותי קריפטו, על ידי הקמת אתרים המתחזים לאתרי בורסות קריפטו ידועות, וגונבים מהמשתמשים פרטי התחברות שמוזנים בהם.
צוות קונפידס ממליץ שלא לגלוש לאתרים המופיעים במודעות שמופיעות לאחר חיפוש במנוע חיפוש, ולתת תשומת לב גדולה יותר ל-URL של אתרים בעת גלישה ברשת.

נפרץ קוד המקור של חברת ניהול המשתמשים Okta 

במהלך חודש דצמבר הודיעה GitHub ל-Okta על כניסה חשודה שהתבצעה למאגרי הקוד של החברה. לאחר בדיקה, התברר כי אכן תוקף נכנס אל המאגרים והעתיק מהם את קוד המקור של Okta. זאת ועוד, Okta טוענת כי זיהתה גישה לא מורשית לשירותיה ולנתונים של לקוחות. בעקבות האירועים, החברה פעלה להגבלת הכניסות למאגריה ב-GitHub ולחידוש אישורי האימות שלה בפלטפורמה, וכן הישעתה את כל האינטגרציות שלה עם אפליקציות צד ג׳. אין זה אירוע אבטחת המידע הראשון שחווה השנה Okta, המספקת שירותי גישה והזדהות, כאשר בחודש מרץ הצליחה קבוצת התקיפה $Lapsu לחדור למערכותיה (ראו ״הסייבר״, 24.3.22, ״הסייבר״, 31.3.22 ו״הסייבר״, 28.4.22).

תמריץ חדש להאקרים לתקיפת תעשיית הספנות: הפקת רווח ממניות בטרם ביצוע תקיפה שתגרום לעיכובים באספקת סחורות

תעשיית הספנות המסחרית מפעילה יותר מ-90,000 ספינות במגזרים שונים, כאשר ההתפתחויות בתחומי הדיגיטציה, האוטומציה והטכנולוגיה הגדילו את יעילות הפעילות הימית, תוך שינוי תהליכים שבוצעו בעבר באופן ידני. ואולם במקביל, התפתחויות אלה יצרו אתגרים במרחב הסייבר וסיכונים לחדירה למערכות כלי שייט. ספינות מסחריות רבות פועלות כיום בעזרת מערכת הפעלה ותוכנה מיושנות. העובדה שמערכות ה-OT (טכנולוגיה תפעולית) הותקנו בכלי השייט עם בנייתם לפני כ-25-30 שנה יוצרת פוטנציאל תקיפה נרחב, כאשר חדירה זדונית לציוד OT מהווה סיכון בעל השלכות חמורות, לרבות תקיפה שתביא לאובדן השליטה בניווט כלי השייט. מכיוון שצוותים המתפעלים כלי שייט אינם קבועים ומשתנים תדיר, לעתים קרובות הם משתמשים במערכות שאינן מוכרות להם, דבר המוליד אף הוא פוטנציאל לנזק רב.

​במרץ 2021 התרחש בתעלת סואץ שיבוש חמור במערך התחבורה הימית, כאשר האונייה Ever Given, שעליה מכולות במשקל 220,000 טון, סטתה ממסלולה בעקבות רוחות עזות וחסמה לחלוטין את התעלה, בה עוברים כ-12% מהסחר העולמי בכל שנה. הדבר הביא לשיבושים ועיכובים בעלי השפעה גלובלית עצומה, תוך פגיעה בתעשיות אירופיות מובילות, בהן הבנייה, הסיטונאות והבריאות, ועיכוב סחורות בשווי מוערך של כ-400 מיליון דולר לשעה. לשם המחשה, חברת המכונות Caterpillar שקלה לבצע העברה אווירית של סחורות על מנת להתגבר על החסימה. למרות שבמקרה שאירע בסואץ לא היתה מעורבת מתקפת סייבר, הוא הדגים לתוקפים פוטנציאליים כיצד פגיעה בנתיב סחר משמעותי מובילה להשלכות רחבות על הסחר העולמי. ההשלכות עלולות להשפיע גם על שווקי המניות, בכך שההאקרים משתמשים בידע מוקדם שיש בידיהם על אירועי סייבר מתוכננים על מנת להשיג רווחים באמצעות רכישת מניות לפני ביצוע המתקפה. לדברי ג׳סי האמיל-סטיוארט, דוקטורנטית לאבטחת סייבר באוניברסיטאות בריסטול ובאת׳, ואנדרו סאליי, מנכ"ל ומייסד-שותף של חברת אבטחת הסייבר Reperion, כלי שיט מסחריים הם עמודי התווך של הסחר העולמי, ותפקידם הקריטי ביציבות השווקים הופך אותם לפגיעים ביותר ומגדיל את האיום על הסחר הימי.