WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 23.07.2020

עיקרי הדברים

  1. רוסיה תוקפת ארגונים העוסקים בפיתוח חיסונים לנגיף הקורונה.

  2. שתי מתקפות סייבר איראניות נוספות על תשתיות המים בישראל.

  3. המשך הדיון סביב השלכות פסה"ד "שרמס 2".

  4. הרשות לניירות ערך האמריקאית (SEC) מתריעה מפני תקיפות כופרה.

  5. ITRC: מספר פריצות הסייבר למטרת גניבת זהות נמצא בירידה.

  6. אנחנו ממליצים לעדכן בהקדם גרסאות של המוצרים הבאים: מוצרי Adobe, Mozilla Thunderbird, Drupal, Microsoft Edge.

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

חולשות אבטחה בכמה ממוצרי Adobe
Mozilla מוציאה עדכון אבטחה ל-Thunderbird
עדכון אבטחה לדפדפן Microsoft Edge
עדכוני אבטחה ב-Drupal

התקפות ואיומים

היזהרו מדומיינים מתחזים לחברת American Express
רוסיה תוקפת ארגונים העוסקים בפיתוח חיסונים לנגיף הקורונה
נוזקת Emotet חוזרת לאחר 5 חודשי תרדמת
קמפיין ספאם מפיץ את נוזקת Amadey
חברת הטלקום הגדולה בארגנטינה נפרצה, התוקפים דורשים כופר בסך 7.5 מיליון דולר
חברת הענן Blackbaud משלמת כופר לצורך מניעת הפצת מידע אישי של לקוחותיה
תוקפים התחזו ל-Bill & Melinda Gates 
Foundation

סייבר בישראל

שתי מתקפות סייבר איראניות נוספות על תשתיות המים בישראל
חוות דעת של הרשות להגנת הפרטיות בנושא חוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש
משבר הקורונה: מערך הסייבר מגיב למציאות החדשה
בנק ישראל: המעבר לתשלום ב-EMV יאפשר בחירת קוד סודי לכרטיס החיוב באופן עצמאי

סייבר בעולם

ITRC: מספר פריצות הסייבר למטרת גניבת זהות נמצא בירידה
הרשות לניירות ערך האמריקאית (SEC) מתריעה מפני תקיפות כופרה
קבוצת Cryptolaemus נלחמת ב-Emotet
ה-FBI מזהיר מפני אתרים ורשתות WiFi מזויפות של שדות תעופה
פרטים נוספים על הפריצה לחשבונות ה-Twitter של אילון מאסק, ג׳ו ביידן, ביל גייטס ואחרים

סייבר ופרטיות - רגולציה ותקינה

המשך הדיון סביב השלכות פסה"ד "שרמס 2"
ארה״ב מביאה לדין האקרים סיניים בעקבות קמפיין גלובלי לגניבת מידע

כנסים

הציטוט השבועי

״...מגבלות ההגנה שניתנת למידע אישי, הנובעות מהחוק הפנימי של ארה״ב בנוגע לגישה ולשימוש במידע זה על ידי רשויות ציבוריות בארה"ב [...] אינן מוגדרות באופן העומד בדרישות דומות במהותן הקיימות בחוק האיחוד האירופי."״ 

פסק דין "שרמס 2"', פסקה 185

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

חולשות חדשות

חולשות אבטחה בכמה ממוצרי Adobe

ב-21 ביולי פרסמה החברה חמישה עדכוני אבטחת מידע, מתוכם שלושה קריטיים ( טרם פורסם ציון ה-CVSS), למוצרים הבאים: Adobe Bridge, Adobe Photoshop, Adobe Prelude, Adobe Reader Mobile. החולשות הקיימות במוצרים אלה עלולות לאפשר הרצת קוד זדוני על ידי תוקף ודליפת מידע אישי של משתמשים. אנו ממליצים לעדכן את המוצרים לגרסאותיהם האחרונות.

Mozilla מוציאה עדכון אבטחה ל-Thunderbird

ב-16 ביולי הוציאה החברה את עדכון האבטחה ל- Thunderbird 78. לדברי החברה, למרות שהחולשות שפותר העדכון אינן ניתנות לניצול באמצעות מנגנון המיילים של המערכת, מאחר ובזמן קריאת מיילים נחסמת האפשרות להריץ קודים, הן ניתנות לניצול בעת שימוש בדפדפן המערכת או במנגנונים דומים.
אנו ממליצים לעדכן את המוצרים לגרסאות האחרונות.

עדכון אבטחה לדפדפן Microsoft Edge

ב-16 ביולי פרסמה Microsoft גרסה חדשה של הדפדפן, 84.0.522.40 וגירסה חדשה ל-Microsoft Edge 84.0.4147.89 ,Chromium-based. גרסאות אלו מכילות עדכון אבטחה הפותר כ-25 חולשות, חלקן בדרגה קריטית. ניצול של החולשות הללו עלול לאפשר לתוקף להריץ קוד זדוני על עמדה מרוחקת.
אנו ממליצים לעדכן את המוצרים לגרסאות האחרונות

עדכוני אבטחה ב-Drupal

עדכוני האבטחה שפרסם לאחרונה הפרויקט נוגעים למספר פגיעויות במוצריהם. ניצול החולשות הקיימות בגרסאות הקודמות יכול לאפשר לתוקף להריץ קוד זדוני מרחוק ולבצע על השרת הנתקף פעולות בהרשאות Admin. טרם פורסמו ציוני CVSS לפגיעויות, אך ב-Drupal הגדירו אותן כקריטיות.
יש לעדכן את גרסת המוצר לזו העדכנית ביותר.

התקפות ואיומים

היזהרו מדומיינים מתחזים לחברת American Express

צוות החקירות IBM X-Force זיהה קמפיין התחזות לגופים פיננסיים ולחברת ביטוח גלובאליים, שמטרתו גניבת פרטי ההזדהות של המשתמשים. הדומיין אליו ניסו התוקפים להתחזות באמצעות חמישה דומיינים שונים הוא americanexpress[.]com של חברת American Express. לכל חמשת הדומיינים המתחזים שנמצאו הייתה אותה כתובת IP, מה שמקשר אותם לגורם תקיפה אחד. 
אנו ממליצים: 
1. לא ללחוץ על לינקים במייל המתקבלים בתיבת הדואר. במקום זאת, יש להיכנס ישירות אל האתר המבוקש.
2. לוודא התקנתו של אנטי-וירוס מעודכן, או לחלופין - הימצאות EDR על המחשב.
3. לחסום את כתובות ה-IP והדומיינים האמורים באמצעות firewall, IDS, Web Gateways וכן הלאה.
4. לוודא שכל התוכנות על המחשב מעודכנות לגרסתן האחרונה.

רוסיה תוקפת ארגונים העוסקים בפיתוח חיסונים לנגיף הקורונה

ה-NSA, ה-NCSC וה-CSE הקנדי פרסמו במשותף התראה בנושא קמפיין תקיפה כנגד ארגונים ממשלתיים, מכוני מחקר וגופים נוספים העוסקים במחקר ופיתוח חיסון לנגיף הקורונה. על פי הפרסום, מאחורי הקמפיין עומדת קבוצת התקיפה APT29, המכונה גם Cozy Bear ו-The Dukes, ואשר בסבירות גבוהה הינה חלק משירותי המודיעין הרוסיים. בשלבי התקיפה הראשוניים, הקבוצה עושה שימוש בחולשות ברכיבי תקשורת (Citrix, Pulse, FortiGate). בשלבים מתקדמים יותר, היא משתילה פוגען בשם Wellmess, המאפשר הרצת פקודות מערכת הפעלה, העלאת והורדת קבצים ותקשורת עם שרת התוקף. בהתראה פורסמו IOC's של התקיפה, אותם רצוי לנטר במערכות ההגנה הארגוניות, וכן חוקי Yara לזיהוי קבצים הקשורים לקמפיין. ניקי היילי, מושלת דרום קרוליינה, פרסמה בחשבון הטוויטר שלה כי בכוונתה של קבוצת תקיפה זו, אשר עמדה מאחורי תקיפת הסייבר שאירעה במהלך הבחירות לנשיאות ארה״ב ב-2016, לגנוב נתונים אודות מחקרים למציאת חיסון לנגיף הקורונה. בראיון שהעניק ל-BBC טען השגריר הרוסי בבריטניה, אנדריי קלין, כי האשמת רוסיה כגורם העומד מאחורי התקיפה איננה סבירה ולא ואין בה כל היגיון.

נוזקת Emotet חוזרת לאחר 5 חודשי תרדמת

החל מה-17.7.2020 נשלחו כרבע מיליון הודעות מייל המכילות את נוזקת Emotet, והמספרים ממשיכים להאמיר. קבוצת התקיפה העומדת מאחורי הקמפיין היא TA542, אשר ככל הנראה מטרגטת מספר ארגונים ברחבי ארה״ב, אנגליה, ואוכלוסייה דוברת אנגלית. המיילים שנשלחים במסגרת התקיפה מכילים צרופת Word. ברגע פתיחת המסמך, מורד למחשב הקורבן קובץ Emotet, אשר מריץ קטעי קוד שמטרתם גניבת פרטי הזדהות, איסוף מיילים והתפשטות ברשת. 
אנו ממליצים להכניס למערכות הניטור את כל ה-IOC's של נוזקה זו.

קמפיין ספאם מפיץ את נוזקת Amadey

הקמפיין מתבסס על הפצת הודעות ספאם במייל, המכילות מידע אודות איחור בתשלומי חשבוניות כביכול, מטעם חברה מזויפת בשם Harvest. אותו מייל מכיל צרופה זדונית מסוג zip, אשר בעת פתיחתה מורצים מספר קטעי קוד, בהם קטע הקוד המזוהה עם נוזקת Amadey, שיוצר תקשורת עם שרת התוקף. לנוזקה זו יכולת התחמקות באמצעות סריקה של מספר תוכנות אנטי-וירוס לפני הרצתה על העמדה. לאחר הוידוא, Amadey מריצה קטע קוד אשר מטרתו לגנוב נתוני הזדהות של המשתמש.
אנו ממליצים להזין את ה-IOC's של נוזקה זו במערכות הניטור של הארגון.

חברת הטלקום הגדולה בארגנטינה נפרצה, התוקפים דורשים כופר בסך 7.5 מיליון דולר

החל מה-18 ביולי מחשבי חברת .Telecom S.A, כאלף במספר, הוצפנו באמצעות כופרת (REvil (Sodinokibi. בין המערכות המוצפנות נמצאת גם מערכת ה-CRM של החברה, OneDrive, מחשבי עובדים ועוד. בתמורה לשחרור הקבצים, נדרש כופר בסך 7.5 מיליון דולר במטבעות Monero. הדרישה כוללת איום, לפיו אם לא תענה עד למועד פקיעת האולטימטום - הסכום יוכפל ל-15 מיליון דולר (!). במהלך התקיפה הושגו הרשאות גישה לרשת הארגונית של החברה והרשאות אדמין מקומיות, אשר שימשו בהדבקת המחשבים.

חברת הענן Blackbaud משלמת כופר לצורך מניעת הפצת מידע אישי של לקוחותיה

בתקיפת הכופר, שהתרחשה בחודש מאי, בוצע ניסיון לפגוע בארגון באמצעות נעילה והצפנה של מחשבי החברה. לאחר שהמתקפה זוהתה, צוות אבטחת המידע של החברה, בסיוע יועצים חיצוניים, הצליח לעצור את הפשטות הכופרה ולשחזר את הקבצים הנגועים באמצעות גיבוי. למרות זאת, החברה החליטה לשלם את סכום הכופר, וזאת על מנת למנוע חשיפת מידע אישי של הלקוחות על ידי התוקפים ולהביא למחיקת העותקים שנמצאו בידי האחרונים.

תוקפים התחזו ל-Bill & Melinda Gates Foundation

בהמשך למתקפה שבוצעה בשבוע שעבר על חשבונות טוויטר של ידוענים רבים, בהם ביל גייטס, אילון מאסק, ג׳ף בזוס ואחרים, הפעם החליטו תוקפים להשתמש בשם דומיין דומה לזה של העמותה בבעלות בני הזוג גייטס. בעוד ששם הדומיין האמיתי של העמותה הינו gatesfoundation[.]org, המתחזים השתמשו בשם הדומיין gatesfoundatlon[.]com. התוקפים שלחו מייל למספר רב של אנשים, בו ביקשו תרומה לעמותה באמצעות ביטקוין, בטענה שכל תרומה שתתקבל במהלך השבוע הקרוב תוכפל על ביל ומילנדה גייטס.

סייבר בישראל

שתי מתקפות סייבר איראניות נוספות על תשתיות המים בישראל

בהמשך למתקפה על תשתיות המים והביוב בישראל, שאירעה בסוף חודש אפריל, ב-16 ביולי נתקפו בישראל שני מתקני מים נוספים. מרשות המים נמסר ל-Ynet כי "מדובר בשני מתקני ביוב נקודתיים וקטנים במגזר החקלאי שתוקנו מיידית ועצמאית על ידי האחראי המקומי בקיבוץ ובמתקן, ללא נזק לשירות או השפעה בפועל".

חוות דעת של הרשות להגנת הפרטיות בנושא חוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש

במסמך חוות הדעת שפורסם השבוע, מביעה הרשות חששות משימוש ארוך טווח בכלי השב״כ לאיכון חולים מאומתים והמגעים שבהם היו מעורבים, משום שהדבר ״טומן בחובו פגיעה קשה ביותר בפרטיותם של כל אזרחי המדינה לגביהם מופעל הכלי״. בהמשך ישיר, מצטטת הרשות את קביעת בית המשפט העליון: "הבחירה לעשות שימוש בארגון הביטחון המסכל של המדינה לצורך מעקב אחר מי שאינם מבקשים לפגוע בה, מבלי שניתנה הסכמה לכך מצד מושאי המעקב, מעוררת קושי רב ביותר". יתרה מכך, מכיוון שמשך תקופת ההתמודדות עם הנגיף צפויה להיות ארוכה ומשכה אינו ניתן כרגע להערכה, הרשות ממליצה להשתמש באמצעי מעקב חלופי - אפליקציית ״המגן 2.0״.

משבר הקורונה: מערך הסייבר מגיב למציאות החדשה

במסגרת הכנס ״סייברטק לייב״, רפאל פרנקו, סגן ראש מערך הסייבר לעמידות המשק, הסביר לבכירים בעולם הרפואה כיצד התארגן מחדש מערך הסייבר בעקבות מציאות הקורונה. לדבריו, חלק מהפעולות שננקטו הן הגנה על תשתיות אזרחיות, כמו חקלאות ומפעלי מזון וייצור, פתיחת חמ״ל סייבר שיתופי עם גופים נוספים, בהם צה״ל ומגזר הרפואה, וביצוע הערכת סיכונים בתדירות של פעמיים ביום.

בנק ישראל: המעבר לתשלום ב-EMV יאפשר בחירת קוד סודי לכרטיס החיוב באופן עצמאי

צריך להכניס לאחר בקרת תוכן

סייבר בעולם

ITRC: מספר פריצות הסייבר למטרת גניבת זהות נמצא בירידה

מניתוח של נתונים מחצי השנה האחרונה שהוצג על ידי ITRC, מוסד אמריקאי ללא כוונות רווח המסייע לקורבנות של גניבת זהות ופריצות סייבר, עולים מספר ממצאים מעניינים, בהם הממצא הבא: בעוד שבחודשים ינואר-מאי היקף הפריצות המדווחות למטרת גניבת הזהות עמד על ממוצע של 100 אירועים בחודש, ביוני צנח מספרן ל-66. בחודש יוני נגנבו נתוני זהות של 116 אלף משתמשים, בהשוואה ל-122 מיליון משתמשים בחודש פברואר.

הרשות לניירות ערך האמריקאית (SEC) מתריעה מפני תקיפות כופרה

במסמך שפרסמה הרשות, היא מזהירה מפני תקיפות כופרה נגד יועצי השקעות, בתי השקעות וברוקרים, זאת עקב עלייה במתקפות כופרה מתוחכמות שכוונו נגד גורמים אלה. לאור כך, ה-OCIE מעודד את המצויים בסיכון למתקפת כופר לנטר את ארגונם על פי התראות של ה-DHS ו-CISA בנוסף, במסמך הנ״ל פורסמו המלצות להגנה על הארגון מפני התקיפות.

קבוצת Cryptolaemus נלחמת ב-Emotet

לפני כשנה התאגדו יותר מ-20 חוקרי אבטחת מידע ומנהלי מערכות לייסוד קבוצה הפועלת תחת השם Cryptolaemus. קבוצה זו מנסה להתמודד נוזקת Emotet, מהנוזקות הנפוצות וההרסניות ביותר ברשת כיום. שיתוף הפעולה בין חבריה מספק תוצאות טובות למדי. בין פעילותה השוטפת: פרסום עדכונים באתר הקבוצה ובחשבון ההטוויטר שלה על בסיס יומי ופרסום מזהים, כמו כתובת IP, שורות נושא במיילים מסוג פישינג וחתימות של קבצים שבאמצעותם מופצת הנוזקה Emotet. 
אנו ממליצים לעקוב אחר פרסומי הקבוצה.

ה-FBI מזהיר מפני אתרים ורשתות WiFi מזויפים של שדות תעופה

בראיון בנושא סיכוני הסייבר הקיימים בתחום התעופה והתיירות, ובכלל זה שדות התעופה, אמר סוכן הסייבר קונאל ווטן כי האקרים היוצרים אתרים ורשתות WiFi מזויפים לצורך גניבת מידע אישי ועסקי רואים בשדות תעופה מטרה נחשקת במיוחד, וזאת בשל ריבוי ומגוון האנשים הפוקדים אותם. ווטן הציג מספר המלצות לצורך התגוננות מפני תקיפות מסוג זה: להימנע מלפתוח צרופות לא מוכרות ומלחיצה על קישורים משולחים לא מוכרים, לאמת דומיינים באמצעות דפדפן, לעשות שימוש באמצעי אימות דו-שלביים היכן שניתן, לעדכן כלי אנטי-וירוס באופן תדיר ולהסיר תוכנות שאינן נמצאות בשימוש.

פרטים נוספים על הפריצה לחשבונות ה-Twitter של אילון מאסק, ג׳ו ביידן, ביל גייטס ואחרים

הניו-יורק טיימס חושף פרטים נוספים על הפריצה, עליה דיווחנו בשבוע שעבר. בראיון שקיים העיתון עם גורמים הטוענים לקשר ישיר עם המעורבים בפריצה, טענו המרואיינים כי פרטי החשבונות הושגו באמצעות גורם העובד בחברת Twitter. זאת ועוד, בבלוג Krebs on Security הועלתה ההשערה לפיה ייתכן והעומדים מאחורי הפריצה מעורבים בתקיפות גניבת SIM (מתקפת SIM Swapping).

סייבר ופרטיות - רגולציה ותקינה

המשך הדיון סביב השלכות פסה"ד "שרמס 2" 

פסה"ד של בית הדין האירופי CJEU מה-16 ביולי, אשר פסל את הסדר ה-Privacy Shield להעברת מידע אישי בין ארה"ב למדינות ה-EU, ממשיך לעורר דיון ציבורי בנוגע להשלכותיו על חברות פרטיות בתוך האיחוד ומחוץ לגבולותיו. המדובר הוא בתביעה שהגיש מקס שרמס, עורך דין אוסטרי, נגד נציב הגנת המידע האירי, בענין העברת המידע האישי שלו באמצעות ״פייסבוק אירלנד״, לשרתי חברת פייסבוק בארה"ב. שרמס הגיש בעבר תביעה דומה, בהיותו סטודנט למשפטים, נגד ההסדר שקדם ל-Privacy Shield - וניצח בה. בסבב הנוכחי טען שרמס נגד ה-Privacy Shield, שנועד לתקן את עוולות ההסדר הקודם, והצליח בשנית לשכנע את בית הדין כי החוק האמריקאי מאפשר פגיעה בזכויות היסוד שלו כאזרח אירופאי. בפסילתו את הסדר ה-Privacy Shield, קבע בית המשפט כי אכן "...מגבלות ההגנה הניתנת למידע אישי, הנובעות מהחוק הפנימי של ארה״ב בנוגע לגישה ולשימוש במידע זה על ידי רשויות ציבוריות בארה"ב […] אינן מוגדרות באופן העומד בדרישות דומות במהותן הקיימות בחוק האיחוד האירופי". פסק הדין מעורר תגובות רבות מצד מומחים לפרטיות והגנת מידע אישי באירופה ובארה"ב. נכון לשעת כתיבת "הסייבר", תגובתה הרשמית של מחלקת הסחר של הממשל האמריקאי (Department of Commerce) לפסה"ד היא שהשלכותיו עדיין נמצאות בתהליך של למידה ובחינה.  למאמר המלא

ארה״ב מביאה לדין האקרים סיניים בעקבות קמפיין גלובלי לגניבת מידע

התובע הכללי במחוז המזרחי של מדינת וושינגטון, בשיתוף עם ה-(National Security Division (NSD, מביא לדין שני האקרים סיניים בחשד ששיתפו פעולה עם גורמים בממשלת סין בהוצאתו לפועל של קמפיין גלובלי לגניבת מידע. מטרת הקמפיין הייתה לגנוב קניין רוחני ומידע עסקי חסוי של בתי עסק בתחומים שונים ובמגוון תעשיות, בהם גם חברות העוסקות בבדיקות קורונה ובמציאת חיסון לנגיף. בין המידע שנגנב מצויים תוכניות נשקים, מידע הנוגע למחקר אודות נגיף הקורונה, קודי מקור של תוכנות ואף מידע אישי.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, אלי שמי, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.