WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 25.11.2021

עיקרי הדברים

  1.  חברת התעופה האיראנית Mahan Air מצויה תחת מתקפת סייבר. דיווחים גם על תקיפת סייבר על סכר מים באיראן. 

  2. ה-FBI מפרסם אזהרה מפני קמפיין פישינג ששם למטרה לקוחות של מותגים ברחבי העולם.

  3.  הרשות להגנת הפרטיות: ליקויי אבטחת מידע ברשויות המקומיות. 73% מהן עומדות בתקנות אבטחת מידע באופן בינוני ומטה. 

  4.  ישראל וארה"ב מקימות צוות משימה משותף למאבק באירועי כופרה.

  5. אנו ממליצים לעדכן את המוצרים הבאים: מכשירי Huawei (גבוה); שרתי Microsoft Exchange (גבוה); מוצרי NVIDIA (גבוה); מוצר CKEditor (נמוך); מערכת Kibana (נמוך);

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה ל-CKEditor נותנים מענה ל-3 חולשות ברמות חומרה משתנות
עדכון אבטחה למוצרי NVIDIA נותן מענה לחולשה ברמת חומרה גבוהה
עדכון אבטחה ל-Kibana נותן מענה לחולשה ברמה נמוכה
עדכון אבטחה לשרתי Microsoft Exchange נותן מענה ל-3 חולשות ברמת חומרה בינונית-גבוהה
עדכון האבטחה החודשי של HUAWEI נותן מענה לחולשות רבות במוצריה
עדכון אבטחה לשניים ממוצרי VMWare

התקפות ואיומים

נוזקת Squirrelwaffle מופצת בקמפייני פישינג באמצעות ניצול חולשות בשרתי  Exchange
יוטה: אירוע גישה בלתי-מורשית למערכות המכון הרדיולוגי גרם לחשיפת נתונים רגישים אודות פציינטים
כ-6 מיליון ראוטרים של ערוץ הטלוויזיה Sky היו חשופים לחולשה חמורה משך שנה וחצי
דנמרק: חברת Vestas מגיבה לאירוע אבטחת מידע גלובלי; חשש לדלף מידע
קבוצת התקיפה הרוסית Clop הדליפה בדארקנט אלפי קבצים עם מידע רפואי רגיש של ארגון הבריאות הלאומי של אנגליה (NHS)
חולשה ב-Windows ש״תוקנה״ נוצלה מחדש על ידי חוקר סייבר
Unit 42 מציגה: כך מתבצעות מתקפות נגד אלפי שירותי ענן ציבוריים; ה-SSH הוא השירות המותקף ביותר
התגלה קובץ נוזקה מתוחכם של JavaScript המדביק מחשבים מבוססי Windows

השבוע בכופרה

מתווה כופרה חדש של קבוצת תקיפה חדשה מבוסס על גיבוי קבצים בארכיון המוגן בסיסמה מוצפנת

סייבר בישראל

ישראל וארה"ב מקימות צוות משימה משותף למאבק באירועי כופרה
בנק ישראל פרסם עדכון בנוגע לדיווח על אירועי כשל טכנולוגי ואירועי סייבר
Apple תובעת את חברת המודיעין ההתקפי הישראלית NSO

סייבר בעולם

Microsoft מקשיחה את הגנתה המובנית בסביבת 365
חברת התעופה האיראנית Mahan Air מצויה תחת מתקפת סייבר
ה-FBI מתריע מפני ניצול חולשת Zero-day במוצרי FatPipe על ידי קבוצות תקיפה מדינתיות
ה-FBI מפרסם אזהרה מפני קמפיין פישינג ששם למטרה לקוחות של מותגים ברחבי העולם

סייבר ופרטיות - רגולציה ותקינה

הרשות להגנת הפרטיות בישראל ערכה מבצע פיקוח על 70 רשויות מקומיות, הכוללות מידע אישי של יותר מ-5 מיליון ישראלים
הודעות מטעם ה-EDPB: מכתבים לאו"ם ול-ENISA בנוגע לעיבוד מידע אישי בקרב ארגונים בינלאומיים
סין ממשיכה במגמה הרגולטורית של הטלת מגבלות על העברת מידע אל מחוץ לגבולותיה: הצעת חוק חדשה
כתב אישום נגד שני תושבי איראן בחשד כי ביצעו פשע מקוון בכוונה לערער את הליך הבחירות לנשיאות ארה"ב ב-2020

 

הציטוט השבועי

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה ל-CKEditor נותנים מענה ל-3 חולשות ברמות חומרה משתנות

בעדכון שפורסם ב-19 בנובמבר נסגרו 2 חולשות ברמת חומרה נמוכה (CVE-2021-41165, CVSS 3.5 ו- CVE-2021-41165 CVSS 3.5), ובעדכון נוסף שפורסם ב-23 בנובמבר נסגרה חולשה נוספת, הפעם ברמת חומרה בינונית (CVE-2021-33829, CVSS 4.3). החולשות עלולות לאפשר לתוקף להזריק קוד JS על ידי שליחת בקשה מהונדסת.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.


עדכון אבטחה למוצרי NVIDIA נותן מענה לחולשה ברמת חומרה גבוהה

העדכון רלוונטי ל-GPU ולחומרת ה-Tegra של החברה, ובין היתר סוגר חולשה ברמת חומרה גבוהה (CVE‑2021‑23201, CVSS 7.5) העלולה לאפשר לתוקף להזריק קוד זדוני ל-Microcontroller שבמוצרים ולהריץ קוד בהרשאות גבוהות. הדבר עשוי להוביל לגניבת מידע, להשחתת מידע ואף למתקפת מניעת שירות (DoS). נוסף על כך, העדכון נותן מענה לחולשות ברמות חומרה נמוכות יותר.

צוות קונפידס ממליץ למשתמשי המוצרים  לעדכנם לגרסתם האחרונה, ולעיין ברשימת העדכונים המלאה, המצויה באתר החברה.


עדכון אבטחה ל-Kibana נותן מענה לחולשה ברמה נמוכה

העדכון, שפורסם ב-10 בנובמבר, רלוונטי לגרסאות המוצר מ-7.9.0 ועד 7.15.1 ולמערכות מבוססות Windows, והוא נותן מענה לחולשה (CVE-2021-37938, CVSS 3.1) שמאפשרת לתוקף לטעון במערכת הקורבן קבצים מסוג pbf.

צוות קונפידס ממליץ למשתמשי kibana לעדכן את המוצר לגרסתו האחרונה.


עדכון אבטחה לשרתי Microsoft Exchange נותן מענה ל-3 חולשות ברמת חומרה בינונית-גבוהה

ניצולן של החולשות, שציוני ה-CVSS שלהן נעים בין 6.5 ל-8.8,  עשוי לאפשר לתוקף להריץ קוד מרחוק ולהתחזות למקור מהימן. טרם פורסם פירוט טכני אודות החולשות.

צוות קונפידס ממליץ למשתמשי גרסאות 2013, 2016 ו-2019 של שרתי Microsoft Exchange לעדכנם לגרסתם האחרונה. 


עדכון האבטחה החודשי של HUAWEI נותן מענה לחולשות רבות במוצריה

ניצולן של החולשות עשוי לאפשר לתוקף להריץ קוד מרחוק על עמדה ללא צורך בהרשאות גבוהות, להזריק קוד לרשת הקורבן, להשיג מידע רגיש מהעמדה הנתקפת ועוד.
צוות קונפידס ממליץ למשתמשי מוצרי HUAWEI לעדכנם לגרסתם האחרונה. 


עדכון אבטחה לשניים ממוצרי VMWare

העדכון רלוונטי ל-VMWARE vCenter Server ול-VMware Cloud Foundation ופותר שתי חולשות חדשות שטרם סווגו, אך צפויות לקבל דירוג חומרה גבוה (7.5 CVSS). ניצול החולשות עלול להעניק לתוקף אפשרות לקבל גישה למידע רגיש או לשירות פנימי ברשת ובעמדת הקורבן.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם אחרונות.

התקפות ואיומים

נוזקת Squirrelwaffle מופצת בקמפייני פישינג באמצעות ניצול חולשות בשרתי  Exchange

בדוח שפורסם על ידי צוות המחקר של חברת Trend Micro מתוארת דרך הפעולה של התוקפים להפצת הנוזקה, על ידי השתלטות על שרשורי התכתבויות במייל בין משתמשים פנים-ארגוניים. מן המחקר מסתמן כי וקטור החדירה הראשוני של התוקפים מתאפיין בניצול חולשות ה-ProxyLogon למציאת המזהה הייחודי של משתמש ושימוש בו לניצול חולשת SSRF ולחדירה לשרת ללא צורך בהזדהות. לאחר דריסת הרגל בשרת, מנוצלת בו חולשת ה-ProxyShell לשליחת URL זדוני, המכיל קוד שמעניק גישה למשתמש ה-NT AUTHORITY\SYSTEM בשרת. מנקודה זו סלולה הדרך לתוקפים, הנעזרים בקבלת ושליחת מיילים דרך ה-PowerShell בשרת להשתלטות על תכתובות מייל והתחזות לשולחים, כאשר הנוזקה מצורפת למייל באמצעות קישור. בלחיצה על הקישור מורד לעמדה קובץ ZIP המכיל מסמך Excel שמתקין קבצי DLL זדוניים, אשר מאפשרים לתוקפים להשתלט על העמדה. דרך הפעולה של ההאקרים מנטרלת את חשדות הצד המקבל את המייל, כאשר פעמים רבות הנוזקה תותקן על העמדה ללא ידיעתו. ניתן למצוא רשימת IOCs מלאה בדוח החקירה של החברה.


יוטה: אירוע גישה בלתי-מורשית למערכות המכון הרדיולוגי גרם לחשיפת נתונים רגישים אודות פציינטים

נראה כי ראשית התקרית, שהתגלתה השבוע, היא בתחילת ספטמבר האחרון, כאשר ה-Utah Imaging Associates איתר וסיקל אירוע אבטחה שכלל הנראה כלל גישה בלתי מורשית למערכותיו. מיד לאחר מכן החל הארגון למגן את רשתותיו ושכר מומחי סייבר חיצוניים לשם חקירת ותיחום האירוע. עם היוודע דבר הדליפה, צוות המוסד שלח מכתבים לכל מי שעשוי היה להיחשף כתוצאה ממנה. ״אנו נוטלים על עצמנו כל אחריות על האירוע ומציבים אמצעים על מנת להגן ככל הניתן מפני שימוש פוטנציאלי לרעה במידע אישי״, כך נמסר מטעם הארגון. ״אנו מצטערים ומתחרטים על כל אי-נעימות אשר הייתה עשויה להיגרם בעקבות המקרה, ונותרים מסורים להבטחת פרטיות ואבטחת המידע המצוי בארגוננו.״


כ-6 מיליון ראוטרים של ערוץ הטלוויזיה Sky היו חשופים לחולשה חמורה משך שנה וחצי

החולשה אליה היו חשופים הראוטרים של החברה הבריטית היא חולשה מסוג DNS rebinding, המאפשרת לגורמים חיצוניים גישה לרשת הפנימית דרך ממשק הראוטר. החולשה הייתה רלוונטית למשתמשים שלא שינו את פרטי הגישה לממשק הראוטר (admin:sky), המהווים נתח גדול מאוד ממשתמשי המוצר. זאת ועוד, ניצול החולשה התאפשר רק במקרים בהם משתמשים גלשו בשוגג לאתר זדוני, הטוען במערכת הקורבן סקריפט מסוכן העלול לאפשר את הגישה מבחוץ לרשת הפנימית. למרות שהחולשה התגלתה כבר במאי 2020 על ידי חברת אבטחת המידע הבריטית Pen Test Partners, וזו עדכנה את Sky בנושא באופן מיידי (וכעת אף פרסמה הוכחת היתכנות [POC]), חברת התקשורת הגיבה לכך באדישות וטיפלה בחולשה רק באוקטובר 2021, ורק לאחר שחברת האבטחה עירבה בכך את רשת ה-BBC, שהתבקשה להאיץ ב-Sky. התיקון בוצע אוטומטית באמצעות עדכונים ישירים למכשירי התקשורת של Sky, ללא התערבות מצד הלקוחות.


דנמרק: חברת Vestas מגיבה לאירוע אבטחת מידע גלובלי; חשש לדלף מידע

ענקית ייצור האנרגיה הירוקה באמצעות טורבינות רוח, הפועלת ב-85 מדינות, הודיעה במהלך השבוע כי מערכותיה הושבתו עקב תקיפת סייבר גלובלית שפגעה בכמה ממוקדיה ברחבי העולם. למרות שלדברי החברה לקוחותיה וספקי צד ג׳ לא נפגעו כתוצאה מהאירוע, מדיווחים שונים ברשת עולה כי התרחש דלף מידע מרשתותיה. 


קבוצת התקיפה הרוסית Clop הדליפה בדארקנט אלפי קבצים עם מידע רפואי רגיש של ארגון הבריאות הלאומי של אנגליה (NHS)

הקבצים שהודלפו שייכים לחברת אחסון המידע הבריטית Stor-a-File, שעל לקוחותיה נמנים ארגונים כמו ה-NHS, רשויות מקומיות, ומשרדים של עורכי  דין ורואי חשבון. התקיפה התגלתה לראשונה ב-2 בספטמבר, לאחר שעובדי החברה דיווחו על אי תפקודם של מחשבי הקצה ועל הודעת כופר בה נדרשו 3 מיליון פאונד. הנתונים הרפואיים שנחשפו כוללים מידע על נשים שעברו הפלה, דוחות על בעיות נפשיות ומידע רגיש מאוד של מטופלי ה-NHS. לטענת התוקפים, הקבצים מכילים גם מידע מסווג של אנשי צבא בריטיים המשרתים במדינות סכסוך, דבר הנחקר כעת על ידי משרד הביטחון הבריטי. מטעם Stor-a-File נמסר כי החברה נמנעה מלשלם לתוקפים, זאת בהתאם לקו בו מעודדות הרשויות והמשטרה לנקוט. גוף נוסף החוקר את האירוע הקשה הוא לשכת נציב המידע הבריטי, אשר בסמכותו לקנוס במיליוני פאונד חברות שאינן נוקטות באמצעי הגנה מספקים על מידע רגיש של לקוחותיהן.


חולשה ב-Windows ש״תוקנה״ נוצלה מחדש על ידי חוקר סייבר
החולשה, שאפשרה העלאת הרשאות באמצעות ה-Installer ותוקנה על ידי מיקרוסופט ב-9 בנובמבר, נוצלה על ידי עבדלחמיד נאקרי, לאחר שגילה שהתיקון לא בוצע כראוי ומצא דרך פשוטה יותר להעלאת הרשאות בעזרת ה-Installer. לטענת החוקר, עקב מורכבות עדכון האבטחה, הפתרון הטוב ביותר הוא להמתין לפתרון בר-קיימא של מיקרוסופט. עוד אמר נאקרי שאיתר חולשה נוספת, אותה יחשוף לאחר שתיפתר הבעיה הנוכחית עליה הצביע.


Unit 42 מציגה: כך מתבצעות מתקפות נגד אלפי שירותי ענן ציבוריים; ה-SSH הוא השירות המותקף ביותר

על פי יחידת המחקר של Palo Alto, נראה כי וקטור התקיפה הנפוץ ביותר כנגד שירותי ענן הוא ניצול שירותים החשופים לעולם עקב הגדרות שאינן תקינות. באמצעות סריקה פשוטה עם הכלים המתאימים, קבוצות תקיפה כמו REvil ו-Mespinoza מוצאות שירותים חשופים ומנצלות אותם להשגת דריסת רגל ראשונית בסביבת הקורבן. במהלך המחקר, החוקרים הקימו 320 סביבות ענן חשופות ברחבי ארצות הברית, אסיה ואירופה, וגילו שתוך 24 שעות בלבד יותר מ-80% מהן הותקפו ונפרצו, ותוך שבוע נפרצו כולן. בעיית השירותים החשופים בסביבות ענן אינה חדשה, ומטרת המחקר הייתה להראות עד כמה חשוב להגדירם נכונה. ב-Unit 42 הדגישו כי לא קשה להגדיר את השירותים בצורה שתספק הגנה מפני מתקפות מסוג זה, ונתנו כדוגמה את הפעולות הבאות שמנהלי מערכות יכולים לבצע לשם הקטנת הסיכון:

  1. שימוש בפוליסות ביטחון ובחומות אש כדי למנוע מפורטים עם הרשאות גבוהות להיות פתוחים.

  2. ניטור של כל הפעולות בפורטים הפתוחים לזיהוי פעולות חשודות.

  3. יצירת חוקים לתיקון אוטומטי של הגדרות שאינן נכונות.

  4. שימוש בחומות אש וב-WAF לחסימת תנועה זדונית ברשת. 


התגלה קובץ נוזקה מתוחכם של JavaScript המדביק מחשבים מבוססי Windows

חוקרי אבטחת המידע של חברת HP דיווחו כי קובץ הנוזקה האמור תופס תאוצה ומשמש להדבקת מחשבים באמצעות Remote Access Trojans. בכתיבת הקוד הזדוני נעשה שימוש בטכניקת Obfustication, שעיקרה כתיבת קוד בצורה שתקשה על מנועי אנטי-וירוס לזהותו, אם בכלל. הקובץ שהתגלה משמש כ-Dropper, כלומר הוא אינו הווירוס המוביל להשתלטות התוקף על המחשב. במקום זאת, הפעלתו גורמת לקוד ה-JavaScript לבצע Decode לעצמו בזמן ההרצה ולכתוב קובץ Visual Basic לתיקיית TEMP באמצעות הפעלת קובץ ההרצה cmd.exe ופקודת echo. לבסוף, מתבצעת הורדת הקובץ הזדוני, שמאפשר את ההשתלטות מרחוק (RAT). דרך הפעולה של התוקפים היא שליחה במייל של קובץ ה-JavaScript כשלשמו נוספת הסיומת txt, המשווה לו מראה תמים. בפועל, סיומת הקובץ האמיתית היא js (קוד הרצה של JavaScript). עוד הוסיפו החוקרים כי הווירוס, המכונה RATDispenser, נמכר בדארקנט במודל של Malware-as-a-Service.

צוות קונפידס ממליץ לחברות לבצע חסימה של קבצים ידועים לשמצה (במקרה זה קבצים בעלי הסיומת js) במערכות הגנת סביבות המייל שלהן, על מנת לצמצם את הסיכון ליפול קורבן למתקפת פישינג מסוג זה.

השבוע בכופרה

מתווה כופרה חדש של קבוצת תקיפה חדשה מבוסס על גיבוי קבצים בארכיון המוגן בסיסמה מוצפנת

קבוצת Memento Team, שהתגלתה באוקטובר על ידי צוות התגובה של חברת Sophos, הציגה מתקפת כופרה במתווה שונה מהרגיל, על פיו לא הצפינה את קבצי הרשת המותקפת, כפי ששכיח במתקפת מסוג זה, אלא העתיקה אותם לארכיונים המוגנים בסיסמה, הצפינה את הסיסמה ומחקה את קבציה המקוריים של החברה. זהות הקורבן, שנתקף בשנה האחרונה, נותרה עלומה. Memento Team השתמשה בגרסה מסוימת של תוכנת WinRAR, המאפשרת לארכב קבצים ולהגן עליהם בסיסמה. הגישה הראשונית של קבוצת התקיפה לרשת הקורבן בוצעה באמצעות ניצול של חולשה ב-VMware, דרכה הצליחה לחדור את ה-Firewall ולהשתמש בכופרה המבוססת על Python 3.9. עוד עלה מחקירתה של Sophos כי קבוצת התקיפה בחרה במתווה העתקת הקבצים לאחר שהניסיון הראשון שביצעה להצפנת הקבצים נחסם על ידי תוכנת Endpoint Protection שהייתה מותקנת בעמדות. כמו כן, הקבוצה השתמשה ב-Keylogger מבוסס Python שהותקן במספר מחשבים ברשת, אליהם התחברה באמצעות RDP. לשחרור הצפנת הסיסמה והקבצים דרשו התוקפים כופר בסך מיליון דולר. לדברי צוות המחקר, מכתב הכופר היה כמעט זהה לזה המאפיין את כנופיית הכופרה REvil.

סייבר בישראל

 
 

ישראל וארה"ב מקימות צוות משימה משותף למאבק באירועי כופרה

ההכרזה  על הקמת כוח המשימה  התרחשה ב-15 בנובמבר, לאחר סדרת פגישות בין פקידים בכירים במשרד האוצר האמריקאי לבין עמיתיהם הישראלים. צוות המשימה יאפשר סדרה של חילופי מומחים טכניים בין שתי המדינות ועשוי להוביל לתרגילים רחבי היקף שיתמקדו במערכת הפיננסית העולמית. נכון להיום, שתי המדינות מתמודדות עם איום הולך וגובר מצד תוכנות איראניות זדוניות, כאשר לאחרונה זיהתה ארצות הברית קמפיין כופרה איראני שכוון נגד תשתיות קריטיות במדינה. ארצות הברית וישראל כבר משתפות פעולה באופן נרחב בנושא אבטחת סייבר, פעילות שצפויה להתגבר כעת.

בנק ישראל פרסם עדכון בנוגע לדיווח על אירועי כשל טכנולוגי ואירועי סייבר
במסמך מגדיר הבנק את האירועים המצריכים דיווח, כך שאירוע המתרחש בתאגיד שבשליטת תאגיד בנקאי שהוא עצמו אינו תאגיד בנקאי, ויש לו השפעה מהותית, בין היתר, על היבטי טכנולוגיה, מוניטין ופיננסים - יחייב את התאגיד הבנקאי השולט בו או על מי מטעמו לדווח לגוף הפיקוח על הבנקים. המסמך מגדיר את חובת הדיווח ככזו שתחול על כל תאגיד בנקאי בנפרד, גם אם האירוע מתרחש בו-זמנית במספר תאגידים בנקאיים השייכים לקבוצה בנקאית אחת. נקודות נוספות שעולות מהעדכון הן הגדרת אופן הדיווח (לדוגמה, תאגיד בנקאי ידווח על האירוע טלפונית עד שעתיים מזיהויו, ולאחר מכן יבצע דיווח ראשוני בכתב, עד 8 שעות ממועד הדיווח הטלפוני, לגוף הפיקוח על הבנקים), וכן הדרישה מתאגידים בנקאיים לשלוח בכתב נתונים מעודכנים אודות פרטי האירוע לגוף הפיקוח על הבנקים, לכל הפחות אחת ליום, או ככל שיחולו שינויים מהותיים בפרטי האירוע ו/או בהשלכותיו. עוד עולה מהמסמך כי באחריות התאגיד הבנקאי לקבוע נוהל לתחקור האירוע, תוך הגדרה של שיטת התחקיר והגורמים שישתתפו בו. בסיום האירוע יחוייב התאגיד ביצירת דוח הפקת לקחים ובעדכון גוף הפיקוח על הבנקים כי האירוע הסתיים. 


Apple תובעת את חברת המודיעין ההתקפי הישראלית NSO 

לדברי ענקית הטכנולוגיה, חברת NSO משתמשת לרעה במוצריה ובשירותיה של Apple על מנת לפגוע באנשים בעלי פרופיל גבוה, כשהיא מבצעת ריגול אחר משתמשיה ושמה אותם למטרה באמצעות שימוש בתוכנת Pegasus, שפיתחה החברה הישראלית. בכתב התביעה שהגישה Apple היא מכנה את עובדי NSO ״האקרים ידועים לשמצה״, ומציינת שהריגול שביצעה החברה הוביל את הממשל האמריקאי להטיל עליה סנקציות. בנוגע ל-Pegasus ציינה Apple באתר החדשות שלה כי מדובר ב״תוכנת ריגול במימון מדינתי״, ואף הזכירה את הפרסום לפיו התוכנה הותקנה בטלפונים של עיתונאים רבים. לדבריה, ״נעשה בתוכנה שימוש על מנת לפגוע בעיתונאים, בחוקרים, באנשי ממשל ובגורמי אופוזיציה״. עוד מסרה Apple כי תודיע למשתמשיה באופן אישי אם התוכנה של NSO נמצאת במכשיריהם. 

סייבר בעולם

 

Microsoft מקשיחה את הגנתה המובנית בסביבת 365

לאחר הכנת Preset אבטחה, המאפשר למשתמשים לבחור ״חבילת״ הגדרות אבטחה, כעת הפכה אותו החברה לברירת מחדל, והגדרות האבטחה הללו יחולו על כל המשתמשים הקיימים והחדשים שלא יבחרו לבטלן. מטרתו של המהלך היא להעלות את רמת האבטחה במערכותיהם של משתמשים שאינם מוגנים ולסגור חורי אבטחה בסביבת העבודה של מיקרוסופט, כל זאת תוך מינימום התערבות בפעולות הלקוח. השינוי יוטמע במהלך נובמבר ודצמבר, ומשתמשים וקבוצות יוכלו לבחור שלא להיכלל בקונפיגורציות הנבחרות.

חברת התעופה האיראנית Mahan Air מצויה תחת מתקפת סייבר

אמירחסין זולאנברי, דובר חברת התעופה השנייה בגודלה במדינה, אמר ב-21 בנובמבר לסוכנות הידיעות האיראנית IRNA כי המתקפה נבלמה בהצלחה ולא גרמה לעיכובים או שינויים בלוחות הזמנים של הטיסות. מסר דומה הופיע בהודעה של חברת התעופה בעמוד הטוויטר שלה. עוד אמר הדובר כי זו אינה התקיפה הראשונה שהחברה חווה בתקופה האחרונה, וכי מטרת התקיפות היא לפגוע ברשת הפנימית של הארגון. מנגד, באתר החדשות הטורקי Daily Sabah דווח כי לא ניתן היה לגשת לאתר החברה, וכי לקוחות רבים קיבלו הודעת SMS בה צוין כי המתקפה מתרחשת על רקע שיתוף הפעולה בין חברת התעופה לבין משמרות המהפכה האיראניות. על שליחת ההודעה לקחה אחריות קבוצה בשם Hoosyarane-Vatan (״שומרי המולדת״, בפרסית), זאת באמצעות פרסום בעמוד הטוויטר שלה. לטענת הקבוצה, עלה בידה להדליף מתוך מערכות חברת התעופה מסמכים חסויים המעידים על שיתוף הפעולה האמור. להוכחת הדבר, הקבוצה העלתה לעמוד הטלגרם שלה כמה מסמכים רלוונטיים. Mahan Air נכנסה לרשימה השחורה של חברות איראניות המוחרמות על ידי ארצות הברית כבר בשנת 2011, בעקבות סיועה הכלכלי לארגון משמרות המהפכה והעברת נשק וסחורות לארגון החיזבאללה. במקביל, בשבוע האחרון הותקפה רשת המחשבים של תחנת ניטור המים הגדולה באיראן, ״עאלם אלהודא״. על פי הדיווחים, התחנה ניזוקה באופן חמור וצוותי הטיפול מתקשים להחזירה לתפקוד מלא. לדברי גורמים רשמיים באיראן, במהלך השבועיים האחרונים התרחשו מספר תקיפות סייבר על סכרים ועל תחנות לניטור מים במדינה. הגורמים האשימו את ישראל בביצוע התקיפות.

ה-FBI מתריע מפני ניצול חולשת Zero-day במוצרי FatPipe על ידי קבוצות תקיפה מדינתיות

חברת FatPipe מתמחה בייצור חומרה עבור רשתות מחשבים ובפתרונות ייעול עבור רשתות אזוריות. על לקוחות החברה, המונים יותר מ-1000 ארגונים, נמנים גופים מהמגזר הממשלתי, הצבאי, הפיננסי והרפואי. החולשה מצויה בתוכנות WARP ,MPVPN ו-IPVPN וניצולה עלול לאפשר לתוקפים לגשת לפונקציה לא מבוקרת של העלאת קבצים באמצעות בקשות HTTP ולהניח במערכת הקורבן Web shell המעניק להם הרשאות גבוהות, שמאפשרות גישה לעמדות ורשתות נוספות. לדברי חוקרי החולשה, השימוש בה זוהה בחודש מאי 2021. בתוך כך, FatPipe פרסמה עדכון אבטחה הנותן לה מענה (טרם פורסם CVE) ומסמך המכיל פרטים אודותיה.

צוות קונפידס ממליץ למשתמשי המוצרים הרלוונטיים לעדכנם לגרסאות 10.1.2r60p93 ו-10.2.2r44p1.


ה-FBI מפרסם אזהרה מפני קמפיין פישינג ששם למטרה לקוחות של מותגים ברחבי העולם

במסגרת הקמפיין, המכונה Brand-phishing, התוקפים מתחזים לשולח מייל מטעם מותג מוכר, ובכך מערימים על הלקוחות להיכנס לאתר מזויף, בו הם מתבקשים להכניס פרטים אישיים כ״אמצעי זיהוי״, לכאורה. במרבית המקרים המשתמשים מתבקשים להזין אמצעי תשלום, שם משתמש וסיסמה, או מידע רגיש אחר אותו יוכלו התוקפים לנצל. הפרטים המוזנים מועברים מידית לידי ההאקרים. המותגים אליהם בוחרים התוקפים להתחזות הם כאלה שיוצרים בקרב הקורבנות תחושת ביטחון, שמביאה אותם ללחוץ על הקישור לאתר המזויף מבלי שמתעורר בהם חשד. להלן רשימת המלצות אותן כדאי ליישם על מנת להימנע מליפול קורבן לקמפיין:

  1. לא לסמוך באופן אוטומטי מיילים המתקבלים בתיבת הדואר הנכנס, גם אם השולח נראה מוכר, ולא ללחוץ ללא מחשבה על קישורים או קבצים המצורפים למיילים.

  2. לא להשתמש, עד כמה שניתן, בכתובת המייל הראשית לשם כניסה לאתרים. מומלץ ליצור שם משתמש ייחודי שאינו משויך לכתובת המייל הראשית.

  3. לבדוק היטב את האיות של כתובות אינטרנט ומייל שנראים אמינים, אך עשויים להיות חיקויים מוצלחים של אתרים לגיטימיים (למשל על ידי שימוש ב-I גדולה במקום ב-L קטנה, הבדל שאינו ניכר לעין).

  4. לא לאחסן מסמכים או מידע חשובים בחשבון המייל האישי (למשל מפתחות פרטיים של מטבע דיגיטלי, מסמכים עם מספר תעודת הזהות או עותקים של רישיון הנהיגה).

  5. להשתמש בסיסמאות ייחודיות וחזקות, ולא להשתמש באותה סיסמה עבור מספר חשבונות.

סייבר ופרטיות - רגולציה ותקינה

 

הרשות להגנת הפרטיות בישראל ערכה מבצע פיקוח על 70 רשויות מקומיות, הכוללות מידע אישי של יותר מ-5 מיליון ישראלים

בדוח שפרסמה הרשות באמצע החודש פורסמו ממצאי הליך הפיקוח שבחן את שימושן רשויות במידע אישי מוגן. הרשויות המקומיות מהוות סקטור שלם במשק הישראלי המשתמש בנתונים רגישים בהיקף רחב, בהם מידע פיננסי, בריאותי ואחר השייך לתושבי הרשויות, לרבות קטינים וקטינות. מטרת הבדיקה הייתה לבחון את רמת העמידה של הרשויות המקומיות בדרישות הנובעת מחוק הגנת הפרטיות ותקנותיו. ממצאי הדוח מצביעים על ליקויים משמעותיים בנושא, שכן נמצא כי כמחצית מהרשויות (48%) עמדו ברמה נמוכה בלבד של הוראות הדין. בפרק הסיכום של הדוח, הכולל את הליקויים, את המסקנות ואת ההמלצות העיקריות שעלו מהמבצע, צוינו במיוחד 4 סוגיות ככאלה הדורשות שיפור: בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע והעברת מידע בין גופים ציבוריים. להלן טבלה השוואתית של הליקויים המרכזיים שנמצאו:

רשות הגנת הפרטיות, דו"ח פיקוח רוחב: ממצאי הליך פיקוח הרוחב בקרב רשויות מקומיות, נובמבר 2021, עמ' 7. 

הודעות מטעם ה-EDPB: מכתבים לאו"ם ול-ENISA בנוגע לעיבוד מידע אישי בקרב ארגונים בינלאומיים 

בשני מכתבים רשמיים, האחד נשלח לאו"ם ב-18 בנובמבר והשני נשלח לסוכנות הגנת הסייבר של האיחוד האירופי ב-23 בנובמבר, נתנה המועצה האירופית להגנת מידע ביטוי להיבטים שונים של חובות המוטלות על ארגונים בינלאומיים ביחס להגנת מידע אישי שהם מעבדים. במכתב לאו"ם הודגשו היבטים של העברת מידע אישי בין כל סוכנויות הארגון, המונות יותר מ-30 גופים, בעוד שהמכתב ל-ENISA התייחס להתאמת השימוש בשירותי ענן לצרכי יישום ה-GDPR (האסדרה הכללית להגנה על מידע). עוד הודגשה במכתב ל-ENISA החשיבות שבהמשך העבודה על הנחיית ה-(European Cybersecurity Certification Scheme for Cloud Services (EUCS, המתפתחת כעת.

סין ממשיכה במגמה הרגולטורית של הטלת מגבלות על העברת מידע אל מחוץ לגבולותיה: הצעת חוק חדשה

 ב-14 בנובמבר פרסמה רשות הסייבר של סין (CAC) את הצעת החוק החדשה (למקור לחצו כאן), הקובעת כללים חדשים שמגבירים את הפיקוח על העברת מידע ונתונים על ידי חברות וארגונים אל מחוץ לגבולותיה. לפי ההצעה החדשה, חברות שמקום מושבן בהונג קונג תחוייבנה בפיקוח מצד ה-CAC במידה והן עוסקות במידע ונתונים שיש להם נגיעה לביטחון לאומי. לאחרונה העבירה סין שני חוקים המגבילים את השימוש במידע אישי ובנתונים: חוק אבטחת המידע (תרגום) וחוק ההגנה על מידע אישי. הצעת החוק הנוכחית תהיה פתוחה להערות הציבור עד ל-13.12.2021. 


כתב אישום נגד שני תושבי איראן בחשד כי ביצעו פשע מקוון בכוונה לערער את הליך הבחירות לנשיאות ארה"ב ב-2020

בעקבות כתב האישום שהגיש ב-18 בנובמבר משרד המשפטים האמריקאי נגד סייד קזמי וסג'אד קסיאן בגין מעורבותם לכאורה בפעילות סייבר עוינת שמטרתה "להפחיד ולהשפיע" על אזרחי ארה"ב במהלך הבחירות לנשיאות, אמר עוזר התובע הכללי מתיו ג'י. אולסן מהמחלקה לביטחון לאומי של משרד המשפטים כי האישום "מפרט כיצד שני שחקנים מאיראן ניהלו קמפיין ממוקד ומתואם כדי לשחוק את האמון בשלמותה של מערכת הבחירות בארה"ב ולזרוע מחלוקת בין האמריקאים". אולסן המשיך ואמר כי "ההאשמות ממחישות כיצד קמפיינים זרים של דיסאינפורמציה פועלים ומבקשים להשפיע על הציבור האמריקאי. המחלקה [לביטחון לאומי של משרד המשפטים] מחויבת לחשוף ולשבש מאמצי השפעה זרה באמצעות כל הכלים הזמינים לה, כולל אישומים פליליים".

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, שי שבתאי,  אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, סער אביבי, דוד יחנין, רוני עזורי, עמית מוזס וגיא פינקלשטיין.