דו״ח סייבר שבועי
עדכון שבועי 26.08.2021
עיקרי הדברים
-
כשחופש המחשבה והדעה מעוררים זעם: מתקפת סייבר חושפת את התנאים העגומים בבית כלא איראני.
-
ריבוי תקיפות במתווה חדש מנצל שלוש חולשות מוכרות בשרתי Microsoft Exchange.
-
החלטת הממשלה על בחינת רגולציה חכמה בסייבר וכללים והסמכות למתן הנחיות בזמן תקיפת סייבר.
-
הרשות להגנת הפרטיות מפרסמת מדריך המפרט המלצות לאופן ביצוע תסקיר השפעה על פרטיות (Privacy Impact Assessment).
-
אנו ממליצים לעדכן את המוצרים הבאים: חולשת Zero-day במוצרי Razer (קריטי); מוצרי VMware (גבוה); מוצר BIG-IP של חברת F5 (בינוני);
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
חולשת Zero-day במוצרי Razer מאפשרת העלאת הרשאות אדמין
עדכוני אבטחה למוצרי VMware נותנים מענה למספר חולשות ברמת חומרה גבוהה
עדכון אבטחה למוצר BIG-IP של חברת F5 נותן מענה לחולשה ברמת חומרה בינונית
התקפות ואיומים
כשחופש המחשבה והדעה מעוררים זעם: מתקפת סייבר חושפת את התנאים העגומים בבית כלא איראני
קבוצת התקיפה FIN8 פיתחה נוזקה חדשה בשם Sardonic והצליחה לפרוץ למוסד פיננסי אמריקאי
Microsoft PowerApps: יותר מ-38 מיליון רשומות נחשפו
מתקפת פישינג נרחבת נגד משתמשי OpenSea
השבוע בכופרה
ארה״ב: SAC Wireless חוותה מתקפת כופר של קבוצת Conti
חברה לביטוח כלי שיט בסינגפור חוותה מתקפת כופר
סייבר בישראל
הרצת שאילתה במנוע החיפוש של GrayhatWarefare עשויה להעלות מסמכים בעלי תוכן רגיש אודות אלפי ישראלים
״גולברי״, ״סקארה״, ו״שילב״: מאגרי פרטים אישיים של לקוחות החברות מוצע למכירה
סייבר בעולם
ריבוי תקיפות במתווה חדש מנצל שלוש חולשות מוכרות בשרתי Microsoft Exchange
ראיון של ערוץ היוטיוב Russian OSINT עם קבוצת התקיפה Lockbit 2.0
סייבר ופרטיות - רגולציה ותקינה
החלטת הממשלה על בחינת רגולציה חכמה בסייבר וכללים והסמכות למתן הנחיות בזמן תקיפת סייבר
הרשות להגנת הפרטיות מפרסמת מדריך המפרט המלצות לאופן ביצוע תסקיר השפעה על פרטיות (Privacy Impact Assessment)
כנסים
הציטוט השבועי
״איננו תוקפים ארגוני בריאות, חינוך וצדקה או שירותים סוציאליים - כל דבר שתורם להתפתחות האישיות וערכים הגיוניים, מנקודת מבט של הישרדות המין. ארגוני בריאות, רפואה, חינוך וצדקה ושירותים סוציאליים יוותרו ללא פגע״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
חולשת Zero-day במוצרי Razer מאפשרת העלאת הרשאות אדמין
דבר קיומה של החולשה במוצרי הגיימינג של החברה פורסם בטוויטר על ידי חוקר אבטחת המידע jonhat. החולשה רלוונטית למערכות מבוססות Windows וניתן לנצלה באמצעות פעולה פשוטה של חיבור עכבר או מקלדת למחשב, כאשר ברגע חיבור הרכיב למחשב מורדת אליו תוכנת Synapse, המכילה את הפגיעות. לדברי Razer, החברה נתנה מענה לחולשה ואף שילמה ל-jonhat סכום כסף כאות הוקרה על מציאתה.
עדכוני אבטחה למוצרי VMware נותנים מענה למספר חולשות ברמת חומרה גבוהה
החולשה החמורה ביותר המקבלת מענה בעדכונים ששוחררו היא מסוג Broken Access Control, והיא מאפשרת לתוקף המנצל אותה להשיג גישה לא מאומתת ל-API של המוצר vRealize Operations Manager. כמו כן, העדכונים נותנים מענה לשתי חולשות SSRF ולחולשות נוספות העלולות לאפשר לתוקף לשנות מידע של משתמשים ולהשיג שליטה עליהם. עדכוני האבטחה רלוונטיים למוצרים הבאים:
VMware vRealize Operations - 7.5, 8.0.1, 8.1.1, 8.2, 8.3, 8.4
VMware Cloud Foundation - 4.x/3.x
vRealize Suite Lifecycle Manager - 8.x
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון אבטחה למוצר BIG-IP של חברת F5 נותן מענה לחולשה ברמת חומרה בינונית
העדכון רלוונטי לשלוש גרסאות של המוצר, BIG-IP 16.x, BIG-IP 15.x ו-BIG-IP 14.x ונותן מענה לחולשה ב-TMM, שבעטייה משתמש הניגש ל-BIG-IP באמצעות IPSec עשוי לגרום למניעת שירות ברכיב.
צוות קונפידס ממליץ למשתמשי הגרסאות הפגיעות לעדכנן בהקדם לגרסאות המוצר האחרונות, כמו גם להחליף גרסאות שבין BIG-IP 11.x ל-BIG-IP 13.x למתקדמות יותר.
התקפות ואיומים
כשחופש המחשבה והדעה מעוררים זעם: מתקפת סייבר חושפת את התנאים העגומים בבית כלא איראני
במהלך השבוע נחשפו סרטונים ותמונות המראים יחס מזעזע ביותר כלפי אסירים בבית הסוהר אווין (Evin) בטהרן, אשר מרבית שוהיו הם אסירים פוליטיים. הסרטונים הודלפו בעקבות תקיפה של מערכות בית הסוהר, במהלכה מסכיו של השומר במקום החלו להבהב בפתאומיות ולהציג הודעה בדבר מתקפת סייבר. לאחר מכן הוצגו סרטונים ותמונות קשים לצפייה ממצלמות האבטחה של מתקן הכליאה. בין היתר, הסרטונים מציגים אסיר השובר מראה ומנסה לחתוך באמצעותה את זרועו, ככל הנראה על מנת לשים קץ לחייו, אסירים המתכסים בשמיכות רבות בניסיון לשמר את חום גופם וסוהרים הגוררים אסירים, מכים אותם ומתעמרים בהם, כל זאת על רקע דעותיהם השונות ושיתוף הפעולה שלהם עם המערב. מתקפת הסייבר על בית הכלא בוצעה כחלק מפעולת מחאה של קבוצת האקרים פוליטית המכונה Tapandegen, אשר רכשה את הסרטונים והתמונות מקבוצת התקיפה Edalat-e Ali במטרה להעלות את המודעות למצב האסירים בכלא ולסיבות למאסרם.
קבוצת התקיפה FIN8 פיתחה נוזקה חדשה בשם Sardonic והצליחה לפרוץ למוסד פיננסי אמריקאי
הכנופייה, הפעילה מינואר 2016, ביצעה את הפריצה על ידי התקנת דלת אחורית באמצעות הנוזקה החדשה, ששמה העונק לה על ידי חברת Bitdefender, שהייתה הראשונה לזהותה. לרוב, מטרתה של הכנופייה היא גניבת אמצעי תשלום ממסעדות, מוסדות רפואיים, רשתות קמעונאיות וחברות בתעשיית הבידור, ו-וקטור התקיפה העיקרי שלה מתבסס על הנדסה חברתית או Spear Phishing, תוך שימוש במגוון כלים, בהם נוזקות ייעודיות לאיסוף מידע מעמדות מכירה, חולשות Zero-day ועוד. נוזקת Sarodnic החדשה תוכנתה לאיסוף מידע, להרצת קוד על עמדות פגיעות ולהתקנת מערכת המסוגלת להעלות ולהפעיל קבצי נוזקה נוספים. עוד ידועה הכנופייה בהפסקות הארוכות שהיא לוקחת, במהלכן משפרים חבריה את הכלים והטקטיקות בהם הם משתמשים, זאת על מנת שיוכלו להימנע מזיהוי על ידי הקורבנות. חברת Bitdefender ממליצה לארגונים המשתייכים לתעשיות הנמצאות בסיכון להוסיף את מזהי הנוזקה המופיעים בדוח שפרסמה לשם חסימת מערכות ההגנה, כדוגמת EDR ו-XDR.
Microsoft PowerApps: יותר מ-38 מיליון רשומות נחשפו
הרשומות, השייכות ל-47 ארגונים שמשתמשים בפלטפורמה, נחשפו עקב הגדרות לא תקינות. PowerApps הינה פלטפורמה המאפשרת בנייה מהירה ומותאמת של אפליקציות לעסקים, ובין הארגונים שנפגעו מהדליפה מצויים גופים ממשלתיים, כמו רשויות אינדיאנה, מרילנד וניו יורק, לצד גופים פרטיים כדוגמת חברת American Airlines ו-Microsoft עצמה. המידע שדלף כלל נתונים אודות חיסוני קורונה וקביעת תורים, מידע אישי לצורך יצירת קשר עם חולי קורונה, מספרי ביטוח לאומי, שמות עובדים וכתובות מייל. בתגובה פרסמה Microsoft הודעה מסודרת ללקוחות שנפגעו באירוע, ואף פיתחה כלי לאבחון וזיהוי הגדרות לא תקינות בפלטפורמה, אשר יכולות לסכן מידע של לקוחות.
מתקפת פישינג נרחבת נגד משתמשי OpenSea
לפי מגזין אבטחת המידע BleepingComputer, המתקפה הממוקדת, המכוונת אל משתמשי הפלטפורמה המתמחה ברכישת (NFTs (Non-fungible tokens, מבוצעת דרך שרת ה-Discord של OpenSea, כאשר עם התוקפים פונים באופן פרטי אל משתמשים שביקשו סיוע מהחברה. את המשתמשים הללו מפנים התוקפים ל״שרת סיוע טכני״ מזויף, שם הם גורמים למשתמשים - באמצעות הנדסה חברתית - לשתף את מסך המחשב ולהתקין בדפדפן ה-Chrome שלהם Extention של תוכנת הארנק MetaMask, אשר במקור מצויה בטלפון הסלולרי של המשתמש. לאחר שהמשתמש מזין את שם המשתמש והסיסמה שלו ב-Extension, עליו לסרוק קוד QR עם מכשיר הטלפון, אלא שבמקרה זה התוקפים הם אלה שסורקים את הקוד, ובכך מקבלים גישה לארנקו של המשתמש וגונבים את ה-NFTs שלו.
השבוע בכופרה
ארה״ב: SAC Wireless חוותה מתקפת כופר של קבוצת Conti
חברת הבת של נוקיה מסרה כי המתקפה, שזוהתה ב-13 באוגוסט, כללה גניבת נתונים והצפנת מערכות. בחקירת האירוע זוהה שהתוקפים הטמיעו את כלי התקיפה ב-16 ביוני השנה, ונמצא כי נגנב מידע על עובדים קיימים ועובדים לשעבר, לרבות שמות, תאריכי לידה, כתובות, מספרי רישיונות, פרטי דרכונים, נתוני משכורות, היסטוריה רפואית ועוד.
חברה לביטוח כלי שיט בסינגפור חוותה מתקפת כופר
בעקבות המתקפה, שהתרחשה ב-31 ביולי, סבלה Tokio Marine Insurance Singapore Ltd מהשבתה נרחבת של שרתי ה-Windows שברשותה. בתגובה, החברה הפעילה את צוותי ה-IT והאבטחה שלה. מכיוון שהשרתים שנפגעו היו מבודדים מהרשת הכללית של החברה - לא נרשם נזק בהיקף גדול, ומהארגון נמסר כי נכון לשעה זו נראה שלא הודלף מידע של לקוחות החברה ולא הייתה כל פגיעה בשירותי ליבה.
סייבר בישראל
הרצת שאילתה במנוע החיפוש של GrayhatWarefare עשויה להעלות מסמכים בעלי תוכן רגיש אודות אלפי ישראלים
הדליפה התגלתה על ידי חוקר אבטחה עצמאי אשר הזדהה בשם יהונתן, והיא כוללת מסמכים רבים משלל ארגונים, בהם פרטים אישיים מזהים ורגישים במיוחד של אלפי חיילים, קצינים ואזרחים ישראלים המשתייכים לעמותות רפואיות או למוסדות לימודיים, ביטחוניים ואחרים. חלק מהמסמכים אינם כוללים פרטים מזהים כמו שם או מספר תעודת זהות, אך הם מכילים פרטים כמו תאריך לידה מלא, עיר מגורים ומגדר, המאפשרים חשיפת זהות מלאה על ידי הצלבתם עם פרטים המצויים במאגרים אחרים. המסמכים שאותרו זמינים ברשת ונחשפו עקב שילוב של נהלי אבטחת מידע לקויים: אחסון המידע הרגיש בשירות עריכת המסמכים של גוגל ללא הגבלת גישה מספקת, באופן שאפשר לכל מי שקיבל קישור לצפות בתוכן המסמך ללא צורך בהזדהות, לצד מחדל נוסף, לפיו הקישורים למסמכים קוצרו באמצעות שירות קיצור קישורים, כדוגמת bit.ly, על מנת להקל על שיתופם. פעולה זו מגבירה את האפשרות שהמסמכים ייחשפו, משום שבחודש מרץ האחרון אתר לחקר פרצות אבטחה המכונה GrayhatWarefare העלה לרשת מנוע חיפוש המאפשר חיפוש במאגר של קישורים מקוצרים, כשלצדם הקישור המקורי. יהונתן, שבחר לבדוק את הכלי החדש, מצא את המסמכים הרגישים תוך שעות ספורות ודיווח על ממצאיו לרשות להגנת הפרטיות ולמערך הסייבר הלאומי. בעוד שלדברי הרשויות הנושא נמצא בטיפול, החוקר טוען כי המסמכים טרם הורדו מהרשת.
״גולברי״, ״סקארה״, ו״שילב״: מאגרי פרטים אישיים של לקוחות החברות מוצע למכירה
ב-24 באוגוסט בשעות הערב המאוחרות עלה לרשת מאגר מידע שהכיל פרטים אישיים, לרבות שמות פרטיים, שמות משפחה, מספרי תעודות זהות, תאריכי לידה וכתובת מגורים של לקוחות שלוש החברות, השייכות לקבוצת FOX, כך לטענת מפרסם המאגר. מאגר נוסף שפורסם שייך ל״צומת ספרים״, שאינה נמנית על רשת FOX. על פי פרסום של התוקף בפורום Raid, המאגר של ״שילב״ מכיל כ-1.4 מיליון רשומות ועבורו הוא דורש תשלום של $1000, המאגר של ״סקארה״ מכיל כ-800 אלף רשומות של חברי מועדון ועבורו נדרש גם כן תשלום בגובה $1000, המאגר של ״גולברי״ מכיל כ-720 אלף רשומות ועבורו נדרשים $800, ואילו עבור המאגר של ״צומת ספרים״, המכיל פרטים של כ-270 מלקוחות החברה, נדרשים $500.
סייבר בעולם
ריבוי תקיפות במתווה חדש מנצל שלוש חולשות מוכרות בשרתי Microsoft Exchange
שלוש החולשות (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) עליהן מבוסס המתווה החדש, המכונה ProxyShell, מנוצלות לביצוע RCE עם הרשאות אדמין באמצעות פקודות ב-Exchange PowerShell. למרות שהחולשות כבר תוקנו בעדכונים שפורסמו לשרתי ה-Exchange באפריל ובמאי האחרונים, שרתים רבים (יותר מ-30,000, על פי סריקה שבוצע ב-8 באוגוסט על ידי SANS ICS), עדיין אינם מעודכנים, ולכן פגיעים למתווה. בימים האחרונים בוצעו סריקות רבות לאיתור שרתי Exchange פגיעים, כאשר על פי דיווח של חברת Huntress עלה בידה למצוא יותר מ-140 Web shells ביותר מ-1,900 שרתי Exchange ב-17-18 באוגוסט בלבד. בתוך כך, החברה פירסמה אינדיקטורים ל-Web shells שהותקנו בתת-תיקיות התקנה של Exchange. אחת מן הקבוצות הבולטות המשתמשות במתווה לניצול החולשות היא LockFile, המתקינה באמצעותו כופרות בשרתים לאחר שהשיגה גישה אליהם. על מנת לסגור את החולשות, יש להטמיע את העדכונים האחרונים ל-Microsoft Exchange, שפורסמו ביולי:
Exchange 2013 Cumulative update 23 + KB5004778
Exchange 2016 Cumulative update 20 + KB5004779
Exchange 2016 Cumulative update 21 + KB5004779
Exchange 2019 Cumulative update 9 + KB5004780
Exchange 2019 Cumulative update 10 + KB5004780
ראיון של ערוץ היוטיוב Russian OSINT עם תוקפי Lockbit 2.0
מניתוח פנימי של קונפידס לראיון, שתורגם על ידי חברת KELA, הגיע הצוות למספר ממצאים בנוגע לקבוצת התקיפה: השימוש בביטויים רבים כדוגמת "מידע בעל חשיבות אסטרטגית", "תחום ביטוח הסייבר המתקדם", "אמון נבנה במשך שנים ונהרס ברגע" ועוד, נותנים את הרושם כי הדובר הוא אדם בעל רמת אינטליגנציה גבוהה וכי לא מדובר בתוקף:
-
ישנן חברות IR שסוגרות עסקאות איתם מאחורי הגב של החברה הנתקפת.
-
הם לא חושבים שהממשלות יעבירו חוק לאיסור תשלום הכופר, כי זה יפגע בכלכלת אותן מדינות.
סייבר ופרטיות - רגולציה ותקינה
החלטת הממשלה על בחינת רגולציה חכמה בסייבר וכללים והסמכות למתן הנחיות בזמן תקיפת סייבר
ממשלת ישראל קיבלה ב-1 באוגוסט את החלטה 219, הכוללת הקמת צוות בין-משרדי בראשות מנכ"ל משרד ראש הממשלה, שיגיש בתוך 180 ימים את המלצותיו באשר להתאמות הנדרשות להיערכות של מרחב הסייבר האזרחי לאיומי סייבר, לרבות בחינת הצורך לקביעת כללים וסמכויות להיערכות למתקפת סייבר ולמתן הנחיות במהלכה. במסגרת זו מערך הסייבר יציע את הנושאים המרכזיים לדיון בצוות, והצוות יבחן חלופות, יסקור את הנהוג במדינות אחרות ואף יוכל להמליץ על אסדרה בתחום. יוזכר, כי ההצעה לאסדרת הנושא במסגרת תזכיר חוק הגנת הסייבר זכתה לביקורת ולהתנגדות רבה בקרב ארגונים וחברות אזרחיים.
בשלב הראשון, הרשות פרסמה את המדריך ב-1 באוגוסט לקבלת התייחסויות מהציבור. במדריך מפורטות המלצות לאופן ביצוע תסקיר זה, או תסקיר השפעה על הגנת מידע (Data Protection Impact Assessment), שהוא תהליך אשר נועד לסייע לארגון באיתור, הערכה וניהול של סיכונים לפרטיות בפרויקטים או בפעילויות עסקיות וארגוניות אחרות הכוללות עיבוד של מידע אישי. המדריך ממליץ על תהליך בן שבעה שלבים, מקבלת ההחלטה על ביצוע ועד לאישור התוצר, שבמרכזו זיהוי ודירוג הסיכונים והאמצעים לצמצומם. עוד מודגש שעל התסקיר להיות מותאם למאפייני הארגון ושיש לשוב ולבצעו מעת לעת. המדריך אף מונה את השותפים המומלצים לתהליך, הכוללים את מנהל אבטחת המידע.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.