דו״ח סייבר שבועי
עדכון שבועי 28.04.2022
עיקרי הדברים
-
מערך הסייבר הלאומי מתריע מפני ניסיונות למתקפות סייבר לציון ״יום ירושלים האיראני״, החל ממחר. דיווחים על עשרות אתרים שכבר נפרצו. על הסקטורים המאוימים נמנים מגזרי השילוח, ההוסטינג, הממשל, חברות התוכנה, התעופה, רשויות מקומיות ועוד. חברת קונפידס מעלה כוננות לניהול משברי סייבר לחברות שייפגעו. לפרטים נוספים: https://mailchi.mp/konfidas/cyber-crisis-readiness
-
המלחמה בין רוסיה לאוקראינה: מתקפת סייבר על שירותי הדואר האוקראינים. ארה״ב, אוסטרליה, קנדה וניו זילנד פרסמו מסמך בנושא התגוננות מפני מתקפות סייבר של הממשל הרוסי; מיקרוסופט מפרסמת מסמך הסוקר את מתקפות הסייבר של רוסיה על אוקראינה.
-
דוח של ה-FBI: כך תדעו אם נפרצתם על ידי קבוצת התקיפה BlackCat/ALPHV.
-
צרפת: קבוצת בתי החולים ושירותי הבריאות GHT חווה מתקפת סייבר.
-
אנו ממליצים לעדכן את המוצרים הבאים: Drupal (קריטי); תוכנת Jira (קריטי); מוצרי Cisco (קריטי); מערכת Snort; עדכוני חומרה לשלוש מערכות הפעלה של מיקרוסופט.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-Drupal נותן מענה לשתי חולשות קריטיות
עדכון אבטחה לתוכנת Jira נותן מענה לחולשה קריטית במנגנון האימות
עדכון אבטחה נותן מענה לחולשת DDoS במערכת Snort
עדכוני אבטחה של Cisco נותנים מענה לחולשת Spring4Shell הקריטית במוצריה ולחולשה ברמת חומרה גבוהה ב-Firepower Threat Defense
עדכוני חומרה לשלוש מערכות הפעלה של מיקרוסופט נותנים מענה ל-26 בעיות שאינן אבטחתיות
Google תפרסם בקרוב את גרסה 101 של הדפדפן Chrome, בה יתוקנו כ-25 חולשות
התקפות ואיומים
צרפת: קבוצת בתי החולים ושירותי הבריאות GHT חווה מתקפת סייבר
קבוצת ההאקרים הצפון קוריאנית APT37 תקפה עיתונאי ערני באמצעות נוזקה חדשה
Emotet חוזרת לזירה לאחר תיקון באג שמנע מקורבנות פוטנציאליים להידבק בה
ממצאי החקירה הפורנזית של Okta: קבוצת התקיפה $LAPSUS שהתה במערכות החברה משך 25 דקות בלבד
חברת Cloudflare הצליחה לבלום את אחת ממתקפות ה-DDoS הגדולות אי-פעם
Mandiant: עלייה של פי 2 בניצול חולשות Zero-day, בעיקר במוצרים פופולריים
השבוע בכופרה
דוח של ה-FBI: כך תדעו אם נפרצתם על ידי קבוצת התקיפה BlackCat/ALPHV בפלטפורמת Windows
איגוד רופאי השיניים האמריקאי נפגע במתקפת כופרה
המלחמה במזרח אירופה
שירותי הדואר האוקראינים חווים מתקפת מניעת שירות
רשויות הגנת הסייבר של ארה״ב, אוסטרליה, קנדה וניו זילנד פרסמו מסמך משותף בנושא התגוננות מפני מתקפות סייבר של הממשל הרוסי
סייבר בעולם
עדכונים נוספים של ה-CISA ל״קטלוג החולשות המנוצלות הידועות״
סייבר בישראל
מערך הסייבר הלאומי מתריע מפני מתקפות ״יום ירושלים האיראני״
סייבר ופרטיות - רגולציה ותקינה
החרגה ממערכת הסנקציות של משרד האוצר של ארה"ב נגד רוסיה: שירותי אינטרנט, שיחות ועידה וצ'אטים עדיין מותרים
חוזר מנכ"ל משרד הבריאות קובע את תפיסת המשרד בנוגע להיערכות מול סיכוני סייבר: "ראייה הוליסטית"
חוק השירותים הדיגיטליים החדש של האיחוד האירופי יוצא לדרך: יותר שקיפות בנוגע לאלגוריתמים שבשימוש פלטפורמות חברתיות
הקמת פורום בינלאומי תקדימי בהובלת ארה"ב לקידום רגולציה אחידה להעברת מידע אישי בין מדינות
כנסים
הציטוט השבועי
״בשנים האחרונות (וביתר שאת מאז פריצת מגפת הקורונה) חלה עליה משמעותית בהיקף התקפות
הסייבר בעולם, ובמערכות הבריאות בפרט. הגל הזה לא פוסח על ישראל, שמהווה אף היא יעד
למתקפות סייבר״
פרופ' נחמן אש, מנכ״ל משרד הבריאות.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-Drupal נותן מענה לשתי חולשות קריטיות
שתי החולשות (שמזהיהן טרם פורסמו) רלוונטיות לגרסאות 9.3 ו-9.2 של הפלטפורמה לבנייה ותחזוקת אתרים. החולשה הראשונה הינה מסוג Improper input validation, והיא מאפשרת לתוקף להעלות לאתר מידע שאינו מאומת ב-Form API (קבוצת ממשקים המאפשרים למפתחים ליצור טפסים שאוספים, מאמתים ומעבדים נתונים שנשלחו על ידי המשתמש). החולשה השנייה היא חולשת Access bypass ב-Entity access API (המאפשר יצירה, קריאה, עדכון ומחיקה של נתונים), הנובעת מהשתלבות שגויה של הרשאות קיימות, המאפשרת למשתמש גישה לחלקים באתר שלא אמורה להיות לו גישה אליהם, עד כדי השתלטות על האתר.ֿ
צוות קונפידס ממליץ למשתמשי גרסה 9.3 של Drupal לעדכנה לגרסה 9.3.12 ולמשתמשי גרסה 9.2 לעדכנה לגרסה 9.2.18 בהקדם האפשרי.
עדכון אבטחה לתוכנת Jira נותן מענה לחולשה קריטית במנגנון האימות
-
עדכון האבטחה שפורסם על ידי חברת Atlassian נותן מענה לחולשה (CVE-2022-0540, טרם פורסם ציון CVSS) אשר עלולה לאפשר לתוקף לעקוף מנגנוני אימות ואבטחה בעת כניסה לממשק על ידי שליחת בקשת HTTP מותאמת, ובאמצעותה לדלג על דרישות האבטחה הרלוונטיות. עוד ציינה Atlassian כי החולשה משפיעה הן על אפליקציות צד ראשון המופעלות על ידה והן על אפליקציות צד שלישי, במידה והן מותקנות על אחד מהשירותים הבאים, בהם התגלתה החולשה:
-
ira Core Server, Jira Software Server, Jira Software Data Center - כל הגרסאות הקודמות לגרסה 8.13.18, וכן 8.14, 8.15, 8.16, 8.17, 8.18, 8.19, 8.20 בגרסאות הקודמות ל-8.20.6.
-
Jira Service Management Server, Jira Service Management Data Center - כל הגרסאות הקודמות לגרסה 4.13.18, וכן 4.14, 4.15, 4.16, 4.17, 4.18, 4.19, 4.20 בגירסאות הקודמות ל-4.20.6, 4.21.
עוד פרסמה החברה רשימת אפליקציות Marketplace המושפעות מהחולשה.
צוות קונפידס ממליץ למשתמשי השירותים הבאים להתמגן מפני החולשה על ידי ביצוע העדכונים הבאים:
Jira Core Server, Jira Software Server, Jira Software Data Center - עדכון לגרסה 8.22.0 ומעלה.
Jira Service Management Server, Jira Service Management Data Center - עדכון לגרסה 4.22.0 ומעלה.
עדכון אבטחה נותן מענה לחולשת DDoS במערכת Snort
פרויקט הקוד-פתוח Snort, המתוחזק על ידי Cisco, משמש לניתוח תעבורת רשת בזמן אמת ולזיהוי ובלימת פעילות זדונית ברשתות באמצעות טכנולוגיה למניעת חדירות (IPS) ולזיהוי חדירות (IDS). מקורה של החולשה (CVE-2022-20685, CVSS 7.5) שהתגלתה בקדם המעבד Modbus של המערכת היא בבעיית הצפה של מספרים שלמים (Integer overflow) בזמן עיבוד התעבורה, דבר המכניס את המעבד ה-Modbus ללולאה אינסופית. חולשה זו עלולה לאפשר לתוקף מרוחק שאינו מאומת לבצע מתקפת מניעת שירות ובכך להפסיק את פעילות בקרת התעבורה, להכניס תעבורה זדונית לרשת ללא התראה ולשתק את מערכת ה-Snort. על מנת להתחסן מפני החולשה יש לעדכן את המוצר לגרסאות 2.9.19 או 3.1.11.0. כמו כן, החולשה משפיעה על מוצרים נוספים של Cisco, כמפורט ברשימה זו.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסאות האמורות.
עדכוני אבטחה של Cisco נותנים מענה לחולשת Spring4Shell הקריטית במוצריה ולחולשה ברמת חומרה גבוהה ב-Firepower Threat Defense
העדכון סוגר את החולשה (CVE-2022-22965, CVSS 9.8) במוצרי החברה המושפעים ממנה (ראו ה״סייבר״, 31.3.22), בהם עמדות קצה, נתבים, מתגים והתקני קול (לחלק מהמוצרים יתפרסם עדכון אבטחה במועד מאוחר יותר). חולשה קריטית זו, הרצה על ה-Java Development Kit (סביבת פיתוח ל-Java) , מאפשרת לתוקף להריץ קוד זדוני מרחוק. זאת ועוד, בעדכון אבטחה נוסף שפרסמה Cisco ב-27 באפריל, נסגרת חולשה (CVE-2022-20757, CVSS 8.6) ברמת חומרה גבוהה בתוכנת ה-(Firepower Threat Defense (FTD, אשר נמצאה בפונקציה האחראית על החיבוריות בתוכנה ועלולה לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS).
צוות קונפידס ממליץ למשתמשים במוצרי Cisco לעדכנם בהקדם לגרסאותיהם האחרונות ולעקוב אחר פרסומי החברה בנוגע לעדכונים נוספים.
עדכוני חומרה לשלוש מערכות הפעלה של מיקרוסופט נותנים מענה ל-26 בעיות שאינן אבטחתיות
העדכונים התפעוליים שפורסמו ב-26 באפריל רלוונטיים למערכות ההפעלה Windows 10 - 20H2 ,Windows 10 - 21H1 ו-Windows 10 - 21H2. חמשת העיקריים שבהם: א. שיפור אופציית האתחול המאובטח, שנועדה למנוע הרצת תוכנות זדוניות בעת הפעלת המחשב מחדש; ב. תיקון באג הגורם לתצוגת המסך להשחיר בעקבות כניסה והתנתקות מה-Windows; ג. תיקון באג הגורם לניתוק הגישה ל-Internet Explorer בעת העתקה והדבקה של טקסטים באמצעות IME - Input Method Editor; ד. תיקון באג ב-Microsoft OneDrive, הגורם לבעיות גישה לקובץ לאחר שינוי שמו; ה. תיקון באג המונע שינוי סיסמה שפג תוקפה בעת הכניסה ל-Windows.
Google תפרסם בקרוב את גרסה 101 של הדפדפן Chrome, בה יתוקנו כ-25 חולשות
גרסה 101.0.4951 תכלול מספר שיפורים וכ-30 תיקוני אבטחה לכ-25 חולשות, 7 מהן קיבלו ציון חומרה גבוה:
-
6 חולשות מסוג Use After Free ב-Vulkan, העלולות לאפשר לתוקף מרוחק להריץ קוד זדוני לקבלת שליטה מלאה על מערכת הקורבן.
-
חולשה חמורה מסוג Heap buffer overflow, העלולה להביא למצב של מניעת שירות (DDoS).
צוות קונפידס ממליץ למשתמשי הדפדפן במערכות ההפעלה Mac, Windows ו-Linux לעדכנו לגרסתו החדשה עם שחרורה.
התקפות ואיומים
צרפת: קבוצת בתי החולים ושירותי הבריאות GHT חווה מתקפת סייבר
הקבוצה שנתקפה מונה 9 אתרים, כ-6,000 עובדים ו-3,370 מיטות, ומוסדותיה ממוקמים בצפון-מזרח המדינה. בהודעה מטעם GHT נמסר כי ניתקה את כל חיבורי האינטרנט הנכנסים והיוצאים שלה למניעת התפשטות המתקפה, אשר החלה ב-19 באפריל והובילה לגניבת נתונים רגישים, בהם נתוני מטופלים ואדמיניסטרציה. התקיפה השפיעה על לא יותר משני בתי חולים, ככל הנראה בשל הפרדה בתשתיות הקריטיות של הקבוצה. על אף המתקפה, הטיפול בחולים נמשך כסדרו, מאחר והתוכנה העיקרית המשמשת את המוסדות לא הושפעה מהאירוע ונותרה פעילה, בניגוד לשירותים מקוונים של הארגון, אשר אינם זמינים כתוצאה מחקירת האירוע והטיפול בו. בתוך כך, התוקפים פרסמו ב-Industrial Spy, פלטפורמה ברשת האפלה המשמשת זירה למסחר במידע גנוב, 28.7GB של מידע אישי אשר הודלף, לכאורה, מבתי החולים. לטענת התוקפים, המידע הוצע למכירה משלא נענתה דרישתם לדמי כופר בסך 1.3 מיליון דולר. עקב דלף המידע והחשש מפני מתקפות המבוססות על הנדסה חברתית, GHT קוראת לציבור לגלות ערנות ולדווח על הודעות, טלפונים ומיילים חשודים.
קבוצת ההאקרים הצפון קוריאנית APT37 תקפה עיתונאי ערני באמצעות נוזקה חדשה
במחקר שפרסמה חברת Stairwell מנותחת נוזקה בה נעשה שימוש לתקיפת עיתונאי של NK News, אתר חדשות אמריקאי המתמחה בקוריאה הצפונית. החוקרים מייחסים את התקיפה לקבוצה APT37, אשר פועלת בחסות קוריאה הצפונית, ואשר הצליחה להשתלט על מחשבו הפרטי של פקיד מודיעין דרום קוריאני לשעבר, ככל הנראה באמצעות שימוש בנוזקת RokRAT. לאחר שהקבוצה השיגה גישה לחשבון המייל האישי של הפקיד, היא העתיקה מלל מקורי שנשלח על ידו ומיענה את התוכן מחדש דרך כתובת מייל אחרת לעיתונאי של NK News. במייל, שהכיל שני קבצים, התבקש העיתונאי לפרסם ספר שכתב הפקיד הפקיד. אחד הקבצים היה קובץ ZIP שהכיל קובץ LNK (קיצור דרך של Windows) בשם Kang Min-chol Edits, על שם השר הצפון קוריאני לתעשיית הכרייה. קובץ זה מתקין על העמדה הנתקפת את נוזקת GOLDBACKDOOR, שטרם זוהתה לפני הקמפיין הנוכחי. הקובץ מורד משרת השייך ל-OneDrive של מיקרוסופט באמצעות הדומיין dailynk[.]us. הנוזקה האמורה מסוגלת לקבל פקודות מרחוק ולבצע הורדה של קבצים, שכן היא מצוידת בסט של מפתחות API לביצוע אימות מול Azure, על מנת לקבל פקודות הרצה המשויכות לתיעוד מקשים, לפעולות על קבצים ועוד. הקובץ השני שצורף למייל הינו קובץ ZIP שהכיל קובץ Word שאינו זדוני. בעת פתיחת הקובץ מורדת אל העמדה תמונה מ-herokuapp[.]com, דבר המאפשר לתוקפים לעקוב אחר פעילות הקורבן ולוודא כי נפל בפח. ואולם העיתונאי, שהבין כי מדובר במתקפה, פנה למומחה לניתוח חולשות מטעם Stairwell, אשר חקר את הנוזקה ופרסם את המסמך המרכז את ממצאי החקירה. בתרשים להלן מתוארים שני שלבי ההדבקה בנוזקה.
(מקור: Stairwell, 21.4.22)
Emotet חוזרת לזירה לאחר תיקון באג שמנע מקורבנות פוטנציאליים להידבק בה
Emotet היא נוזקה המופצת באמצעות מיילי ספאם המכילים קבצים עם צרופות זדוניות, והיא מרבה להתמקד באיסוף נתונים כגון מידע פיננסי, אנשי קשר, כתובות מייל, פרטי הזדהות לחשבונות משתמשים ועוד. הנוזקה תוקפתת בעיקר מחשבים המריצים את המערכת ההפעלה windows ומופעלת באמצעות פתיחת צרופת מייל המפעילה פקודות מאקרו ו/או סקריפטים להורדת הספרייה הזדונית ולהפעלתה של הנוזקה על מערכות הקורבן. לאחר הפעלתה, Emotet מפיצה את עצמה בחפשה במייל הקורבן כתובות נוספות שבהן תוכל להשתמש למשלוח קמפיינים עתידיים ולהפצת אמצעים אחרים, בהם הכלי הלגיטימי Cobalt Strike (המשמש צוותי PT לביצוע בדיקות חדירות למערכות בארגונים וקבוצות תקיפה לביצוע מתקפות כופרה). נכון לשעה זו ידוע כי ב-22 באפריל קבוצת התקיפה המקושרת ל-Emotet השיקה קמפיין מייל שכלל צרופות מסוג ZIP המוגנות בסיסמה ומכילות קבצים המתחזים לקיצורי דרך לקבצי Word (קבצי LNK). בעת לחיצה על הקיצור מבוצעת פקודה לחיפוש מחרוזת (String) המכילה קוד Visual Basic Script, שמוסיף את הקוד הקיים לקובץ VBS חדש. בקובץ זה מצוי הבאג אשר תוקן לאחרונה על ידי התוקפים. כעת, בעת לחצית הקורבן על הקיצור, הנוזקה תותקן על מערכותיו, תפעל בהן ותנסה להפיץ עצמה לקורבנות נוספים. מגזין אבטחת המידע BleepingComputer פרסם את שמות הקבצים שנמצאו מקושרים לנוזקה:
-
form.zip
-
Form.zip
-
Electronic form.zip
-
PO 04252022.zip
-
Form - Apr 25, 2022.zip
-
Payment Status.zip
-
BANK TRANSFER COPY.zip
-
Transaction.zip
-
ACH form.zip
-
ACH payment info.zip
בינואר 2021 צוותי משטרה וצוותים משפטיים ממדינות ברחבי העולם, בהן גרמניה, הולנד, קנדה, לטביה, אנגליה, צרפת, אוקראינה וארצות הברית, יצאו למבצע משותף לחיסול Emotet על ידי פגיעה בתשתיות הקריטיות של הקבוצה. לשם כך, כוחות אכיפת החוק חברו יחדיו ליצירת אסטרטגיה מבצעית יעילה, במהלך שהוביל את הרשויות להשגת שליטה על התשתית ולהשבתתה. במהלך המבצע, המכונות הנגועות של הקורבנות הופנו לעבר תשתית הנשלטת על ידי רשויות החוק, ובכך נפגעה שליטת הקבוצה על המחשבים הנגועים ב-Emotet ונמנעה פעולתה.
צוות קונפידס ממליץ שלא לפתוח מיילים המגיעים ממקורות שאינם ידועים, ולדווח מיד לגורם הממונה בארגון במידה והתקבלו מיילים חשודים, ובפרט מיילים המכילים את שמות הקבצים המצויים ברשימה לעיל ומוגנים בסיסמה.
ממצאי החקירה הפורנזית של Okta: קבוצת התקיפה $LAPSUS שהתה במערכות החברה משך 25 דקות בלבדבהמשך לדיווח על תקיפה של Okta (ראו ״הסייבר״, 24.3.22), המספקת לארגונים שירותים קריטיים של ניהול גישה, ועל טענותיה של $LAPSUS לפיהן הצליחה לחדור למערכותיה של החברה, ב-19 באפריל פרסמה Okta רשומת בלוג ממנה עולה כי בניגוד לפרסום הראשוני לפיו משך התקיפה עמד על חמישה ימים לכל היותר, בפועל גישתו הלא-מורשית של התוקף למשאביה נמשכה 25 דקות בלבד. עוד נמצא כי כל שעלה בידי התוקף הוא לגשת למידע של שניים מלקוחות החברה, ולצפות באינפורמציה מועטה באפליקציות כדוגמת Slack ו-Jira, ללא ביצוע פעולות. במהלך המתקפה שלטה הקבוצה בעמדתו של מהנדס תמיכה מחברת Sitel שהחזיק בגישה למשאבים ב-Okta, אך לא הצליחה לבצע במערכת שינויים מהותיים, כגון הגדרת אימות רב-שלבי (MFA) או סיסמה. נוסף על ממצאי החקירה, Okta פרסמה לקחים מהאירוע, לרבות הצורך בהקשחת אופן העבודה מול נותני שירות חיצוניים, וכן הודיעה על הפסקת עבודתה עם SYKES/Sitel ועל הגבלת ועריכת הרשאותיהם של נותני שירות מטעמה. עוד מסרה החברה כי היא בוחנת את האופן בו גורמים פנימיים תקשרו את האירוע ללקוחותיה. בתוך כך, גם חברת התקשורת T-Mobile אישרה כי $LAPSUS הצליחה לחדור למערכותיה במהלך חודש מרץ ולגנוב את קוד המקור של מספר פרויקטים שביצעה. על פי הידוע עד כה, קבוצת התקיפה השתמשה בנתוני הזדהות להתחברות באמצעות VPN אשר פורסמו באתרים רוסים והשיגה שליטה על חשבונותיהם עובדי החברה. לדברי T-Mobile טרם התברר אם במהלך התקיפה נגנב מידע ממשלתי או כזה הנוגע ללקוחות.
חברת Cloudflare הצליחה לבלום את אחת ממתקפות ה-DDoS הגדולות אי-פעם
לדברי החברה, מוקדם יותר החודש הצליחו מערכותיה לבלום אוטומטית מתקפת מניעת שירות שבשיאה נרשמו כ-15.3 מיליון בקשות HTTPS בשנייה - אחת ממתקפות ה-DDoS המאסיביות ביותר שנרשמו אי-פעם, והגדולה ביותר נגד שירות HTTPS (אך לא הגדולה ביותר שתועדה נגד שכבת האפליקציה של מודל ה-TCP/IP). מתקפות DDoS נגד שירותי HTTPS יקרות יותר להוצאה אל הפועל, בשל ההשקעה הנדרשת מצד התוקפים להסדרת חיבור TLS מוצפן. המתקפה האמורה נמשכה פחות מ-15 שניות וכוונה אל לקוחות Cloudflare בתחום המטבעות הקריפטוגרפיים. ניתוח מלא שלה והסבר על האופן בו מערכות Cloudflare מנתחות וחוסמות מתקפות מסוג זה מצויים ברשומת הבלוג המלאה.
Mandiant: עלייה של פי 2 בניצול חולשות Zero-day, בעיקר במוצרים פופולריים
ממאמר שפרסמה חברת הסייבר בנושא ניצול חולשות Zero-day בעשור האחרון, עולה שב-2021 נוצלו כ-80 חולשות מסוג זה, פי 2 מאשר ב-2019. לטענת Mandiant, מספר זה צפוי לגדול לצד הייצור וההטמעה של מוצרים חדשים, המגדילים את הסיכוי להופעת חולשות חדשות הניתנות לניצול. עוד מהווה העלייה המתועדת ביטוי לגידול בניסיונות למצוא חולשות Zero-day במוצרים ולהשקעת משאבים רבים משאבים בכך, הן על ידי קבוצות תקיפה והן על ידי חברות מחקר פרטיות, כאשר קבוצות תקיפה הפועלות בחסות מדינה, ובעיקר בחסות סין, ממשיכות להיות הגורם העיקרי המשתמש בחולשות אלה. במקום השני במדד הניצול מצויות קבוצות תקיפה, ובעיקר קבוצות כופרה, הפועלות ממניעים כלכליים ומהוות כשליש מכלל הגורמים המשתמשים בחולשות Zero-day. מלבד העלייה בניצול החולשות, נרשמו גם עלייה גם באיכות הפעולות והעדפה בולטת למציאת וניצול חולשות במוצרים פופולריים, בהם כאלה מתוצרת Microsoft ,Apple ו-Google, שמוצריהן מהווים כ-75% מכלל המוצרים שבהם נוצלו חולשות Zero-day על ידי תוקפים. מכיוון ששאר המקרים בהם נוצלו חולשות מסוג זה רלוונטיים לסוגים רבים מאוד של מוצרים, ארגונים מתקשים לתעדף את עדכוני האבטחה שהם מטמיעים, מה שמגדיל את מספר וסוג הגופים המושפעים מהימצאותן של החולשות. עוד יש לציין כי העלייה שנצפתה נובעת גם מהשימוש הגובר במוצרי אבטחה מתקדמים, המסוגלים לזהות איומים קיימים וחדשים, לרבות ניסיונות לנצל חולשות. על מנת להתמגן מפני מתקפות המנצלות חולשות Zero-day, יש להטמיע במערכות הארגון מוצרי הגנה מתקדמים ולתעדף נכונה את הטמעת עדכוני האבטחה, כאשר עדיפות עליונה יש לתת לעדכון מוצרים פופולריים, שסביר יותר שתוקפים יחפשו וינצלו בהם חולשות חדשות. כמו כן, יש לתעדף עדכונים הסוגרים חולשות שאם תנוצלנה תהיה לדבר השפעה גדולה על הארגון, ולא בהכרח על פי ציון החומרה (CVSS) שניתן להן.
השבוע בכופרה
דוח של ה-FBI: כך תדעו אם נפרצתם על ידי קבוצת התקיפה BlackCat/ALPHV בפלטפורמת Windows
בדוח שפרסמה לשכת החקירות הפדרלית ב-19 באפריל מפורטים סימנים המעידים על פריצת הקבוצה, הפועלת בעיקר במערכת ההפעלה Windows וכבר גבתה דמי כופר בשווי מיליוני דולרים במטבעות קריפטוגרפיים מכ-60 חברות ברחבי העולם. קבוצה זו מנצלת חולשות שהתגלו בעבר בקרב משתמשים לחדירה לארגונים, ובמידה וצלחה בכך היא מסוגלת לסלול גישה ל-Active Directory של הארגון הנתקף. לאחר מכן היא מגדירה מדיניות קבוצתית חדשה המבוססת על PowerShell Scripts ומשביתה את מנגנוני האבטחה של רשת הארגון. בדוח ה-FBI מופיעים סוגי הסקריפטים שזוהו בשימוש הקבוצה, לצד אינדיקציות לשמות הקבצים וקידודם (Hash). למזעור הסיכון ליפול קורבן למתקפה, מומלץ לעקוב בקביעות אחר ישויות בלתי מזוהות ב-Active directory, לגבות את המידע של הארגון מדי תקופה, למנוע אפשרות העתקה של מידע קריטי, לוודא שגרסאות מערכת ההפעלה והאפליקציות שבשימוש החברה מעודכנות ולעקוב בקביעות אחר פעולות משתמשים בעלי הרשאות ברשת הפנימית של מקום העבודה.
איגוד רופאי השיניים האמריקאי נפגע במתקפת כופרה
המתקפה, שהתרחשה ב-22 באפריל, טרם אומתה על ידי האיגוד (ADA), וככל הנראה בוצעה על ידי קבוצת תקיפה חדשה, המכונה Black Basta. הקבוצה, שלקחה אחריות על התקיפה באתר האינטרנט שלה, הדליפה עד כה מידע בנפח 2.8GB, שלטענתה מהווה 30% מסך המידע שנגנב על ידה והוצפן. לפי צילומי מסך של המידע נראה כי כלולים בו מסמכים ותכנים חשובים, בהם תלושי שכר, חוזים ופרטים אישיים של חברי האיגוד. בשעה זו ה-ADA מדווח רק על תקלות טכניות באתר האינטרנט שלו ובאלה של איגודי רופאי שיניים אזוריים, כדוגמת זה של ניו יורק. מכך ניתן לשער כי השפעת התקיפה רחבה יותר, עקב הסתמכותם של איגודים אזוריים על השירותים המקוונים של ה-ADA.
המלחמה במזרח אירופה
שירותי הדואר האוקראינים חווים מתקפת מניעת שירות
מתקפת ה-DDoS נפתחה לאחר שהשירות החל למכור גלויה המציגה חייל אוקראיני המבצע תנועה מגונה לעבר ספינת מלחמה רוסית. גלויה זו, שאזרחים שביקשו לרכוש אותה השתרכו בתור ארוך מחוץ למטה שירותי הדור בקייב, נוצרה לאחר שנטען כי צבא אוקראינה פגע באמצעות טיל בספינה השייכת לצי הרוסי והטביע אותה. מנגד, הרוסים טוענים כי הספינה טבעה בעטיו של הים הסוער ובעקבות דלקה שפרצה בה בשל פיצוץ של תחמושת שהיתה על כלי השיט. מטעם שירות הדואר האוקראיני נמסרה התנצלות על השיבושים ונאמר כי הארגון עושה כל שביכולתו, בשיתוף עם ספקי האינטרנט הרלוונטיים, על מנת להחזיר את שירותיו לפעילות. למרות שלא נמסרו פרטים אודות התוקף, מאז הפלישה הרוסית הזהירו גורמים בכירים בממשלת אוקראינה מפני תקיפות סייבר, בעוד הרוסים הכחישו את מעורבותם בתקיפות במרחב.
המסמך של הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) ומקבילותיה מזהיר ארגונים, בדגש על כאלה המהווים תשתית לאומית קריטית, מכך שפלישת רוסיה לאוקראינה עלולה לחשוף גופים באזור ומחוצה לו לפעילות סייבר זדונית מוגברת מטעם הממשל הרוסי או קבוצות פשיעה התומכות בו. פעילות זו עשויה להתרחש כתגובה לסנקציות הכלכליות חסרות התקדים שהוטלו על רוסיה, כמו גם כנקמה על תמיכתן הכספית של ארצות הברית ושותופותיה באוקראינה. רשויות הסייבר קוראות למנהלי תשתיות קריטיות להיערך לאיומי סייבר פוטנציאליים ולהקשיח את הגנות הסייבר בארגוניהם על פי ההמלצות המופיעות במסמך המשותף, בהן הטמעה שוטפת של עדכוני אבטחה למוצרים, הטמעת אימות רב-שלבי (MFA), ניטור שירותים שעשויות להיות גלומות בהם סכנות, כדוגמת שימוש ב-RDP, ביצוע תרגולי מודעות אבטחה לעובדים והטמעת שיטות עבודה נכונות בתחום אבטחת המידע, לרבות הגבלת הרשאות, בחינה וארגון מחדש של ארכיטקטורת הרשת, הטמעת כלי הגנה ועוד.
מיקרוסופט מפרסמת מסמך מיוחד הסוקר את מתקפות הסייבר של רוסיה על אוקראינה
במסמך מפורטות המתקפות הרוסיות, לצד הפעולות שביצעה מיקרוסופט בניסיון להגן על אנשים וארגונים באוקראינה. מטרת פרסום המסמך היא ליידע את הציבור וקובעי מדיניות ברחבי העולם במתרחש, ולסייע לגורמים נוספים בקהילת האבטחה להמשיך לזהות את המתקפות הללו ולהתגונן מפניהן, כשהמטרה הסופית היא הגנה על אזרחים מפני התקפות שעלולות להשפיע ישירות על חייהם ועל גישתם לשירותים קריטיים. על פי הדוח, ערב הפלישה הרוסית לאוקראינה נצפו לפחות שישה שחקנים רוסים נבדלים אשר פתחו ביחד ב-237 מבצעים נגד אוקראינה במרחב הסייבר, לרבות התקפות הרסניות אשר עדיין מאיימות על רווחת האזרחים. התקיפות אף לוו בפעולות ריגול ומודיעין רחבות, ושיבשו לא רק את מערכות המוסדות האוקראינים אלא גם את את גישת האנשים למידע מהימן ולשירותי חיים קריטיים, וניסו לפגום באמון האזרחים בהנהגת מדינתם. בתוך כך, נצפו פעולות ריגול מוגבלות נגד מדינות אחרות החברות בנאט"ו, ופעילות שעיקרה זריעת דיסאינפורמציה. צוותי האבטחה של מיקרוסופט עבדו בשיתוף פעולה הדוק עם פקידי ממשל אוקראינים וצוותי אבטחת סייבר בארגונים ממשלתיים ופרטיים, כדי לזהות ולתקן פעילות עוינת נגד רשתות אוקראיניות. זאת ועוד, מרכז האיומים (MSTIC) של מיקרוסופט דיווח לממשלה האוקראינית על תוכנות זדוניות שזוהו בשימוש בפעילות הרוסית במרחב. במסמך שפורסם ניתן למצוא ציר זמן מפורט של פעולות הסייבר הרוסיות שנרשמו, המלצות ספציפיות לארגונים שעלולים להיות על הכוונת של שחקנים רוסים ומידע טכני עבור קהילת הגנת הסייבר. תוקפים המקושרים לרוסיה החלו להתכונן לסכסוך הנוכחי כבר במרץ 2021, והסלימו את פעולותיהם נגד ארגונים באוקראינה ובקרב בעלות בריתה, להשגת דריסת רגל רחבה יותר במערכות האוקראיניות. להלן ציר זמן מתומצת של המתקפות.
(מקור: מיקרוסופט, 27.4.22)
סייבר בעולם
עדכונים נוספים של ה-CISA ל״קטלוג החולשות המנוצלות הידועות״
בהמשך לדיווחה של הסוכנות האמריקאית להגנת סייבר ותשתיות מתחילת החודש על הוספת חולשות לקטלוג החולשות הידועות המנוצלות שהיא מתחזקת (ראו ״הסייבר״, 7.4.22 ו״הסייבר״, 20.4.22), ב-25 באפריל התעדכן המאגר ב-7 חולשות נוספות, לאחר שנמצאו עדויות לניצולן הפעיל על ידי קבוצות תקיפה המהוות סיכון משמעותי לגופי ממשל פדרליים. החולשות שנוספו הן חולשה (CVE-2022-29464) ב-WSO2, חולשות (CVE-2022-26904 ,CVE-2021-40450 ,CVE-2021-41357 ,CVE-2022-21919) במוצרי מיקרוסופט, חולשה (CVE-2022-0847) ב-Linux וחולשה (CVE-2019-1003029) ב-Jenkins. עוד פרסמה ה-CISA התראה בנוגע ל-15 החולשות השכיחות ביותר לשנת 2021, חלקן עלו לכותרות בשנה האחרונה, חלקן קיימות מזה מספר שנים. בין החולשות החדשות מצויה החולשה (Log4Shell (CVE-2021-44228, CVSS 10.0 שפורסמה בדצמבר 2021 והיתה בעלת השפעה אדירה, וכן ProxyShell על כל תצורותיה (CVE-2021-34523, CVSS 9.8; CVE-2021-34473, CVSS 9.8; CVE-2021-31207, CVSS 7.2). מקורה של חולשה זו בשרתי Microsoft Exchange, והיא מאפשרת הרצת קוד מרחוק, העלאת הרשאות ועקיפת מנגנון האבטחה. חולשה (CVE-2020-1472, CVSS10.0) ותיקה יותר המצויה באזהרה של CISA היא ZeroLogon , המאפשרת העלאת הרשאות על עמדה פגיעה, ומקורה בפרוטוקול MS-NRPC של Windows. באזהרתה ממליצה ה-CISA לשים דגש על עדכוני אבטחה והטמעת מוצר של Patch Management. גרסאות לא מעודכנות של אפליקציות מצויות כיום ברשימת חמש הסיבות המובילות להיתכנות אירועי סייבר. את הפרסום המלאה של ה-CISA ניתן למצוא כאן.
סייבר בישראל
מערך הסייבר הלאומי מתריע מפני מתקפות ״יום ירושלים האיראני״
המערך צופה מתקפות סייבר על ארגונים בישראל במסגרת קמפיין ה-OPJerusalem#, המתוכנן ל״יום ירושלים האיראני״, שיחול ביום שישי הקרוב, ה-29 באפריל. הקמפיין מתקיים מדי שנה ביום שישי האחרון של חודש הרמדאן וכולל מתקפות סייבר נגד ארגונים ישראלים, לרבות מתקפות מניעת שירות, חדירה למאגרי מידע והדלפת מידע, מתקפות כופרה, השחתת אתרים וגרימת נזקים לארגונים ישראלים. על הסקטורים המאוימים נמנים מגזרי השילוח והלוגיסטיקה, אחסון האתרים, הממשל, חברות התוכנה, חברות התעופה, רשויות מקומיות ועוד. בשנים האחרונות נצפו ביום זה השחתת אתרים ישראליים והפצת מסרים אנטי-ישראליים ברשתות החברתיות ובאינטרנט (ראו ״הסייבר״, 29.4.21). אי לכך, מערך הסייבר פרסם המלצות להתגוננות מפני מתקפות מניעת שירות (DDoS), אשר בסבירות גבוהה יתרחשו באופן רוחבי ביום האמור (בעיקר משום שזוהי שיטת התקיפה הנפוצה והפשוטה ביותר). מדוח של חברת ClearSky עולה כי אמש התפרסמו בערוצי טלגרם של קבוצות תקיפה ידועות הודעות על פריצה למערכת בקרה ולאתרי אינטרנט ישראליים המוגדרים ״קטנים״. בין היתר, קבוצת J.E.Army, המשויכת ככל הנראה לחמאס, פרסמה כי תקפה מערכת הבקרה של חממות בקיבוץ בעוטף עזה, וקבוצת HOS המשויכת ככל הנראה לאיראן, הצהירה כי פרצה לאתר seret.co.il ולבסיס הנתונים שלו. רשימה של אתרים שלכאורה נתקפו עד כה ניתן למצוא כאן. הרשימה כוללת אתרים כמו kenyonim.com ו-israelmall.net, אך טרם התבררה רמת האמינות של מידע זה.
צוות קונפידס ממליץ לארגונים להגביר את ערנותם במרחב ולבצע הערכת סיכונים מקדימה נוכח האיום.
כמו כן, חברת Konfidas - החברה להגנה וניהול משברי סייבר - מעלה כוננות לשם סיוע בניהול אירועי סייבר לחברות שיתקפו.
סייבר ופרטיות - רגולציה ותקינה
החרגה ממערכת הסנקציות של משרד האוצר של ארה"ב נגד רוסיה: שירותי אינטרנט, שיחות ועידה וצ'אטים עדיין מותרים
בהחרגה ממערכת הסנקציות הכלכליות שהטיל על רוסיה משרד האוצר של ארצות הברית, ב-7 באפריל הודיע ראש המשרד לבקרת נכסי חוץ (Office of Foreign Assets Control) כי אספקתם של שירותים אלקטרוניים מסוימים עדיין מותרת בשטח רוסיה ולתושבי רוסיה. שירותים אלה כוללים הודעות מיידיות, שיחות ועידה בווידאו, צ'אט, דואר אלקטרוני, רשתות חברתיות, שיתוף תמונות, סרטים ומסמכים, גלישה באינטרנט, בלוגים, אירוח אתרים ורישום שמות דומיין. היוזמה להחריג שירותים אלה ממערכת הסנקציות נגד רוסיה נובעת מהניסיון למנוע את ניתוקם של תושבי רוסיה מהאינטרנט הגלובלי, לרבות פעילים חברתיים ועמותות.
חוזר מנכ"ל משרד הבריאות קובע את תפיסת המשרד בנוגע להיערכות מול סיכוני סייבר: "ראייה הוליסטית"
משרד הבריאות פרסם לאחרונה חוזר מנכ"ל 6/2022, שהינו מסמך מדיניות של המשרד הקובע את העקרונות למימוש הדרישות הרגולטוריות בתחום הגנת הסייבר להן הוא וארגוני בריאות בישראל כפופים, כל זאת בהתבסס על תורת ההגנה בסייבר של מערך הסייבר הלאומי. בראש ובראשונה, תפיסתו של משרד הבריאות היא שמנהלו של כל ארגון רפואי נדרש לנהל את סיכוני הסייבר של הארגון "בראייה הוליסטית". סיכונים אלה מוגדרים כ"פוטנציאל לנזק, העשוי להתממש באמצעות אירוע תקיפה של מערכות מחשב ו/או מערכות ותשתיות משובצות מחשב" של הארגון. אלה כוללים, בין השאר, גישה בלתי-מורשית לרשומות רפואיות (נושא בעל חשיבות גם בתחום הגנת פרטיות המידע האישי והרפואי), התקפות על מכשור רפואי ופגיעה בזמינותם של שירותים מקוונים לאזרחים. חוזר המנכ"ל אף מפרט דרישות בתחום הממשל התאגידי של ארגון הבריאות, כגון מינוי ממונה הגנת סייבר ואבטחת מידע ארגוני וממונה הגנת פרטיות, גיבוש אסטרטגיה ארגונית להגנת סייבר, מדיניות לניהול סיכוני סייבר, ביצוע בקרות וקביעת מדיניות ארגונית להגנת הפרטיות. במסגרת ההתמודדות הרגולטורית של משרד הבריאות עם סיכוני סייבר, חוזר מנכ"ל 6/2022 מצטרף לחוזר חטיבת הרפואה מס' 2/2021 חובת הודעה של מוסד רפואי על אירועים מיוחדים מחודש אפריל 2021, המפרט את חובות הדיווח על אירוע סייבר במוסד רפואי למשרד הבריאות.
חוק השירותים הדיגיטליים החדש של האיחוד האירופי יוצא לדרך: יותר שקיפות בנוגע לאלגוריתמים שבשימוש פלטפורמות חברתיות
במהלך חודש אפריל התגבש קונצנזוס בין המדינות החברות באיחוד האירופי בנוגע ל-Digital Services Act, או ה-DSA, שיחול על פלטפורמות דיגיטליות המספקות שירותים לתושבי 27 מדינות האיחוד. ליוזמה חקיקתית זו מספר יעדים: ראשית, היא תאפשר ליותר חברות קטנות ובינוניות (SMEs) להתחרות בחברות הגדולות הדומיננטיות כיום בשוק הדיגיטלי. שנית, היא תחייב פלטפורמות להיות שקופות יותר כלפי משתמשיהן בנוגע לפעילותן "מאחורי הקלעים", לרבות בנושא השימוש באלגוריתמים עליהם מבוססות פעילויות הפלטפורמות. שלישית, החוק החדש יקדם הגנה על פרטיות המידע של משתמשים, בהתאם לרגולציית הגנת הפרטיות של האיחוד, בעיקר ה-General Data Protection Regulation, או ה-GDPR. לבסוף, החקיקה תטיל אחריות על מנועי חיפוש, רשתות חברתיות ואחרות ושווקים דיגיטליים להגדיל את הפיקוח על התכנים שבאתריהם, ולוודא שאלה עומדים בדרישות הדין. נשיאת הנציבות האירופית, אורסולה פון דר ליין, התייחסה לחוק החדש באומרה כי: "ה-DSA ישדרג את כללי היסוד עבור כל השירותים המקוונים באיחוד האירופי. הדבר יבטיח שהסביבה המקוונת תישאר מרחב בטוח, השומר על חופש הביטוי וההזדמנויות לעסקים דיגיטליים. הדבר משפיע מעשית על העיקרון לפיו מה שאינו חוקי במצב לא-מקוון, צריך להיות בלתי חוקי גם באינטרנט. [....] ההסכם של היום [בנוגע למתכונת ה-DSA] משלים את ההסכם המדיני על חוק השווקים הדיגיטליים מחודש שעבר - ושולח איתות חזק לכל האירופים, לכל העסקים באיחוד האירופי ולעמיתינו הבינלאומיים".
הקמת פורום בינלאומי תקדימי בהובלת ארה"ב לקידום רגולציה אחידה להעברת מידע אישי בין מדינות
ב-21 באפריל הודיעה שרת המסחר של ארצות הברית, ג'ינה ריימונדו, על הקמת הפורום הבינלאומי התקדימי Global Cross-Border Privacy Rules (CBPR) Forum, שמטרתו לגבש כללים מוסכמים להגנה על פרטיות המידע האישי העובר בין גבולות של המדינות החברות בפורום: ארצות הברית, קנדה, יפן, קוריאה הדרומית, הפיליפינים, סינגפור, טאיוואן (טאיפיי הסינית). תהליכי העברת מידע המצייתים לכללים המוסכמים יזכו בהכרה של עמידה בסטנדרט הבינלאומי האמור. לפי הצהרת ההקמה של פורום ה-CBPR העולמי, מטרותיו הן לכונן מערכת אישורים בינלאומית של מידע אישי מוגן המבוססת על כללי ה-APEC Cross-Border Privacy Rules; לתמוך בזרימה חופשית של מידע; להקים פורום לשיתוף מידע ושיתוף פעולה בנושאים הרלוונטיים; לסקור מעת לעת את הסטנדרטים להגנה על מידע פרטי במדינות החברות בפורום, על מנת להבטיח שדרישותיהן של תוכניות ה-CBPR וה-PRP הגלובליות מתאימות לשיטות העבודה הקיימות בהן; ולקדם יכולת פעולה משותפת במסגרות רגולטוריות אחרות להגנה על פרטיות מידע. אימוצו של הפורום את המערכת הרגולטורית של כללי ה-APEC, הארגון לשיתוף פעולה כלכלי באזור אסיה והפסיפיק, מעורר את סוגיית התאמת הכללים שהפורום מקדם למערכות רגולטוריות נוספות להגנה על מידע אישי, כמו ה-GDPR, ה-LGPD של ברזיל וה-PIPL של סין.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.