WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 28.07.2022

עיקרי הדברים

  1. ישראל: נמשכות מתקפות הסייבר של קבוצות תקיפה המזוהות עם איראן נגד אתרים ישראלים; ליקוי פרטיות באתר הליכוד מאפשר לבדוק בקלות מי מתפקד למפלגה - הרשות להגנת הפרטיות הגיבה בהורדת ממשק החיפוש של הליכוד.

  2. המלחמה בין רוסיה לאוקראינה: תחנת רדיו אוקראינית נפרצה ונוצלה להפצת ידיעות כוזבות על בריאותו של הנשיא זלנסקי; תקיפות על חברות תוכנה אוקראיניות; אפליקציה מתחזה לזו של הבנק הרוסי VTB וגונבת כספים.

  3. Google מחזקת את הפרטיות: מחזירה את רשימת ההרשאות של אפליקציות לחנות האפליקציות של Android; מיקרוסופט הכריזה כי פקודות המאקרו ל-Office ייחסמו כברירת מחדל.

  4. אחרי קרוליינה הצפונית, גם מדינת פלורידה אוסרת על גופים מדינתיים לשלם כופר לתקופים. זאת ועוד, פלורידה מחייבת דיווח על האירוע תוך 12 שעות ומסמיכה את השריף לפעול תוך 48 שעות; מדינת ניו יורק מקצה למחוזותיה 30 מיליון דולר לשיפור הגנת הסייבר ולהתקנת EDR בחינם.

  5. אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Atlassian (קריטי); מוצרי SonicWall (קריטי); הדפדפן Firefox של Mozilla (גבוה); תוסף ה-Newsletter של WordPress (בינוני); מוצרי NAS; המוצר Microsoft Edge; מוצרי Apple; פלטפורמת המסחר PrestaShop; המערכת FileWave.

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה של Atlassian נותנים מענה ל-3 חולשות קריטיות בכמה ממוצריה
מערך הסייבר הלאומי מזהיר מפני חולשות במוצרי NAS ומפרסם המלצות להתנהלות נכונה בשימוש בהם
עדכון אבטחה למוצרי SonicWall נותן מענה לחולשה קריטית
עדכוני אבטחה של מיקרוסופט נותנים מענה ל-5 חולשות בדפדפני האינטרנט Microsoft Edge ו-Chromium
עדכוני אבטחה של Apple נותנים מענה לחולשות בכמה ממוצרי החברה
עדכון אבטחה נותן מענה לחולשה בגרסאות ישנות של PrestaShop המנוצלת לגניבת פרטי כרטיסי אשראי של לקוחות
עדכון אבטחה נותן מענה לחולשות במערכת ה-MDM של FileWave העלולות לאפשר מעקף הזדהות ופענוח מידע מוצפן
עדכון אבטחה לדפדפן Firefox של Mozilla נותן מענה ל-8 חולשות, בהן שתיים ברמת חומרה גבוהה
עדכון אבטחה לתוסף ה-Newsletter של WordPress נותן מענה לחולשה בדרגת חומרה בינונית

התקפות ואיומים

חברת הסייבר הישראלית Candiru מואשמת בניצול חולשת Zero-day שהתגלתה בתחילת החודש בדפדפן Chrome נגד לקוחות במזרח התיכון
Swiss Army Knife: האיום החדש על מערכות מבוססות Linux
נוזקת Amadey Bot לאיסוף וגניבת מידע ולטעינת קבצים חוזרת בגרסה חדשה ומופצת באמצעות SmokeLoader
קבוצת תקיפה משתמשת ברוגלת EvilNum על מנת לחדור לארגונים פיננסיים באירופה
חברת אבטחת המידע Entrust נפרצה וחוותה גניבת מידע ממערכות פנימיות; צפויה השפעה על ארגונים קריטיים ומוסדות ממשל בארה״ב
קבוצת התקיפה Magecart הדביקה מאות אתרי מסעדות ומשלוחי אוכל בנוזקה הגונבת פרטי כרטיסי אשראי ובנק
חברת התוכנה Doctor Web מזהירה מפני הורדת אפליקציות זדוניות מ-Google Play
מיקרוסופט מזהירה מפני הרחבות IIS היוצרות דלת אחורית לגישה מתמשכת והשתלטות על שרתים
נוזקת Infostealer חדשה גונבת משתמשי פייסבוק עסקיים

השבוע בכופרה

יוזמת No More Ransom מציגה חלופה לתשלום כופר לתוקפים
קבוצת LockBit פרסמה גרסה חדשה של הכופרה שברשותה, בעלת אופן מחיקת קבצים יוצא דופן

המלחמה במזרח אירופה

חברות תוכנה אוקראיניות על הכוונת: ניסיונות לתקוף שרשראות אספקה
תחנת רדיו אוקראינית נפרצה ונוצלה להפצת ידיעות שקריות על בריאותו של הנשיא זלנסקי
Falcon: אפליקציה זדונית הגונבת מידע תוך התחזות לאפליקציית הבנק הרוסי VTB

סייבר בעולם

ארה״ב: מתקפת סייבר על Tenet Health גרמה להשבתה שירותים, לעיכובים בפעילות במשך חודש ולהפסדים בסך 100 מיליון דולר
מדינת ניו יורק מקצה למחוזותיה 30 מיליון דולר לשיפור הגנת הסייבר, התקנת EDR בחינם ושיתוף מידע בין רשויות המחוזות, גופי ממשל אזוריים ותשתיות קריטיות
Google מחזירה את רשימת ההרשאות של אפליקציות לחנות האפליקציות של Android
פעם נוספת: מיקרוסופט הכריזה כי פקודות המאקרו ל-Office ייחסמו כברירת מחדל
ארה״ב: הבית הלבן אירח את הפסגה הלאומית בנושא כוח עבודה וחינוך בתחום סייבר
40 מיליון מתקפות בחודש: הוכפלה כמות מתקפות הסייבר על נמל לוס אנג׳לס; ה-FBI נכנס לתמונה
מינהל אבטחת התחבורה האמריקאי מעדכן את דרישות האבטחה והסייבר החלות על בעלי ומפעילי צינורות נפט וגז טבעי
פורסם אופן הצפנת התקשורת של פלטפורמת Cobalt Strike
T-Mobile תשלם 350 מיליון דולר בגין דלף מידע של יותר מ-76 מיליון אמריקאים
קבוצת תקיפה צפון קוריאנית תוקפת בפולין, בצ׳כיה ובמדינות נוספות באירופה באמצעות הטרויאני Konni
ארה״ב הגדילה את המענק לחושפי מידע אודות קבוצות תקיפה צפון קוריאניות

סייבר בישראל

אתרים ישראלים רבים נפרצו על ידי האקרים שמזוהים עם איראן

סייבר ופרטיות - רגולציה ותקינה

הרשות להגנת הפרטיות מורה למפלגת הליכוד להוריד שמות מתפקדים מאתרה
ארה״ב: איסור על תשלומי כופר להאקרים מצד רשויות ממשל מדינתיות - פלורידה מצטרפת לקרוליינה הצפונית במהלך תקדימי
בית הנבחרים האמריקאי דן בהיבטים רגולטוריים של כלי ניטור מסחריים
התרחבות במעורבותו הבינלאומית של ה-NIST בתחום הסייבר

כנסים

 
 

הציטוט השבועי

״העולם אינו מושלם, ואין בו מערכות חסינות לגמרי מפני תוקפים. אזהרה לציבור המשתמשים שהמערכת אינה חסינה מפני תקיפה היא צעד אחראי שנועד לאפשר למשתמשים החלטה מושכלת בדבר המידע שאותו יחשפו בחשבונות הפייסבוק שלהם.״ 

 כבוד השופט הבכיר ד"ר מנחם רניאל דוחה את הבקשה לתביעה ייצוגית נגד פייסבוק בת"צ 7322-10-18 אקסלרוד נ' Facebook Inc ואח', 12.7.22.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה של Atlassian נותנים מענה ל-3 חולשות קריטיות בכמה ממוצריה

חומרת החולשות היא על פי הערכה שביצעה החברה, שכן טרם פורסמו ציוני CVSS רלוונטיים. החולשה הראשונה (CVE-2022-26136) עלולה לאפשר לתוקף מרוחק שאינו מאומת לבצע (Cross-site scripting (XXS ולעקוף את מסנני ה-Servlet בהם משתמשות אפליקציות צד ראשון ושלישי על מנת לעקוף את תהליך אימות; החולשה השנייה (CVE-2022-26137) עלולה לאפשר לתוקף לעקוף את מנגנון ה-(Cross-origin Resource Sharing (CORS. רשימת המוצרים הפגיעים לחולשה זו וגרסאותיהם המעודכנות מצויה כאן; החולשה השלישית (CVE-2022-26138) רלוונטית לאפליקציית Questions for Confluence ועלולה לאפשר לתוקף מרוחק לקבל הרשאות צפייה ושינוי בכל העמודים שאינם מוגבלים כברירת מחדל בחשבון ה-Confluence. דבר זה מתאפשר מאחר שגורם חיצוני פרסם את הסיסמה הדיפולטיבית של חשבון ה-Confluence שנוצר אוטומטית בעת הפעלת המוצר. רשימת המוצרים הפגיעים לחולשה זו וגרסאותיהם המעודכנות מצויה כאן.
צוות קונפידס ממליצים משתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.

מערך הסייבר הלאומי מזהיר מפני חולשות במוצרי NAS ומפרסם המלצות להתנהלות נכונה בשימוש בהם

שימוש בשרתי הקבצים של NAS הינו פופולרי בקרב ארגונים קטנים וגדולים כאחד, כמו גם בקרב משתמשים פרטיים. ואולם, בעקבות מספר חולשות שהתגלו בהם במהלך השנים האחרונות ואשר נוצלו על ידי תוקפים לביצוע מתקפות כופרה, מערך הסייבר מזהיר כי חשיפת השרת או ממשק הניהול שלו לרשת האינטרנט עלולה לאפשר גניבה והצפנה של מידע המצוי בו, שימוש במשאבי השרת להרצת תוכנות זדוניות או לכריית מטבעות וירטואליים, תקיפה של נכסי הארגון על ידי כניסה ראשונית דרך שרת החשוף לאינטרנט ומטרות זדוניות נוספות. אי לכך, המערך ממליץ לעדכן את השרת באופן תכוף, לוודא שאינו חשוף לאינטרנט (במידה והשרת חייב להיות בעל גישה לאינטרנט, יש לעשות זאת בצורה בטוחה, באמצעות VPN), לוודא שניתן לגשת לממשק הניהול רק דרך פרוטוקולים מוצפנים וכתובות IP פנימיות, להגדיר סיסמה חזקה לממשק הניהול ולהפעיל אימות דו-שלבי (2FA), במידה וניתן, ולעקוב אחר הוראות היצרן להקשחת השרת. כמו כן, יש להפעיל תוכנת אנטי-וירוס, אם השרת תומך בכך.

עדכון אבטחה למוצרי SonicWall נותן מענה לחולשה קריטית 

העדכון שפרסמה חברת אבטחת המידע למוצרי ה-Analytics On-Prem ולמערכת הניהול הגלובלית שלה (GMS) סוגר החולשה (CVE-2022-22280, CVSS 9.4) העלולה לאפשר לתוקף לבצע מתקפת SQL Injection ללא צורך באימות בכניסה למערכת. להפחתה משמעותית של הסיכון להיפגע מחולשה זו ולהיחשף למתקפה שתנצל אותה, SonicWall ממליצה לשלב בין (WAF (Web Application Firewall לבין הטמעה מהירה של עדכוני האבטחה הבאים:

 Analytics - 2.5.0.3-Hotfix-1 

GMS - 9.3.1-SP2-Hotfix-2 

צוות קונפידס ממליץ למשתמשי המוצרים ליישם (WAF (Web Application Firewall ולעדכנם לגרסאות האמורות ולעקוב אחר המלצות היצרן.

עדכוני אבטחה של מיקרוסופט נותנים מענה ל-5 חולשות בדפדפני האינטרנט Microsoft Edge ו-Chromium

גרסאות המוצר המתוקנות, ששוחררו ב-22 ביולי, הן Edge 103.0.1264.71 ו-Chromium 103.0.5060.134. טרם פורסמו פרטים על דרגות החומרה של החולשות וטרם ידוע אם נוצלו עד כה בפועל או אילו תנאים יאפשרו את ניצולן, אך דווח כי 4 מתוכן הן חולשות בזיכרון, מסוג Use-After-Free - ב-(Views (CVE-2022-2481, ב-(Service Worker API (CVE-2022-2480, ב-(PDF (CVE-2022-2478 וב-(Guest View (CVE-2022-2477. עוד פורסם כי החולשה החמישית (CVE-2022-2479) נובעת מפגם באימות העלאת קבצים.

צוות קונפידס ממליץ למשתמשי הדפדפנים לעדכנם לגרסאותיהם האחרונות.

עדכוני אבטחה של Apple נותנים מענה לחולשות בכמה ממוצרי החברה

העדכונים, שפורסמו ב-20 ביולי, אינם כוללים מידע על רמות החומרה של החולשות שנסגרו בהם, ובשלב זה לא ידוע על ניצולן בפועל. העדכונים רלוונטיים למוצרים הבאים:

Safari 15.6 - תוקנו 3 חולשות (CVE-2022-32784, CVE-2022-32792, CVE-2022-2294) העלולות לאפשר הדלפת מידע רגיש דרך אתר זדוני, עיבוד זדוני של מידע שמקורו באינטרנט והרצת קוד שרירותי.
watchOS 8.7 בגרסה 3 ומעלה - תוקנו 26 חולשות, בהן חולשה (CVE-2022-32788) העלולה להוביל להרצת קוד ברמת Kernel על ידי משתמש מרוחק, וחולשה (​​CVE-2022-32819) העלולה לאפשר לאפליקציה לקבל הרשאות Root במערכת.

macOS Catalina 2022-005 - תוקנו 29 חולשות, בהן חולשה (CVE-2022-32832) העלולה להוביל להרצת קוד עם הרשאות Kernel על ידי אפליקציה בעלת הרשאות Root, וחולשה (CVE-2022-32823) העלולה לאפשר לאפליקציה להדליף מידע רגיש.

macOS Big Sur 11.6.8 - תוקנו 29 חולשות, בהן חולשה (CVE-2022-26704) העלולה לאפשר לאפליקציה לקבל הרשאות גבוהות במערכת, וחולשה (CVE-2022-32800) העלולה לאפשר לאפליקציה לערוך חלקים מוגנים במערכת הקבצים.

macOS Monterey 12.5 - תוקנו 50 חולשות, בהן חולשה (CVE-2022-32832) העלולה לאפשר לאפליקציה בעלת הרשאות Root להריץ קוד שרירותי עם הרשאות Kernel, וחולשה (CVE-2022-32826) העלולה לאפשר לאפליקציה לקבל הרשאות Root במערכת.

tvOS 15.6 - תוקנו 27 חולשות, בהן חולשה (CVE-2022-32832) העלולה לאפשר לאפליקציה בעלת הרשאות Root להריץ קוד שרירותי עם הרשאות Kernel, וחולשה (CVE-2022-32788) העלולה לאפשר למשתמש מרוחק להריץ קוד ב-Kernel.

iOS 15.6 ו-iPadOS 15.6 - תוקנו 37 חולשות, בהן חולשה (CVE-2022-32832) העלולה לאפשר לאפליקציה בעלת הרשאות Root להריץ קוד עם הרשאות Kernel, חולשה (CVE-2022-32788) העלולה לאפשר למשתמש מרוחק להריץ קוד ב-Kernel וחולשה (CVE-2022-32826) העלולה לאפשר לאפליקציה לקבל הרשאות Root במערכת.

צוות קונפידס ממליץ לבעלי המוצרים לעדכנם לגרסאותיהם האחרונות.

עדכון אבטחה נותן מענה לחולשה בגרסאות ישנות של PrestaShop המנוצלת לגניבת פרטי כרטיסי אשראי של לקוחות

החולשה (CVE-2022-36408), שטרם הוענק לה ציון CVSS, ניתנת לניצול באתרים המשתמשים בגרסאות ישנות של פלטפורמת המסחר PrestaShop (גרסה 1.6.0.10 ואילך וגרסה 1.7.8.2, במידה והן עושות שימוש במודולים הפגיעים לחולשת SQL Injection, כגון מודול ה-Wishlist). לדברי החברה, מיקומה המדויק של החולשה המנוצלת אינו ידוע, וייתכן שמקורה בגרסאות שאינן מעודכנות, במודולים של צד שלישי או בסיבה אחרת. התקיפה שתועדה כוללת שליחת בקשת POST לשרת פגיע המלווה בבקשת GET ללא פרמטר לאתר הבית, דבר היוצר בתיקיית ה-Root קובץ המכונה blm.php. בשלב הבא, התוקפים שולחים בקשת GET נוספת עם תוכן המאפשר להם להריץ קוד מרחוק. במרבית המקרים שנצפו, התוקפים פעלו בדרך זו על מנת להזריק עמוד תשלום מזויף ובאמצעותו לגנוב פרטי אשראי של משתמשים באתר. זאת ועוד, התוקפים נוהגים למחוק את עקבותיהם לאחר המתקפה, אך ייתכן ויהיה ניתן למצוא שיירים המעידים על התרחשותה בלוגים של האתר. דרך נוספת לזיהוי המתקפה היא חיפוש אחר שינויים בקבצים, כמו יצירת הקובץ blm.php, והפעלת זיכרון המטמון MySQL Smarty, אשר מושבת כברירת מחדל וכלל הנראה מופעל במתקפה כדי לאפשר את המשכה.

צוות קונפידס ממליץ למשתמשי הפלטפורמה להטמיע בהקדם האפשרי את עדכון האבטחה שפורסם על ידי החברה.

עדכון אבטחה נותן מענה לחולשות במערכת ה-MDM של FileWave העלולות לאפשר מעקף הזדהות ופענוח מידע מוצפן

מחקר טכני שפרסמה חברת אבטחת המידע Claroty חושף שתי חולשות (CVE-2022-34907 , CVE-2022-34906) בגרסאות 14.6.3 ו-14.7 של מערכת ניהול עמדות הקצה (MDM) מתוצרת FileWave, העלולות לאפשר לתוקף לעקוף את דף ההזדהות במערכת, להיכנס לממשק הניהול שלה עם הרשאות גבוהות ולפענח מידע מוצפן העובר בין השרת המארח לעמדת הקצה. במידה ומדובר במערכות On-premise, הספק ממליץ לעדכנן על פי ההנחיות המופיעות כאן.

צוות קונפידס ממליץ למשתמשי המערכת לעדכנה לגרסתה האחרונה.

עדכון אבטחה לדפדפן Firefox של Mozilla נותן מענה ל-8 חולשות, בהן שתיים ברמת חומרה גבוהה

גרסה 103.3 של הדפדפן סוגרת את החולשות הבאות במוצר:

CVE-2022-36319 - חולשה ברמת חומרה בינונית, העלולה לאפשר לתוקף מרוחק לבצע מתקפת Spoofing.

CVE-2022-36314 - חולשה ברמת חומרה בינונית, הרלוונטית למשתמשי Windows בלבד ועלולה לאפשר לתוקף לבצע מתקפת Cross-site Scripting) XSS).

CVE-2022-36318 - חולשה ברמת חומרה בינונית, העלולה לאפשר לתוקף מרוחק לגנוב מידע, לרבות מידע רגיש, ולשנות את מראהו של עמוד אינטרנט. 

CVE-2022-2505 - חולשה ברמת חומרה גבוהה מסוג Buffer overflow, העלולה לאפשר להכניס לאזור בזיכרון כמות מידע גדולה יותר מכפי יכולתו להכיל. כתוצאה מכך "גולש" חלק מהמידע אל מחוץ לגבולות החוצץ, ומשנה נתונים שלא היו אמורים להשתנות.

CVE-2022-36317 - חולשה ברמת חומרה בינונית, העלולה לגרום לממשק המשתמש להיתקע בעת ביקור באתר עם כתובת URL ארוכה מדי. זאת ועוד, שחזור הפעולה עלול להוביל למניעת שירות קבועה (DoS).

CVE-2022-36315 - חולשה ברמת חומרה נמוכה, העלולה לאפשר לתוקף להפעיל שימוש חוזר בערכים שנשמרו בעבר בזיכרון.

CVE-2022-36316 - חולשה ברמת חומרה נמוכה, העלולה לאפשר לתוקף גישה למידע רגיש.

CVE-2022-36320 - חולשה ברמת חומרה גבוהה מסוג Buffer overflow העלולה לאפשר להכניס לאזור בזיכרון כמות מידע גדולה יותר מכפי יכולתו להכיל. כתוצאה מכך "גולש" חלק מהמידע אל מחוץ לגבולות החוצץ, ומשנה נתונים שלא היו אמורים להשתנות.

צוות קונפידס ממליץ לכל משתמשי הדפדפן Firefox לעדכנו לגרסתו האחרונה בהקדם האפשרי. 

עדכון אבטחה לתוסף ה-Newsletter של WordPress נותן מענה לחולשה בדרגת חומרה בינונית

החולשה (CVE-2022-1756, CVSS 6.3), שתוקנה בגרסה 7.4.5 של המוצר, עלולה לאפשר הרצת קוד שרירותי בדפדפן האינטרנט של משתמש המחובר ל-WordPress באמצעות התוסף עם הרשאות מנהל. Newsletter הינו תוסף המיועד ליצירת מערכת של ניוזלטרים ושיווק, והוא מאפשר ליצור, לשלוח ולעקוב אחר מיילים שנשלחו.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.

התקפות ואיומים

חברת הסייבר הישראלית Candiru מואשמת בניצול חולשת Zero-day שהתגלתה בתחילת החודש בדפדפן Chrome נגד לקוחות במזרח התיכון 

ביולי אשתקד חשפו מיקרוסופט ו-Citizen Lab כי Candiru, ששמה כיום הוא Saito, ניצלה חולשות Zero-day לפעולות זדוניות נגד פוליטיקאים, עיתונאים ומקורותיהם, עובדי שגרירויות ובעלי תפקידים אחרים במזרח התיכון. החודש זוהה שימוש נוסף של החברה בחולשת Zero-day אחרת (CVE-2022-2294), אשר התגלתה בדפדפן ה-Google Chrome וקיבלה מענה בעדכון שפורסם ב-4 ביולי. ניצול החולשה מבוסס על שימוש בנוזקה DevilsTongue, אשר נכנסת למערכת ההפעלה של החומרה ומזריקה לה קובצי DLL וקובצי נוזקה נוספים, כמו WimBootConfigurations.ini ו-physmem.sys. דבר זה מאפשר לבסוף לתוקף לקרוא ולערוך את רכיב הזיכרון WebRTC. כפי שאירע ב-2021, נראה שגם הפעם היו על כוונת החברה עיתונאים וגופים במדינות במזרח התיכון, בהן לבנון, טורקיה, תימן ואחרות, וכן גופים ברצועת עזה. למשל, נראה כי בלבנון פרצו האקרים לאתר של עיתונאים והזריקו לו קוד שניתב את המשתמשים לשרת דמה, אשר אסף נתונים אודותיהם, לרבות פרופילי משתמשים, צילומי מסך, קובצי עוגיות, זיכרון המכשירים בהם נעשה שימוש ועוד. בדוח המלא מופיעים מזהי הנוזקה.

צוות קונפידס ממליץ למשתמשי הדפדפן Chrome לעדכנו לגרסתו האחרונה ולצוותי אבטחת מידע להזין את מזהי התקיפה (IOCs) במערכות ההגנה של ארגונם.

Swiss Army Knife: האיום החדש על מערכות מבוססות Linux 

בתקופה האחרונה נצפים יותר ויותר ניסיונות של קבוצות האקרים להתבסס ולהשפיע על מערכות ההפעלה של Linux. כהמשך ישיר לכך, זוהתה נוזקה חדשה ממוקדת Linux שכונתה Lightning Framework ומתאפיינת בתכונות שטרם נצפו. Lightning Framework מכילה מודול עיקרי בשם Lightning.Core, המתקשר עם שרת ה-C2 של התוקפים על מנת להריץ את הפקודות הרלוונטיות להורדת שאר ספריות התקשורת והשליטה, שיקנו לתוקפים יכולת שליטה מלאה מרחוק על המחשב, לרבות הרצת פקודות שרירותיות כמשתמש בעל הרשאות גבוהות. הספריות אשר יורדות למחשב הקורבן הן: 

Plugin.SsHijacker - משיגה גישה להפעלת משתמש על ידי הקוד המזהה שלו.

Plugin.Sshd - פרוטוקול תקשורת המאפשר תקשורת והעברת נתונים בין שני מכשירים. 

Plugin.Nethogs - מראה את התהליכים המעמיסים על תעבורת הרשת.

Plugin.iftop - מראה את השימוש בתעבורת הרשת בין שני ממשקים.
Plugin.iptraf - אוספת נתונים, מבצעת סטטיסטיקות ומצביעה על נפילות של מידע המועבר בתעבורת הרשת.

נכון להיום, טרם נצפו תקיפות באמצעות הנוזקה ולמרות שהדוח הנוכחי של Intezer כולל רק חלק ממזהיה, בקרוב צפוי להתפרסם דוח נוסף, שישלים את התמונה.

נוזקת Amadey Bot לאיסוף וגניבת מידע ולטעינת קבצים חוזרת בגרסה חדשה ומופצת באמצעות SmokeLoader

Amadey Bot, שהתגלתה לראשונה לפני כארבע שנים, זוהתה לאחרונה על ידי חוקרים ממעבדות AhnLab שבקוריאה הדרומית, כשהפעם היא מופצת באמצעות נוזקת SmokeLoader, המתחזה לתוכנות המסייעות בפריצת תוכנות (Software Cracks), או לאתרים של מחוללי רשיונות (Keygen), המסייעים אף הם ביצירת מפתחות למוצרים הדורשים רישיון לשם הפעלתם. בכך, SmokeLoader מורדת אל העמדה על ידי הקורבן מרצונו החופשי, ומכיוון שתוכנות מסוג Keygen ו-Software Cracks ידועות בכך שהן מפעילות התראות אנטי-וירוס במחשב, משתמשים נוהגים להשביתו לפני הורדתן, מה שיוצר מצע אידיאלי להפצת נוזקות. לאחר התקנתה של SmokeLoader היא מחדירה Main Bot לתהליך הלגיטימי explorer.exe שרץ במערכת, כדי לגרום למערכת ההפעלה ״לסמוך״ על התהליך ולאפשר לו להתקין בה את Amadey.

לאחר התקנתה, Amadey מעתיקה עצמה לתיקיית TEMP בשם bguuwe.exe ומשיגה אחיזה קבועה במערכת על ידי יצירת משימה מתוזמנת שתרוץ בה באופן קבוע. בשלב הבא בפעולת הנוזקה נוצר קשר עם שרת ה-C2 של התוקפים ונשלח מידע על מערכת ההפעלה של העמדה, על תוכנות האנטי-וירוס המותקנות בה, על סוג הארכיטקטורה שלה ועוד. למידע זה מגיב שרת ה-C2 בשליחת קובצי DLL נוספים להתקנת תוספים לגניבת מידע, הבולט שבהם הוא (RedLine (yuri.exe, שגונב שמות משתמשים, סיסמאות, קבצים ונכסי מטבעות קריפטוגרפיים. 

זאת ועוד, באמצעות פקודות PowerShell הנוזקה Amadey מוסיפה ל-Windows Defender החרגות מתאימות לפני הורדת קבצים זדוניים נוספים, כגון FXSUNATD.exe, המשמש להעלאת הרשאות במערכת על מנת לחמוק מזיהוי של ה-Defender. אחד מתוספי ה-DLL המותקנים על ידי הנוזקה, cred.dll, המופעל באמצעות rundll32.exe, מנסה לגנוב מידע מהתוכנות הבאות:

* MikroTik Router Management Program Winbox
* Outlook
* FileZilla
* Pidgin
* Total Commander FTP Client
* RealVNC, TightVNC, TigerVNC
* WinSCP

צוות קונפידס ממליץ להימנע מהורדת קבצים פרוצים, מפעילי מוצרי תוכנה או מחוללי מפתחות שאינם לגיטימיים ומבטיחים גישה חופשית למוצרי פרימיום. בדוח המלא מצויים מזהי הנוזקות הרלוונטיים, אותם מומלץ להזין במערכות ההגנה של ארגונים.

קבוצת תקיפה משתמשת ברוגלת EvilNum על מנת לחדור לארגונים פיננסיים באירופה

קבוצת התקיפה TA4563, ששמה ניתן לה על ידי חברת אבטחת המידע Proofpoint, מתמקדת בעיקר בארגונים העוסקים גם במטבעות קריפטוגרפיים וב-(DeFi (Decentralized Finance, ופועלת למטרת רווח כספי. בסוף 2021 החלה Proofpoint לזהות תקיפות של הקבוצה באמצעות נוזקת הריגול EvilNum, המוכרת מזה מספר שנים. תחילה נמצא כי הקבוצה החדירה את EvilNum למערכות הקורבנות באמצעות שילוב של קובצי ISO ,Microsoft Word ו-LNK (קובץ קיצור דרך), ככל הנראה על מנת לבחון את תקינות שיטות השליחה והעברה שלה, ולקראת אמצע 2022 עברה להשתמש רק בקובצי Word להדבקת ארגונים ברוגלה. לדברי החוקרים, מרבית ניסיונות ההדבקה כוללים מיילי פישינג המותאמים למוסדות פיננסיים, כאשר באחד מהמקרים נכתב במייל הדיוג כי ״על הנמען לספק הוכחת בעלות על מסמכים נדרשים״. בקובצי ה-Word שצורפו למייל הוסבר שיש לאפשר ביצוע עריכה בקובץ ולאחר מכן לאפשר תוכן כדי לצפות, לכאורה, בתוכנו של הקובץ. עוד הוסיפו החוקרים כי הקמפיינים ״מגודרים״ מאוד וכי הרוגלה מאפשרת הורדה אחת שלה על כל כתובת IP, ״כדי לוודא שרק עמדת המטרה תוכל לגשת לנוזקה״. בכך נראה שהקבוצה מנסה למנוע הפצה רחבה מדי של הנוזקה (שלפי Proofpoint נמצאת עדיין בתהליכי פיתוח), אשר עלולה להוביל למציאת דרכים לגילוי מוקדם שלה על ידי קהילת האבטחה העולמית ולפרסום שיטותיה של TA4563. את כלל מזהי הנוזקה (IOCs) ניתן למצוא בסוף הדוח של חברת Proofpoint.

חברת אבטחת המידע Entrust נפרצה וחוותה גניבת מידע ממערכות פנימיות; צפויה השפעה על ארגונים קריטיים ומוסדות ממשל בארה״ב

Entrust, הינה פלטפורמה לניהול זהויות ואימות משתמשים, המציעה שירותי אבטחה כגון תקשורת מוצפנת, אבטחת תשלומים דיגיטליים, פתרונות להנפקת תעודות מזהות ועוד, בהם משתמשים, בין היתר, סוכנויות ממשלתיות וארגונים בארצות הברית. נכון לשעה זו ידוע כי האקרים הצליחו לפרוץ את חומת האש של החברה ולגנוב מידע ממערכותיה הפנימיות. בהתבסס על היצע השירותים של החברה ועל אופי המתקפה, ברור שהשפעת האירוע תורגש בקרב מספר ארגונים קריטיים בארצות הברית, בהם גם משרד האנרגיה, המחלקה לביטחון המולדת (DHS), משרד האוצר, משרד הבריאות והרווחה ומשרד החקלאות. הפריצה לחברה התרחשה ב-18 ביוני, אך רק לאחרונה קיבלו לקוחותיה הודעה בנושא. בשלב זה לא ידוע אם כל המידע שנגנב הוא מידע קנייני של Entrust, או שמא נחשף גם מידע אישי של לקוחות וספקים, וגם טרם נודע אם במהלך המתקפה הוצפנו מכשירים בחברה. על פי ההערכות, המתקפה בוצעה על ידי קבוצת כופרה ידועה, שזהותה טרם התבררה, כל זאת למטרת סחיטת כספים מ-Entrust. ככל הנראה, עם תחילת ההדלפות מתוך המידע שהושג, יישפך אור על זהות התוקף. בתוך כך, Entrust, שפעילותה השוטפת לא נפגעה כתוצאה מהתקיפה, חוקרת את האירוע ביחד עם חברת אבטחת סייבר ורשויות החוק.

קבוצת התקיפה Magecart הדביקה מאות אתרי מסעדות ומשלוחי אוכל בנוזקה הגונבת פרטי כרטיסי אשראי ובנק

בקמפיין תקיפה חדש עלה בידי Magecart, סינדיקט פשיעה העוסק בגניבת כרטיסי אשראי ברשת, לחדור לרשתותיהן של שלוש חברות המספקות למסעדות שירותי קופת מכירה דיגיטליים (POS, או Point of Sale) ולהדביקן בנוזקות מסוג Skimmer, אשר גונבות פרטים אישיים ופרטי אמצעי תשלום. דרך שלוש החברות האמורות, MenuDrive ,Harbortouch ו-InTouchPOS, ביצעה Magecart מתקפת שרשרת אספקה נגד מאות אתרי מסעדות ומערכות משלוחי אוכל. במחקר טכני שערכה חברת Recorded Future נמצא כי לפחות 311 מסעדות ובעלי עסקים העובדים עם החברות שנתקפו נדבקו בנוזקה, ועד כה זוהו יותר מ-50,000 פרטי אשראי שנחשפו בעקבות הפריצות ומוצעים למכירה ברשת האפלה. לדברי Recorded Future דומיינים מסוימים ששימשו את התוקפים נחסמו, כגון authorizen[.]net, אך חלקם, למשל bouncepilot[.]net ו-pinimg[.]org, עודם פעילים.

חברת התוכנה Doctor Web מזהירה מפני הורדת אפליקציות זדוניות מ-Google Play

לדברי חוקרי Doctor Web, לא פחות מ-30 אפליקציות Android, שביחד הורדו כ-10 מיליון פעמים, נמצאו זדוניות. האפליקציות מתחזות לאפליקציות לגיטימיות, כגון כאלה המשמשות כמקלדות וירטואליות או לעריכת תמונות וניהול שיחות. האפליקציות מקשות על הקורבנות לזהותן ולהסירן באמצעות הסתרת האייקונים שלהן ממסך הבית של המכשיר ו/או יצירת אייקון שאינו בולט, על מנת שלא יעורר את חשדו של הקורבן.

להלן רשימת האפליקציות שנמצאו על ידי החוקרים כזדוניות:

  • Photo Editor: Beauty Filter (gb.artfilter.tenvarnist)

  • Photo Editor: Retouch & Cutout (de.nineergysh.quickarttwo)

  • Photo Editor: Art Filters (gb.painnt.moonlightingnine)

  • Photo Editor - Design Maker (gb.twentynine.redaktoridea)

  • Photo Editor & Background Eraser (de.photoground.twentysixshot)

  • Photo & Exif Editor (de.xnano.photoexifeditornine)

  • Photo Editor - Filters Effects (de.hitopgop.sixtyeightgx)

  • Photo Filters & Effects (de.sixtyonecollice.cameraroll)

  • Photo Editor : Blur Image (de.instgang.fiftyggfife)

  • Photo Editor : Cut, Paste (de.fiftyninecamera.rollredactor)

  • Emoji Keyboard: Stickers & GIF (gb.crazykey.sevenboard)

  • Neon Theme Keyboard (com.neonthemekeyboard.app)

  • Neon Theme - Android Keyboard (com.androidneonkeyboard.app)

  • Cashe Cleaner (com.cachecleanereasytool.app)

  • Fancy Charging (com.fancyanimatedbattery.app)

  • FastCleaner: Cashe Cleaner (com.fastcleanercashecleaner.app)

  • Call Skins - Caller Themes (com.rockskinthemes.app)

  • Funny Caller (com.funnycallercustomtheme.app)

  • CallMe Phone Themes (com.callercallwallpaper.app)

  • InCall: Contact Background (com.mycallcustomcallscrean.app)

  • MyCall - Call Personalization (com.mycallcallpersonalization.app)

  • Caller Theme (com.caller.theme.slow)

  • Caller Theme (com.callertheme.firstref)

  • Funny Wallpapers - Live Screen (com.funnywallpapaerslive.app)

  • 4K Wallpapers Auto Changer (de.andromo.ssfiftylivesixcc)

  • NewScrean: 4D Wallpapers (com.newscrean4dwallpapers.app)

  • Stock Wallpapers & Backgrounds (de.stockeighty.onewallpapers)

  • Notes - reminders and lists (com.notesreminderslists.app)

צוות קונפידס ממליץ להימנע מהורדת אפליקציות שמקורן אינו ידוע ושאינן הכרחיות לתפקודם של מכשירים. עוד מומלץ להתקין תוכנת אנטי-וירוס על מכשירי Android.


מיקרוסופט מזהירה מפני הרחבות IIS היוצרות דלת אחורית לגישה מתמשכת והשתלטות על שרתים

בפרסום באתרה מדווחת החברה כי לאחרונה יותר ויותר קבוצות תקיפה משתמשים בשירותי מידע אינטרנטיים (IIS) כדלתות אחוריות סמויות לכניסה לשרתים. לדברי מיקרוסופט, דלתות אחוריות מסוג זה הינן קשות לזיהוי, היות והן שוכנות בספריות המכילות מודולים לגיטימיים. לרוב, המתקפה מתחילה מניצול חולשה קריטית באפליקציה מתארחת לצורך גישה ראשונית, ולאחר מכן מתקינים התוקפים דלת אחורית מבוססת IIS להשגת גישה סמויה ומתמשכת לשרת, אשר ביכולתה לנטר בקשות נכנסות ויוצאות ולבצע משימות נוספות, כגון הפעלת פקודות מרחוק. מכיוון שהצפי הוא שתוקפים ימשיכו לנסות ולמנף דלתות אחוריות למתקפות מסוג זה, מיקרוסופט מפצירה בצוותי תגובה ללמוד את מהלכן של התקיפות על מנת לזהותן ולהתגונן מפניהן. עוד ופרסמה החברה אינדיקטורים שנמצאו קשורים למתקפות.

צוות קונפידס ממליץ לארגונים לנטר ולחסום את האינדיקטורים המוזכרים באתר, ולעדכן באופן תדיר את מערכת האנטי-ורוס/EDR בה עושה הארגון שימוש.

נוזקת Infostealer חדשה גונבת משתמשי פייסבוק עסקיים

חברת WithSecure זיהתה קמפיין חדש לגניבת משתמשי פייסבוק המכוון נגד עצמאיים וארגונים כאחד. על כוונת הקמפיין, שכונה DUCKTAIL, מצויים משתמשי Facebook Business, והוא מתבסס על השתלת הנוזקה בקבצים לגיטימיים ופיתוי בעלי החשבונות להורידם למכשיריהם. הנוזקה מסוגלת לגנוב קובצי עוגיות של משתמשים המאומתים לגישה אל משתמשי ה-Facebook Business, דבר המאפשר חטיפת סשנים, גניבת מידע, ולבסוף אף שליטה מלאה על חשבונות הפייסבוק. מממצאיה של WithSecure עולה שמקור התוקפים בווייטנאם ושהם פועלים ממניע כספי. עוד ציינה החברה כי לפני פרסום המחקר יצרה קשר עם Meta, חברת האם של פייסבוק, ושיתפה עמה את ממצאיו, על מנת לסייע לה למגר את השפעות הנוזקה, ככל הניתן.

צוות קונפידס ממליץ לבעלי עסקים ולעצמאיים המפעילים חשבון Facebook Business לגלות ערנות להודעות חשודות הנשלחות במייל או בפנייה ישירה, וכן לבחון ולהטמיע במערכות ההגנה שלהם  את המזהים המופיעים במחקר.

השבוע בכופרה

יוזמת No More Ransom מציגה חלופה לתשלום כופר לתוקפים

היוזמה קיימת מזה כ-6 שנים, ולגיבוש אתרה ותכניה שותפים גורמים רבים, בהם חברות הגנת סייבר וגופים ממשלתיים. נכון להיום, האתר משתף עם הציבור כ-136 כלים חינמיים, המאפשרים לאנשים ולחברות שנתקפו על ידי קבוצת כופרה לפענח את הצפנת הקבצים, כל זאת עבור 165 וריאנטים שונים של כופרות, כדוגמת GandCrab ו-REvil/Sodinokibi. פעולה זו מסירה את הצורך לשלם לתוקפים עבור מפתחות פענוח. המניע להקמת האתר הינה העלייה המתמדת במספר תקיפות הכופרה ובסכומי הכופר הנדרשים, ועל פי האתר עד כה השתמשו יותר מ-1.5 מיליון איש בכלי פענוח לשחזור הקבצים מבלי לשלם לתוקפים. עוד מוצגות באתר דרכים המסייעות להימנע ממתקפת כופרה, למשל ביצוע גיבויים באופן תדיר לנכסי הארגון, חיזוק מודעות העובדים בנוגע למיילי פישינג, הטמעת עדכונים למוצרי החברה בתדירות גבוהה ובמהירות ושימוש באימות רב-שלבי (MFA) בקרב משתמשי הארגון.

קבוצת LockBit פרסמה גרסה חדשה של הכופרה שברשותה, בעלת אופן מחיקת קבצים יוצא דופן 

ב-25 ביולי פרסמה Trend Micro דוח אודות הגרסה החדשה של נוזקת הכופר הידועה, LockBit 3.0, המכונה גם LockBit Black. גרסה זו הושקה ביחד עם אתר ההדלפות החדש של הקבוצה ותוכנית ה-Bug Bounty (ראו ״הסייבר״, 30.6.22). בין היתר, הדוח חושף כי דגימה של הנוזקה שנותחה על ידי Trend Micro התבררה כקובץ Win32.exe המכיל חלקים שנארזו יחדיו לכדי תוכנה שאינה ידועה. מבחינת אופן פעולתה, לאחר שהכופרה מצפינה עמדה היא מייצרת מכתב כופר, משנה את רקע שולחן העבודה ומדפיסה את המכתב בכל מדפסת זמינה. עוד גילו החוקרים שחלקים מקוד המקור של LockBit 3.0 לקוחים מכופרת BlackMatter, ומכאן השם LockBit Black. בנוגע לשתי הכופרות נצפה שימוש באותן שיטות לצורך העלאת הרשאות על עמדה נגועה ובאותן מתודות התחמקות. LockBit Black מבצעת חיפוש של ממשק תכנות היישומים (API) באמצעות גיבוב שם הספריות, ולאחר מכן משווה בין הערכים כדי לוודא את הימצאותן של כל הספריות (DLL) הדרושות לפעולתה. בדומה ל-BlackMatter, הכופרה משתמשת בתת-תהליכים לצורך תקשורת באמצעות APIs, כנראה על מנת להקשות על חוקרים לפצח את הכופרה. 

בנוגע למחיקת קבצים נצפתה התנהגות מיוחדת של הכופרה, אשר מבצעת את המחיקה באמצעות קובץ tmp., המשכתב את תוכן הקובץ פעמים מרובות ולבסוף שולח אותו לסל המחזור. התנהגות זו מונעת מאנשי פורנזיקה לשחזר את תוכן הקבצים, מכסה את עקבות התוקפים ומטשטשת את נתיב הכופרה. עוד נחשף כי LockBit Black נמנעת מלהדביק מחשבים שהשפה המוגדרת בהם היא ערבית, ארמנית, אזרבייג'נית, בלארוסית, גיאורגית, קזחית, קירגיזית, רומנית, רוסית, טג'יקית, טורקמנית, טטרית, אוקראינית או אוזבקית.

LockBit הינה קבוצת התקיפה המובילה בתחום ה"כופרה כשירות" (Ransomware-as-a-Service, או Raas), וברבעון הראשון של 2022 כבר רשמה 220 דיווחים על התקפות וסחיטות מוצלחות. לדברי Trend Micro, "עם שחרורה של גרסה אחרונה זו והשקת תוכנית הבאגים של LockBit, שמתגמלת את שותפיה, אנו מצפים שקבוצת הכופרה LockBit תגביר את פעילותה בימים הקרובים. אנו ממליצים לארגונים ולמשתמשי קצה להישמר מפני גרסה חדשה זו, במיוחד משום שתוכנית ה-Bug Bounty עשויה לעזור למפעילים להפוך את הכופרה שלהם לאיומה עוד יותר".

צוות קונפידס ממליץ לארגונים להזין את ה-IOCs המצויים בדוח של Trend Micro, לבצע גיבויים על בסיס קבוע, להעלות את מודעות העובדים למתקפות הנדסה חברתית ולשמור על מערכות ההפעלה והתוכנות מעודכנות לגרסאותיהן האחרונות.

המלחמה במזרח אירופה

 

חברות תוכנה אוקראיניות על הכוונת: ניסיונות לתקוף שרשראות אספקה

במחקר טכני שפרסמה יחידת המחקר Talos מבית Cisco מתואר כיצד ארגונים רוסים פועלים במימון מדיני, לכאורה, לתקיפת חברות אוקראיניות, בדגש על חברות תוכנה, לשיבוש שרשראות אספקה. התקיפות מתבססות על שתי חולשות קריטיות (CVE-2020-5902, CVE-2022-1040) במערכות מתוצרת F5 BIG-IP ו-Sophos Firewall, שניצולן עלול לאפשר הזרקת קוד זדוני מרחוק. לאחר ניצול החולשות, התוקפים מנסים להתקין על העמדה הפגועה Backdoor מסוג GoMet, שנצפה לראשונה בחודש מרץ האחרון. הנוזקה, שכתובה בשפת Go, מופיעה בקמפיין הנוכחי בגרסה משופרת, כאשר כעת מחשב הקורבן מנסה להתחבר לשרת ה-C2 של התוקפים בכל שתי שניות באמצעות CronJob שהוטמע בקוד, במטרה להכניס את התחנה למצב ״שינה״ ובכך לגרום לה לאובדן תקשורת. נוסף על כך, התוקפים משתמשים בטכניקה ייחודית להטמעת משימה מתוזמנת במערכת הנתקפת, המתבססת על הטמעת המשימה הזדונית החדשה בתוך משימה קיימת במקום ליצור אחת חדשה, שאינה מוכרת. הדבר נועד להקשות על הקורבן בזיהוי וחקירת האירוע. 

תחנת רדיו אוקראינית נפרצה ונוצלה להפצת ידיעות שקריות על בריאותו של הנשיא זלנסקי

בהמשך לתקיפת סייבר של מפעילת הרדיו האוקראינית TAVR Media, שירות המדינה האוקראיני לתקשורת מיוחדת והגנת מידע (SSSCIP) צייץ בטוויטר כי מאחורי שידור הידיעות הכוזבות לפיהן נשיא אוקראינה וולודימיר זלנסקי נמצא בטיפול נמרץ עומדים פושעי סייבר. עוד הופץ כי יו״ר הפרלמנט רוסלן סטפנצ'וק מבצע בפועל את עבודתו של הנשיא, אך זה האחרון מיהר להפריך את השקרים באמצעות סרטון שפרסם באינסטגרם, בו הוא מצהיר כי מעולם לא הרגיש בריא יותר. בפוסט שפרסמה בפייסבוק TAVR Media היא מדווחת כי שרתיה ורשתותיה חוו תקיפת סייבר, וכי היא פועלת לפתרון הבעיה. למרות שטרם התברר מי עומד מאחורי החדירה, ידוע כי כמה קבוצות תקיפה מנצלות את הסכסוך המתמשך בין רוסיה לאוקראינה למטח תקיפות סייבר. 

Falcon: אפליקציה זדונית הגונבת מידע תוך התחזות לאפליקציית הבנק הרוסי VTB

במהלך חיפושים אחר איומי סייבר נתקלו חוקרי חברת Cyble בציוץ בטוויטר אודות נוזקה ל-Android התוקפת לקוחות של הבנק הרוסי VTB על ידי התחזות לאפליקציה שלו. בניתוח האפליקציה הזדונית, אותה כינו החוקרים Falcon, נמצא ששמה הוא ВТБ, כלומר VTB ברוסית, ושאין לה ממשק משתמש. עוד נמצא כי לאחר התקנתה בנייד נעלם האייקון שלה מן המכשיר, וכי שחקני האיום העומדים מאחוריה מתעניינים בכמה אפליקציות ספציפיות במכשיר הנתקף, בהן גם האפליקציה הלגיטימית של VTB. בתהליך בקשת ההרשאות של האפליקציה הזדונית היא שולחת את רשימת האפליקציות שמותקנות במכשירו הנייד של הקורבן לשרת C2 של התוקפים, כאשר יש ביכולתה לגנוב מהמכשיר מידע, הודעות SMS, נתוני התראות ועוד, לשלוח הודעות ספאם לאנשי קשר במכשיר ולבצע עסקאות פיננסיות באמצעות השירות האלקטרוני Unstructured Supplementary Service Data) USSD).

אפליקציה זו מהווה נדבך נוסף במלחמה המתנהלת במרחב הסייבר בין רוסיה לאוקראינה, כאשר בעלייה מיוחדת נמצאות המתקפות על משתמשי Android. בשבוע שעבר חשפה ה-TAG, חטיבת ניתוח האיומים של Google, כי קבוצת התקיפה Turla, המזוהה עם ה-FSB (שירות הביטחון הפדרלי הרוסי), מפיצה את CyberAzov, אפליקציה המתחזה לכזו שפותחה על ידי כוח Azov האוקראיני המפורסם (ראו ״הסייבר״, 21.07.22) .

על מנת להתגונן מפני אפליקציות זדוניות, חוקרי Cyble ממליצים להוריד ולהתקין תוכנות רק מחנויות אפליקציות רשמיות, כמו Google Play Store או iOS App Store (בעת חקירת האפליקציה הזדונית זיהה אותה Google Play Protect כמזויפת וככזו הגונבת מידע, ולכן חסם את ההתקנה והזהיר את החוקרים מפניה), ולהשתמש לפתיחת המכשיר הנייד בתכונות אבטחה ביומטריות, כגון טביעת אצבע או זיהוי פנים, בסיסמאות חזקות ובאכיפת אימות דו-שלבי (2FA) בכל מקום בו ניתן לעשות זאת.

צוות קונפידס ממליץ להזין את מזהי התקיפה (IOCs) במערכות הניטור של ארגונים ולהגן על מכשירים ניידים באמצעות תוכנות ייעודיות, כדוגמת Check Point Harmony, המנטרות את המכשיר, את האפליקציות שמותקנות בו ואת תנועת הרשת היוצאת והנכנסת אליו. למידע נוסף חייגו 8272*.

סייבר בעולם

 
 

ארה״ב: מתקפת סייבר על Tenet Health גרמה להשבתה שירותים, לעיכובים בפעילות במשך חודש ולהפסדים בסך 100 מיליון דולר 

Tenet Health הינה אחת מספקיות שירותי הרפואה הגדולות בארצות הברית, המפעילה 65 בתי חולים ויותר מ-450 מוסדות בריאות, גם באמצעות חברות בנות. מתקפת הסייבר על מתקניה של Tenet, שהתרחשה באפריל האחרון, הובילה להשבתת פעילותה משך מספר שבועות, לעיכובים בפעילות מוסדות הבריאות של Tenet Healthcare ולהפסד כספי עצום. תג המחיר הכבד נגרם מאובדן הכנסות, מהפרעות בפעילות העסקית ומשחזור המערכות והשירותים. למרות שבהודעתה הראשונית על האירוע, באמצע חודש אפריל, Tenet לא חשפה את סוג האיום שהוביל לשיבושים ואת תאריך החדירה למערכותיה, דיווחים בתקשורת המקומית חשפו שלפחות שניים מבתי החולים שבבעלותה במדינת פלורידה החלו לחוות בעיות במערכות ה-IT והטלפוניה שלהם ב-20 באפריל. זאת ועוד, בית חולים אחר של Tenet בפלורידה - המרכז הרפואי סנט מרי שבווסט פאלם ביץ', נאלץ להפנות חולים למוסדות סמוכים עקב השיבוש ברשת המחשוב. ההודעה היחידה לעיתונות שפרסמה Tenet עסקה בשיבושים הנרחבים במערכות ה-IT שלה, וממנה עלה כי מתקפת הסייבר גרמה להפרעה קצרת טווח בקבוצה של Tenet העוסקת בטיפול נמרץ. עם זאת, האירוע לא פגע בפעילותם של כל בתי החולים של החברה.

Tenet, שהחזיקה בפוליסת ביטוח סייבר, הגישה תביעה לכיסוי ביטוחי שעודנה מתנהלת, ועד כה קיבלה לידיה 5 מיליון דולר מכספי הביטוח, כאשר לפי דיווחי החברה הכנסותיה התפעוליות נטו ירדו בעקבות המתקפה ב-11%. הפסדים אלה יוחסו ישירות ל"השפעה השלילית" של המתקפה ועסקה בה נמכרו בתי החולים של Tenet באזור מיאמי. למרות הנזק העסקי והפיננסי, מנכ"ל החברה סאום סוטאריה אמר כי Tenet "הפגינה חוסן מול מתקפת סייבר משבשת ומשמעותית תחת תנאי שוק מאתגרים". בשעה זו נראה שהחברה טרם שמה את המתקפה מאחור, שכן בעקבות הפריצה למערכת ה-Baptist Health System נגנב מידע אודות 1.2 מיליון מטופלים, דבר שגרר תביעות משפטיות.

במקרים דומים, השיבושים במערכות המחשוב עקב מתקפת סייבר שחוו בקיץ שעבר שירותי הבריאות של אירלנד, אשר נמשכו יותר משלושה חודשים, הביאו לאובדן הכנסות של כ-600 מיליון דולר, לצד לעלויות שחזור והתאוששות. מתקפת הסייבר שחוותה במאי 2021 Scripps Health, והשיבוש העוקב בפעילותה, שנמשך חודש ימים (ראו ״הסייבר״, 6.5.22), עלו לספקית הבריאות הקליפורנית, המונה 5 בתי חולים ו-19 מתקני חוץ ״בלבד״, כ-112.7 מיליון דולר באובדן הכנסות ובמאמצי שחזור והתאוששות. השיבוש ברשת המחשוב של בית החולים הקהילתי אליזבת'טאון שבוורמונט, שנמשך יותר מחודש, עלה למוסד יותר מ-63 מיליון דולר. בממוצע, התקפות מסוג זה עולות לקורבן כ-1.5 מיליון דולר לכל יום בו מושבתות רשתותיו. 

תקריות אלו ממחישות את ההשפעות הכספיות והרוחביות שמביאות עימן מתקפות סייבר במגזר הבריאות, ומדגישות את החשיבות של שינוי וחיזוק אמצעי האבטחה וכלי ההגנה של ארגונים אלה.

מדינת ניו יורק מקצה למחוזותיה 30 מיליון דולר לשיפור הגנת הסייבר, התקנת EDR בחינם ושיתוף מידע בין רשויות המחוזות, גופי ממשל אזוריים ותשתיות קריטיות 

כמענה להתפתחויות בגזרת הסייבר, מושלת ניו יורק קת׳י הוקול הודיעה בחודש פברואר על הקמתו של מרכז סייבר להגנה מפני מתקפות שונות (כופרה, מניעת שירות [DDoS] ועוד), לאיסוף נתונים ולשיתוף מידע אודות המרחב הקיברנטי בין המוסדות המדינתיים והפדרליים במדינה. כעת, ב-21 ביולי הכריזה המושלת על יציאתה לדרך של התוכנית, המוערכת בכ-30 מיליון דולר, ואשר כחלק ממנה תסופק לרשויות מחוזות המדינה מערכת לזיהוי ותגובה (EDR) של חברת CrowdStrike, אשר תותקן על מחשבי הקצה של הגופים הרלוונטיים, תנטר בזמן אמת את פעולות המשתמשים ותגיב לאיומים.

Google מחזירה את רשימת ההרשאות של אפליקציות לחנות האפליקציות של Android

לאחר שבאפריל האחרון הסירה את הרשימה, ב-19 ביולי הכריזה החברה שתשיב אותה אל החנות בעקבות פידבק בנושא מקהילת ה-Android. בתוך כך, בציוץ של Android Developers נאמר כי ״פרטיות ושקיפות הם ערכי ליבה בקרב קהילת Android״, ואילו מ-Google נמסר שבחנות ישאר גם מדור ה-Data Safety שהוכנס אליה בעדכון האחרון, כך שמשתמשים יוכלו לראות הן את הרשאות האפליקציה והן את המידע שהיא אוספת לפני התקנתה. ההחלטה להשיב את רשימת ההרשאות הגיעה לאחר החלטתה של Google על אכיפת השימוש במדור ה-Data Safety החדש, אליו נדרשו מפתחים להעביר עד ל-20 ביולי נתונים על האופן בו הם אוספים ומנהלים מידע של משתמשים. עם זאת, אפליקציות כמו Discord, דפדפן ה-Tor ואפליקציות מבית Amazon עדיין אינם כוללים את המדור החדש, העובד בצורה שונה ממדור ההרשאות, ששואב את המידע מרשימת ההרשאות שהוכרזה ב-Manifest file בעת כתיבת האפליקציה. מכיוון שמערכת ה-Data Safety מסתמכת על מידע שמסרו המפתחים, אשר עשוי שלא להיות אמיתי, Google הכריזה במסמך התמיכה שלה שבכוונתה לנקוט בצעדי אכיפה במידה ויימצא שהמידע שנמסר אינו תואם את התנהגות האפליקציה.

פעם נוספת: מיקרוסופט הכריזה כי פקודות המאקרו ל-Office ייחסמו כברירת מחדל 

לאחר שהפיצ׳ר בוטל בפברואר האחרון (ראו ״הסייבר״, 10.2.22), ובחודש שעבר החברה ביצעה Rollback לביטול (ראו ״הסייבר״, 14.7.22), כעת מפרסמת מיקרוסופט דוח בו מוסבר מדוע אכן תשונה ברירת המחדל של פקודות המאקרו בקובצי ה-Office המורדים מהאינטרנט עבור עמדות המשתמשות במערכת ההפעלה Windows בלבד. לדברי החברה, חשיפה לפקודות מאקרו זדוניות היא דרך נפוצה בה האקרים משיגים גישה לעמדות לשם התקנת נוזקות וכופרות. לאחר שינוי ההגדרות, ברגע פתיחת קובץ המכיל פקודות מאקרו תופיע הודעה המזהירה כי מקורו של הקובץ באינטרנט וכי פקודות המאקרו נחסמו. בהודעה יופיע גם הכפתור ״Learn More״, אשר לחיצה עליו תוביל למידע אודות הדרכים בהן ניתן יהיה לאפשר הרצת מאקרו ולעקוף את חסימת ברירת המחדל. בדוח של מיקרוסופט מפורטות דרכים רבות בהן ניתן לאפשר הרצת פקודות מאקרו באופן חד-פעמי או גורף, למשל על ידי הכרה בחתימות דיגיטליות של יצרנים, לפי המיקום ברשת שממנו הקובץ הורד ועל ידי הגדרה של מקורות ״בטוחים״. בתוך כך, מיקרוסופט פרסמה מספר הוראות הכנה לארגונים לקראת השינוי, הכוללות טבלה עם הגרסאות להן יהיה העדכונים רלוונטיים, לצד תאריכי שחרור העדכונים. עוד פורסמו תרשים זרימה המדגים את תהליך הסינון של Office, שקובע אם לאפשר את הפעלת פקודות המאקרו, הוראות להתקנת התוסף החינמי Readiness Toolkit, המאפשר לזהות במערכת קבצים שמכילים פקודות מאקרו ועלולים להיחסם עקב השינוי, והוראות בנוגע לעריכת המדיניות שבה Office מבצע את תהליך הסינון של קובצי מאקרו.

צוות קונפידס ממליץ לוודא את מקור הקובץ לפני אישור הרצת פקודת המאקרו, וכן להשאיר את מדיניות ברירת המחדל החדשה של מיקרוסופט כפי שהיא. למנהלי מערכות בארגונים מומלץ לקרוא את הדוח שפורסם ולוודא כי הארגון מוכן לקראת השינוי.

ארה״ב: הבית הלבן אירח את הפסגה הלאומית בנושא כוח עבודה וחינוך בתחום סייבר

הפסגה, אותה קיים ב-19 ביולי מנהל הסייבר הלאומי כריס אינגליס, התמקדה בבניית כוח העבודה הלאומי בתחום הסייבר, בשיפור מסלולים מבוססי מיומנויות לעבודות סייבר, במתן ההשכלה והכישורים הדרושים לאמריקאים כדי לשגשג בחברה הדיגיטלית ובשיפור הגיוון, השוויון, ההכלה והנגישות (DEIA) בתחום הסייבר. האירוע כלל מפגש בין גופים המעסיקים, מכשירים ומחנכים אנשי מקצוע בתחום בארצות הברית והשתתפו בו בכירים מהממשל ומהמגזר הפרטי ואנשי מפתח מכל רחבי קהילת הסייבר ומגזר החינוך. ממשל ביידן-האריס ובעלי העניין הרלוונטיים התחייבו לעמוד באתגרים ובהזדמנויות הנוגעים לכוח העבודה והחינוך בסייבר, באופן שיסייע לשיפור הכלכלה, לאבטחת האמריקאים ותשתיות האומה, לקידום אורח החיים הדיגיטלי ולמיקסום יכולות הסייבר, ברמה הגבוהה ביותר. 

בתוך כך, אינגליס, התחייב לפתח אסטרטגיית כוח אדם וחינוך לאומית בתחום הסייבר, בתיאום עם גורמים במשרד הרשות המבצעת של נשיא ארצות הברית (EOP) ומחלקות וסוכנויות פדרליות, ומזכירת המסחר ג'ינה מ. ריימונדו ושר העבודה מרטין ג'יי וולש הכריזו על ״ספרינט״ בן 120 יום בנושא אבטחת סייבר, אותו יובילו בתמיכת סוכנויות פדרליות שונות, לרבות המחלקה לביטחון המולדת (DHS), משרד החינוך, משרד כוח האדם ואחרים. השגרירה סוזן אי. רייס הודיעה על מאמצים לחיזוק מערכת ה-K-12 (מבנה מערכת החינוך הפורמלית בארצות הברית) לשם הכנה יעילה יותר של תלמידים להזדמנויות עבודה בתחום אבטחת סייבר, וארגונים רבים פרסמו הכרזות והתחייבויות בנושאי הפסגה, בהם Cisco, המכון למוכנות סייבר (CRI), מכון אלפרוביץ' ללימודי אבטחת סייבר, Dakota State University, קרן לינוקס, IBM ,Fortinet ועוד.

40 מיליון מתקפות בחודש: הוכפלה כמות מתקפות הסייבר על נמל לוס אנג׳לס; ה-FBI נכנס לתמונה

בראיון לרשת ה-BBC אמר מנהל הנמל ג׳ין סרוקה כי מאז תחילת מגפת הקורונה הוכפלה כמות מתקפות הסייבר על המתקן ומערכותיו, וציין כי המודיעין שברשות הארגון ״מראה שהאיומים מגיעים מרוסיה ומחלקים באירופה.״ כחלק מהצעדים שננקטו לההתמודדות עם העלייה בכמות התקיפות, הנמל החל בשיתוף פעולה עם לשכת החקירות הפדרלית של ארצות הברית (FBI), אשר במסגרתו הוקם ״מרכז חוסן הסייבר״, ש״מספק איסוף מודיעין משודרג והגנה מוגברת נגד איומי סייבר בשרשרת האספקה הימית״, כך לדברי ה-BBC. 

מינהל אבטחת התחבורה האמריקאי מעדכן את דרישות האבטחה והסייבר החלות על בעלי ומפעילי צינורות נפט וגז טבעי

הנחיותיו המתוקנת של ה-TSA הן חלק מהמאמץ לבניית חוסן והגנה על הצינורות הקריטיים של ארצות הברית, והן פורסמו לאחר קבלת מידע נרחב מבעלי עניין בתעשיית הנפט והגז ומשותפים פדרליים, לרבות הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA). בעקבות מתקפת הכופרה הגדולה על צינור דלק מרכזי במדינה, שהתרחשה במאי 2021 (ראו ״הסייבר״, 13.5.22 ו״הסייבר״ 20.5.22), ה-TSA פרסם מספר הנחיות אבטחה מחייבות לבעלי ומפעילי צינורות קריטיים. כעת, באמצעות הוראת האבטחה המעודכנת, ה-TSA ממשיך לנקוט בצעדי הגנה על תשתית התובלה מפני איומי הסייבר הנשקפים למגזר, שרק הולכים ומתעצמים. בנוסח המתוקן, ה-TSA דורש מבעלי וממפעילי צנרת וגז לנקוט בפעולות למניעת הפרעה והשבתה של התשתית שברשותם, כדי להשיג את התוצאות האבטחתיות הבאות:

  1. פיתוח מדיניות ויישום בקרות לסגמנטציה רשתית, על מנת להבטיח שמערכות תפעוליות יוכלו להמשיך לפעול במקרה של פגיעה במערכות המידע, ולהיפך.

  2. הגדרת אמצעי בקרה למניעת גישה שאינה מורשית למערכות קריטיות.

  3. בניית מדיניות ונהלים לניטור ואיתור מתמשכים של איומי סייבר, תוך תיקון אנומליות המשפיעות על פעולותיהן של מערכות קריטיות.

  4. צמצום הסיכון לניצול של מערכות שאינן מעודכנות, באמצעות הטמעת תיקוני ועדכוני אבטחה עבור מערכות הפעלה, אפליקציות וקושחה במערכות קריטיות.

  5. תחת ההנחיות, מפעילי ובעלי צנרת וגז נדרשים ליישם את הדרישות הבאות: 

  6. תכנון ויישום תוכנית אבטחת סייבר שאושרה על ידי ה-TSA ומתארת ​​את אמצעי ההגנה הספציפיים שבהם בעלי הצינורות ומפעיליהם משתמשים להשגת התוצאות האבטחתיות שפורטו לעיל.

  7. פיתוח תוכנית תגובה לאירועי סייבר, שתכלול אמצעים שבהם בעלי הצינורות ומפעיליהם ינקטו במקרה של שיבוש תפעולי משמעותי כתוצאה ממתקפת סייבר.

  8. הגדרת תוכנית להערכת מצב האבטחה ולבדיקה יזומה של אפקטיביות אמצעי ההגנה שיושמו, על מנת לזהות ולטפל בנקודות תורפה שעלולות להימצא בהם.

פורסם אופן הצפנת התקשורת של פלטפורמת Cobalt Strike

לפי דוח שפרסם צוות המחקר Unit 42 של Palo Alto, פלטפורמת Cobalt Strike, המשמשת צוותים אדומים, בודקי חדירות ופושעי סייבר כסט כלים המיושם על עמדה לאחר גישה ראשונית אליה, מאפשרת תקשורת מוצפנת לשרת ה-C2 שהינה קשה מאוד לזיהוי, שקטה, רבגונית ומוטמעת לטווח ארוך. לאחר הטמעת הכלי על העמדה נוצר תהליך הידוע כ-Beacon, שהינו תקשור ראשון עם שרת ה-C2 באמצעות מטען מוצפן, המכיל פרטים אודות העמדה הנגועה ומפתח AES סימטרי שישמש עבור המשך התקשורת. המטען מוצפן באמצעות מפתח פומבי השייך לשרת ה-C2 ומצוי ב-Metadata (פיסת מידע המיודעת להענקת אינפורמציה לפיסת מידע אחרת) של עוגיות ה-HTTP, שהינן מידע שנוצר על ידי שרת ומאוחסן בעמדת המשתמש כדי לספק לשרת מידע אודות העמדה.

כאשר המטען המוצפן מגיע אל שרת ה-C2, הוא מפוענח באמצעות המפתח הפרטי וחושף בצורה גלויה את תוכנו, המכיל מידע אודות התחנה הנגועה וזוג מפתחות סימטריים. מפתח אחד הוא מסוג HMAC ואינו משמש עבור הצפנת התוכן, אלא עבור בדיקת מהימנות שלו, המתבצעת על ידי שרת ה-C2 באמצעות השוואת המפתח המתקבל בתוכן למפתח השמור בשרת. המפתח הסימטרי השני הוא מסוג AES, והוא בעל וקטור אתחול קבוע, שהינו מספר שרירותי אשר ניתן להשתמש בו ביחד עם מפתח סודי להצפנת נתונים, כל זאת על מנת להקשות על פענוח המפתח. מפתח ה-AES ישמש באופן פרטני את העמדה והשרת להמשך התקשורת, והוא מאפשר לחמוק מזיהוי, מכיוון שהוא מוצפן על ידי המפתח הפומבי, כך שלמעשה נוצר מפתח הצפנה שמוצפן במפתח נוסף שקשה מאוד לפענחו. לאחר מכן, כל התקשורת אל שרת ה-C2 מוצפנת על ידי המפתח הסימטרי. התנהגות זו מקשה על גילוי טביעת אצבע של התקשורת המתבצעת בין שרת ה-C2 לעמדה הנגועה. 

מ-Unit 42 נמסר כי ״הצפנת ופענוח ה-Metadata המפורטים לעיל הם שיטות משוכללות שתוכננו לשם התחמקות מזיהוי [של אמצעי] אבטחה. מכשיר אבטחה יחיד אינו מתאים למניעת התקפת Cobalt Strike. רק צירוף של פתרונות אבטחה - חומות אש, ארגזי חול, נקודות קצה ותוכנה המתאימה לשילוב כל הרכיבים הללו - יכול לסייע במניעת התקפות מסוג זה".

צוות קונפידס ממליץ לארגונים להזין במערכות ההגנה שלהם את ה-IOCs המצויים בדוח, להעלות בקרב העובדים את המודעות למתקפות הנדסה חברתית ולהטמיע באופן שוטף עדכונים למערכות ההפעלה ולתוכנות הקיימות על עמדות. 

T-Mobile תשלם 350 מיליון דולר בגין דלף מידע של יותר מ-76 מיליון אמריקאים

חברת הסלולר אישרה כי במהלך 2021 חוותה מתקפת סייבר (ראה ה״סייבר״ 07.01.21 ו״הסייבר״ 19.08.21) שאלה תוצאותיה, כאשר הסכום האמור ישולם כפיצוי במסגרת תביעה ייצוגית שהוגשה נגד T-Mobile בעקבות האירוע. החברה הואשמה כי כשלה בהגנה על מידע של לקוחותיה ולא דיווחה לנפגעים גם כשידעה שהתרחשה דליפה, אשר כללה שמות מלאים, כתובות מגורים, תאריכי לידה, מספרי תעודות זהות ופרטי רישיונות נהיגה של לקוחות.


קבוצת תקיפה צפון קוריאנית תוקפת בפולין, בצ׳כיה ובמדינות נוספות באירופה באמצעות הטרויאני Konni 

חוקרים מחברת אבטחת המידע Securonix גילו קמפיין חדש המשתמש ב-(RAT (Remote Access Trojan המכיל פונקציות מובנות להעלאת הרשאות ולשמירה על שליטה במחשב נגוע. הקמפיין, אותו כינו החוקרים STIFF#BIZON, יוחס לקבוצת התקיפה הצפון קוריאנית APT37, עם הסתייגות לפיה ישנה אפשרות שקבוצת התקיפה Fancy Bear/APT28 היא זו העומדת מאחוריו, בהתבסס על כתובות IP וכתובות ספקים שבעבר עשתה בהם שימוש.

ההתקפה מתחילה ממייל פישינג עם קובץ ארכיון המכיל מסמך Word בשם missile.docx וקובץ קיצור דרך של Windows בשם weapons.doc.lnk. עם פתיחתו של קובץ קיצור הדרך מופעל קוד למציאת סקריפט PowerShell בקובץ ה-DOCX, שמטרתו לייסד תקשורת עם שרת ה-C2 של התוקפים ולהוריד שני קבצים נוספים, weapons.doc ו-wp.vbs. בשלב זה לתוקפים יש שליטה מלאה על המחשב, לרבות האפשרות לבצע צילומי מסך, לחלץ מפתחות המאוחסנים בקובץ Local State על מנת לפענח את מסד הנתונים של קובצי העוגיות (שיטה יעילה לעקיפת אימות רב-שלבי [MFA]), לחלץ סיסמאות שמורות מדפדפני הקורבן ולהפעיל מרחוק מערכת אינטראקטיבית שביכולתה לבצע פקודות כל 10 שניות. לאחר מכן מורידים התוקפים קבצים נוספים התומכים ב-Konni, שבינתיים שינה גרסה, ומחביאים את הנוזקה בקובצי ארכיון דחוסים.

חוקרי Securonix ממליצים על ביצוע הפעולות הבאות, על מנת להימנע מליפול קורבן למתקפה: לוודא שהגדרות האנטי-וירוס ומערכות ההפעלה מתוקנות ומעודכנות, להימנע מפתיחת קבצים מצורפים - במיוחד כאלה שקבלתם אינה צפויה או שמקורם מחוץ לארגון, להטמיע מדיניות ביצוע של יישומים וסקריפטים המגבילה את הפעלת PowerShell ו-VBscript וליישם מדיניות חסימה גיאוגרפית בחומת האש, תוך רישום מדינות שלא צפויה קבלת קבצים מהן ב״רשימה שחורה״.

צוות קונפידס ממליץ להזין את מזהי התקיפה (IOCs) במערכות הניטור של הארגון ליישם את המלצות החוקרים.


ארה״ב הגדילה את המענק לחושפי מידע אודות קבוצות תקיפה צפון קוריאניות

ממשלת ארצות הברית פרסמה באתרה ובחשבון הטוויטר Reward for Justice שבבעלותה מודעה לפיה כל מי שיחשוף מידע הקשור לקבוצות תקיפה צפון קוריאניות המקושרות לממשל ומעורבות בפגיעה בתשתיות הקריטיות של של ארצות הברית תוך הפרת חוק הונאת המחשבים (CFAA) - עשוי להיות זכאי לפרס בסך עד 10 מיליון דולר.

(מקור: RFJ_USA, 26.7.22@

סייבר בישראל

 

אתרים ישראלים רבים נפרצו על ידי האקרים שמזוהים עם איראן

קבוצת ההאקרים העיראקית ALtahrea, המזוהה עם איראן, פרסמה בערוץ הטלגרם שלה רשימה של אתרים ישראלים אליהם הצליחה לפרוץ. בדף הבית של האתרים הוצגה תמונה של מפקד כוח קודס האיראני קאסם סולימאני, אשר חוסל לפני כשנתיים בתקיפה אווירית שיוחסה לארצות הברית וישראל. ככל הנראה, לא עלה בידיהם של ההאקרים להשיג גישה אל השרת המקומי שמאחסן את האתרים, ובמקום זאת הם מצאו חולשה כלשהי שאיפשרה להם לשכתב את עמודי הבית של האתרים ולהציג בהם את כל העולה על רוחם. מבדיקה שערך צוות קונפידס עולה כי המכנה המשותף לכל האתרים שנפרצו הוא קיומו של Google Font API, ועל כן ייתכן מאוד כי החולשה נעוצה ב-API זה, למרות שהדבר טרם אומת. 19 האתרים הישראלים שדף הבית שלהם שונה הם:

https://targetmotors.co.il

https://www.shopelectrons.co.il/1.html

https://hagardavidovich.co.il

https://pazbniya.co.il

https://tal-flour.co.il

https://maanit.co.il

http://landing.serv-il.co.il

https://www.top-art.co.il

https://schachot-tm.co.il

https://www.logimatic.co.il

https://wordstar.co.il

https://mor-media.co.il

https://nadlan-world.co.il

https://mtl.co.il

https://lifters.co.il

https://liam-group.co.il

https://as-global.co.il

https://anidia.co.il

https://alexbitton.co.il

חשוב לציין כי בשעה זו אין חשש לדלף מידע מהאתרים או לגישה בלתי מורשית לרשת המחשוב שלהם, ומרביתם כבר הגיבו  לאירוע בשחזור דף הבית למצבו המקורי.

סייבר ופרטיות - רגולציה ותקינה

 

הרשות להגנת הפרטיות מורה למפלגת הליכוד להסיר שמות מתפקדים מאתרה
ב-28 ביולי הורתה הרשות למפלגת הליכוד להוריד לאלתר מאתרה את הממשק שהועלה אליו בימים האחרונים, המאפשר לכל אדם לבדוק מי מאזרחי ישראל התפקד למפלגה ופרטים נוספים אודותיו. למרות שאפשרות הבירור בוטלה כבר באותו הבוקר, לפי דיווח עיתונאי אודות בדיקה שנערכה לגבי מספר אזרחים ישראליים בטרם הביטול, "רק מזינים את שם המשפחה והשם הפרטי של האזרח שמבקשים לבצע את הבירור לגביו, מסמנים את התיבה שמתחת – והיישומון המקוון משיב מיד אם הנשאל מופיע ברשימת מתפקדי המפלגה. במקרה שכן, הוא גם יציג את ארבע הספרות האחרונות של תעודת הזהות שלו ואת אתר ההצבעה שלו בפריימריז [של הליכוד]". מדובר, לכאורה, בהפרה בוטה של חוק הגנת הפרטיות, התשמ"א-1981 ותקנותיו, מכיוון שדבר זה מהווה גישה ציבורית למידע רגיש ופרטי: נתונים על ההעדפות הפוליטיות של אדם, מיקומו ומספר הזהות שלו. פרופסור קרין נהון, ראשת חטיבת דאטה, ממשל ודמוקרטיה באוניברסיטת רייכמן ומומחית לפרטיות מידע אישי, הגיבה לאירוע באומרה לעיתון ״כלכליסט״ כי "מערכת בדיקת הבוחרים של הליכוד מהווה פגיעה חמורה בפרטיות של אזרחי ישראל ומהווה גם סכנה ביטחונית. [...] בקליק של עכבר, כל אחד, כולל האיראנים, יכול לבדוק את השיוך הפוליטי של העובדים שלו, השכנים. העיקרון החשוב של בחירות חשאיות מופר ברגל גסה, ומעלה חשש לשימוש לרעה במידע הזה על ידי גורמים בעלי אינטרס". גם במסגרת הבחירות שהתקיימו ב-2020 איפשרה מפלגת הליכוד חשיפה של מידע אישי של בוחרים, כולל מספרי זהות וכתובות מגורים. במקרה האמור, הרשות להגנת הפרטיות ניהלה תהליך פיקוח בנושא ומצאה כי הליכוד וחברת אלקטור (שהועסקה על ידי הליכוד) הפרו את חוק הגנת הפרטיות וחלק מתקנותיו. לפי תגובת מפלגת הליכוד, שהתקבלה היום בצהריים, מדובר בתקלה טכנית. 


ארה״ב: איסור על תשלומי כופר להאקרים מצד רשויות ממשל מדינתיות - פלורידה מצטרפת לקרוליינה הצפונית במהלך תקדימי

בתחילת יולי אימצה מדינת פלורידה תיקונים לחוק הגנת הסייבר שלה, ה-Florida State Cybersecurity Act, האוסרים על תשלומי כופר שנדרשים במהלך אירועי סייבר. התיקונים לחוק מחייבים גורמי ממשל מדינתיים, מחוזיים ועירוניים בפלורידה לדווח על פרטי אירוע עד 12 שעות לאחר התרחשותו ואוסרים על העברת כל תשלום לתוקפים. נוסף על חובת הדיווח בפרק הזמן האמור, על כל גורם ממשלתי שמגלה כי חווה אירוע סייבר ברמה שלוש ומעלה (בתיקונים נקבעים קריטריונים לדירוג אירועי סייבר) להודיע על כך תוך 48 שעות למרכז לניהול אירועי סייבר (SOC) של המדינה ולמשרד לפשעי סייבר. תיקון דומה הוכנס באפריל השנה לחקיקה של קרוליינה הצפונית, במהלך תקדימי בקרב מדינות ארצות הברית. בקרוליינה הצפונית החקיקה אף אוסרת על יצירת קשר עם גורם שדורש תשלום כופר. 


בית הנבחרים האמריקאי דן בהיבטים רגולטוריים של כלי ניטור מסחריים 

ב-27 ביולי קיימה ועדת המודיעין של בית הנבחרים של ארצות הברית (House Intelligence Committee) דיון ציבורי בהיבטים שונים של הסחר בכלי ניטור סייבריים, לרבות ההיבטים הרגולטוריים הנדרשים בכל הנוגע לטיפול בייצוא וייבוא של כלים אלה. בנאום הפתיחה של הדיון אמר יו"ר הוועדה אדם שיף כי "זמינותם של הכלים הללו לממשלות שקודם לכן חסרו יכולות ניטור חזקות היא באמת משנה-משחק מבחינת הביטחון הלאומי של ארצות הברית, והופכת לנושא מדאיג במיוחד לוועדה זו. הדבר הינו משנה-משחק גם עבור משטרים אוטוקרטיים שמחפשים אמצעים חדשים למעקב, להפחדה, לכליאה או אפילו להרג מתנגדיהם, עיתונאים ואנשים אחרים שהם רואים בהם איום" (ראו שידור הישיבה כאן). בדברי שיף החברה הישראלית NSO צוינה באופן מפורש ככזו הממשיכה לספק כלי ניטור למשטרים שמשתמשים בהם באופן שתיאר. לפני כשבוע, אותה ועדת מודיעין אישרה הצעת חוק שתאפשר סמכויות רחבות יותר לנשיא ולמנהל המודיעין הלאומי של ארצות הברית בתחום הגבלת השימוש בכלי ניטור שמיוצרים על ידי גורמים מחוץ למדינה. בין המסמכים שהוגשו לוועדה לקראת הדיון היה מסמך עמדה של חברת מיקרוסופט, שהדגיש את התמודדותה של החברה עם תופעת כלי הניטור. 


התרחבות במעורבותו הבינלאומית של ה-NIST בתחום הסייבר

השבוע פרסם המכון האמריקאי לתקנים וטכנולוגיה נייר המפרט את פעילותו הבינלאומית, לרבות במסגרת שבוע הסייבר שהתקיים ביוני 2022 באוניברסיטת תל אביב. במסמך של ה-NIST מודגשים שיתופי הפעולה הבילטרליים והמולטילטרליים של המכון בנושאי הגנת סייבר במהלך 50 השנים האחרונות, בהם מפגשים פורמליים ובלתי-פורמליים, השתתפות בכנסים של שותפים אסטרטגיים והפצת משאבים, כגון תוכנית הגנת הסייבר (Cybersecurity Framework), תוכנית הגנת הפרטיות (Privacy Framework), תוכנית משאבי האנוש להגנת סייבר (Cybersecurity Workforce Framework) והתוכנית לניהול סיכוני אירועי כופרה (Cybersecurity Framework Profile for Ransomware Risk Management). האינדקס המלא של משאבי ה-NIST הבינלאומיים בתחום הגנת הסייבר מצוי כאן

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.