WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 31.03.2022

עיקרי הדברים

  1.  המלחמה בין רוסיה לאוקראינה: רוסיה ממשיכה לספוג מתקפות סייבר, בין המטרות הבנק המרכזי ורשות התעופה האזרחית; ארה״ב מכניסה את Kaspersky לרשימת החברות המהוות סיכון לביטחונה הלאומי; אוקראינה סופגת מתקפת סייבר (שנייה) על ספקית הטלקום Ukrtelecom; רוסיה מאשימה את ארה״ב בתקיפות סייבר נגדה. 

  2. עוד שוד קריפטו: 620 מיליון דולר נגנבו מ-Ronin. 

  3. הרכבת האיטלקית חווה מתקפת כופרה המשבשת את מנגנון ממכר הכרטיסים. קבוצת Hive דורשת דמי כופר בסך 5 מיליון דולר. 

  4. האיחוד האירופי וארה"ב הגיעו להסדרה עקרונית משמעותית בנושא העברת מידע אישי ביניהן, המכונה Trans-Atlantic Data Privacy Framework. 

  5. אנו ממליצים לעדכן את המוצרים הבאים: מערכת ההפעלה SonicOS של SonicWall (קריטי); מוצרי Firewall של Sophos (קריטי); מדפסות HP (קריטי); מכשירי My Cloud OS 5 של Western Digital (קריטי);  הדפדפן Google Chrome (גבוה); תוכנת Origin של EA.

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה ל-Google Chrome נותנים מענה לחולשות ברמת חומרה גבוהה, בהן חולשת Zero-day המנוצלת על ידי תוקפים
ה-CISA מוסיפה 66 רשומות למאגר החולשות המנוצלות
עדכון אבטחה לקושחה של מדפסות HP נותן מענה לשלוש חולשות, שתיים מהן קריטיות
חולשה ברמת חומרה גבוהה התגלתה בתוכנת Origin של יצרנית משחקי הווידאו Electronic Arts; טרם פורסם עדכון הנותן לה מענה
עדכון אבטחה קריטי לחומת האש של Sophos
עדכון אבטחה של Western Digital נותן מענה לחולשה ברמת חומרה גבוהה המשפיעה על מכשירי My Cloud OS 5
חולשה ברכבים מתוצרת Honda ו-Acura מאפשרת לתוקפים לפתוח את כלי הרכב ולהפעיל את המנוע
עדכון אבטחה חלקי נותן מענה לחולשה קריטית במערכת ההפעלה SonicOS של SonicWall
מומחים מזהירים מפני שתי חולשות בפונקציית Spring Cloud

התקפות ואיומים

״חבילות״ זדוניות שנועדו לגניבת מידע התגלו בספריית הפיתוח הפתוחה npm
האקרים צפון קוריאנים ניצלו חולשת Zero-day ב-Google Chrome לתקיפת ארגוני מדיה, קריפטו ופינטק
נחשפו הנער מאוקספורד העומד מאחורי קבוצת התקיפה $LAPSU ורצף הפעולות של תקיפת Okta
שרתי Microsoft Exchange פגיעים ממשיכים להיות מנוצלים על ידי תוקפים, הפעם לשליחת קמפייני פישינג מתוחכמים
עלייה במספר התקיפות של מערכות UPS בשל אי-החלפת פרטי ההתחברות שסופקו כברירת מחדל
פרצת אבטחה חמורה ב-Ronin Network אפשרה להאקרים לגנוב 620,000,000 דולר במטבעות דיגיטליים משחקני Axie Infinity

השבוע בכופרה

הרכבת האיטלקית חווה מתקפת כופרה המשבשת את מנגנון ממכר הכרטיסים
ארצות הברית: אזרח אסטוני שהיה מעורב ב-13 מתקפות כופרה ששלשלו לכיסו מיליוני דולרים נידון ל-5.5 שנות מאסר
חוקר אבטחת מידע חושף שיפור ביכולות הנוזקה של קבוצת Hive

המלחמה במזרח אירופה

נבלם ניסיון אוקראיני להשגת תוכנת הריגול Pegasus
האקרים שפעלו מטעם צבא רוסיה פרצו למכשירי תקשורת לוויינית ששימשו את צבא אוקראינה למטרות טקטיות
קבוצת בת של Anonymous פרצה לבנק המרכזי של רוסיה ומאיימת בהדלפת מסמכים כלכליים קריטיים
ארגון ה-FCC הוסיף את Kaspersky לרשימת החברות המהוות איום על ביטחון ארצות הברית
סקירת ביניים: מתקפות הסייבר האוקראיניות כנגד הממשלה הרוסית
Check Point: עלייה משמעותית בתקיפות הסייבר נגד רוסיה ואוקראינה
מתקפת סייבר שנייה על ענקית התקשורת Ukrtelecom
האקרים פרצו לאתרי WordPress על מנת לתקוף מטרות אוקריאניות באמצעות שימוש בדפדפני גולשים תמימים
האקרים פרצו לשרתי רשות התעופה האזרחית הרוסית; חשש ממחיקת מידע חיוני רב שלא גובה
רוסיה: ״ארצות הברית תוקפת אותנו במרחב הסייבר״

סייבר בעולם

סוכנויות אמריקאיות חושפות שיטות התקפה של קבוצות הפועלות בחסות רוסית כנגד תעשיית האנרגיה
ארצות הברית: ארבעה עובדי ממשל רוסים מואשמים בפריצה לתשתיות אנרגיה קריטיות ברחבי העולם
נפרץ שרת Element השייך לארגון טכנולוגי התומך בדאעש ומואשם בהונאת תומכיו למטרות רווח אישיות

סייבר ופרטיות - רגולציה ותקינה

האיחוד האירופי וארה"ב: מנגנון חדש להעברת מידע אישי
אתגרים רגולטוריים ב-CISA: שיתוף פעולה מגושם עם הסקטור הפרטי
סיכום עקרוני בין הפרלמנט של האיחוד האירופי לפרלמנט: חוק השווקים הדיגיטליים יוצא לדרך
סין ביוזמה רגולטורית חדשה: מידע גנטי של תושבי המדינה הוא משאב אסטרטגי
על רקע מלחמת רוסיה-אוקראינה: האיחוד האירופי מפרסם "מצפן אסטרטגי" לחיזוק הגנות, לרבות במרחב הסייבר

כנסים

 
 

הציטוט השבועי

״היישום של הצפנה מובנית מקצה לקצה ב-WhatsApp היה שיפור הפרטיות הגדול ביותר בהיסטוריה האנושית. נקודה. שום דבר אחר לא קרוב לזה.״ 

אלכס סטאמוס, מנהל, Stanford Internet Observatory

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה ל-Google Chrome נותנים מענה לחולשות ברמת חומרה גבוהה, בהן חולשת Zero-day המנוצלת על ידי תוקפים

בעקבות גילוי חולשה (CVE-2022-1096) מסוג Type Confusion ברמת חומרה גבוהה, הורתה Google לכלל משתמשי הדפדפן לעדכנו בדחיפות. החולשה מצויה במנגנון ה-V8 של JavaScript ונוצרת בעת ניסיון גישה למשאב עם סוג משתנה שונה מזה שנקבע בקוד המקור. פעולה זו עלולה לאפשר לתוקף גישה לקריאה ו/או לכתיבה בזיכרון ולהוביל להקרסת המערכת, או לחלופין - להרצת קוד זדוני מרחוק. זאת ועוד, ב-30 במרץ פרסמה Google עדכון נוסף ל-Chrome, הרלוונטי לגרסה 100.0.4896.60 של הדפדפן במערכות  Linux ,Windows ו-Mac ונותן מענה ל-28 חולשות אבטחה, ביניהן 9 ברמת חומרה גבוהה.

צוות קונפידס ממליץ לכלל משתמשי הדפדפן לעדכנו בהקדם האפשרי לגרסתו האחרונה.

ה-CISA מוסיפה 66 רשומות למאגר החולשות המנוצלות

המאגר של הסוכנות האמריקאית לאבטחת סייבר ותשתיות מכיל 602 חולשות ידועות מנוצלות, כאשר רק החודש תפח המספר ב-219 רשומות, בהן 69 חולשות מנוצלות במוצרי מיקרוסופט וחולשה אחת (CVE-2022-1096, CVSS 9.2) בדפדפן ה-Google Chrome שהשבוע דווח על ניצולה הפעיל. כל החולשות החדשות ברשימה התווספו אליה לאחר שנוצלו כחלק מווקטור תקיפה תכוף של גורמי סייבר זדוניים. על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון באשר הוא לפעול לטיפול בהן על מנת לצמצם את חשיפתו לסיכוני סייבר.

עדכון אבטחה לקושחה של מדפסות HP נותן מענה לשלוש חולשות, שתיים מהן קריטיות

ניצול שתי החולשות הקריטיות (CVE-2022-24292, CVSS 9.8; CVE-2022-24293, CVSS 9.8) והחולשה השלישית (CVE-2022-24291, CVSS 7.5), שרמת חומרתה גבוהה, עלול לגרום לחשיפת מידע ולאפשר מתקפת מניעת שירות (DDoS) או הרצת קוד מרחוק על עמדת הקורבן.

צוות קונפידס ממליץ למשתמשי המוצרים המצוינים בקישור להטמיע בהקדם את עדכון הקושחה שפרסמה החברה.

חולשה ברמת חומרה גבוהה התגלתה בתוכנת Origin של יצרנית משחקי הווידאו Electronic Arts; טרם פורסם עדכון הנותן לה מענה

החולשה, שקיבלה את ציון החומרה CVSS 7.8, נמצאה בשירות ה-Web Helper של התוכנה, והיא מאפשרת לתוקף עם הרשאות מקומיות נמוכות לבצע העלאת הרשאות ולהריץ קוד זדוני בהרשאות גבוהות יותר. תוכנת Origin היא פלטפורמת המשחק והרכישה של Electronic Arts, בה ניתן למצוא משחקים ידועים כגון FIFA ,Fortnite ,The Sims ו-Battlefield.

צוות קונפידס ממליץ למשתמשי המוצר לעקוב אחר פרסומי החברה ולהתקין את עדכון האבטחה הרלוונטי לכשיהיה זמין.

עדכון אבטחה קריטי לחומת האש של Sophos

עדכון האבטחה שפרסמה החברה רלוונטי לגרסאות v18.5 MR3 ומטה של מוצר ה-Firewall שלה, ונותן מענה לחולשה המאפשרת מעקף של אימות המשתמש בפורטל ה-Web של חומת האש, דבר אשר בתורו עלול לאפשר הרצת קוד מרחוק (RCE) בחומת האש עצמה. 

צוות קונפידס ממליצים למשתמשי המוצר לוודא בהגדרות המערכת כי הכפתור ״Allow automatic installation of hotfixes״ מסומן ב-V, כך שלא תידרש פעולת עדכון ידנית. עוד מומלץ לוודא שאין גישה לממשק ה-Web של חומת האש מחוץ לרשת הפנימית (ניתן להגדיר כניסה דרך VPN במידה ונדרשת כניסה לרשת שלא מתוך המשרד).

עדכון אבטחה של Western Digital נותן מענה לחולשה ברמת חומרה גבוהה המשפיעה על מכשירי My Cloud OS 5

החולשה (CVE-2021-44142, CVSS 8.8) מצויה בגרסאות הקודמות לגרסה 4.13.17 של התוכנה Samba, העושה שימוש במודול vfs_fruit, והיא עלולה לאפשר לתוקף להריץ על המכשירים קוד מרחוק עם הרשאות גבוהות.

צוות קונפידס ממליץ למשתמשי המוצר להתמגן מפני החולשה על ידי הטמעת עדכון התוכנה עבור קושחת המכשיר, באמצעות לחיצה על התראת העדכון הייעודית.

חולשה ברכבים מתוצרת Honda ו-Acura מאפשרת לתוקפים לפתוח את כלי הרכב ולהפעיל את המנוע

החולשה עלולה לאפשר מתקפת (Man in the Middle (MitM, בה התוקף ממתין לאות רדיו ממפתחות הרכב, מקליט אותו ומשתמש בו לפתיחת הרכב במועד מאוחר יותר. מלבד פעולה זו והפעלת המנוע, ייתכן שקיימת אפשרות לבצע ברכב פגיע פעולות נוספות. לדברי חוקרי המתקפה, הדגמים הפגיעים, בהם גם Honda Civic, יוצרו בין השנים 2016-2019.

עדכון אבטחה חלקי נותן מענה לחולשה קריטית במערכת ההפעלה SonicOS של SonicWall

החולשה (CVE-2022-22274, CVSS 9.4) מסוג Buffer overflow עלולה להיות מנוצלת על ידי תוקף באמצעות שליחת בקשת HTTP לחומת האש, אשר תוביל למתקפת מניעת שירות (DDos) או תאפשר הרצת קוד בחומת האש. לדברי החברה, החולשה רלוונטית למוצרים הבאים:

  • TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSv 270, NSv 470, NSv 870 - גרסאות 7.0.1-5050 ומוקדמות יותר.

  • NSsp 15700 - גרסאות 7.0.1-R579 ומוקדמות יותר.

  • NSv 10, NSv 25, NSv 50, NSv 100, NSv 200, NSv 300, NSv 400, NSv 800, NSv 1600 - גרסאות 6.5.4.4-44v-21-1452 ומוקדמות יותר. 

​החברה ממליצה למנהלי מערכות לאפשר גישה אליהן רק למקורות מוכרים ולוודא שחוקי הגישה לפרוטוקלי SSH/HTTPS/HTTP מאושרים גם הם למקורות מוכרים בלבד. בתוך כך, החברה שחררה עדכון Fixed Version והפצירה במשתמשי המוצר להטמיעו במהרה. עדכון קושחה מלא צפוי להתפרסם באמצע חודש אפריל.

מומחים מזהירים מפני שתי חולשות בפונקציית Spring Cloud

חוקרים מחברת התוכנה Synopsys מזהירים מפני חולשות הקיימות במסגרת הפיתוח הפופולרית ליישומי אינטרנט, המשמשת צוותי פיתוח לקידום יישום הלוגיקה העסקית של ארגונם. החולשה הראשונה (CVE-2022-22963, CVSS 5.4)  עלולה לאפשר לתוקף לבצע מניפולציה על פונקציית ניתוב (Routing) בשירות ולנצל את החולשה על ידי שליחת מחרוזת (SpEL (Spring Expression Language זדונית, כל זאת בכדי להגיע למידע שלא היה בהרשאת המשתמש. החולשה השנייה, אשר טרם קיבלה מספר מזהה, מכונה בפני חוקרי אבטחת מידע Spring4Shell ורלוונטית לאפליקציות Java העושות שימוש בגרסת (JDK 9 (Java Development Kit. חולשה זו עלולה לאפשר לתוקף להריץ קוד במערכות הקורבן במידה והגדרות הפלטפורמה מכילות כמה משתנים שהינם הכרחיים ליישום התקיפה בשירות המארח. 

צוות קונפידס ימשיך לחקור את ההתקפה ויפרסם המלצות בהתאם לתוצאות חקירתו. 

התקפות ואיומים

״חבילות״ זדוניות שנועדו לגניבת מידע התגלו בספריית הפיתוח הפתוחה npm

ספריית npm הינה ספריית חבילות ציבורית (Open-source) ל-JavaScript המתוחזקת על ידי קהילת מפתחים. ב-21 במרץ זיהתה חברת אבטחת המידע JFrog כי יותר מ-200 חבילות חדשות הועלו ל-npm, ולאחר ניתוח ידני של מדגם מתוכן התבררה המזימה, לפיה החבילות התחזו לחבילות מקוריות של פלטפורמת Microsoft Azure שנועדו, כביכול, להקל על מפתחים בפלטפורמה, אך בפועל הכילו קוד זדוני. חברת JFrog דיווחה על ממצאיה למתחזקי הספרייה, שמיהרו להסיר את החבילות. על פי ההערכות, מטרת-העל של התוקפים היתה גניבת מידע אישי מזהה (PII) מתוך המערכות בהן תכננו להריץ את הקוד הזדוני. התקפות מסוג זה מצויות תחת הקטגוריה של מתקפות שרשרת אספקה, והן מסכנות ארגונים רבים העושים שימוש בספריות Open-source. כפי שדווח ב״הסייבר״ בעבר (ראו ״סייבר״ 11.2.21 ו-״הסייבר״ 5.8.21), וקטור תקיפה מוכר זה נחשב עד לפני זמן לא רב לייחודי, אך כיום הוא מקבל תשומת לב רבה במתודות פיתוח מאובטח (SDLC). בתמונה להלן ניתן לראות מימין את תחום החבילות המקורי והלגיטימי של Azure, ומשמאל את התחום המתחזה (ללא קידומת @), שנוצר על ידי התוקפים. 

(מקור: JFrog, 23.3.22)

האקרים צפון קוריאנים ניצלו חולשת Zero-day ב-Google Chrome לתקיפת ארגוני מדיה, קריפטו ופינטק

ב-24 במרץ פרסמה ה-TAG) Thteat Analysis Group) של Google את תוצאותיה של עבודת מחקר שערכה בנושא שני קמפיינים של האקרים צפון קוריאניים שהשתמשו בחולשת CVE-2022-0609 לתקיפת ארגונים הממוקמים בארצות הברית, בהם חברות קריפטו, מדיה ופינטק. על פי חשדות ה-TAG, מדובר בקבוצות האקרים הפועלות בחסות הממשל הצפון קוריאני, כשלכל קבוצה משימות משלה וטכניקות עבודה שונות. בקמפיין הראשון, המכונה Operation Dream Job, פיתו התוקפים יותר מ-250 עובדים ב-10 חברות שונות מתחומי המדיה, רישום הדומיינים, התוכנה ועוד באמצעות הצעות עבודה מזויפות מחברות כמו דיסני, Oracle ו-Google. במסגרת הקמפיין התוקפים שלחו מיילים בנושאי גיוס, כביכול, אשר הכילו קישורים זדוניים שהתחזו לכאלה המובילים לאתרי חיפוש עבודה. בקמפיין השני, המכונה Operation AppleJeus, התוקפים החביאו iframe (דף HTML המוטמע בתוך דף HTML אחר) על מנת להכניס לדף תוכן ממקור אחר. קמפיין זה, שהגיע ל-85 משתמשים, פגע באתריהן של שתי חברות פינטק. עוד מצא ה-TAG שהתוקפים ניסו לכוון משתמשים לקישורים שמטרתם לנצל את החולשה גם בדפדפנים Mozilla FireFox ו-Safari של macOS, אך לא ברור אם נסיונות אלה צלחו.

נחשפו הנער מאוקספורד העומד מאחורי קבוצת התקיפה $LAPSU ורצף הפעולות של תקיפת Okta

נער בריטי בן 16 המצוי על הספקטרום האוטיסטי הופלל על ידי האקרים וחוקרים ונקשר להנהגת קבוצת התקיפה $LAPSU, מכנופיות ההאקרים המדוברות ביותר בעת הנוכחית עקב פריצות מרובות לחברות טכנולוגיות, בהן מיקרוסופט ו-Okta (ראו ״הסייבר״, 3.3.22, ״הסייבר״, 10.3.22, ״הסייבר״, 17.3.22 ו״הסייבר״, 24.3.22), וניהול קבוצת טלגרם פעילה, המונה כ-47,000 מנויים. מכיוון שהנער קטין, שמו אינו מפורסם בפומבי, והוא מוזכר בתקשורת בכינויים שהוצמדו במסגרת קבוצת התקיפה - White ו-BreachBase. בראיון לרשת ה-BBC אמר אביו של הנער כי בנו, אשר ההון שצבר כתוצאה מהתקיפות בהן לקח חלק מוערך כיום בכ-14 מיליון דולר, מעולם לא דיבר על האקינג, אך בילה שעות רבות מול המסך, בטענה כי הוא ״משחק במשחקי מחשב״. מלבד הנער, נעצרו ונחקרו שבעה אנשים נוספים בחשד שלקחו חלק בפעילותה של קבוצת $LAPSU, אך לא הם חשפו את זהותו של White, אשר ככל הנראה הופלל בעקבות סכסוך עם ״שותפים עסקיים״, שפרסמו את שמו, את כתובתו וחשבון השייך לו במדיה החברתית. חוקרי סייבר אשר עקבו אחרי White מזה כשנה טוענים כי בעצמם שייכו את הנער לקבוצת $LAPSU בזכות רצף פעולות שאפשר מעקב אחריו, והודות לטעויות שביצע. מאחר ולא טשטש את עקבותיו לאחר הפריצות, נגלה לחוקרים מידע שאפשר להם ליצור קשר עם הנער, אך הרשויות הקדימו אותם עקב ההדלפה. בתוך כך, חוקר הסייבר ההתקפי ביל דמירקאפי טוען כי הצליח לשים את ידיו על דוח של חברת Mandiant, המנהלת את אירוע הפריצה לחברת Okta (ראו ״הסייבר״, 24.3.22), בו מפורט רצף אירועי התקיפה. על פי צילום מסך שצירף דמירקאפי לציוצו בטוויטר, נראה כי הגישה הראשונית לרשתות Okta התרחשה ב-16 בינואר, וכי ב-19 בינואר התוקפים השיגו הרשאות אדמין במערכת וב-20 בינואר החלו לאסוף מידע על הרשת האירגונית, לנוע בה רוחבית ולהשתמש בכלים מ-GitHub להגדלת אחיזתם באירגון. ב-20 בינואר בשעה 23:00 התגלתה אינדיקציה לגניבה ראשונית מהרשת על ידי משתמש Office 365 של התוקפים, שניגש לקובץ סיסמאות LastPass של דומיין האדמינים בסביבת ה-Active Directory של Okta. לאחר מכן, ב-21 בינואר ב-5:30 לפנות בוקר, התוקפים יצרו משתמש בסביבת ה-Active Directory והגדירו לו פריבילגיות של DA. לבסוף, הם הגדירו חוק לפיו כלל המיילים היוצאים מהאירגון יעברו לתוקפים ב״bcc״.

שרתי Microsoft Exchange פגיעים ממשיכים להיות מנוצלים על ידי תוקפים, הפעם לשליחת קמפייני פישינג מתוחכמים

במחקר חדש חושפים חוקרי חברת Intezer כי תוקפים משתמשים בחולשה בשרתים פגיעים מסוג זה לחיזוק מהימנותם של מיילי הפישינג אותם הם שולחים לארגונים. לאחר ניצול החולשה וקבלת גישה לשרת ה-Exchange, התוקפים מקבלים גישה למשתמש בשרת המייל של הארגון, באמצעותו הם מגיבים לתכתובת לגיטימית בין שני גורמים ומחירים אליה צרופה זדונית דחוסה. מכיוון שהמייל נשלח מתוך הארגון והתוקף מגיב לשרשור לגיטימי, מהימנות המייל מתחזקת, לכאורה, והקורבן נכון יותר לפתוח את הקובץ הזדוני המצורף, המכיל בעצמו שני קבצים. לחיצה על אחד מהם מובילה להורדת נוזקת (IcedID (BokBot, נוזקה טרויאנית אשר לרוב משמשת לאיסוף מידע פיננסי מקורבנות, אך נצפתה לאחרונה בשימוש ככרטיס כניסה לרשתות. לאחר שההורדה הושלמה, מידע אודות העמדה הנגועה נשלח לשרת התוקפים המרוחק (C2), האמור לשלוח ״בתמורה״ מטען זדוני נוסף (בחקירתם של חוקרי Intezer לא התקבלה נוזקה מהשרת). לאחר קבלת גישה לעמדה הנתקפת, התוקפים מוכרים את ״כרטיס הכניסה״ לרשת דרך הדלת האחורית לקבוצות תקיפה אחרות (לרוב לכנופיות כופרה), על מנת שאלו ידביקו את הקורבן בנוזקה נוספת. בכדי להתמגן מפני המתקפה, יש לעדכן את שרתי ה-Microsoft Exchange.

עלייה במספר התקיפות של מערכות UPS בשל אי-החלפת פרטי ההתחברות שסופקו כברירת מחדל

הסוכנות לאבטחת סייבר ותשתיות (CISA) מחלקת האנרגיה של ארצות הברית (DOE) פרסמו במשותף המלצות להתמגנות מפני תקיפות מכשירי UPS, המספקים אנרגיה לארגונים בשעת חירום, כשמקור הכוח הראשי שלהם מושבת. ההמלצות מגיעות על רקע עלייה בתקיפות מסוג זה, וכוללות ביצוע הערכה של המכשירים בארגון, וידוא שאינם חשופים לאינטרנט והחלפת סיסמאות ברירת המחדל שלהם לסיסמאות חזקות וייחודיות.

פרצת אבטחה חמורה ב-Ronin Network אפשרה להאקרים לגנוב 620,000,000 דולר במטבעות דיגיטליים משחקני Axie Infinity

ה-Ronin, המגשר בין משחק הווידאו הפופולרי Axie Infinity לבלוקצ׳יין, מבצע את פעולת העברת המטבעות Ethereum ו-USDC (מטבעות יציבים הצמודים לדולר) לתוך המשחק וממנו. הפריצה למערכת התגלתה ב-29 במרץ, לאחר שהתקבל דיווח על כך שמשתמש לא הצליח למשוך מה״גשר״ 5,000 ETH. כבר באותו יום, החברה הודיעה על התקיפה בעמוד הטוויטר שלה, ואולם מאוחר יותר התברר כי התקיפה התרחשה ב-23 במרץ, אז השתלטו התוקפים על חמש מתוך תשע מהחתימות המאמתות האחריות על 173,600 מטבעות ETH ו-25.5M מטבעות  USDC, מה שאפשר להם למשוך אותם בשתי פעימות. נכון לשעה זו לא ניתן למשוך או להפקיד כספים ל״גשר״, ורוב המטבעות שנגנבו מוחזקים בארנקו של התוקף. בתוך כך, חברת Sky Mavis, בעלת המשחק הפופולרי Axie Infinity, התחייבה שכל הכספים שאבדו יוחזרו לבעליהם. 

השבוע בכופרה

הרכבת האיטלקית חווה מתקפת כופרה המשבשת את מנגנון ממכר הכרטיסים

ב-23 במרץ נודע כי בעקבות מתקפת סייבר על חברת הרכבות Ferrovie dello Stato Italiane הושבתו באופן זמני המשרדי והמכונות לממכר כרטיסים בתחנות הרכבת. על רשתות המחשבים של Trenitalia, מפעילת הרכבות העיקרית במדינה, ושל RFI, מנהלת התשתיות של הרכבת האיטלקית, זוהו אלמנטים אשר עשויים להיות קשורים לכופרת CryptoLocker. מהודעה פנימית שהופצה בחברת הרכבות עולה כי העובדים התבקשו לנתק את מחשביהם מהרשת בשל פגיעה באבטחתה, בעוד שבהודעתה הרשמית מסרה החברה כי ״הרשת נמצאת כעת בבדיקה״. על פי אחד הדיווחים, קבוצת ההאקרים הרוסית-בולגרית Hive לקחה אחריות על התקיפה ודרשה 5 מיליון דולר בביטקוין, סכום אשר יוכפל, לדבריה, אם לא יועבר לידיה תוך 3 ימים. השיבושים לא השפיעו על תנועת הרכבות, כמו גם על מכירת הכרטיסים דרך אתר הרכבת או ברכבות עצמן.

ארצות הברית: אזרח אסטוני שהיה מעורב ב-13 מתקפות כופרה ששלשלו לכיסו מיליוני דולרים נידון ל-5.5 שנות מאסר

המתקפות בהן השתתף מקסים ברזן בן ה-37, שנידון ל-66 חודשי מאסר בכלא האמריקאי והורשע בהונאות רבות אחרות, גרמו להפסדים בשווי של יותר מ-53 מיליון דולר. עוד חויב ברזן, שבאפריל אשתקד הודה בביצוע הונאות, בתשלום פיצויים בגובה 36 מיליון דולר לקורבנותיו. ברזן היה חבר ותיק בפורום לפושעי סייבר דוברי רוסית אשר חלקו זה עם זה מידע, כלים ושירותים פליליים. בין השנים 2009-2015 שיתף פעולה עם כמה מחברי הפורום ופושעי סייבר נוספים לצורך איסוף וניצול פרטי חשבונות פיננסיים. ברזן התמחה בשימוש בנתוני אשראי גנובים לביצוע רכישות ומשיכות כספים מחשבונות בנק, ובהעברה מאובטחת של כספים וסחורות שמקורם בהונאות. בנובמבר 2020 פשטה משטרת לטביה על ביתו בעקבות מידע שהגיעה אליה מהרשויות האמריקאיות, שם גילתה מכוניות יוקרה, תכשיטים, 200,000 דולר במזומן וכ-1.7 מיליון דולר בביטקוין. לאחר שהוסגר לארצות הברית, החוקרים מצאו עדויות למעורבותו של ברזן במתקפות כופרה, אשר בין היתר גבו 7 קורבנות אמריקאיים. עוד נמצא שלארנקיו הקריפטוגרפיים הוזרמו כ-11 מיליון דולר בעקבות הונאות כופר שביצע.

חוקר אבטחת מידע חושף שיפור ביכולות הנוזקה של קבוצת Hive

שיפור הנוזקה של קבוצת התקיפה Hive, הידועה בתקיפותיה הרבות בסקטור הבריאות, נעשה בהשראת נוזקות דומות, בהן אלה של קבוצת הכופרה ALPHV (הידועה גם בשם BlackCat), כך על פי ציוץ בטוויטר של החוקר המכונה rivitna. בשיחה שערך מגזין אבטחת המידע BleepingComputer עם החוקר, אשר הוריד את קובץ הנוזקה מן השירות VirusTotal (שירות ציבורי לניתוח קבצים ומוניטין של מזהים, שנרכש על ידי גוגל), סיפר rivitna על העברת הקוד משפת Golang לשפת Rust, על מנת להקשות על יכולות הניתוח של חוקרי אבטחת מידע ולייעל את עבודת הקוד של הנוזקה.

המלחמה במזרח אירופה

 
 

נבלם ניסיון אוקראיני להשגת תוכנת הריגול Pegasus

על פי מספר דיווחים, אוקראינה ביקשה לרכוש את התוכנה הישראלית, אך נדחתה על ידי בכירים במשרד ההגנה הישראלי. ככל הנראה, דחייה זו הגיעה נובעת מהחשש להעלות את חמתה את רוסיה, אשר כוחותיה פועלים בסוריה, דבר המייצר מערכת אינטרסים ביטחוניים עבור ישראל. עוד דווח כי אגף הפיקוח על היצוא הביטחוני דחה את בקשתה NSO, יצרנית התוכנה האמורה, לקבל רישיון שהיה מאפשר לה להציע את השימוש בתוכנה לטובת הלחימה נגד רוסיה. תוכנת Pegasus מסוגלת להפוך כל מכשיר סלולרי (אייפון או מבוסס אנדרואיד) לכלי ריגול, כאשר לאחר התקנתה החשאית על המכשיר היא מאפשרת קריאת הודעות טקסט, האזנה לשיחות ולמיקרופון, איתור מיקום המכשיר, הפעלת המצלמה ועוד. שימוש בתוכנה נגד הרוסים היה מחזק משמעותית את יכולות הריגול והביון של אוקראינה.

האקרים שפעלו מטעם צבא רוסיה פרצו למכשירי תקשורת לוויינית ששימשו את צבא אוקראינה למטרות טקטיות

שירות המודיעין האמריקאי הודיע כי במהלך הפריצה, שהתרחשה בתחילת הלחימה, שובשה התקשורת הצבאית באוקראינה, וכי נראה שאותם האקרים חדרו למערכות מחשוב קריטיות של גופים מדיניים באוקראינה, בהם הצבא ומערכות אנרגיה. לדברי דמיטרי אלפרוביץ׳, מומחה סייבר ויו"ר צוות החשיבה Silverado Policy Accelerator, במסגרת העימות במזרח אירופה, התקשורת הלוויינית נמצאת בשימוש נרחב לא רק לצרכי פיקוד ושליטה בכוחות הצבא, אלא גם למשימות טקטיות, כגון שימוש באמצעי לחימה כנגד כוחות השיריון הרוסים. עוד ציין אלפרוביץ׳ כי גורם בכיר בסוכנות אבטחת המידע של אוקראינה הודיע שבידי הסוכנות מצויות ראיות ברורות שהמתקפה אורגנה על ידי האקרים רוסיים למטרת שיבוש השימוש בלוויין וחסימת תקשורת בתחומי הצבא והתשתיות הקריטיות של אוקראינה. לשירות הריגול הרוסי, או בשמו הרשמי - המנהל הראשי של המטה הכללי הרוסי (GRU), ישנה היסטוריה של פעולות סייבר זדוניות כנגד אוקראינה, ולמרות שממשלת ארצות הברית מביעה דאגה מפני שימוש בפעולות כאלה נגד לוויינים ושיבוש התקשורת האוקראינית - מסקנותיה בנוגע למעורבות רוסית בתקיפות לא פורסמו בפומבי. בתוך כך, הנשיא ג׳ו ביידן פנה בפומבי לעסקים בארצות הברית והזהיר אותם מפני האפשרות של תקיפות סייבר מצד האקרים וממשלת רוסיה, ומספר סוכנויות ממשלתיות אמריקאיות גויסו לשם הסברה על אמצעי הגנה במרחב הסייבר, כשהמלצותיהן הבולטות הן הכנת תכניות גיבוי למידע, שימוש באימות רב-שלבי (MFA), ובמידה שקיימת תקשורת עם ארגונים מאוקראינה - אף ניטור ובידוד תקשורת זו מן הרשת הארגונית.

קבוצת בת של Anonymous פרצה לבנק המרכזי של רוסיה ומאיימת בהדלפת מסמכים כלכליים קריטיים

קבוצת התקיפה The Black Rabbit World הודיעה כי במסגרת הפריצה המוצלחת עלה בידה לגנוב 28GB של מידע, המכילים כ-35,000 מסמכים. במקביל, Anonymous הצהירה בעמוד הטוויטר שלה כי בכוונתה להדליף את המידע תוך 48 שעות מרגע הפריצה, שהתרחשה ב-24 במרץ. לדבריה, המידע הגנוב יופץ במקומות שונים ברחבי האינטרנט על מנת למנוע צנזורה של המסמכים, שלטענתה כוללים סודות כלכליים של רוסיה. מכיוון שהבנק המרכזי של כל מדינה שולט במדיניות הכלכלית, במטבע, ביציבות המחירים ובאלמנטים קריטיים נוספים במדינה, במידה ומדובר באיומים שיש בהם ממש - תהיה זו הפריצה הגדולה ביותר בקמפיין המתמשך של Anonymous כנגד הממשל הרוסי.

ארגון ה-FCC הוסיף את Kaspersky לרשימת החברות המהוות איום על ביטחון ארצות הברית

ב-25 במרץ הכניסה רשות התקשורת הפדרלית של ארצות הברית (FCC) את חברת מוצרי ההגנה הרוסית לרשימת החברות ״המהוות סיכון לביטחון ארצות הברית ואזרחיה״. בכך הפכה Kaspersky לחברה הרוסית הראשונה ברשימה, כשהיא מצטרפת לחברות כמו Huawei ו-ZTE הסיניות, החשודות בקשריהן עם הממשל הסיני. כניסתה של Kaspersky לרשימה מגיעה על רקע אזהרת המשרד הפדרלי לביטחון מידע של גרמניה (BSI), לפיה החברה עשויה לשמש ככלי למתקפות סייבר, הן באופן עצמאי והן בידי הממשלה הרוסית (ראו ״הסייבר״, 17.3.22). ההשלכה בפועל של כניסתה של החברה לרשימה היא איסור על עסקים אמריקאיים להשתמש בכספים פדרליים לרכישת מוצריה או שירותיה. הודעה זו מצטרפת לאיסור השימוש במוצרי Kaspersky במערכות מידע פדרליות וממשלתיות, שהטילה ממשלת ארצות הברית בשנת 2017. זאת ועוד, עקב הכרזות ה-FCC וה-BSI, פלטפורמת ה-Bug Bounty הפופולרית HackerOne החליטה להשעות את החברה הרוסית מתוכניות בדיקת החולשות שלה. לדברי Kaspersky, חברת HackerOne חסמה את גישתה לפלטפורמה, השביתה את עמוד ה-Bug Bounty שלה והקפיאה כספים של Kaspersky המצויים בפלטפורמה, כמו גם דיונים על פגיעויות שכבר דווחו על ידי החברה הרוסית. ואולם בזמן ש-Kaspersky ממתינה לתשובות מ-HackerOne, היא פתחה בתכנית Bug Bounty משלה, וקראה לחוקרי אבטחת מידע לפנות אליה ישירות כדי לדווח על חולשות.

סקירת ביניים: מתקפות הסייבר האוקראיניות כנגד הממשלה הרוסית

בשיתוף פעולה עם מחלקת המודיעין הראשית של משרד ההגנה האוקראיני (GURMO), חוקר אבטחת המידע והסופר ג׳פרי קאר חושף את הזווית האוקראינית במלחמת הסייבר מול רוסיה ומציג את הישגיה של אוקראינה במרחב מאז תחילת הלחימה, לרבות הדלפת פרטיהם האישיים של חיילים מיחידות צבא רוסיות ושימוש בפרטים אלה לרכישת ציוד עבור צבא אוקראינה, פריצה לכור הגרעיני היחיד מסוגו בבלויארסק (ראו ״הסייבר״, 24.3.22), גניבת מידע אישי מראש מערך הטילים של משרד הביטחון הרוסי ועוד. באמצעות אפליקציית ״סיגנל״, נציגי ה-GURMO העבירו לידי קאר מידע שגנבו מארגונים וחברות רוסיים, כשהמסמך המשמעותי הראשון שקיבל, כ-22 שעות לאחר תחילת הפלישה, היה מסמך מנהלתי של יחידה 6762 הרוסית, אשר כלל, בין היתר, את נתוניהם האישיים של חברי היחידה, בהם פרטי דרכונים ואשראי. עוד הצליח ה-GURMO להדליף מידע לפיו רוסיה תכננה לבנות בסיס על הירח, וכן תכניות רוסיות לבניית מתחם שיגור חדשני לרקטות. נראה שארגון ה-GURMO נלחם במרחב הסייבר בשיטת ה-Hack-and-Leak, המתבססת על פריצה לגופים שונים והדלפת מידע רגיש, לרבות מידע על פרויקטים גדולים. למרות שהנזק שנגרם לרוסים בעקבות פריצות אלה אינו משבית את פעילותם, הוא מצביע על יכולות סייבר מתקדמות של הצד האוקראיני. בתוך כך, השבוע פרסם ה-GURMO רשימה  של 620 עובדי שירות הביטחון הפדרלי הרוסי (FSB), הכוללת פרטים אישיים רבים הניתנים לאימות, בהם שמות מלאים, תאריכי ומקומות לידה, נתונים מלאים על דרכונים והנפקתם, כתובות, חתימות, סימנים מיוחדים, חובות, כרטיסי טיסה, פרטי כרטיסי אשראי, מספרי טלפונים ניידים, מספרי רכבים ועוד. הרשימה מצויה באתר ה-GURMO (בשפה אוקראינית).

Check Point: עלייה משמעותית בתקיפות הסייבר נגד רוסיה ואוקראינה 

מ​​עדכון שפרסמה החברה בנוגע למגמות מתקפות הסייבר על רקע הלחימה במזרח אירופה, עולה כי חודש לאחר תחילת הלחימה ב-24 בפברואר ניכרת עלייה משמעותית במתקפות הסייבר על שתי המדינות. בעוד שבמתקפות על רוסיה נרשמו עלייה של 10% במתקפות מאז תחילת הלחימה וממוצע של 1,550 מתקפות בשבוע (מספר הגבוה ב-22% ביחס לתקופה שלפני המלחמה), במתקפות על אוקראינה נרשמו עלייה של 17% וממוצע של 1,697 מתקפות בשבוע (מספר הגבוה ב-39% ביחס לתקופה שלפני המלחמה). בתוך כך, האקרים ממשיכים לנצל את מלחמת רוסיה-אוקראינה לביצוע מתקפות בתדירות גבוהה מאוד, ומספר מתקפות הסייבר ברחבי העולם עלה מאז תחילת הלחימה ב-16%. נתונים אלה מתבססים על מאות מיליוני מוצרי Check Point הפרוסים על גבי מחשבים, טלפונים ניידים ורשתות ברחבי העולם ומעבירים מידע בזמן אמת אל קבוצות המחקר של החברה, כפי שמופיע גם במפת האיומים באתר Check Point. צילום המסך הבא לקוח מתוך אתרה של Check Point ומציג את העלייה שנמדדה במתקפות:

(מקור: Check Point, 28.3.22)

מתקפת סייבר שנייה על ענקית התקשורת Ukrtelecom

ב-28 במרץ התרחשה בפעם השנייה מתקפת סייבר נגד חברת התקשורת הגדולה באוקראינה, אשר השביתה את שירותיה ותוארה כמתקפת הסייבר הקשה ביותר מאז תחילת המלחמה. Ukrtelecom, המשמשת גם כתשתית תקשורת צבאית ומדינתית, נתקפה לראשונה לפני הפלישה, אך המתקפה לא הייתה משמעותית, בניגוד לזו הנוכחית. גורמים בממשלת אוקראינה מדווחים כי האירוע נמצא בחקירה וכי טרם התברר אם מדובר במתקפת מניעת שירות (DDoS) ״פשוטה״ או במתקפה מתוחכמת יותר. חברת התקשורת מצדה יידעה את לקוחותיה על דבר התקיפה באמצעות הודעה שפרסמה בעמוד הפייסבוק שלה, בה נאמר כי שירותיה מושבתים עקב מתקפת סייבר. שעות לאחר מכן כבר נעזרה בהודעה המשיבה לפונים באופן אוטומטית, ומסבירה כי ישנם קשיים בשירותי האינטרנט באוקראינה ומומחי החברה עושים כל שביכולתם לתיקון הבעיה במהרה. לדברי חברת NetBlocks, העוקבת אחר פעילות אינטרנטית מסביב לעולם, תפקודה של Ukrtelecom עומד כיום על 13% ביחס לתקופה שלפני המלחמה, והעובדה שמתקפה זו הינה המשמעותית ביותר במרחב הסייבר מאז תחילת הפלישה לאוקראינה נעוצה בכך שהיא חדרה לעומק הקישוריות של אוקראינה בקנה מידה ארצי, לפרקי זמן ארוכים. נכון לשעה זו נראה כי החברה מתקשה להכיל את האירוע. בתוך כך, ראש הרשות הלאומית של אוקראינה להגנת מידע אישר כי התקיפה התרחשה, וציין שעל מנת להמשיך ולספק שירותי תקשורת לצבא ולכוחות הלוחמים הוא הורה על הגבלה זמנית של השירותים לרוב המשתמשים הפרטיים והלקוחות העסקיים. בעת כתיבת שורות אלה, אתרה הרשמי של החברה אינו פעיל ומציג את ההודעה ״Comming soon״ (השיבוש במקור). 

(צילום מסך מתוך אתרה של Ukrtelecom מה-31.3.22)

האקרים פרצו לאתרי WordPress על מנת לתקוף מטרות אוקריאניות באמצעות שימוש בדפדפני גולשים תמימים 

ההאקרים מנצלים את החולשות באתרי הפלטפורמה (ראו ״הסייבר״, 24.3.22) לתקיפת אתרי ממשלה וכלכלה אוקראינים, אתרי של הלגיון הבינלאומי להגנה על אוקראינה, המגייס חיילים זרים ללחימה ברוסיה, ואתרים נוספים התומכים במדינה במאבקה. את האתרים המותקפים משביתים ההאקרים באמצעות מתקפות מניעת שירות (DDoS), המטילות עומס רב על משאבי המערכת, והם משתמשים בחולשות ידועות ב-WordPress על מנת להעלות לאתרים קוד JavaScript אשר יכריח את המבקר לתקוף את האתרים האוקראינים. המבקר, מצדו, אינו יודע שנעשה בדפדפן שברשותו שימוש לצרכי מתקפה, וחווה האטת גלישה בלבד. בתוך כך, מגזין אבטחת המידע BleepingComputer חשף כי האתר הפרו-אוקראיני https://stop-russian-desinformation[.]near[.]page משתמש באותה שיטת מתקפה כלפי אתרים רוסים, בידיעת המבקרים באתר. להלן צילום מסך מתוך חשבון הטוויטר של MalwareHunterTeam, המציג אתר פרוץ בשם iForma.

 (מקור: MalwareHunterTeam, 28.3.22)

האקרים פרצו לשרתי רשות התעופה האזרחית הרוסית; חשש ממחיקת מידע חיוני רב שלא גובה

על פי דיווח בערוץ הטלגרם Aviatorshina, ב-26 במרץ נפרצו שרתי ה-Rosaviatsia, כאשר על פי מידע ממקור פנימי ברשות נמחק משרתיה מידע בנפח 65TB, אשר כלל, בין היתר, רישום טייסים וכלי טייס. עוד מסר המקור כי המידע האמור לא היה מגובה, ולכן הרשות החלה בחיפוש אחר טייסים וכלי טייס רשומים, ואף עברה לעבודה המבוססת על דואר רגיל ושליחים. בשנים האחרונות ניהלה חברת InfAvia הרוסית את תשתיות האינטרנט וה-IT של ה-Rosaviatsia, אך על פי המקור וההודעה שפורסמה בטלגרם - נראה כי זו לא ביצעה עבודתה היטב ולא עמדה בתנאי החוזה עליו חתמה. משום כך, התאפשרה מתקפה אשר ככל הנראה בוצעה בשיטת ה-(MitM (Man in the Middle, בה התוקף נמצא בתווך שבין המותקף לאפליקציה או לשירות אינטרנטי, וגורם למותקף לתקשר עמו, שכן הקורבן סבור שעודנו משתמש בשירות לגיטימי. למרות ההערכות לפיהן התקיפה בוצעה על ידי קבוצת ההאקרים Anonymous, זו האחרונה אינה לוקחת אחריות על הפעולה, בטענה לפיה אינה מבצעת מתקפות שעלולות לסכן חיי אזרחים.

רוסיה: ״ארצות הברית תוקפת אותנו במרחב הסייבר״

סמואל רמאני, מומחה ליחסים בינלאומיים הידוע גם כאושיית טוויטר, צייץ בחשבונו כי לדברי משרד החוץ הרוסי ארצות הברית ובעלות בריתה פתחו במתקפות סייבר מסיביות כנגד רוסיה. עוד נמסר כי משרד החוץ הרוסי הזהיר את המעורבים במתקפות מפני ״השלכות חמורות״.

סייבר בעולם

 

סוכנויות אמריקאיות חושפות שיטות התקפה של קבוצות הפועלות בחסות רוסית כנגד תעשיית האנרגיה

בדוח משותף שפרסמו לשכת החקירות הפדרלית (FBI), הסוכנות לאבטחת סייבר ותשתיות (CISA), ראש מטה צבא ארצות הברית (CSA) ומחלקת האנרגיה של ארצות הברית (DOE) נחשפו לציבור שיטות התקפה, נהלים ותהליכים המאפיינים קבוצות תקיפה שפעלו במימון רוסי בין השנים 2011-2018. על פי הדוח, בשנים אלה נתקף מגזר האנרגיה העולמי, ובפרט זה האמריקאי, על ידי שירות הביטחון הפדרלי הרוסי (FSB), שהצליח לאסוף מידע מרשתות קורבנותיו. עוד עולה כי ב-2017 תקפו שחקנים רוסים יעדים בתחום האנרגיה, בהם המתקן הגרעיני Wolf Creek שבקנזס וחברת נפט סעודית. נוסף על כך, השבוע פרסמה שרת החוץ האנגלית ליז טראס כי ״יחידה 16״ של ה-FSB פעלה נגד מערכות וחברות אנגליות בתחומי האנרגיה והמודיעין באמצעות קמפייני Spear Phishing (דיוג ממוקד), מה שהוביל להכרזה של בריטניה על 65 סנקציות כנגד בנקים וארגונים רוסים. במקביל, פרס חסר תקדים בסך 10 מיליון דולר הוצע למי שימציא מידע על סוכנים ספציפיים שביצעו פעולות התקפיות בשורות ה-FSB. עוד פרסמו הסוכנויות האמריקאיות המלצות רבות להתמודדות עם טכניקות התקיפה שנחשפו, חלקן מתמקדות בניטור משתמשים חזקים וסביבות, אחרות נוגעות לבחירת סיסמאות, ליישום אימות רב-שלבי (MFA) ולבנייה נכונה של רשתות, לרבות הפרדת רשתות וסינון וניתוח תעבורת הרשת.

צוות קונפידס ממליץ לקוראי ״הסייבר״ לעקוב אחר המלצות המסמך שפורסם וליישמן כבסיס לאבטחת המידע בארגון.

ארצות הברית: ארבעה עובדי ממשל רוסים מואשמים בפריצה לתשתיות אנרגיה קריטיות ברחבי העולם

ב-24 במרץ חשף משרד המשפטים האמריקאי שני תיקים שבהם מואשמים האזרחים הרוסים בניסיון, בתמיכה ובביצוע חדירות למחשבים ולרשתות אינטרנט בשני מקרים שונים, שכוונו נגד תשתיות וחברות אנרגיה בין השנים 2012-2018. בשני אירועי הפריצה היו מעורבים אלפי מחשבים ומאות חברות וארגונים מ-135 מדינות שונות. מחקירתם המשותפת של יועצי אבטחת הסייבר (CSA) של הסוכנות לאבטחת סייבר ותשתיות (CISA), לשכת החקירות הפדרלית (FBI) ומחלקת האנרגיה של ארצות הברית (DOE), עולה כי שלושה מתוך הנאשמים מקושרים לשירות הביטחון הפדרלי הרוסי (FSB) ואילו הרביעי עובד בסוכנות הרוסית לחקר מכונות וכימיה. בתקרית הראשונה הותקנה במערכות ״דלת אחורית״ והוכנסה אליהן תוכנה זדונית שמטרתה לפגוע בבטיחותם של מתקני אנרגיה. התוכנה, שקיבלה את הכינויים Triton ו-Trisis, הותקנה על מערכות (ICS (Industrial Control System ומערכות (OT (Operational Technology של מתקני אנרגיה גלובליים, מה שאפשר לתוקפים לבצע פעולות עתידיות נוספות ברשתות הקורבנות, ואף להביא לנזק פיזי ממשי על ידי התערבות במנגנוני ההגנה שהוטמעו בהן. בתקרית השנייה היו מעורבים שלושת האזרחים המקושרים ל-FSB, אשר על פני שנים ארוכות ריכזו מאמצים במטרה להשתלט על מערכות המחשוב של חברות אנרגיה. התוקפים, שהשתייכו ליחידת ה-FSB המכונה Center 16 (ומוכרת בקרב חוקרי סייבר גם בשם Dragonfly), התמקדו בתוכנה ובחומרה המכונות ICS או SCADA, ששלטו בציוד המפעל לשם לייצור אנרגי,. באמצעות השליטה במערכות בקרה אלה ניתן להשתלט ולהזיק למערכות, ובכך לפגוע בתהליך ייצור האנרגיה במפעל. סעיף נוסף בו מואשמים ארבעת החשודים הוא הונאות מחשב, והם עלולים להישפט לתקופה מינימלית של 20 שנים בכלא.

נפרץ שרת Element השייך לארגון טכנולוגי התומך בדאעש ומואשם בהונאת תומכיו למטרות רווח אישיות

ארגון ה-EHF) Electronic Horizons Foundation), אשר הוקם על ידי מספר מומחי סייבר מובילים משורות דאעש, מפרסם לתומכיו באופן תדיר מידע טכני, המלצות ואזהרות בנושאי אבטחת מידע. ב-22 במרץ חבר בארגון המדינה האיסלאמית פרסם באמצעות המערכת להעברת הודעות Rocket.Chat הודעה בה טען ששרת ההודעות ושיתוף הקבצים של ה-EHF נפרץ, ולצדה שתי כרזות. בכרזה האחת מצוין כי ה-EHF הוקם במסווה של ארגון שמטרתו לקדם בקרב תומכי דאעש נושאים של הגנה והעלאת מודעות בתחום הסייבר, בעוד שמטרתו האמיתית היא שימוש בכספי התרומות לארגון לטובות הנאה אישיות, כגון רכישת דירות ומכוניות, כמו גם להקמת חברה פרטית לארוסתו של מייסד הארגון. הכרזה השנייה פונה למשתמשי EHF וטוענת כי התרחשה פריצה לשרתים בהם מצוי מידע על רבים מהם, הנמצאים כעת בסכנה גדולה. עוד נטען כי הפריצה התאפשרה משום שארוסתו של מייסד הארגון התרכזה בביצוע הונאות בכספי התרומות במקום בהגנה על שרתיו. בתמונות שהופיעו בכרזות נראים מייסד הארגון וארוסתו יושבים בבית קפה,״בשליחות המדינה האיסלאמית״, כל זאת, כביכול, על חשבון כספי התרומות. בתוך כך, בערוצי מדיה המתנגדים לדאעש ותומכים באל-קאעידה נטען ששרת ה-EHF נפרץ על ידי תומכי דאעש ״ממורמרים״ או פעילי תקשורת לשעבר ב-EHF. בשעה זו טרם התברר אם המידע שפרסם אותו חבר בארגון המדינה האסלאמית הוא אמין. בעוד שארגון ה-EHF הכחיש את ההאשמות וטען כי מדובר בעבודה של סוכני ביון, לא נמסרה התייחסות ישירה לטענות שהופנו כנגד מייסד הארגון, כמו גם לטענה לפיה שרת הארגון נפרץ. עם זאת, ב-22 במרץ פרסם ה-EHF הודעה לפיה מתבצעים ניסיונות פריצה לחשבון הארגון, לצד ניסיונות להשמיצו.

סייבר ופרטיות - רגולציה ותקינה

 

האיחוד האירופי וארה"ב: מנגנון חדש להעברת מידע אישי   

בהתפתחות משמעותית בנושא העברת מידע אישי בין האיחוד לארצות הברית, ב-25 במרץ סוכם בין הצדדים על מנגנון עקרוני המכונה Trans-Atlantic Data Privacy Framework, שהינו הסדר המהווה תוצאה של יותר משנה של משא ומתן, כל זאת בהמשך לפסה"ד "שרמס 2" של בית הדין האירופי מיולי 2020, בו נפסלה האפשרות להעביר מידע אישי של תושבי אירופה למדינות שאינן מיישמות רמה מספקת של הגנות עליו. על פי המנגנון החדש, ארצות הברית תהיה מחויבת להקים אמצעי הגנה חדשים שיתנו מענה לדרישות הדין האירופי, ובמיוחד לדרישות ה-GDPR. נשיאת האיחוד האירופי' אורסולה ון דר ליין, התייחסה להסדר החדש באמרה כי עלינו להמשיך ולהתאים את הדמוקרטיות שלנו [האירופיות והאמריקאית] לעולם משתנה. זה נכון במיוחד כשמדובר בדיגיטליזציה, שבה ההגנה על מידע אישי ופרטיות הפכה להיות כה חיונית. לכן, אני שמחה מאוד שמצאנו הסכמה עקרונית על מסגרת חדשה לזרימת מידע טרנס-אטלנטית".

אתגרים רגולטוריים ב-CISA: שיתוף פעולה מגושם עם הסקטור הפרטי 

ב-22 במרץ התקיימה שיחת ועידה בת 3 שעות בין מנהיגות הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) לבין כ-13,000 נציגי תעשיית הסייבר, בה נדונו אמצעים מומלצים להגנה מפני איומי סייבר שמקורם ברוסיה, לאור הלחימה במזרח אירופה. בין היתר, ראשי ה-CISA הדגישו את חשיבות שיתוף הפעולה ושיתוף המידע עם התעשייה, כל זאת בהמשך לחקיקה חדשה שתחייב דיווחים על אירוע סייבר ותשלומי דמי כופר מצד ארגונים (על אף שמתכונת דיווחי החובה תיכנס לתוקף רק בעתיד). לאחר הדברים שנשאו נציגי ה-CISA, נשאלו יותר מ-60 שאלות על ידי נציגי החברות. ואולם, סרטון השיחה המלא, לרבות השאלות והתשובות, פורסם באתר ה-CISA, ללא הסכמתם של נציגי התעשייה, שהניחו שהדיון לא יתפרסם, ועל כן הגיבו על החשיפה בהתנגדות נחרצת. בעקבות כך התנצלה ראש ה-CISA ג'ן איסטרלי, באמרה כי "אני מודעת היטב לחשיבות השמירה על אמון הקהילה שלנו. אני מתחייבת בכנות מול כולכם לעשות זאת טוב יותר."

סיכום עקרוני בין הפרלמנט של האיחוד האירופי לפרלמנט: חוק השווקים הדיגיטליים יוצא לדרך

השבוע הגיעו הפרלמנט האירופי ומועצת האיחוד האירופי להסכמות בנוגע להיקף הסדרתם של שווקים דיגיטליים ב-Digital Markets Act. הסדרה חדשה זו תאפשר תחרות רבה יותר במרחב הדיגיטלי האירופי ותוריד את מחסומי הכניסה לחברות קטנות ובינוניות. כמו כן, חברות שלא תיישמנה את הכללים החדשים, תהיינה חשופות לקנסות של עד 10% מהכנסותיהן הגלובליות. לדברי סדריק או, שר בעל אחריות על המרחב הדיגיטלי בצרפת, "במהלך 10 השנים האחרונות, האיחוד האירופי נאלץ להטיל קנסות שיא על שיטות עסקיות מזיקות מסוימות של שחקנים דיגיטליים גדולים מאוד. חוק השווקים הדיגיטליים יאסור את השיטות הללו באופן ישיר וייצור מרחב כלכלי הוגן ותחרותי יותר עבור שחקנים חדשים ועסקים אירופיים. כללים אלה הם המפתח לפתיחת שווקים דיגיטליים, לשיפור יכולות הבחירה של הצרכנים, לשיתוף טוב יותר של ערך בכלכלה הדיגיטלית ולהגברת החדשנות. האיחוד האירופי הוא הגוף הראשון לנקוט בפעולה כה נחרצת בהקשר זה, ואני מקווה שאחרים יצטרפו אלינו בקרוב."

(מקור: European Council, 25.3.22)

סין ביוזמה רגולטורית חדשה: מידע גנטי של תושבי המדינה הוא משאב אסטרטגי על פי ההנחיות החדשות שמקדמת כעת המדינה, אסור להעביר אל מחוץ לסין מידע גנטי של תושביה או לסחור במידע מסוג זה. כמו כן, בכל חמש שנים יתבצע במדינה תהליך לאומי של קיטלוג מידע גנטי. לדברי פרופ׳ ליסה פרקר, מנהלת המרכז לביואתיקה ובריאות באוניברסיטת פיטסבורג שבארצות הברית, למרות שההנחיות הסיניות דורשות את הסכמת האדם ממנו נאסף המידע הגנטי וכוללות שמירה על פרטיות המידע, ההקשר בו נקבעות ההנחיות מדאיג, שכן ייתכנו מקרים בהם אנשים עשויים לחשוש שסירובם למסור מידע גנטי עלול לגרום לנקמה בהם או לסנקציות מסוג אחר. משרד המדע והטכנולוגיה של סין, שפרסם את טיוטת ההנחיות, מזמין את הציבור להעיר עליה עד לתאריך ה-21.4.2022.


על רקע מלחמת רוסיה-אוקראינה: האיחוד האירופי מפרסם "מצפן אסטרטגי" לחיזוק הגנות, לרבות במרחב הסייבר

בהצהירה כי "המלחמה חזרה לאירופה", המועצה האירופית פרסמה ב-25 במרץ מסמך המכונה "מצפן אסטרטגי לבטחון והגנה", המהווה תכנית לחיזוק ההגנות של מדינות האיחוד במרחב הפיזי והסייברי כאחד. בין היתר, התכנית מתייחסת להמשך פיתוחה של מדיניות משותפת למדינות האיחוד בנושא הגנת סייבר, לשיתוף פעולה עם נאט"ו ועם בנות בריתה של האיחוד, לעריכת תרגילי סייבר משותפים ולהטלת סנקציות באמצעות ה-EU Cyber Diplomacy Toolbox, כפי שכבר נעשה במקרה של רוסיה. במסגרת הלחימה הנוכחית באירופה, האיחוד הפעיל את צוות תגובת הסייבר שלו (ה-Cyber Rapid Response Team) וממשיך לפתח כלים ותהליכים להתמודדות עם סיכוני הסייבר הנגזרים ממנה. 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.