"פרצנו לחברות ששוות מאות מיליארדי דולרים תוך 30 דקות" -
שלושה חוקרי אבט"מ ישראלים מציגים כיצד הצליחו לשתול תוסף זדוני בחנות התוספים של VSCode ולפרוץ באמצעותו לעשרות ארגונים.
עמית אסרף, איתי קרוק ועידן דרדיקמן החליטו לבדוק את רמת האבטחה בחנות התוספים של VSCode.
ויז'ואל סטודיו קוד (באנגלית: Visual Studio Code) היא פלטפורמה לכתיבת קוד המופצת על ידי חברת מייקרוסופט.
מייקרוסופט מפעילה בנוסף גם חנות תוספים ל-VSCode שם מפתחים יכולים להוריד תוספים שונים שישפרו את חווית הפיתוח.
החוקרים יצרו תוסף המתחזה לתוסף הפופולרי Dracula, המאפשר למפתחים להחליף את ערכת הצבעים של VSCode לערכה כהה הנוחה יותר לעין.
החוקרים הוסיפו כמה שורות קוד זדוניות לתוסף החדש שיצרו ונתנו לו את השם הכמעט זהה - Darcula, תוך שהם מקימים גם אתר מתחזה לאתר הרשמי של התוסף המקורי🧛 .
את האתר המתחזה הם אישרו בקלות מול חנות התוספים של VSCode ובכך למעשה הם הפכו תוך זמן קצר למפיצים של תוסף זדוני הזהה כמעט לחלוטין בשמו לתוסף המקורי.
תוך זמן קצר מאד התוסף הזדוני תופס תאוצה ומשתמשים בארגונים רבים מסביב לעולם החלו להוריד את התוסף הזדוני במקום את התוסף הרשמי.
תוך פחות מ-24 שעות כבר עשרות מחשבים הודבקו בנוזקה, כשחלק מהקרבנות אלו חברות ענק השוות מאות מיליארדי דולרים, חברות אבטחת מידע ועוד.
הנוזקה לא זוהתה על ידי מערכות ההגנה השונות בארגונים...
עד כמה המצב חמור?
החוקרים לקחו את המחקר צעד קדימה והחליטו לבדוק את מצבם של תוספים אחרים בחנות התוספים של VSCode (שמכיל כ-60k תוספים).
שימו לב לנתונים שהם גילו:
- 1,283 תוספים הכילו קוד זדוני (הותקנו 229 מיליון פעמים)
- 8,161 תוספים מבצעים תקשורת מול כתובות IP המוגדרות בתוך הקוד של התוסף.
- 1,442 תוספים מפעילים קבצי הרצה לא ידועים.
המחקר המלא זמין לכם כאן 👉🏻
חשוב לציין כי מחקר זהה בוצע לפני כשנה ע"י חוקרים ישראלים מחברת Aqua - כאן
https://t.me/CyberSecurityIL/5240
שלושה חוקרי אבט"מ ישראלים מציגים כיצד הצליחו לשתול תוסף זדוני בחנות התוספים של VSCode ולפרוץ באמצעותו לעשרות ארגונים.
עמית אסרף, איתי קרוק ועידן דרדיקמן החליטו לבדוק את רמת האבטחה בחנות התוספים של VSCode.
ויז'ואל סטודיו קוד (באנגלית: Visual Studio Code) היא פלטפורמה לכתיבת קוד המופצת על ידי חברת מייקרוסופט.
מייקרוסופט מפעילה בנוסף גם חנות תוספים ל-VSCode שם מפתחים יכולים להוריד תוספים שונים שישפרו את חווית הפיתוח.
החוקרים יצרו תוסף המתחזה לתוסף הפופולרי Dracula, המאפשר למפתחים להחליף את ערכת הצבעים של VSCode לערכה כהה הנוחה יותר לעין.
החוקרים הוסיפו כמה שורות קוד זדוניות לתוסף החדש שיצרו ונתנו לו את השם הכמעט זהה - Darcula, תוך שהם מקימים גם אתר מתחזה לאתר הרשמי של התוסף המקורי
את האתר המתחזה הם אישרו בקלות מול חנות התוספים של VSCode ובכך למעשה הם הפכו תוך זמן קצר למפיצים של תוסף זדוני הזהה כמעט לחלוטין בשמו לתוסף המקורי.
תוך זמן קצר מאד התוסף הזדוני תופס תאוצה ומשתמשים בארגונים רבים מסביב לעולם החלו להוריד את התוסף הזדוני במקום את התוסף הרשמי.
תוך פחות מ-24 שעות כבר עשרות מחשבים הודבקו בנוזקה, כשחלק מהקרבנות אלו חברות ענק השוות מאות מיליארדי דולרים, חברות אבטחת מידע ועוד.
הנוזקה לא זוהתה על ידי מערכות ההגנה השונות בארגונים...
עד כמה המצב חמור?
החוקרים לקחו את המחקר צעד קדימה והחליטו לבדוק את מצבם של תוספים אחרים בחנות התוספים של VSCode (שמכיל כ-60k תוספים).
שימו לב לנתונים שהם גילו:
- 1,283 תוספים הכילו קוד זדוני (הותקנו 229 מיליון פעמים)
- 8,161 תוספים מבצעים תקשורת מול כתובות IP המוגדרות בתוך הקוד של התוסף.
- 1,442 תוספים מפעילים קבצי הרצה לא ידועים.
המחקר המלא זמין לכם כאן 👉🏻
חשוב לציין כי מחקר זהה בוצע לפני כשנה ע"י חוקרים ישראלים מחברת Aqua - כאן
https://t.me/CyberSecurityIL/5240
Please open Telegram to view this post
VIEW IN TELEGRAM
חדשות סייבר - ארז דסה
מתקפת הסייבר על משרד עורכי הדין הגדול מסתבכת: "אותר גורם עוין ברשת" מתקפת הסייבר החריגה נגד משרד עורכי הדין גולדפרב גרוס זליגמן ממשיכה להסתבך: במשרד עורכי הדין עדכנו כי בעקבות ההתראות שהגיעו ממערך הסייבר, בוצעו בדיקות נוספות על ידי חברת סיגניה שמנהלת את האירוע.…
Please open Telegram to view this post
VIEW IN TELEGRAM
קבוצת Handala טוענת כי היא פרצה לחברת SolidCam וגנבה 800GB של מידע.
חברת SolidCam מספקת פתרונות בתחום עיבוד שבבי ממוחשב ונחשבת לאחת מהמובילות בעולם בתחום, החברה מפעילה סניפים ברחבי העולם, ביניהם גם בישראל.
https://t.me/CyberSecurityIL/5242
#ישראל #דלף_מידע #תעשיה
חברת SolidCam מספקת פתרונות בתחום עיבוד שבבי ממוחשב ונחשבת לאחת מהמובילות בעולם בתחום, החברה מפעילה סניפים ברחבי העולם, ביניהם גם בישראל.
https://t.me/CyberSecurityIL/5242
#ישראל #דלף_מידע #תעשיה
בקשת חירום לתרומות דם בעקבות מתקפת כופר בלונדון.
לפני שבוע פירסמתי כי ספקית השירותים הרפואיים Synnovis סובלת ממתקפת כופר המשפיעה על מספר בתי חולים בלונדון.
קבוצת התקיפה Qilin לקחה אחריות למתקפה.
כעת משרד הבריאות בבריטניה מפרסם הודעה לפיה המערכות בהן בתי החולים משתמשים עבור איתור סוג הדם של המטופל לא מתפקדות כראוי, הדבר גורם לעיכובים במתן מנות דם דחופות ומסכן את המטופלים.
בעקבות המצב, משרד הבריאות בבריטניה פירסם קריאת חירום לבעלי דם מסוג O+/- להגיע ולתרום מנות דם, על מנת שאלו יוכלו להינתן במהירות למטופלים דחופים, שלא יכולים להמתין לחלופות, בהן בתי החולים עושים שימוש בזמן המתקפה.
🩸אני מניח שאולי קצת קשה להבין את הקשר בין הדברים, אבל תחשבו שבטיפול חירום או טיפול אחר המצריך מתן מנת דם במהירות, לרופאים לא תמיד יש זמן לבדוק את סוג הדם של המטופל, בשגרה זה נעשה במהירות באמצעות מערכות שונות אבל כעת, כשהן מושבתות, הרופאים פשוט נותנים למטופל מנת דם מסוג O- שמתאימה לכל סוגי המטופלים או O+ שמתאימה לרוב המטופלים ובעקבות כך מנות דם אלו נגמרות מהר...
https://t.me/CyberSecurityIL/5243
#רפואה #כופר
לפני שבוע פירסמתי כי ספקית השירותים הרפואיים Synnovis סובלת ממתקפת כופר המשפיעה על מספר בתי חולים בלונדון.
קבוצת התקיפה Qilin לקחה אחריות למתקפה.
כעת משרד הבריאות בבריטניה מפרסם הודעה לפיה המערכות בהן בתי החולים משתמשים עבור איתור סוג הדם של המטופל לא מתפקדות כראוי, הדבר גורם לעיכובים במתן מנות דם דחופות ומסכן את המטופלים.
בעקבות המצב, משרד הבריאות בבריטניה פירסם קריאת חירום לבעלי דם מסוג O+/- להגיע ולתרום מנות דם, על מנת שאלו יוכלו להינתן במהירות למטופלים דחופים, שלא יכולים להמתין לחלופות, בהן בתי החולים עושים שימוש בזמן המתקפה.
🩸אני מניח שאולי קצת קשה להבין את הקשר בין הדברים, אבל תחשבו שבטיפול חירום או טיפול אחר המצריך מתן מנת דם במהירות, לרופאים לא תמיד יש זמן לבדוק את סוג הדם של המטופל, בשגרה זה נעשה במהירות באמצעות מערכות שונות אבל כעת, כשהן מושבתות, הרופאים פשוט נותנים למטופל מנת דם מסוג O- שמתאימה לכל סוגי המטופלים או O+ שמתאימה לרוב המטופלים ובעקבות כך מנות דם אלו נגמרות מהר...
https://t.me/CyberSecurityIL/5243
#רפואה #כופר
חדשות סייבר - ארז דסה
חברת Snowflake מפרסמת הכחשה וטוענת כי הרשת הארגונית של החברה לא נפרצה וכי אף תוקף לא השיג אחיזה ברשת בעזרת נתוני הזדהות של עובד החברה. עם זאת החברה כן מאשרת שתוקף השיג נתוני הזדהות של עובד לשעבר המאפשרים גישה למערכת דמו שאינה מכילה מידע רגיש...
Please open Telegram to view this post
VIEW IN TELEGRAM
עיריית ארלינגטון שבמסצ'וסטס מדווחת כי תוקפים הצליחו להערים על עובדי העירייה תוך התחזות לספק וגנבו 445,000 דולר.
לדברי העירייה התוקפים ניטרו במשך תקופה את הודעות הדוא"ל בין העירייה לספק לאחר שפרצו לכמה תיבות דוא"ל. באחד הימים הספק שלח הודעה בנוגע לתשלום שהוא צריך לקבל ואז התוקפים נכנסו לתמונה.
הם עשו שימוש בדומיין הדומה מאד לזה של הספק ושלחו לעובד מייל בשמו של הספק המבקש לשנות את פרטי חשבון הבנק ולבצע מעתה העברות בנקאיות במקום השיקים שנשלחו עד כה.
במשך ארבעה חודשים העירייה העבירה תשלומים לתוקפים במקום לספק האמיתי ורק לאחר שהספק התלונן שהוא לא קיבל את השיקים של החודשים האחרונים הבינו בעירייה כי הם נפלו להונאה.
בעזרת אחד הבנקים הצליחו בעירייה להחזיר חזרה 3,300 דולר מתוך 445,000 דולר שהועברו לתוקפים.
https://t.me/CyberSecurityIL/5245
#הונאה #פישינג
לדברי העירייה התוקפים ניטרו במשך תקופה את הודעות הדוא"ל בין העירייה לספק לאחר שפרצו לכמה תיבות דוא"ל. באחד הימים הספק שלח הודעה בנוגע לתשלום שהוא צריך לקבל ואז התוקפים נכנסו לתמונה.
הם עשו שימוש בדומיין הדומה מאד לזה של הספק ושלחו לעובד מייל בשמו של הספק המבקש לשנות את פרטי חשבון הבנק ולבצע מעתה העברות בנקאיות במקום השיקים שנשלחו עד כה.
במשך ארבעה חודשים העירייה העבירה תשלומים לתוקפים במקום לספק האמיתי ורק לאחר שהספק התלונן שהוא לא קיבל את השיקים של החודשים האחרונים הבינו בעירייה כי הם נפלו להונאה.
בעזרת אחד הבנקים הצליחו בעירייה להחזיר חזרה 3,300 דולר מתוך 445,000 דולר שהועברו לתוקפים.
https://t.me/CyberSecurityIL/5245
#הונאה #פישינג
כמה אירועי סייבר שהתרחשו מסביב לעולם:
🔺 חברת Niconico היפנית, המספקת פלטפורמה לשיתוף סרטונים, מדווחת על השבתה של שירותי המחשוב בשל מתקפת סייבר.
מדובר באחת החברות הגדולות ביפן לשיתוף סרטונים עם 89 מיליון משתמשים פעילים.
🔺 שירות הדואר הלאומי בוויאטנם הושבת למשך מספר ימים בשל מתקפת כופר.
🔺 חברת LendingTree מדווחת על דלף מידע בעקבות "הפריצה" לחברת Snowflake (נראה עוד לא מעט הודעות כאלו בתקופה הקרובה).
🔺 פרויקט הקריפטו UwU Lend מדווח על גניבה של מטבעות דיגיטליים בשווי של כ-20 מיליון דולר. טוען שיפצה את כל הלקוחות שכספם נגנב.
🔺 שני אזרחים בבריטניה נעצרו לאחר שהקימו אנטנה פיראטית באמצעותה שלחו אלפי הודעות פישינג תוך התחמקות מהסינון של ספקיות התקשורת במדינה.
🔺 רשת המרכזים הרפואיים Special Health Resources מדווחת על שיבושים בפעילות השוטפת בשל "בעיות טכניות". מדובר במתקפת כופר שבוצעה על ידי קבוצת Blacksuit.
🔺 אתר BreachForums שוב למטה, יחד עם ערוץ הטלגרם שהפעילו.
https://t.me/CyberSecurityIL/5246
#מדיה #כופר #קריפטו #דלף_מידע #רפואה #תקשורת
🔺 חברת Niconico היפנית, המספקת פלטפורמה לשיתוף סרטונים, מדווחת על השבתה של שירותי המחשוב בשל מתקפת סייבר.
מדובר באחת החברות הגדולות ביפן לשיתוף סרטונים עם 89 מיליון משתמשים פעילים.
🔺 שירות הדואר הלאומי בוויאטנם הושבת למשך מספר ימים בשל מתקפת כופר.
🔺 חברת LendingTree מדווחת על דלף מידע בעקבות "הפריצה" לחברת Snowflake (נראה עוד לא מעט הודעות כאלו בתקופה הקרובה).
🔺 פרויקט הקריפטו UwU Lend מדווח על גניבה של מטבעות דיגיטליים בשווי של כ-20 מיליון דולר. טוען שיפצה את כל הלקוחות שכספם נגנב.
🔺 שני אזרחים בבריטניה נעצרו לאחר שהקימו אנטנה פיראטית באמצעותה שלחו אלפי הודעות פישינג תוך התחמקות מהסינון של ספקיות התקשורת במדינה.
🔺 רשת המרכזים הרפואיים Special Health Resources מדווחת על שיבושים בפעילות השוטפת בשל "בעיות טכניות". מדובר במתקפת כופר שבוצעה על ידי קבוצת Blacksuit.
🔺 אתר BreachForums שוב למטה, יחד עם ערוץ הטלגרם שהפעילו.
https://t.me/CyberSecurityIL/5246
#מדיה #כופר #קריפטו #דלף_מידע #רפואה #תקשורת
חדשות סייבר - ארז דסה
כמה אירועי סייבר שהתרחשו מסביב לעולם: 🔺 חברת Niconico היפנית, המספקת פלטפורמה לשיתוף סרטונים, מדווחת על השבתה של שירותי המחשוב בשל מתקפת סייבר. מדובר באחת החברות הגדולות ביפן לשיתוף סרטונים עם 89 מיליון משתמשים פעילים. 🔺 שירות הדואר הלאומי בוויאטנם הושבת…
Please open Telegram to view this post
VIEW IN TELEGRAM
חדשות סייבר - ארז דסה
קבוצת Handala טוענת כי היא פרצה לחברת SolidCam וגנבה 800GB של מידע. חברת SolidCam מספקת פתרונות בתחום עיבוד שבבי ממוחשב ונחשבת לאחת מהמובילות בעולם בתחום, החברה מפעילה סניפים ברחבי העולם, ביניהם גם בישראל. https://t.me/CyberSecurityIL/5242 #ישראל #דלף_מידע…
Please open Telegram to view this post
VIEW IN TELEGRAM
המידע כולל שם, ת.ז, תאריך לידה, כתובת מגורים, מספר טלפון, ומספר רכב, ולטענת התוקף המאגר מכיל כ-270,000 רשומות
🔺 עדכון - מדובר במידע מפוברק - פייק ניוז
https://t.me/CyberSecurityIL/5249
#ישראל #דלף_מידע
תקציר אירועי סייבר מסביב לעולם:
🔺 משטרת אוקראינה עצרה תושב בן 28 המואשם בחברות בקבוצות התקיפה Conti ו-Lockbit.
🔺 שירות המודיעין בהולנד מדווח כי האקרים מסין ניצלו חולשות במוצרים של חברת FortiGate ופרצו ל-20,000 מכשירים ברחבי העולם.
🔺עיריית Cleveland שבאוהיו מדווחת על השבתה של שירותי המחשוב בשל מתקפת סייבר.
🔺 מחוז בתי הספר שבטורנטו מדווח כי קבוצת כופר הצליחה לפרוץ לסביבת הטסט של המחוז.
https://t.me/CyberSecurityIL/5250
#כופר #ממשלה #חינוך #מעצרים
🔺 משטרת אוקראינה עצרה תושב בן 28 המואשם בחברות בקבוצות התקיפה Conti ו-Lockbit.
🔺 שירות המודיעין בהולנד מדווח כי האקרים מסין ניצלו חולשות במוצרים של חברת FortiGate ופרצו ל-20,000 מכשירים ברחבי העולם.
🔺עיריית Cleveland שבאוהיו מדווחת על השבתה של שירותי המחשוב בשל מתקפת סייבר.
🔺 מחוז בתי הספר שבטורנטו מדווח כי קבוצת כופר הצליחה לפרוץ לסביבת הטסט של המחוז.
https://t.me/CyberSecurityIL/5250
#כופר #ממשלה #חינוך #מעצרים
משתמשים באפליקציות לטיולים כמו Booking ואחרים? הם אוספים עליכם יותר מידע ממה שנראה לכם.
ממחקר של אתר CyberNews עולה כי אפליקיציות הטיולים השונות מחזיקות בהרשאות גבוהות למכשירי הטלפון שלכם וזאת למרות שהן לא מצהירות על כך בחנויות האפליקציות, כך לדוגמא לחלק מהאפליקיציות יש גישה לסמסים שלכם (מישהו אמר 2fa?), למצלמה, מיקרופון, קבצים ועוד, חלקן אפילו יכולות לבצע שיחות בשמכם...
למרות שמפתחי האפליקציות צריכים להצהיר בחנות האפליקציות על ההרשאות שהן עושים בהן שימוש, חלקם מצהירים רק על מידע חלקי כשבפועל, ברגע שהאפליקציות מותקנות, הן משתמשות בהרשאות גבוהות יותר מאלו המוצהרות.
המחקר המלא זמין כאן.
https://t.me/CyberSecurityIL/5251
ממחקר של אתר CyberNews עולה כי אפליקיציות הטיולים השונות מחזיקות בהרשאות גבוהות למכשירי הטלפון שלכם וזאת למרות שהן לא מצהירות על כך בחנויות האפליקציות, כך לדוגמא לחלק מהאפליקיציות יש גישה לסמסים שלכם (מישהו אמר 2fa?), למצלמה, מיקרופון, קבצים ועוד, חלקן אפילו יכולות לבצע שיחות בשמכם...
למרות שמפתחי האפליקציות צריכים להצהיר בחנות האפליקציות על ההרשאות שהן עושים בהן שימוש, חלקם מצהירים רק על מידע חלקי כשבפועל, ברגע שהאפליקציות מותקנות, הן משתמשות בהרשאות גבוהות יותר מאלו המוצהרות.
המחקר המלא זמין כאן.
https://t.me/CyberSecurityIL/5251
ALERT-CERT-IL-W-1745.yar_.txt
376 B
מערך הסייבר הלאומי:
קמפיין דיוג פעיל במרחב הישראלי – קבוצת התקיפה האיראנית MuddyWater
לאחרונה איתר מערך הסייבר הלאומי קמפיין דיוג פעיל במרחב הישראלי. הקמפיין פועל באופן נרחב למול כלל המגזרים במשק. מערך הסייבר הלאומי משייך קמפיין זה לקבוצת התקיפה האיראנית MuddyWater, בהתבסס על היכרות עם תשתיות הקבוצה ועם שיטות הפעולה (TTPs) האופייניות לה.
להתרעה זו מצורף קובץ מזהים. מומלץ לנטרם בכל מערכות האבטחה הארגוניות הרלוונטיות.
קובץ מזהים וכו' מצ"ב.
https://t.me/CyberSecurityIL/5253?single
#מערך_הסייבר_הלאומי #ישראל
קמפיין דיוג פעיל במרחב הישראלי – קבוצת התקיפה האיראנית MuddyWater
לאחרונה איתר מערך הסייבר הלאומי קמפיין דיוג פעיל במרחב הישראלי. הקמפיין פועל באופן נרחב למול כלל המגזרים במשק. מערך הסייבר הלאומי משייך קמפיין זה לקבוצת התקיפה האיראנית MuddyWater, בהתבסס על היכרות עם תשתיות הקבוצה ועם שיטות הפעולה (TTPs) האופייניות לה.
להתרעה זו מצורף קובץ מזהים. מומלץ לנטרם בכל מערכות האבטחה הארגוניות הרלוונטיות.
קובץ מזהים וכו' מצ"ב.
https://t.me/CyberSecurityIL/5253?single
#מערך_הסייבר_הלאומי #ישראל
https://t.me/CyberSecurityIL/5255
Please open Telegram to view this post
VIEW IN TELEGRAM
לא סייבר קלאסי אבל קשור:
הסתננו לבסיס 8200 - ואספו מסמכים מסווגים
מחדל אבטחתי חמור באחד מהבסיסים הרגישים ביותר של צה"ל הוביל לעונשי נזיפה וריתוק - אך ללא הדחות: צוות ביקורת מטעם המטה הכללי התחזה בלילה שבין יום הזיכרון ליום העצמאות, לפני כחודש, לקצינים בדרגות סגן אלוף ואלוף משנה - והצליח בקלות להסתנן לתוך בסיס יחידת 8200 של אמ"ן שבמחנה גלילות ברמת-השרון.
שלושת אנשי צוות הביקורת נכנסו באמצע הלילה דרך הש"ג של הבסיס השמור, מבלי שנבדקו, תוך שהם מתחזים כאמור לקצינים.
במשך קרוב לשלוש שעות הם הסתובבו באין מפריע בתוך הבסיס, הגיעו למתחמים מבצעיים, אספו מאות מסמכים מסווגים וחומרי דאטה ממחשבים סודיים, והיו יכולים, אם רצו, להסב גם נזק פיזי לתשתיות הבסיס ולחייליו.
בשעת בוקר מוקדמת, לאחר שהבינו את עומק המחדל וחופש הפעולה שלהם בבסיס 8200, גורמי הביקורת עצרו ביוזמתם את הבדיקה ויצרו קשר עם המפקדים הרלוונטיים מהיחידה הגדולה בצה"ל, זו שאחראית על פענוח צפנים וזיהוי אותות אויב.
המתחזים הודיעו למפקדי היחידה שהם נמצאים בתוך הבסיס והיו יכולים כבר מזמן לצלם ולשדר את החומרים הסודיים הרבים שאליהם נחשפו בנקל, מבלי שאף גורם יעצור בעדם. (Ynet)
https://t.me/CyberSecurityIL/5256
#ישראל
הסתננו לבסיס 8200 - ואספו מסמכים מסווגים
מחדל אבטחתי חמור באחד מהבסיסים הרגישים ביותר של צה"ל הוביל לעונשי נזיפה וריתוק - אך ללא הדחות: צוות ביקורת מטעם המטה הכללי התחזה בלילה שבין יום הזיכרון ליום העצמאות, לפני כחודש, לקצינים בדרגות סגן אלוף ואלוף משנה - והצליח בקלות להסתנן לתוך בסיס יחידת 8200 של אמ"ן שבמחנה גלילות ברמת-השרון.
שלושת אנשי צוות הביקורת נכנסו באמצע הלילה דרך הש"ג של הבסיס השמור, מבלי שנבדקו, תוך שהם מתחזים כאמור לקצינים.
במשך קרוב לשלוש שעות הם הסתובבו באין מפריע בתוך הבסיס, הגיעו למתחמים מבצעיים, אספו מאות מסמכים מסווגים וחומרי דאטה ממחשבים סודיים, והיו יכולים, אם רצו, להסב גם נזק פיזי לתשתיות הבסיס ולחייליו.
בשעת בוקר מוקדמת, לאחר שהבינו את עומק המחדל וחופש הפעולה שלהם בבסיס 8200, גורמי הביקורת עצרו ביוזמתם את הבדיקה ויצרו קשר עם המפקדים הרלוונטיים מהיחידה הגדולה בצה"ל, זו שאחראית על פענוח צפנים וזיהוי אותות אויב.
המתחזים הודיעו למפקדי היחידה שהם נמצאים בתוך הבסיס והיו יכולים כבר מזמן לצלם ולשדר את החומרים הסודיים הרבים שאליהם נחשפו בנקל, מבלי שאף גורם יעצור בעדם. (Ynet)
https://t.me/CyberSecurityIL/5256
#ישראל
התעצבן שפוטר, מחק 180 שרתים וגרם לנזקים של מאות אלפי דולרים.
קנדולה נגרג'ה (Kandula Nagaraju) אזרח הודו בן 39, עבד בחברת NCS שבסינגפור בין החודשים נובמבר 2021 לאוקטובר 2022.
כחלק מצוות QA הייתה לו גישה לכל סביבות הטסט של החברה (כ-180 שרתים).
בנובמבר 22 פוטר קנדולה מהחברה בשל בעיות ביצועים, הוא לא הצליח למצוא עבודה נוספת בסינגפור ונאלץ לחזור להודו.
במהלך החודשים ינואר-פברואר 2023, עשה קנדולה שימוש במשתמש אדמין שהחזיק על מנת להתחבר לרשת של NCS מספר פעמים.
בהתחברויות אלו בחן קנדולה סקריפט שכתב בכדי למחוק שרתים וירטואליים בסביבת הטסט של החברה (איש QA כבר אמרנו, כנראה לא רצה לעלות לפרודקשיין בלי בדיקות...😄 )
ב-18 למרץ התחבר קנדולה בפעם האחרונה לרשת של NCS ואז הריץ את הסקריפט שכתב ובדק קודם לכן.
הסקריפט הזדוני מחק תוך זמן קצר את כל 180 השרתים שבסביבת הטסטים.
יום למחרת הבינו בחברה את גודל האירוע לאחר שלא הצליחו להתחבר לשרתים (180 שרתים נמחקים אחד אחרי השני ורק יום למחרת שמים לב?🤔 ).
כחודש לאחר מכן חברת NCS מוסרת לגופי האכיפה דו"ח על ממצאי האירוע בו היא מציינת כמה כתובות IP חשודות.
המשטרה מאתרת את קנדולה, מחרימה את המחשב שלו ומוצאת בפנים את הסקריפט הזדוני.
חברת NCS מדווחת לגופי האכיפה ולבית המשפט כי קנדולה גרם לחברה נזק בגובה 678,000 דולר. בית המשפט מצא את קנדולה אשם וגזר עליו השבוע עונש מאסר בפועל של שנתיים ושמונה חודשים👮
⛔ שימו לב שהנאשם התחבר לרשת עם יוזר אדמין שהחזיק, ללא קשר ליוזר המקורי שלו בחברה שכנראה הושבת עם עזיבתו.
מה קורה אצלכם בארגון כשעובד עוזב? אני מניח שבמקרה הטוב מנתקים לו את היוזר תוך X שעות. אבל מה עם כל היוזרים האחרים אליהם היה חשוף?
האם אתם מודעים לכל היוזרים האחרים שהיו נגישים לאותו עובד? אם כן, האם אתם משנים סיסמאות לאותם יוזרים כשהעובד עוזב?
https://t.me/CyberSecurityIL/5258
#השחתה #insider_threat
קנדולה נגרג'ה (Kandula Nagaraju) אזרח הודו בן 39, עבד בחברת NCS שבסינגפור בין החודשים נובמבר 2021 לאוקטובר 2022.
כחלק מצוות QA הייתה לו גישה לכל סביבות הטסט של החברה (כ-180 שרתים).
בנובמבר 22 פוטר קנדולה מהחברה בשל בעיות ביצועים, הוא לא הצליח למצוא עבודה נוספת בסינגפור ונאלץ לחזור להודו.
במהלך החודשים ינואר-פברואר 2023, עשה קנדולה שימוש במשתמש אדמין שהחזיק על מנת להתחבר לרשת של NCS מספר פעמים.
בהתחברויות אלו בחן קנדולה סקריפט שכתב בכדי למחוק שרתים וירטואליים בסביבת הטסט של החברה (איש QA כבר אמרנו, כנראה לא רצה לעלות לפרודקשיין בלי בדיקות...
ב-18 למרץ התחבר קנדולה בפעם האחרונה לרשת של NCS ואז הריץ את הסקריפט שכתב ובדק קודם לכן.
הסקריפט הזדוני מחק תוך זמן קצר את כל 180 השרתים שבסביבת הטסטים.
יום למחרת הבינו בחברה את גודל האירוע לאחר שלא הצליחו להתחבר לשרתים (180 שרתים נמחקים אחד אחרי השני ורק יום למחרת שמים לב?
כחודש לאחר מכן חברת NCS מוסרת לגופי האכיפה דו"ח על ממצאי האירוע בו היא מציינת כמה כתובות IP חשודות.
המשטרה מאתרת את קנדולה, מחרימה את המחשב שלו ומוצאת בפנים את הסקריפט הזדוני.
חברת NCS מדווחת לגופי האכיפה ולבית המשפט כי קנדולה גרם לחברה נזק בגובה 678,000 דולר. בית המשפט מצא את קנדולה אשם וגזר עליו השבוע עונש מאסר בפועל של שנתיים ושמונה חודשים
מה קורה אצלכם בארגון כשעובד עוזב? אני מניח שבמקרה הטוב מנתקים לו את היוזר תוך X שעות. אבל מה עם כל היוזרים האחרים אליהם היה חשוף?
האם אתם מודעים לכל היוזרים האחרים שהיו נגישים לאותו עובד? אם כן, האם אתם משנים סיסמאות לאותם יוזרים כשהעובד עוזב?
https://t.me/CyberSecurityIL/5258
#השחתה #insider_threat
Please open Telegram to view this post
VIEW IN TELEGRAM
משתמשים באימוגי'ס כדי לתקשר עם הנוזקה 😈
מחקר מעניין של חברת Volexity מציג את הנוזקה DISGOMOJI בה תוקפים עשו שימוש כנגד גופים בממשלת הודו.
יש מלא מחקרים כאלו אבל במקרה הזה מעניין לראות שהתוקפים עשו שימוש באימוג'יס כדי לשלוח פקודות לנוזקה משרת דיסקורד המשמש אותם כשרת C&C (שליטה ובקרה).
המחקר המלא כאן.
צירפתי תמונה עם כל האימוג'יס והמשמעות שלהם עבור התוקפים.
https://t.me/CyberSecurityIL/5259
מחקר מעניין של חברת Volexity מציג את הנוזקה DISGOMOJI בה תוקפים עשו שימוש כנגד גופים בממשלת הודו.
יש מלא מחקרים כאלו אבל במקרה הזה מעניין לראות שהתוקפים עשו שימוש באימוג'יס כדי לשלוח פקודות לנוזקה משרת דיסקורד המשמש אותם כשרת C&C (שליטה ובקרה).
המחקר המלא כאן.
צירפתי תמונה עם כל האימוג'יס והמשמעות שלהם עבור התוקפים.
https://t.me/CyberSecurityIL/5259
Please open Telegram to view this post
VIEW IN TELEGRAM