חדשות הסייבר לשבוע האחרון
במהלך סוף השבוע מספר קבוצות תקיפה קטנות ביצעו מתקפות דידוס והשחתת חשבונות במספר אתרי אינטרנט בישראל. בין האתרים שהקבוצות הכריזו שהם הותקפו ע"י הקבוצות השונות:
סימניה, אוניברכיתה, מינהל סחר החוץ (משרד הכלכלה והתעשייה), איגוד האינטרנט הישראלי, אתר החדשות Israel Today, חברת InforU, אתר הטכניון, בית החולים שיבא, קמפוס IL, רשת מלונות לי-טוב, ג'ובמאסטר, רב-קו, אתר המוסד, מפלגת הבית היהודי והשירות המטאורולוגי.
אתר צה"ל ודואר ישראל הושחתו על ידי האקרים פרו פלסטיניים
לזמן קצר, האתרים של צה"ל ודואר ישראל הציגו הודעה מאיימת פרו פלסטינית. מבדיקת גיקטיים עולה כי ההאקרים ניצלו חולשה בתוסף נגישות מחברת ישראלית User1st . מאחר שעות בדיקה שערכה יוזר1 התברר שלא הייתה פרצה לשרתי החברה, רק ששימות המשתמש והסיסמה של צד שלישי נחשפו, כנראה באמצאות פישינג.
חברת MongoDB מדווחת כי גורם בלתי מורשה הצליח לגשת למידע של לקוחות. בשלב זה החברה טוענת כי המידע שנחשף כולל מטאדאטא ופרטי התקשרות של לקוחות. בהודעה שהחברה מפרסמת היא מציינת כי הזיהוי של התוקף היה ב-13.12 אך ככל הנראה התוקף שהה זמן מה ברשת לפני שזוהה. בשלב זה, איננו מודעים לחשיפה כלשהי לנתונים שלקוחות מאחסנים ב-MongoDB Atlas
MongoDB ממליצה לכל הלקוחות לאפשר אימות רב-גורמי בחשבונות שלהם, לסובב סיסמאות ולהיות ערניים מפני התקפות דיוג ממוקדות והנדסה חברתית.
שירות הביון החוץ הרוסי (SVR) מנצל את JetBrains TeamCity CVE ברחבי העולם
ה-FBI, CISA, NSA, SKW, NCSC, בין היתר, מעריכים שחקני הסייבר של שירות הביון החוץ הרוסי (SVR) – הידוע גם בשם Advanced Persistent Threat 29 (APT 29), הדוכסים, CozyBear ו-NOBELIUM/Midnight Blizzard – מנצלים את CVE -2023-42793 בקנה מידה גדול, מכוון לשרתים המארחים תוכנת JetBrains TeamCity מאז ספטמבר 2023.
מפתחי תוכנה משתמשים בתוכנת TeamCity לניהול ואוטומציה של הידור, בנייה, בדיקה והפצה של תוכנות. אם תיפגע, גישה לשרת TeamCity תספק לשחקנים זדוניים גישה לקוד המקור של אותו מפתח תוכנה, חתימה על אישורים ויכולת לחתור תחת תהליכי הידור ופריסה של תוכנה – גישה ששחקן זדוני יכול להשתמש בו כדי לבצע פעולות שרשרת האספקה. למרות שה-SVR השתמש בגישה כזו כדי לסכן את SolarWinds ואת לקוחותיה בשנת 2020, מספר מוגבל וסוגים אופורטוניסטיים לכאורה של קורבנות שזוהו כעת, מצביעים על כך שה-SVR לא השתמש בגישה שהעניק TeamCity CVE באופן דומה. עם זאת, ה-SVR נצפה תוך שימוש בגישה הראשונית שנלקט על ידי ניצול ה-CVE של TeamCity כדי להסלים את ההרשאות שלו, לנוע לרוחב, לפרוס דלתות אחוריות נוספות ולנקוט בצעדים אחרים כדי להבטיח גישה מתמשכת וארוכת טווח לסביבות הרשת שנפגעו.
