https://videos.wizer-training.com/videos/d558a93ff8bc4429a47e3939a29fc8ba

טרור סייבר לאומני - פושעי סייבר בחסות ממשלת איראן מנצלים נקודות תורפה לקידום פעילויות זדוניות וכופרה נגד יעדי ממשל בכמה יבשות ומעבר לכך. בעקבות אירועי טרור סייבר רבים בתקופה האחרונה, ייעוץ אבטחת סייבר משותף זה הוא תוצאה של מאמץ אנליטי בקרב הלשכה הפדרלית לחקירות (FBI), הסוכנות לאבטחת סייבר ואבטחת תשתיות (CISA), מרכז אבטחת הסייבר האוסטרלי (ACSC), ומרכז אבטחת הסייבר הלאומי של בריטניה (NCSC). לציין כי מעל לכל ספק הערכה קשורה לממשלת איראן המקדמת פעילות סייבר זדונית מתמשכת על ידי קבוצת פושעי סייבר בחסות הממשלה האיראנית המנצלת נקודות תורפה של Fortinet לפחות מאז מרץ 2021 ופגיעות של Microsoft Exchange ProxyShell לפחות מאז אוקטובר 2021, כדי לקבל גישה ראשונית למערכות לקראת פעולות המשך, הכוללות פריסת תוכנות כופר. ACSC מודע גם לכך שקבוצת APT זו השתמשה באותה פגיעות של Microsoft Exchange באוסטרליה. כאמור, פושעי טרור הסייבר APT בחסות הממשלה האיראנית מתמקדים באופן פעיל במגוון רחב של קורבנות במספר מגזרי תשתית קריטיים בארה"ב, כולל מגזר התחבורה ומגזר הבריאות והבריאות הציבורית, כמו גם ארגונים אוסטרליים. מהמידע עולה כי פושעי טרור הסייבר מתמקדים בניצול נקודות תורפה ידועות במגזרים ספציפיים. אין עוררין שהן בחסות הממשלה האיראנית, ובדגש כי יכולים למנף גישה זו לפעולות המשך, כגון חילוץ נתונים או הצפנה, תוכנות כופר וסחיטה. בנוסף לכך, סבירות גבוהה למדיי שפושעי טרור הסייבר APT בחסות הממשלה האיראנית הקימו חשבונות משתמשים חדשים בבקרי מחשבים, שרתים, תחנות עבודה וספריות פעילות [T1136.001, T1136.002]. נראה כי חלק מחשבונות אלה נוצרו כדי להיראות דומים לחשבונות קיימים אחרים ברשת, כך ששמות חשבונות ספציפיים עשויים להשתנות בהתאם לארגון. בנוסף לחשבונות משתמשים לא מזוהים או חשבונות שהוקמו כדי להתחזות לחשבונות קיימים. יש ליישם פעולות, כדי להגן מפני פעילות סייבר זדוני - טרור הסייבר בחסות המדינה האיראנית: • תיקון מיידי של תוכנות המושפעות מהפגיעויות הבאות: CVE-2021-34473, 2018-13379, 2020-12812 ו-2019-5591. • ליישם אימות רב-גורמי. • ליישם שימוש בסיסמאות חזקות וייחודיות. https://us-cert.cisa.gov/ncas/alerts/aa21-321a

דוברות שב"כ: במסגרת פעילות משותפת של שירות הביטחון הכללי ומשטרת ישראל/יאחב"ל בלה״ב 433 במהלך חודש נובמבר 2021, נעצר לחקירה עומרי גורן, אזרח ישראלי, אשר הועסק בעבודות משק בית וניקיון בביתו של שר הביטחון. בחקירה עלה כי עומרי פנה מיוזמתו, ימים ספורים קודם למעצרו, באמצעות רשת חברתית, לגורם המזוהה עם איראן והציע לסייע לו בדרכים שונות, נוכח גישתו לבית השר. בין היתר, העלה אפשרות כי תועבר לו על-ידי אותו גורם תוכנת נוזקה אשר תאפשר נגישות למחשב המשמש את השר. כוונה זו סוכלה מבעוד מועד לאור מעצרו המהיר של עומרי ובכך נמנע מימוש אפשרות זו. בנוסף התברר, במהלך החקירה, כי בכדי להוכיח יכולת ורצינות עומרי צילם מספר פריטים במקומות שונים בבית השר, אותם שלח לגורם האמור, ובהם תמונות מחשבים של השר. יודגש כי נוכח אמצעים ונהלי אבטחת המידע בבית השר, עומרי לא נחשף לחומרים מסווגים, ובהתאם לא היו חומרים כאלו שהועברו ממנו לגורמים עימם יצר קשר. החקירה התנהלה בידיעת שר הביטחון. בתום החקירה הוגש ע"י פרקליטות מחוז מרכז לבית המשפט המחוזי בלוד כתב אישום המייחס לנאשם עבירת ריגול. מהלכי הסיכול המהירים והמידיים שננקטו על-ידי שירות הביטחון הכללי, קטעו באיבם את כוונות הנדון אשר היו עלולות להביא לפגיעה בביטחון המדינה. לצד ההצלחה בסיכול, הוחלט בשב"כ לקיים תחקיר בנוגע לתהליכי הבדיקה, מתוך מטרה לצמצם האפשרות להישנות מקרים מסוג זה בעתיד. תקשורת שב"כ

הודעה תקשורת שב"כ ומטעם הפרקליטות:   פרקליטות מחוז מרכז (פלילי) הגישה לבית המשפט המחוזי מרכז, כתב אישום נגד עומרי גורן גורוכובסקי (37) מלוד, בגין עבירת ריגול. בכתב האישום נטען שהנאשם, שעבד במשק בית בביתו של שר הביטחון, בני גנץ, הציע לנציג קבוצת הפצחנים Black Shadow, המזוהה עם איראן, לשתול "תולעת" במחשבו של השר. על פי כתב האישום, שהוגש ע"י עו"ד מיקי סטופ, במשך מספר שנים עבדו גורן ובת זוגו בעבודות משק בית וניקיון בביתו של גנץ, המשמש מחודש יוני 2021 כשר הביטחון וסגן ראש ממשלת ישראל. בחודש שעבר התפרסמו בכלי תקשורת בישראל כתבות אודות מתקפות סייבר נגד מטרות ישראליות, שביצעה קבוצת פצחנים ("האקרים") המכונה Black Shadow, המזוהה עם איראן. בעקבות הפרסומים החליט גורן לפנות לקבוצה, ולהציע להעביר לה מידע מבית שר הביטחון. גורן איתר, באמצעות תוכנת הטלגרם, כתובת של נציג קבוצת Black Shadow, פנה אליו בזהות בדויה והציג עצמו כמי שעובד אצל שר הביטחון הישראלי, וציין כי ביכולתו לסייע לקבוצה בדרכים שונות. עוד הוסיף, כי תמורת סכום כספי הוא יוכל להעביר מידע מהבית ואף הציע כי תועבר לו "תולעת מחשב", אותה ישתול במחשבו של השר.  על מנת להוכיח את יכולותיו, במהלך החודש צילם גורן מספר פריטים בביתו של השר ושלח לנציג הקבוצה בטלגרם. בין הפריטים שצולמו: שולחן עבודה, מחשבים, טלפון, טאבלט, קופסה ועליה תווית ובה פרטי שיוך צה"ליים ומספרים סידוריים, מארז ועליו מדבקה ובה כתובת IP, כספת סגורה ומכונת גריסה, מזכרות צבאיות שניתנו לשר בתפקידו הקודם כרמטכ"ל, תמונות ממוסגרות של השר ובני משפחתו, חשבון תשלום ארנונה של השר ועוד. לאחר מכן, מחק גורן את כלל ההתכתבויות מהטלגרם, וכן את התמונות ממכשיר הטלפון שלו. התיק נחקר על ידי שירות הביטחון הכללי ויאחב"ל בלה״ב 433 של משטרת ישראל ובליווי פרקליטות מחוז מרכז (פלילי). במקביל הוגשה בקשת מעצר עד תום ההליכים. מצ"ב כתב האישום ובקשת המעצר.   בברכה,   הילה ימיני, עו"ד   דוברת מחוז תל אביב   אגף דוברות הסברה ותקשורת | משרד המשפטים דוברות שב"כ: במסגרת פעילות משותפת של שירות הביטחון הכללי ומשטרת ישראל/יאחב"ל בלה״ב 433 במהלך חודש נובמבר 2021, נעצר לחקירה עומרי גורן, אזרח ישראלי, אשר הועסק בעבודות משק בית וניקיון בביתו של שר הביטחון. בחקירה עלה כי עומרי פנה מיוזמתו, ימים ספורים קודם למעצרו, באמצעות רשת חברתית, לגורם המזוהה עם איראן והציע לסייע לו בדרכים שונות, נוכח גישתו לבית השר. בין היתר, העלה אפשרות כי תועבר לו על-ידי אותו גורם תוכנת נוזקה אשר תאפשר נגישות למחשב המשמש את השר. כוונה זו סוכלה מבעוד מועד לאור מעצרו המהיר של עומרי ובכך נמנע מימוש אפשרות זו. בנוסף התברר, במהלך החקירה, כי בכדי להוכיח יכולת ורצינות עומרי צילם מספר פריטים במקומות שונים בבית השר, אותם שלח לגורם האמור, ובהם תמונות מחשבים של השר. יודגש כי נוכח אמצעים ונהלי אבטחת המידע בבית השר, עומרי לא נחשף לחומרים מסווגים, ובהתאם לא היו חומרים כאלו שהועברו ממנו לגורמים עימם יצר קשר. החקירה התנהלה בידיעת שר הביטחון. בתום החקירה הוגש ע"י פרקליטות מחוז מרכז לבית המשפט המחוזי בלוד כתב אישום המייחס לנאשם עבירת ריגול. מהלכי הסיכול המהירים והמידיים שננקטו על-ידי שירות הביטחון הכללי, קטעו באיבם את כוונות הנדון אשר היו עלולות להביא לפגיעה בביטחון המדינה. לצד ההצלחה בסיכול, הוחלט בשב"כ לקיים תחקיר בנוגע לתהליכי הבדיקה, מתוך מטרה לצמצם האפשרות להישנות מקרים מסוג זה בעתיד. תקשורת שב"כ https://www.mako.co.il/news-law/2021_q4/Article-60da996bb923d71027.htm

אין מילים https://www.ynet.co.il/news/article/hyndeax00f?utm_source=ynet.app.android&utm_medium=social&utm_campaign=general_share&utm_term=hyndeax00f&utm_content=Header

האם שמעת על הmalware הזה? פורסם לפני יומיים... הוא מן חבר כזה שמצטרף לכל הפעולות שאתם עושים בסלולרי ובסוף גם ינהל לכם את חשבון הבנק, אפילו בלי שתבקשו אחרי הכול אתם הזמנתם אותו למכשיר שלכם ... https://www.cleafy.com/cleafy-labs/sharkbot-a-new-generation-of-android-trojan-is-targeting-banks-in-europe

קבוצות טרור סייבר או שכירי חרב איראנים, המלחמה נמשכת בעולם טכנולוגיות המידע - הסייבר בהמשך לדיווח של רשויות אכיפה פדרליות אמריקאיות ושל ארצות נוספות, מיקרוסופט מזהירה מפני פעילותן של 6 קבוצות טרור סייבר מתפתחות בחסות המדינה האיראנית, אשר מסתמכות יותר ויותר על תוכנות כופר כדי לייצר הכנסות ולחבל בכוונה במטרותיהן. קבוצות טרור סייבר המופעלות עם שייכות לאיראן מתמקדים יותר ויותר בתוכנות כופר כאמצעי להפקת הכנסות וחבלה מכוונת ביעדיהם, תוך שהם עוסקים גם בקמפיינים סבלניים ומתמשכים של הנדסה חברתית ובהתקפות אגרסיביות. כאמור, לא פחות משישה גורמי איום לאומני המזוהים עם איראן, התגלו פורסים תוכנות כופר כדי להשיג את היעדים האסטרטגיים שלהם, חוקרים ממרכז מודיעין האיומים של מיקרוסופט חשפו, והוסיפו "פריסות כופר אלה הושקו בגלים כל שישה עד שמונה שבועות בממוצע". ראוי לציין גורמי איום במעקב כמו Phosphorus ( הידוע גם בשם Charming Kitten או APT35), אשר נמצא סורק כתובות IP באינטרנט עבור Fortinet FortiOS SSL VPN unpatched ושרתי Exchange מקומיים כדי לקבל גישה ראשונית והתמדה ברשתות פגיעות, בנוסף לציין כי לפני המעבר למקומות נוספים, הם פורסים נזוקות נוספות המאפשרים לגורמי האיום להסתובב במקומות אחרים כדי לפרוס תוכנות כופרה. בנוסף, טקטיקה נוספת ששולבה, היא להשפיעה באמצעות רשת של חשבונות מדיה חברתית פיקטיביים, כולל התחזות לנשים אטרקטיביות, כדי לבנות אמון עם מטרות במשך מספר חודשים ובסופו של דבר לספק מסמכים השתולים בהם תוכנות זדוניות המאפשרות חילוץ נתונים ממערכות הקורבנות. גם Phosphorus וגם גורם איום שני בשם קוריום נצפו בשילוב שיטות הנדסה חברתיות "סבלניות" כאלה כדי לפרוץ למטרות שלהם. ברבים מהמקרים שדווחו, המטרות האמינו באמת ובתמים שהן עושות קשר אנושי, ואינם מקיימים אינטראקציה עם גורם איום הפועל מאיראן. אין עוררין שהתוקפים בונים מערכת יחסים עם משתמשי היעד לאורך זמן על ידי תקשורת מתמדת ורציפה המאפשרת להם לבנות אמון וביטחון עם המטרה עד ליום הפקודה. כמו כן מגמה נוספת, היא השימוש בהתקפות סיסמה כדי לפגוע במשתמשים של Office 365 המכוונים לחברות טכנולוגיה ביטחונית אמריקאיות, אירופאיות וישראליות, שפרטיה כבר פורסמו בחודש שעבר, וייחוסה מוגדר כאיום. יתר על כן, קבוצת טרור סייבר לאומני גם הוכיחו את היכולת להתאים ולהזיז צורה בהתאם ליעדים האסטרטגיים שלהם ולמסחר, להתפתח ל"גורמי איום מוכשרים יותר", הבקיאים בפעולות שיבוש ומידע על ידי ביצוע קשת של התקפות, כגון ריגול סייבר, התקפות דיוג, פיצוח סיסמאות, שימוש בתוכנות זדוניות ניידות, תוכנות כופר, ואפילו ביצוע התקפות שרשרת אספקה. לסיכום, הממצאים משמעותיים במיוחד לאור התראה חדשה שפרסמו סוכנויות אבטחת סייבר מאוסטרליה, בריטניה וארה"ב, המזהירה מפני גל מתמשך של חדירות שבוצעו על ידי קבוצת טרור סייבר לאומני APT בחסות הממשלה האיראנית על ידי ניצול נקודות התורפה של Microsoft Exchange ProxyShell ו-Fortinet, יכולים למנף גישה זו לפעולות המשך, כגון חילוץ נתונים או הצפנה, תוכנות כופר וסחיטה.