הגליון המאה ושמונים ואחד של DigitalWhisper שוחרר!

ברוכים הבאים לדברי הפתיחה של הגליון ה-181 של DigitalWhisper!  
 
היי! כאן ספיר :), אתחיל את דברי הפתיחה החודש מלעשות קצת סדר בדברים.
 
אם אתם חלק מהאנשים שקוראים את דברי הפתיחה, בטח שמתם לב שאפיק חזר!
 
אז מה אני עושה פה? אני ואפיק החלטנו להמשיך לשתף פעולה בעבודה על הירחון, ונתחלק בו באופן שווה בשווה, כך שבכל חודש אחד מאיתנו הוא העורך. החודש - תורי! וכיאה לגליון האחרון לשנה, החלטתי לסכם את חמש המתקפות של השנה :)
 
שנת 2025 סימנה נקודת שיא לא רק בכמות מתקפות הסייבר, אלא באופי שלהן. זו הייתה שנה שבה התקפות לא הסתפקו בגניבת מידע או בכופר, אלא פגעו בליבה התפעולית של ארגונים, ניצלו חולשות עמוקות במסגרות פיתוח נפוצות, והתפשטו דרך שרשראות אספקה בקנה מידה שמעטים ציפו לו.
 
בסיכום חמשת האירועים הבולטים של השנה בחרתי להתמקד לא רק ב-כמה נפגעו, אלא גם ב-איך, אילו חולשות נוצלו, מה הפך את המתקפה ליעילה, ומה זה אומר על מצב ההגנה שלנו היום.
הסיכום מבוסס על ארבעה קריטריונים: Scale (היקף), Impact (נזק), Coolness (אלגנטיות או תחכום טכנולוגי, לא מצאתי מילה יותר טובה) וחדשנות.

 
מתקפת הסייבר על Jaguar Land Rover (JLR)
המתקפה על Jaguar Land Rover בלטה מעל כולן משום שהיא המחישה בצורה חדה עד כמה הגבול בין IT, תפעול ושרשרת אספקה הפך דק ושביר. נקודת הכניסה הייתה ספק צד-שלישי המחובר למערכות הארגון, אך משם התוקפים הצליחו לנוע לרוחב הרשת, לנצל הרשאות שניתנו בצורה רחבה מידי וסיסמאות שנשמרו בצורה לא מאובטחת ולהגיע למערכות קריטיות הקשורות לתכנון וייצור. זו לא הייתה מתקפה שהתבססה על חולשה מטורפת, אלא על שילוב חכם של גישה קיימת, ניהול הרשאות לא מוצלח ותלות מערכתית, מה שהוביל להשבתות ייצור ולפגיעה ממשית בשרשרת האספקה. מבחינת Scale ו-Impact, זו אחת המתקפות המשמעותיות של השנה, ובעיקר תזכורת כואבת למחיר של חיבורים לא מבוקרים בין ספקים, IT ו-OT.

 
גל התקפות על רשויות מקומיות וממשלתיות (כמו למשל St. Paul)
גל התקיפות על רשויות ציבוריות המחיש עד כמה מתקפות סייבר יכולות להפוך במהירות לאירוע אזרחי. ברבים מהמקרים, כולל בעיר St. Paul, נקודת החדירה הייתה פשוטה יחסית: חשבונות שנגנבו, גישה מרחוק לא מאובטחת, או מערכות ללא MFA. משם התוקפים מיפו את הרשת, הגיעו ל-Active Directory והשביתו שירותים חיוניים, בחלק מהמקרים באמצעות Ransomware ולעיתים פשוט על ידי ניתוק מכוון של מערכות. התחכום כאן לא היה בחולשה, אלא ביכולת לנצל זהויות והרשאות כדי לשלוט במערכת שלמה ולפגוע בשירותים יומיומיים של אזרחים. זו מתקפה עם Impact עצום, שמדגישה כמה לא צריך לפרוץ לאיזו ספקית ענן כמו מיקרוסופט כדי ליצור פאניקה ולעשות נזק.

 
ToolShell וגל הניצול של חולשות SharePoint
במהלך השנה נצפה גל רחב של מתקפות שהתבססו על שילוב של כמה חולשות ב- SharePoint, כולל חולשה שאפשרה הרצת קוד מרחוק ללא אותנטיקציה. לאחר השגת דריסת רגל ראשונית, התוקפים פרסו web shells, גנבו סודות, והשתמשו ב-SharePoint כנקודת קפיצה לתוך שאר הרשת הארגונית. העוצמה של המתקפה נבעה לא רק מהחולשה עצמה, אלא מהמיקום של SharePoint בלב התשתית הארגונית: עם הרשאות עמוקות וחיבורים למערכות רבות. השילוב הזה הפך את המתקפה לבעלת Scale גבוה במיוחד ולכזו שמדגימה כיצד מוצר “שגרתי” יכול להפוך לווקטור תקיפה מרכזי.

 
React2Shell: חולשה קריטית ב-React / Next.js
רק מהחודש האחרון - React2Shell חשפה חולשה מהותית באופן שבו React Server Components ו-Next.js מטפלים בקלט ובגבולות בין שרת ללקוח. החולשה אפשרה לתוקפים לבצע הרצת קוד מרחוק ללא אימות, לגשת למשתני סביבה ולשלוף סודות מה-On-Prem וגם מהענן. מאחר שמדובר באחת ממסגרות הפיתוח הנפוצות בעולם, פוטנציאל הפגיעה היה עצום. מעבר ל-Scale, זו מתקפה שנתתי לה ניקוד גבוה ב-Coolness ובחדשנות: ניצול של הנחת יסוד בעיצוב תשתית מודרנית, ולא של טעות קונפיגורציה נקודתית. היא המחישה עד כמה שכבת האפליקציה עצמה הפכה ליעד אטרקטיבי.

 
Shai-Hulud 2.0: מתקפת שרשרת אספקה ב-npm
Shai-Hulud 2.0 הייתה אחת ממתקפות שרשרת האספקה המרשימות של השנה. התוקפים הצליחו להשתלט על חבילות npm פופולריות, לפרסם גרסאות זדוניות, ובזמן ההתקנה לגנוב סודות מסביבות פיתוח ו-CI/CD. כולל טוקנים ומפתחות גישה. הסודות האלו עלו ל-repo-ים פומביים בגיטהאב שהיו נגישים למי שרק רצה, והחבילות הנגועות המשיכו להתפשט, והובילו לחשיפה של עשרות אלפי סודות. זו מתקפה עם Scale חריג, Impact מצטבר עצום, וחדשנות גבוהה באופן שבו היא מנצלת את האמון האוטומטי בתשתיות קוד פתוח. היא ממחישה עד כמה שרשרת האספקה הפכה לאחד היעדים הרגישים והמסוכנים ביותר, וגם השם שלה ממש מצחיק אותי.

שנת 2025 הוכיחה שוב שאין “שוליים” במערכות מודרניות, כל רכיב, ספרייה או ספק יכולים להפוך לנקודת כניסה. חמש המתקפות האלו, כל אחת בדרכה, משרטטות את מפת האיומים של ההווה, אבל אין לי שמץ של מושג מה יהיו האתגרים בשנת 2026. אנחנו רואים יותר שימוש ב-AI בפיתוח כלי תקיפה, יותר פלטפורמות, טכניקות שמזמן כבר אי אפשר לקרוא להן רק "פישינג", ומה לא. אז אני מניחה שאני בכלל לא יכולה לדמיין מה תביא איתה שנת 2026.
   
בנימה אישית יותר, שנת 2025 שלי גם היתה דיי מרגשת, בעיקרה, העובדה שהתחלתי לערוך את Digital Whisper. אם היו אומרים לי שנה שעברה שאסיים את השנה אחרי מעל שבעה גליונות שערכתי, הייתי מתה מצחוק. עכשיו כשאני מתחילה להתרגל לטייטל הזה (שדורש לא מעט השקעה, אין לי מושג איך אפיק עושה את זה לבד כבר כל-כך הרבה שנים), אני מקווה לנצל את שנת 2026 כדי לפתח את הירחון, להביא רעיונות ופרויקטים חדשים, ועם זאת, לשמור עליו מיוחד כפי שתמיד היה. 
 
אני מאחלת לכולכם שנה אזרחית חדשה טובה, אני מצפה בקוצר רוח לקרוא ולערוך את המאמרים שלכם! 
 
נ.ב - אם יש לכם סיכום מתקפות משלכם, נשמח לשמוע אותו בתגובות! :) 

 
וכמובן, לפני שניגש לתוכן הגליון, נרצה להגיד תודה לכל מי שישב והשקיע מזמנו וכתב לנו מאמר החודש. תודה רבה ליואב מנדלבאום, תודה רבה לדוד סטרינסקי, תודה רבה לאריאל טרי, תודה רבה לעומר מושקטל, תודה רבה לגפן אלטשולר, תודה רבה לשי גילת!

 
החודש, הגליון כולל את המאמרים הבאים: 

 

  • AFDUMP - Sniffing Network From The Kernel - מאת יואב מנדלבאום
    במאמר זה, יואב מציג טכניקה להסנפת תעבורת רשת ב-Windows מתוך ה-kernel, באמצעות File Object Hooking על afd.sys. המאמר צולל לעומק ה-Windows network stack ומדגים כיצד ניתן “להתלבש” על sockets קיימים ולקבל גישה שקופה לכל התעבורה.
  • על מירוצים, תוכנה ומה שביניהם - מאת דוד סטרינסקי
    במאמר זה, דוד עוסק ב-race conditions מזווית תיאורטית ומעשית כאחד. הוא מסביר איך בעיות תזמון נוצרות בקוד, למה הן קשות לשחזור, ואיך טעויות לוגיות לכאורה הופכות לחולשות שניתן לנצל.
  • Hiding under ROP for fun and profit - מאת אריאל טרי
    במאמר זה, אריאל מראה כיצד ניתן להשתמש ב-ROP לא רק כטכניקת exploitation, אלא גם כשכבת הסוואה לקוד זדוני. המאמר מדגים בניית payloads שמבוססים על גאדג’טים קיימים בזיכרון, תוך עקיפה של מנגנוני הגנה נפוצים.
  • אוטומציה? סוכן AI? מי זה בכלל נתן? - מאת עומר מושקטל
    במאמר זה, עומר עושה סדר בין אוטומציה קלאסית, סקריפטים וסוכני AI מודרניים. דרך דוגמאות פרקטיות והסתכלות מפוכחת, הוא מסביר מה באמת נחשב “Agent”, איפה זה עובד, ואיפה זה בעיקר buzzword.
  • Where is my AirTag - מאת גפן אלטשולר
    במאמר זה, גפן מנתח לעומק את מנגנון הפעולה של AirTag ורשת Find My של אפל. המאמר צולל לפרוטוקול, לאופן השימוש ב-Bluetooth ולמודל האמון של הרשת, ומדגים כיצד ניתן להסיק מיקום ולעקוב אחרי תגיות, גם בלי גישה ישירה לחשבון של אפל.
  • I Need a Hero - מאת שי גילת
    במאמר זה, שי מציג שיטות שונות לפתרון אתגרי אבטחה, ומתמקד בתהליך החשיבה ולא רק בתוצאה. הוא מראה כיצד לבחור גישה מתאימה, מיישם אותה בפועל על פתרון של אתגר, ומדגים איך נראית עבודת מחקר מסודרת צעד-אחר-צעד.
 
 
  קריאה נעימה,
אפיק קסטיאל וספיר פדרובסקי



תגובות על 'הגליון המאה ושמונים ואחד של DigitalWhisper שוחרר!':



#1 

 cP (אורח):
סיכום מעולה ספיר :) עוד אספקט למדידה: boldness (נועזות). ואני הייתי נותן גם אותו וגם את המגניבות ל-Shai-Hulud :)
31.12.2025 05:59:02

#2 

 greenblast (אורח):
גליון 0x100!!!
31.12.2025 15:05:44

#3 

 x (אורח):
היי, יש כמה דברים לא נכונים במאמר של AFDUMP:
להגיד שזה לא מטריג את PatchGuard זה לא נכון, היום PatchGuard מסתכל לא רק על ntoskrnl עצמו אלא גם על דרייברים נוספים ומגן גם על הIRP handlers שלהם (דוגמה קלאסית זה ntfs.sys).

כמו כן,נעשה שימוש בשיטה שמתוארת הרבה זמן לפני Spectre. מלבד הדברים האלה, יש פערים נוספים (למשל התייחסות לVBS וההשפעה של זה על השיטה הזו) ואי דיוקים במאמר עצמו אבל אני לא רוצה שהתגובה כאן תהיה ארוכה מידי, אם יש כתובת שאפשר לשלוח אליה רשימה יותר מפורטת יהיה אפשר למחוק או לא להתייחס לתגובה הזו :).
01.01.2026 16:13:36

#4 

 sapirxfed (אורח):
היי! תודה רבה על תשומת הלב. האם תוכל להעביר לנו את ההודעה המלאה דרך עמוד הצור קשר, ומשם נמשיך את העבודה? :)
02.01.2026 06:43:04

#5 

 x (אורח):
היי, שלחתי לכם. בבקשה תאשרו שקיבלתם בכתובת מייל המצורפת :)
02.01.2026 15:54:51

#6 

 cP (אורח):
קיבלנו, תודה רבה! :)
04.01.2026 04:33:12

#7 

 אני רק שאלה (אורח):
וירוס שבתור "אני לא רובוט" מבקש להריץ בcmd פקודת powershell שמסתיימת ב-[צונזר ע"י cP] (מורידה ומריצה) מוכר? מיד קפצה הודעה של תשלום למשטרה או נעילת מחשב.
22.01.2026 18:50:09

#8 

 cP (אורח):
מוכר וממש מגניב, רעיון מקורי :)
26.01.2026 20:05:19

#9 

 אני רק שאלה (אורח):
האמת שיותר ניסינו לדלות עליו מידע להבין מה קורה הלאה עם המסכן שנדבק, אבל 2 חברה עשו עליו כבר עבודת מחקר והינדסו אותו לאחור (אחד מהם הוא כותב כאן), היה מעניין.
(הפקודה הנ"ל לא היתה עושה כלום, א. כי הפורט נסגר מיד לאחר המקרה הנ"ל, ניסינו לגשת אליו והוא לא הגיב. ב. אין שם פקודה שמריצה אותו, במקור זה התחיל בpowershell -wi mi (.'powershell' (. 'wget' -usebas, שאת זה כמובן לא הבאתי ואם זה אכן רק קובץ טקסט לא אמור להיות חשש)
28.01.2026 06:59:39

#10 

 cP (אורח):
הכל טוב, לפעמים כתובות IP כאלה או נתיבים לסקריפטים מופיעים בכל מני פלאגינים של Safe Browsing ויכולים לאינדקס את העמוד כזדוני :)

אם הצלחתם להנדסה אותו ויש לכם תובנות - מוזמנים להציג את המחקר שנפרסם כמאמר!
28.01.2026 16:26:56


הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2026 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.