تواجه شركة Instructure، المطورة لمنصة Canvas التعليمية، ضغوطاً متزايدة مع تهديد قراصنة إلكترونيين بتسريب كمية هائلة من البيانات الحساسة التي يدعون أنهم حصلوا عليها خلال هجوم إلكتروني واسع النطاق على المنصة. وقد أثر هذا الهجوم بشكل كبير على وصول المستخدمين إلى أنظمة التعليم الأساسية.
شهدت المنصة انقطاعات واسعة النطاق أثرت على المدارس والطلاب والمعلمين، حيث تم إيقاف عمل Canvas مؤقتًا بعد اكتشاف نشاط خبيث إضافي، بما في ذلك تشويه صفحة تسجيل الدخول. وعلى الرغم من أن الشركة أكدت عودة المنصة للعمل بشكل كامل، إلا أن تداعيات الهجوم ما زالت مستمرة.
تهديد بتسريب بيانات ضخمة من هجوم Canvas
أعلنت مجموعة ShinyHunters، وهي خلية قراصنة معروفة، مسؤوليتها عن الهجوم الذي استهدف منصة Canvas، حيث تسعى المجموعة حاليًا لابتزاز الشركة مقابل مبلغ فدية غير معلن. لم تؤكد Instructure وجود هذه المطالبة أو تفاصيل حول استجابتها.
وكانت المجموعة قد حددت في البداية مهلة في 6 مايو، أربعة أيام بعد أن صرحت Instructure باحتواء الحادث. زعمت ShinyHunters أنها سرقت 3.65 تيرابايت من البيانات تشمل 275 مليون سجل عبر 8,809 أنظمة مدرسية.
بعد انقضاء المهلة دون استجابة، كثفت ShinyHunters ضغوطها من خلال “حقن رسالة ابتزاز مباشرة في صفحات تسجيل دخول Canvas لحوالي 330 مؤسسة، وتحولت إلى ابتزاز مدرسي تلو الآخر بمهلة نهائية جديدة في 12 مايو”، وفقًا لتصريحات سينثيا كايزر، كبيرة نواب الرئيس في مركز أبحاث برامج الفدية في Halcyon.
وأضافت كايزر: “نطاق الهجوم يجعله أحد أكبر حالات كشف البيانات في قطاع التعليم التي تتبعناها”.
تداعيات الهجوم على النظام التعليمي
أدى الضغط العام المتزايد إلى إيقاف عمل Canvas مؤقتًا، مما أحدث تعطيلًا في سير العملية التعليمية والوصول إلى الأنظمة الحيوية في جميع أنحاء البلاد. وقد أعربت الشركة عن اعتذارها عن التواصل غير المتسق والاستجابة العامة غير الكافية للهجوم.
وقد اعترف ستيف دالي، الرئيس التنفيذي لشركة Instructure، في بيان بأن الهجوم، الذي لا يزال قيد التحقيق بمساعدة شركة CrowdStrike، كشف عن أسماء مستخدمين وعناوين بريد إلكتروني وأسماء دورات دراسية ومعلومات التسجيل ورسائل. وأكد دالي أن محتوى الدورات الدراسية أو التقديمات أو بيانات الاعتماد لم يتم اختراقها.
وقد أثارت الاضطرابات المؤقتة والواسعة النطاق قلقًا كبيرًا في قطاع التعليم، حيث يواصل خبراء الأمن السيبراني ومتتبعو التهديدات مراقبة التطورات. كما لفت الهجوم انتباه المشرعين في الكونغرس الأمريكي.
اهتمام الكونغرس الأمريكي بالهجوم
نشرت لجنة الأمن الداخلي بمجلس النواب رسالة موجهة إلى ستيف دالي طلبت فيها عقد جلسة إحاطة معه أو مع أحد كبار المسؤولين في Instructure بحلول 21 مايو. وقد أعرب رئيس اللجنة، أندرو غاربينو، عن قلقه بشأن “تكرار الاختراق في غضون أيام من الكشف الأولي، وفشل Instructure الظاهر في معالجة الثغرات الأساسية بالكامل خلال تلك الفترة، مما يثير تساؤلات جدية حول قدرات الشركة على الاستجابة للحوادث والتزاماتها تجاه المؤسسات والأفراد الذين تحتفظ ببياناتهم”.
تسعى اللجنة إلى معرفة المزيد عن “ملابسات كل من الاختراقين، وطبيعة وحجم البيانات التي تم الوصول إليها، والخطوات التي اتخذتها Instructure وتتخذها لاحتواء التهديد وإخطار المؤسسات المتضررة، ومدى كفاية تنسيق الشركة مع وكالات إنفاذ القانون الفيدرالية ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)”.
من جانبها، صرحت CISA بأنها على علم بالحادث المحتمل الذي يؤثر على Canvas، وأنها تقدم “دعمًا طوعيًا وخدمات الأمن السيبراني للمنظمات في الاستجابة للحوادث والتعافي منها”.
خفايا الاستجابة للهجوم
تغيرت الخطوط الزمنية التي قدمتها Instructure للهجوم ولا تزال غير مكتملة. أفادت الشركة بأنها اكتشفت لأول مرة نشاطًا غير مصرح به في Canvas في 29 أبريل وقامت على الفور بإلغاء وصول المهاجم وبدء عملية استجابة للحادث. ومع ذلك، ذكر باحثون مستقلون أن ShinyHunters تمكنت من الوصول إلى Canvas قبل عدة أيام من ذلك.
أكدت الشركة أن النشاط الخبيث اللاحق في 7 مايو، والذي شمل تشويه صفحات تسجيل الدخول العامة، مرتبط بنفس الحادث. وأوضحت أنه تم استغلال ثغرة تتعلق بحسابات “Free-For-Teacher” (مجاني للمعلمين)، وهي نفس الثغرة التي أدت إلى الوصول غير المصرح به في الأسبوع السابق، مما دفع الشركة لاتخاذ قرار صعب بإغلاق هذه الحسابات مؤقتًا.
رفضت Instructure الإجابة على أسئلة حول الثغرة أو شرح كيفية اختراق أنظمتها، لكنها أكدت أنها قامت بإلغاء صلاحيات الوصول المميزة ورموز الوصول للأنظمة المتأثرة، وتدوير المفاتيح الداخلية، وتقييد مسارات إنشاء الرموز، ونشر ضوابط أمنية إضافية ومراقبة.
وتؤكد الشركة أن Canvas يعمل بشكل كامل وآمن، وأن CrowdStrike لم تجد أي دليل على وجود وصول للمهاجم الحالي للمنصة. ومع ذلك، لا يزال الوصول متقطعًا لبعض المستخدمين، حيث تقوم المقاطعات التعليمية بإعادة المنصة تدريجيًا بعد إجراء فحوصاتها الداخلية.
تُعد مجموعة ShinyHunters منظمة معروفة بسرقة البيانات واستغلالها، وقد سبق لها استهداف منصات سحابية كبرى. وبينما يميل ادعاءاتها بالاختراق إلى الصواب، فإنها غالبًا ما تبالغ في نطاق ونوعية البيانات المسروقة، وفقًا لكايزر.
يُعتبر قطاع التعليم هدفًا مستمرًا للمجرمين السيبرانيين، وشهد العام الماضي أكثر من 250 هجومًا لبرامج الفدية على مؤسسات تعليمية عالميًا. ومع ذلك، فإن الهجوم على Canvas يتميز عن غيره بسبب استخدامه الواسع وتأثيره المتتالى.
خبراء الأمن السيبراني الذين يركزون على برامج الفدية وابتزاز البيانات يشجعون الضحايا باستمرار على عدم دفع الفدية، ولكنهم يقرون أيضًا بأن الشركات قد تضطر لاتخاذ قرارات صعبة بناءً على مصالحها الخاصة وأمن عملائها.
أعربت أليسون نايتون، كبيرة مسؤولي الأبحاث في Unit 221B، عن عدم الثقة في مجموعة ShinyHunters، مشيرة إلى أن ادعاءاتهم بحذف البيانات بعد الدفع أو تسريبها في حال عدم الدفع تتفق مع أساليب ابتزاز البيانات السابقة. ولم تشير Instructure إلى خططها لمنع تسريب البيانات المسروقة.
أكد ستيف دالي، الرئيس التنفيذي لـ Instructure، على خططه لتحسين التواصل وتقديم ملخص لتقرير الطب الشرعي قريبًا، واعدًا بإعادة بناء الثقة من خلال “الإجراء المستمر والتواصل الصادق”.