กลุ่มแฮ็กเกอร์ ShinyHunters ได้ทำการโจมตีระบบของ Instructure ซึ่งเป็นยักษ์ใหญ่ด้านเทคโนโลยีการศึกษาอีกครั้ง โดยคราวนี้ได้อาศัยช่องโหว่เพื่อแฮ็กเปลี่ยนหน้าเว็บ Portals สำหรับล็อกอิน Canvas ของวิทยาลัย และมหาวิทยาลัยอีกหลายร้อยแห่ง
หน้าเว็บที่ถูกเปลี่ยนแปลงนี้ปรากฏให้เห็นอยู่ประมาณ 30 นาทีก่อนที่จะถูกระงับการใช้งาน โดยมีการแสดงข้อความจาก ShinyHunters ที่อ้างความรับผิดชอบในการโจมตีระบบของ Instructure ก่อนหน้านี้ พร้อมข่มขู่ว่าจะปล่อยข้อมูลที่ขโมยมาหากไม่ยอมจ่ายเงินค่าไถ่
ข้อความดังกล่าวเตือนว่า Instructure และสถานศึกษาต่าง ๆ มีเวลาจนถึงวันที่ 12 พฤษภาคม ในการติดต่อเพื่อเจรจาค่าไถ่ มิฉะนั้นข้อมูลของนักเรียนจะถูกนำมาเผยแพร่
ข้อความบนหน้าเว็บที่ถูกแฮ็กระบุว่า "ShinyHunters ได้ทำการโจมตีระบบของ Instructure (อีกครั้ง) แทนที่จะติดต่อเราเพื่อหาทางออก พวกเขากลับเพิกเฉยและใช้วิธีอัปเดตแพตช์ด้านความปลอดภัยบางอย่าง"
ข้อความระบุเพิ่มเติมว่า "หากสถานศึกษาใดในรายชื่อที่ได้รับผลกระทบต้องการป้องกันไม่ให้ข้อมูลของตนถูกปล่อยออกมา โปรดปรึกษาบริษัทที่ปรึกษาทางด้านไซเบอร์ และติดต่อเราเป็นการส่วนตัวทาง TOX เพื่อเจรจาหาข้อยุติ คุณมีเวลาจนถึงวันที่ 12 พฤษภาคม 2026 นี้ ก่อนที่ทุกอย่างจะถูกนำมาเปิดเผย"
BleepingComputer ได้รับรายงานว่า กลุ่มผู้ไม่หวังดีได้แฮ็กเปลี่ยนหน้าเว็บ Portals สำหรับล็อกอิน Canvas ของสถาบันการศึกษาประมาณ 330 แห่ง โดยแทนที่หน้าล็อกอินแบบปกติด้วยข้อความข่มขู่ ซึ่งข้อความดังกล่าวยังปรากฏบนแอปพลิเคชัน Canvas ด้วยเช่นกัน
การแฮ็กเปลี่ยนหน้าเว็บในครั้งนี้ถูกระบุว่ามีสาเหตุมาจากช่องโหว่ในระบบของ Instructure ซึ่งทำให้กลุ่มผู้ไม่หวังดีสามารถแก้ไขหน้า Portals สำหรับล็อกอินได้ หลังจากนั้น Instructure จึงได้ทำการระงับการให้บริการ (ออฟไลน์) ระบบ Canvas ชั่วคราวในระหว่างที่พวกเขารับมือกับการโจมตีทางไซเบอร์ครั้งล่าสุดนี้
เมื่อสัปดาห์ที่ผ่านมา Instructure ได้เปิดเผยว่าบริษัทกำลังสืบสวนการโจมตีทางไซเบอร์ หลังจากมีกลุ่มผู้ไม่หวังดีอ้างว่าได้ขโมยข้อมูลของนักเรียนและบุคลากรจำนวน 280 ล้านรายการ ซึ่งเชื่อมโยงกับโรงเรียน, มหาวิทยาลัย และแพลตฟอร์มการศึกษา 8,809 แห่งที่ใช้ระบบจัดการการเรียนรู้ Canvas ของบริษัท
ในเวลาต่อมา กลุ่ม ShinyHunters ได้ให้ข้อมูลกับ BleepingComputer โดยระบุว่า ข้อมูลที่ถูกขโมยไปนั้นประกอบด้วย ข้อมูลผู้ใช้, ข้อความส่วนตัว, ข้อมูลการลงทะเบียนเรียน และข้อมูลอื่น ๆ ซึ่งอ้างว่าถูกดึงข้อมูลผ่านทางฟีเจอร์การส่งออกข้อมูล และ API ของ Canvas
Instructure ยืนยันว่ามีข้อมูลถูกขโมยไปจริงในระหว่างการโจมตี แต่บริษัทยังคงดำเนินการสืบสวนเหตุการณ์ที่เกิดขึ้นอย่างต่อเนื่อง
Canvas เป็นหนึ่งในระบบจัดการการเรียนรู้ (Learning Management System) ที่ได้รับการใช้งานอย่างแพร่หลายมากที่สุดในระดับอุดมศึกษา และระดับอนุบาลจนถึงมัธยมศึกษาตอนปลาย ซึ่งช่วยสถานศึกษาในการจัดการบทเรียน งานที่มอบหมาย การให้คะแนน และการสื่อสารระหว่างนักเรียนกับคณาจารย์
ShinyHunters คือใคร
ชื่อของ ShinyHunters มีความเชื่อมโยงกับกลุ่มผู้ไม่หวังดีหลายกลุ่มที่เคยก่อเหตุขโมยข้อมูลมาอย่างยาวนานตั้งแต่ปี 2018
ในปีนี้ กลุ่มผู้ไม่หวังดีที่ใช้ชื่อ ShinyHunters ได้กลายเป็นหนึ่งในกลุ่มที่ก่อเหตุบ่อยครั้งที่สุดในการโจมตีเพื่อขโมยข้อมูล และข่มขู่เรียกทรัพย์จากบริษัทต่าง ๆ ทั่วโลก
เป้าหมายหลักของกลุ่มผู้ไม่หวังดีนี้คือ Salesforce และสภาพแวดล้อมระบบ Cloud แบบ SaaS อื่น ๆ โดยพวกเขามีความเชื่อมโยงกับเหตุการณ์ข้อมูลรั่วไหลที่เพิ่มจำนวนมากขึ้นเรื่อย ๆ ซึ่งเกี่ยวข้องกับบริษัทต่าง ๆ เช่น Google, Cisco, PornHub และ Match Group ซึ่งเป็นบริษัทยักษ์ใหญ่ด้านแอปหาคู่ออนไลน์
แฮ็กเกอร์กลุ่มนี้มักจะโจมตีระบบของบริษัทภายนอกที่ให้บริการเชื่อมต่อระบบ และใช้ Authentication tokens ที่ขโมยมาเพื่อเข้าถึงสภาพแวดล้อม SaaS ที่เชื่อมต่ออยู่ จากนั้นจึงทำการขโมยข้อมูลของลูกค้า
นอกจากนี้ กลุ่มผู้ไม่หวังดียังเป็นที่รู้จักจากการโจมตีด้วยการหลอกลวงผ่านเสียง หรือทางโทรศัพท์ (Voice phishing หรือ Vishing) โดยมุ่งเป้าไปที่บัญชีที่มีการลงชื่อเข้าใช้ระบบแบบ SSO ของ Okta, Microsoft และ Google โดยใช้วิธีสวมรอยเป็นพนักงานฝ่าย IT Support เพื่อหลอกให้พนักงานกรอกข้อมูล Credentials และรหัสการยืนยันตัวตนแบบ MFA ลงบนเว็บไซต์ Phishing
เมื่อไม่นานมานี้กลุ่ม ShinyHunters ยังได้เริ่มใช้วิธีการโจมตีแบบ Device code vishing attacks ในการขโมย Authentication tokens ของ Microsoft Entra อีกด้วย
หลังจากที่ขโมยข้อมูล Credentials และ Authentication codes มาได้แล้ว กลุ่มผู้ไม่หวังดีจะเข้ายึดบัญชี SSO เพื่อเจาะเข้าระบบบริการระดับองค์กรที่เชื่อมต่ออยู่ เช่น Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk และ Dropbox
แม้ว่าสมาชิกของกลุ่ม ShinyHunters จะอยู่เบื้องหลังการโจมตีหลายครั้ง แต่พวกเขายังเป็นที่รู้จักในฐานะกลุ่มที่ให้บริการรับจ้างข่มขู่เรียกทรัพย์ (extortion-as-a-service) โดยเป็นตัวแทนข่มขู่เรียกทรัพย์ให้กับกลุ่มผู้ไม่หวังดีกลุ่มอื่น ๆ เพื่อแลกกับส่วนแบ่งจากเงินเรียกค่าไถ่
ที่ผ่านมามีการจับกุมหลายครั้งที่เชื่อมโยงกับชื่อของ ShinyHunters รวมถึงผู้ต้องสงสัยที่มีส่วนเกี่ยวข้องกับการโจมตีเพื่อขโมยข้อมูลของ Snowflake, การโจมตีระบบที่ PowerSchool และการดูแลระบบเว็บบอร์ดสำหรับแฮ็กเกอร์อย่าง Breached v2
แม้จะมีการจับกุมเกิดขึ้นหลายครั้ง แต่บริษัทต่าง ๆ ก็ยังคงได้รับอีเมลข่มขู่เรียกทรัพย์ที่ลงท้ายด้วยข้อความว่า “We are ShinyHunters” อยู่เช่นเดิม
ที่มา : Bleepingcomputer
You must be logged in to post a comment.