قامت البرامج الضارة بسرقة كلمات مرور PowerSchool الداخلية من كمبيوتر المهندس المخترق

يهدد الهجوم الإلكتروني وخرق البيانات في PowerSchool، عملاق تكنولوجيا التعليم الأمريكي، الذي تم اكتشافه في 28 ديسمبر/كانون الأول، بكشف البيانات الخاصة لعشرات الملايين من أطفال المدارس والمعلمين.

أخبرت PowerSchool العملاء أن الانتهاك مرتبط باختراق حساب المقاول من الباطن. علمت TechCrunch هذا الأسبوع بوقوع حادث أمني منفصل، يتعلق بمهندس برمجيات PowerSchool، الذي أصيب جهاز الكمبيوتر الخاص به ببرامج ضارة سرقت بيانات اعتماد الشركة قبل الهجوم الإلكتروني.

من غير المرجح أن يكون المقاول من الباطن الذي ذكرته PowerSchool والمهندس الذي حددته TechCrunch هو نفس الشخص. وتثير سرقة أوراق اعتماد المهندس المزيد من الشكوك حول الممارسات الأمنية في PowerSchool، التي استحوذت عليها شركة الأسهم الخاصة العملاقة Bain Capital في صفقة بقيمة 5.6 مليار دولار العام الماضي.

لم تشارك PowerSchool سوى القليل من التفاصيل علنًا حول هجومها الإلكتروني، حيث بدأت المناطق التعليمية المتضررة في إخطار طلابها ومعلميها بخرق البيانات. يقول موقع الشركة على الويب إن برنامج السجلات المدرسية الخاص بها يستخدم من قبل 18000 مدرسة لدعم أكثر من 60 مليون طالب في جميع أنحاء أمريكا الشمالية.

في اتصال تمت مشاركته مع عملائه الأسبوع الماضي واطلعت عليه TechCrunch، أكدت PowerSchool أن المتسللين الذين لم يذكر أسماءهم سرقوا “معلومات شخصية حساسة” عن الطلاب والمدرسين، بما في ذلك أرقام الضمان الاجتماعي لبعض الطلاب والدرجات والتركيبة السكانية والمعلومات الطبية. لم تذكر PowerSchool بعد عدد العملاء المتأثرين بالهجوم السيبراني، لكن العديد من المناطق التعليمية التي تعرضت للاختراق أخبرت TechCrunch أن سجلاتها تظهر أن المتسللين سرقوا “جميع” بيانات الطلاب والمعلمين التاريخية الخاصة بهم.

قال أحد الأشخاص الذين يعملون في منطقة مدرسية متأثرة لـ TechCrunch أن لديهم أدلة على أن معلومات حساسة للغاية حول الطلاب قد تم تسريبها في الاختراق. أعطى الشخص أمثلة، مثل معلومات حول حقوق وصول الوالدين إلى أطفالهم، بما في ذلك الأوامر التقييدية، ومعلومات حول متى يحتاج بعض الطلاب إلى تناول أدويتهم. أخبر أشخاص آخرون في المناطق التعليمية المتضررة موقع TechCrunch أن البيانات المسروقة ستعتمد على ما تضيفه كل مدرسة على حدة إلى أنظمة PowerSchool الخاصة بها.

وفقًا لمصادر تحدثت مع TechCrunch، أخبرت PowerSchool عملائها أن المتسللين اقتحموا أنظمة الشركة باستخدام حساب صيانة واحد مخترق مرتبط بمقاول من الباطن للدعم الفني لشركة PowerSchool. وفي صفحة الحوادث التي تم إطلاقها هذا الأسبوع، قالت PowerSchool إنها حددت الوصول غير المصرح به في إحدى بوابات دعم العملاء الخاصة بها.

أكد المتحدث باسم PowerSchool Beth Keebler لـ TechCrunch يوم الجمعة أن حساب المقاول من الباطن المستخدم لاختراق بوابة دعم العملاء لم يكن محميًا بمصادقة متعددة العوامل، وهي ميزة أمان مستخدمة على نطاق واسع يمكن أن تساعد في حماية الحسابات من الاختراقات المرتبطة بسرقة كلمة المرور. وقال PowerSchool أنه تم طرح MFA منذ ذلك الحين.

تعمل PowerSchool مع شركة الاستجابة للحوادث CrowdStrike للتحقيق في الانتهاك ومن المتوقع إصدار تقرير في وقت مبكر من يوم الجمعة. عند الوصول إليه عبر البريد الإلكتروني، قام CrowdStrike بتأجيل التعليق إلى PowerSchool.

أخبر كيبلر موقع TechCrunch أن الشركة “لا يمكنها التحقق من دقة” تقاريرنا. وقال كيبلر لـ TechCrunch: “لا يُظهر التحليل والنتائج الأولية لـCrowdStrike أي دليل على الوصول إلى طبقة النظام المرتبط بهذا الحادث ولا أي برامج ضارة أو فيروسات أو باب خلفي”. ولم تذكر PowerSchool ما إذا كانت قد تلقت التقرير من CrowdStrike، كما أنها لن تقول ما إذا كانت تخطط لنشر النتائج التي توصلت إليها علنًا.

وقالت PowerSchool إن مراجعتها للبيانات المسربة مستمرة ولم تقدم تقديرًا لعدد الطلاب والمعلمين الذين تأثرت بياناتهم.

تمت سرقة كلمات مرور PowerSchool بواسطة البرامج الضارة

وفقًا لمصدر مطلع على عمليات المجرمين الإلكترونيين، تُظهر السجلات التي تم الحصول عليها من كمبيوتر مهندس يعمل في PowerSchool أن أجهزتهم قد تم اختراقها بواسطة برنامج LummaC2 الضار لسرقة المعلومات قبل الهجوم الإلكتروني.

من غير الواضح بالضبط متى تم تثبيت البرامج الضارة. وقال المصدر إن كلمات المرور سُرقت من جهاز الكمبيوتر الخاص بالمهندس في يناير 2024 أو قبل ذلك.

لقد أصبح سرقة المعلومات وسيلة فعالة بشكل متزايد للمتسللين لاقتحام الشركات، خاصة مع ظهور العمل عن بعد والمختلط، والذي غالبًا ما يسمح للموظفين باستخدام أجهزتهم الشخصية للوصول إلى حسابات العمل. وكما يوضح موقع Wired، فإن هذا يخلق فرصًا لبرامج ضارة لسرقة المعلومات لتثبيتها على جهاز الكمبيوتر المنزلي لشخص ما، ولكن لا يزال الأمر ينتهي ببيانات اعتماد قادرة على الوصول إلى الشركة لأن الموظف قام أيضًا بتسجيل الدخول إلى أنظمة عمله.

تشتمل ذاكرة التخزين المؤقت لسجلات LummaC2، التي شاهدتها TechCrunch، على كلمات مرور المهندس، وسجل التصفح من اثنين من متصفحات الويب الخاصة بهم، وملف يحتوي على معلومات تعريفية وتقنية حول كمبيوتر المهندس.

يبدو أن بعض بيانات الاعتماد المسروقة مرتبطة بأنظمة PowerSchool الداخلية.

تُظهر السجلات أن البرامج الضارة استخرجت كلمات المرور المحفوظة للمهندس وسجلات التصفح من متصفحي Google Chrome وMicrosoft Edge. بعد ذلك، قامت البرامج الضارة بتحميل ذاكرة التخزين المؤقت للسجلات، بما في ذلك بيانات اعتماد المهندس المسروقة، إلى الخوادم التي يتحكم فيها مشغل البرامج الضارة. ومن هناك، تمت مشاركة بيانات الاعتماد مع مجتمع أوسع عبر الإنترنت، بما في ذلك مجموعات Telegram المغلقة التي تركز على الجرائم الإلكترونية، حيث يتم بيع كلمات مرور حسابات الشركة وبيانات الاعتماد والمتاجرة بها بين مجرمي الإنترنت.

تحتوي سجلات البرامج الضارة على كلمات مرور المهندس لمستودعات التعليمات البرمجية المصدر لـ PowerSchool، ومنصة المراسلة Slack، ومثيل Jira الخاص بها لتتبع الأخطاء والمشكلات، والأنظمة الداخلية الأخرى. يُظهر سجل التصفح الخاص بالمهندس أيضًا أن لديهم وصولاً واسع النطاق إلى حساب PowerSchool على Amazon Web Services، والذي يتضمن الوصول الكامل إلى خوادم التخزين السحابية S3 التي تستضيفها AWS الخاصة بالشركة.

نحن لا نسمي المهندس لأنه لا يوجد دليل على أنه ارتكب أي خطأ. وكما لاحظنا من قبل بشأن الانتهاكات في ظروف مماثلة، تقع على عاتق الشركات في نهاية المطاف مسؤولية تنفيذ الدفاعات وإنفاذ السياسات الأمنية التي تمنع التطفلات الناجمة عن سرقة بيانات اعتماد الموظفين.

عندما سأله TechCrunch، قال Keebler من PowerSchool إن الشخص الذي تم استخدام بيانات اعتماده المخترقة لاختراق أنظمة PowerSchool لم يكن لديه حق الوصول إلى AWS، وأن أنظمة PowerSchool الداخلية – بما في ذلك Slack وAWS – محمية بـ MFA.

قام كمبيوتر المهندس أيضًا بتخزين عدة مجموعات من بيانات الاعتماد الخاصة بموظفين آخرين في PowerSchool، وهو ما شاهدته TechCrunch. يبدو أن بيانات الاعتماد تسمح بوصول مماثل إلى Slack الخاص بالشركة ومستودعات التعليمات البرمجية المصدر وأنظمة الشركة الداخلية الأخرى.

من بين العشرات من بيانات اعتماد PowerSchool التي شاهدناها في السجلات، كان العديد منها قصيرًا وأساسيًا من حيث التعقيد، وبعضها يتكون من بضعة أحرف وأرقام فقط. العديد من كلمات مرور الحساب التي تستخدمها PowerSchool تطابقت مع بيانات الاعتماد التي تم اختراقها بالفعل في خروقات البيانات السابقة، وفقًا لقائمة تحديث Have I Been Pwned لكلمات المرور المسروقة.

لم تختبر TechCrunch أسماء المستخدمين وكلمات المرور المسروقة على أي من أنظمة PowerSchool، لأن القيام بذلك سيكون غير قانوني. على هذا النحو، لا يمكن تحديد ما إذا كانت أي من بيانات الاعتماد لا تزال قيد الاستخدام النشط أو ما إذا كانت أي منها محمية بواسطة MFA.

وقالت PowerSchool إنها لا تستطيع التعليق على كلمات المرور دون رؤيتها. (حجبت TechCrunch بيانات الاعتماد لحماية هوية المهندس المخترق). قالت الشركة ذلك لديه “بروتوكولات قوية مطبقة لأمان كلمة المرور، بما في ذلك الحد الأدنى من الأطوال ومتطلبات التعقيد، ويتم تدوير كلمات المرور بما يتماشى مع توصيات NIST.” وقالت الشركة بعد الاختراق، إن PowerSchool “أجرت عملية إعادة تعيين كاملة لكلمة المرور وزادت من تشديد كلمة المرور والتحكم في الوصول لجميع حسابات بوابة دعم عملاء PowerSource”، في إشارة إلى بوابة دعم العملاء التي تم اختراقها.

قالت PowerSchool إنها تستخدم تقنية تسجيل الدخول الفردي وMFA لكل من الموظفين والمقاولين. وقالت الشركة إنه يتم تزويد المقاولين بأجهزة كمبيوتر محمولة أو إمكانية الوصول إلى بيئة سطح المكتب الافتراضية الخاصة بها والتي تحتوي على ضوابط أمنية، مثل مكافحة البرامج الضارة وشبكة VPN للاتصال بأنظمة الشركة.

لا تزال هناك أسئلة حول خرق بيانات PowerSchool وتعاملها اللاحق مع الحادث، حيث تواصل المناطق التعليمية المتضررة تقييم عدد الطلاب والموظفين الحاليين والسابقين الذين سُرقت بياناتهم الشخصية في الاختراق.

أخبر الموظفون في المناطق التعليمية المتأثرة بخرق PowerSchool موقع TechCrunch أنهم يعتمدون على جهود التعهيد الجماعي من المناطق التعليمية الأخرى والعملاء لمساعدة المسؤولين في البحث في ملفات سجل PowerSchool الخاصة بهم بحثًا عن أدلة على سرقة البيانات.

في وقت النشر، لا يمكن الوصول إلى وثائق PowerSchool الخاصة بالانتهاك دون تسجيل دخول العميل إلى موقع الشركة على الويب.

ساهمت كارلي بيج في إعداد التقارير.

اتصل بـ Zack Whittaker بشكل آمن على Signal وWhatsApp على +1 646-755-8849، ويمكن الاتصال بـ Carly Page بشكل آمن على Signal على +44 1536 853968. يمكنك أيضًا مشاركة المستندات بشكل آمن مع TechCrunch عبر SecureDrop.