هکر PowerSchool به جرم اخاذی از طریق اطلاعات دانشآموزان اعتراف کرد.
اعتراف دانشجوی ۱۹ ساله آمریکایی به حمله سایبری علیه PowerSchool و اخاذی میلیونها دلاری از طریق سرقت اطلاعات دانشآموزان و معلمان
یک دانشجوی ۱۹ ساله ساکن Worcester، ماساچوست، با پذیرش اتهامات وارده، اعلام کرده است که در جریان یک حمله سایبری گسترده به سامانه آموزشی PowerSchool نقش داشته است. این حمله، که به قصد اخاذی میلیونها دلار صورت گرفت، تهدید به افشای دادههای شخصی میلیونها دانشآموز و معلم کرده بود.
اتهامات رسمی
طبق اعلام رسمی وزارت دادگستری ایالات متحده (DOJ)، فرد مذکور به نام Matthew D. Lane به ارتکاب چهار جرم فدرال اعتراف کرده است. این اتهامات عبارتاند از:
- مشارکت در توطئه برای اخاذی سایبری (Cyber Extortion Conspiracy)
- ارتکاب اخاذی سایبری (Cyber Extortion)
- دسترسی غیرمجاز به سامانههای حفاظتشده (Unauthorized Access to Protected Computers)
- سرقت تشدیدشده هویت (Aggravated Identity Theft)
نحوه انجام حمله
بر اساس اسناد دادگاه و گزارش DOJ، Lane به همراه همدستانش در سال ۲۰۲۲ به یک شرکت مخابراتی مستقر در آمریکا نفوذ کردند و به اطلاعات محرمانه مشتریان آن دسترسی یافتند. در جریان این نفوذ، مهاجمان موفق شدند اطلاعات ورود (credentials) یکی از کارمندان این شرکت را که بهعنوان پیمانکار با PowerSchool همکاری داشت، بهدست آورند.
از اخاذی شرکت مخابراتی تا هدفگیری یک شرکت آموزشی
پس از ناکامی در اخاذی از شرکت مخابراتی، این گروه سایبری بهدنبال هدف جدیدی رفت که احتمال پرداخت باج در آن بالاتر باشد. طبق شکایت رسمی DOJ، در تاریخ حدودی ۱۴ مه ۲۰۲۴، Lane در پیامی به یکی از همدستان خود (نامبرده با عنوان CC-1) نوشت:
«اگر قربانی اول (Victim 1) باج رو نده، میتونیم دادههای دزدیدهشده رو بفروشیم. باید یه شرکت دیگه رو هک کنیم که پول بده.»
PowerSchool هدف حمله بعدی
اگرچه نام PowerSchool بهطور مستقیم در متن شکایت ذکر نشده، منابع مطلع به BleepingComputer تأیید کردهاند که شرکت آموزشی مورد اشاره در پرونده، همان PowerSchool بوده است.
طبق این شکایت، مهاجمان با استفاده از همان اطلاعات ورود سرقتشده از پیمانکار، در دسامبر ۲۰۲۴ موفق به نفوذ به زیرساختهای PowerSchool شدند و اطلاعات میلیونها دانشآموز و معلم را به سرقت بردند.
ابعاد پرونده و ادامه پیگیری
این پرونده که اکنون تحت نظارت وزارت دادگستری ایالات متحده قرار دارد، ابعاد گستردهای از حملات سایبری هدفمند به زیرساختهای آموزشی و اطلاعاتی را نشان میدهد. Matthew D. Lane با پذیرش این اتهامات، در انتظار صدور حکم قضایی قرار دارد. در صورت تأیید نهایی جرم، وی با احکام سنگین از جمله حبس بلندمدت مواجه خواهد بود.
مقامات قضایی همچنین اعلام کردهاند که تحقیقات درباره سایر اعضای این گروه و میزان آسیب واردشده به اطلاعات شخصی کاربران همچنان ادامه دارد.
جزئیات جدید از حمله سایبری به PowerSchool: سرقت اطلاعات بیش از ۷۰ میلیون دانشآموز و معلم در سطح بینالمللی
بر اساس گزارشهای تکمیلی منتشرشده توسط BleepingComputer، مهاجمان سایبری موفق شدند به پلتفرم پشتیبانی PowerSchool با نام PowerSource نفوذ کنند. آنها با استفاده از یک ابزار نگهداری (Maintenance Tool) اقدام به دانلود پایگاههای داده مدارس کردند. این پایگاههای داده حاوی اطلاعات شخصی ۶۲.۴ میلیون دانشآموز و ۹.۵ میلیون معلم از ۶٬۵۰۵ منطقه آموزشی در ایالات متحده، کانادا و چند کشور دیگر بوده است.
اطلاعات سرقتشده شامل چه دادههایی بود؟
محتوای اطلاعات دزدیدهشده در هر منطقه آموزشی متفاوت بوده اما شامل موارد زیر گزارش شده است:
- نام و نام خانوادگی دانشآموزان و کارکنان آموزشی
- نشانی فیزیکی
- شمارههای تماس
- گذرواژهها
- اطلاعات والدین و افراد در تماس اضطراری
- شماره تأمین اجتماعی (Social Security Number)
- اطلاعات پزشکی
- نمرات و سوابق تحصیلی
تقاضای باج و تهدید به افشای جهانی اطلاعات
طبق اعلام وزارت دادگستری آمریکا، در تاریخ ۲۸ دسامبر ۲۰۲۴، PowerSchool یک درخواست باج به مبلغ ۲.۸۵ میلیون دلار بهصورت بیتکوین دریافت کرد. مهاجمان هشدار داده بودند که در صورت عدم پرداخت، تمامی دادههای سرقتشده بهصورت عمومی در سراسر جهان منتشر خواهد شد.
اگرچه BleepingComputer پیشتر گزارش داده بود که PowerSchool برای جلوگیری از افشای دادهها باج را پرداخت کرده، اما هنوز رقم دقیق پرداختشده مشخص نیست.
اخاذی دوباره از مناطق آموزشی
با وجود پرداخت باج توسط PowerSchool، مهاجمان پس از آن تلاش کردند تا بهصورت جداگانه از مناطق آموزشی آسیبدیده نیز اخاذی کنند. آنها تهدید کردند که در صورت عدم پرداخت باجهای جداگانه، اطلاعات دانشآموزان هر منطقه بهصورت مستقل افشا خواهد شد.
به گزارش DataBreaches.net و اطلاعیههای مدارس، این اخاذیهای ثانویه به نام گروه ShinyHunters انجام شده است؛ گروهی شناختهشده در حوزه حملات سایبری که در گذشته نیز در حملاتی نظیر سرقت دادههای Snowflake و رخنه به سامانه AT&T در سال ۲۰۲۲ که ۱۰۹ میلیون نفر را تحت تأثیر قرار داد، نقش داشتهاند.
با اینکه تعدادی از عاملان حملات مربوط به Snowflake و AT&T طی سال گذشته دستگیر شدهاند، احتمال دارد که اعضای دیگر گروه یا افراد تقلیدکننده (Copycats) در این حمله خاص نقش داشته باشند.
اتهامات دیگر علیه Matthew D. Lane
علاوه بر حمله به PowerSchool، Matthew D. Lane همچنین با اتهامات مرتبط با تلاش برای اخاذی از یک شرکت مخابراتی آمریکایی نیز روبهروست. در این پرونده، وی درخواست باج ۲۰۰ هزار دلاری کرده بود و تهدیدهایی علیه مدیران این شرکت مطرح کرده بود.
Lane موافقت کرده است که به تمام چهار اتهام خود اعتراف کند. بر اساس قوانین فدرال آمریکا، وی با حداقل مجازات اجباری ۲ سال حبس برای سرقت هویت و تا ۵ سال حبس برای هر یک از سه اتهام دیگر روبهروست.
