沖著學生信息來的？黑客盯上校園命門，美國多所學校被拖下水

周四，在教育科技公司英斯特拉克徹因遭到自稱“閃亮獵人”的黑客入侵后關閉旗下Canvas平臺訪問權限，美國各地數千所學校一度陷入癱瘓。

長期以來，高等教育一直是勒索軟件團伙和數據勒索攻擊的目標。但此前或許從未有過針對單一軟件平臺的一次網絡攻擊，能如此徹底地擾亂美國數千所學校的日常運轉。

這款被廣泛使用的數字學習平臺Canvas于周四進入“維護模式”。其開發商、教育科技巨頭英斯特拉克徹此前遭遇數據泄露，并面臨使用“閃亮獵人”這一知名名號的攻擊者發起的勒索。

雖然這些黑客自5月1日起就一直在宣揚此次入侵，并試圖向英斯特拉克徹索要贖金，但到了周四，這一事件對美國乃至其他地區普通人的影響陡然變得更加直接，因為Canvas停機已在學校引發混亂，其中一些學校正值期末考試和學年末作業階段。

哈佛大學、哥倫比亞大學、羅格斯大學和喬治敦大學等高校近日已向學生發出相關提醒；此外，至少十多個州的一些學區似乎也受到了影響。發動此次攻擊的黑客在其以勒索為目的的暗網網站上公布的一份名單中聲稱，此次入侵影響了8800多所學校。

不過，此次數據泄露的確切規模和波及范圍仍不清楚。而且，Canvas在周四整個下午和晚間都無法使用，也讓局面變得更加復雜。

從5月1日開始持續更新的一份事件日志顯示，英斯特拉克徹首席信息安全官史蒂夫·普勞德表示，公司“最近遭遇了一起由犯罪威脅行為者實施的網絡安全事件”。他在5月2日進一步表示，受影響機構用戶涉及的信息包括姓名、電子郵箱地址、學生證號碼，以及用戶在平臺上交換的信息。

到周三，這一事件最終被標記為“已解決”。普勞德寫道：“Canvas已全面恢復運行，我們沒有發現任何持續的未授權活動。”但到了周四中午，英斯特拉克徹狀態頁面又登記了一項“問題”，稱“部分用戶在登錄學生電子檔案時遇到困難”。

幾小時后，公司又新增一條狀態更新：“英斯特拉克徹已將Canvas、Canvas測試版和Canvas測試環境置于維護模式。”到周四深夜，公司表示，Canvas已“對大多數用戶恢復可用”。

根據《哈佛深紅報》的說法，攻擊者修改了哈佛Canvas登錄頁面，展示了一則信息，其中包含一份學校名單，黑客聲稱這些學校都受到了此次入侵影響。

《哈佛深紅報》報道稱，攻擊者發布的信息“敦促受影響名單中的學校咨詢一家網絡安全顧問公司，并在5月12日當天結束前私下聯系該組織協商和解，否則其數據將面臨被泄露的風險”。“與哈佛相關人員有關的哪些信息被卷入這次所謂的數據泄露，目前尚不清楚。”

對于周四的停機情況及其與此次數據泄露整體事件之間的關系，英斯特拉克徹未立即回應置評請求。不過，這一事件意義重大，因為大量學生信息可能已經暴露，而其在全美范圍內的高度可見性，也使其成為數據勒索和勒索軟件攻擊這一長期存在且不斷升級問題的一個典型案例。

“閃亮獵人”這一名稱與大規模數據傾倒事件有關，也曾被指與臭名昭著的黑客團體“科姆”存在關聯。但隨著這一行為者網絡這些年來不斷變化，不少攻擊者都開始使用與“科姆”相關、最為知名的那些名號。近期還有一些攻擊借用了其他名稱，例如“拉普蘇斯”，但與最初使用這一名稱的團體幾乎沒有關系，甚至毫無關聯。

就Canvas事件而言，究竟是誰在使用“閃亮獵人”這個名號，同樣并不清楚。網絡安全公司“二二一乙”首席研究官艾莉森·尼克松長期追蹤“閃亮獵人”和其他勒索軟件團伙。她表示，這次活動看起來與一個有時被稱為“分散拉普蘇斯獵人”的黑客組織近期活動有關。

周四早些時候，一個由使用“閃亮獵人”名號的黑客用來威脅和勒索目標的暗網網站，將英斯特拉克徹及使用其軟件的學校都列為受害者。網站還附有一則黑客留言，抱怨英斯特拉克徹沒有回應其就付款展開談判的要求。

聲明寫道：“英斯特拉克徹甚至懶得與我們交談，以了解情況，甚至不愿與我們談判，以阻止這些數據被公開。”聲明還稱：“這家公司顯然并不關心所有受影響的學生，以及受到這次數據泄露沖擊的機構。”

不過，到周四晚間，網站上有關英斯特拉克徹及其客戶的內容已經消失，隨后該網站本身也無法訪問。尼克松表示，勒索軟件團伙有時會在受害者同意支付贖金后，將其從暗網網站上移除；但黑客也可能把這當作一種談判策略。

她說：“這往往是他們操控受害者、試圖促使其付款的手段之一。所以在談判期間，或者在對方付款之后，他們可能會把受害者從網站上撤下；當然，也可能根據談判進展，再把受害者重新掛回去。”

尼克松還表示，在談判過程中，與“科姆”有關聯的黑客團體曾被發現會升級為更激烈的脅迫手段，以最大化受害者付款的動機。

這些手段包括分布式拒絕服務攻擊、用電話和電子郵件轟炸公司，甚至威脅高管家屬。她說：“這類施壓手段看起來更像是暴力黑手黨，而不是什么高明的黑客技術。”

事實上，這些黑客在其暗網網站上還列出了許多其他受害者，這些對象此前也曾被報道為“閃亮獵人”的目標，包括美國國家鐵路客運公司、哈佛大學、賓夕法尼亞大學、搖滾之星游戲公司、匹配集團、欣吉和邦布爾。

不過，《連線》無法確認，這些機構是否確實遭到“科姆”這一特定分支團體的入侵。尼克松提醒說，發動Canvas攻擊的黑客過去確實曾使用舊數據或回收數據，來夸大其入侵說法。

這次最新攻擊及其給全美學校造成的擾亂卻是真實存在的，而且代表著這一勒索軟件團伙在行動升級上的一個重要節點。尼克松說：“值得注意的是，極少數屢次作案者竟能在多年間不斷升級，最終走到這一步。”

她還表示：“這說明網絡犯罪是一個系統性的國際問題，也說明世界各國政府有必要放下地緣政治分歧，展開合作，制止那些通過勒索牟利、并把孩子當作下手對象的人。”