Toàn cảnh vụ tấn công mạng làm tê liệt hàng nghìn trường học trên thế giới

Canvas, một trung tâm số dựa trên điện toán đám mây phổ cập dành cho các lớp học, có hơn 30 triệu người dùng hoạt động trên toàn cầu, với hơn 8.000 tổ chức là khách hàng, công ty mẹ Instructure cho biết trên trang web của mình.

Các hệ thống trường công lập lớn và các trường đại học (ĐH) hàng đầu của Mỹ như Columbia, Princeton, Harvard và Georgetown đã báo cáo rằng một bức thư đòi tiền chuộc có chữ ký của một nhóm tin tặc đã xuất hiện trên trang chủ của các trang Canvas của trường vào ngày 7/5.

Vụ tấn công xảy ra sau khi nhóm tin tặc được cho là đứng sau vụ việc đã cảnh báo Instructure trong một bức thư đòi tiền chuộc rằng "hãy trả tiền hoặc sẽ tiết lộ thông tin", nói rằng nhóm đã truy cập dữ liệu từ hàng triệu người dùng, bao gồm học sinh, giáo viên và nhân viên.

Cục Điều tra Liên bang Mỹ (FBI) đã huy động các nguồn lực ở nhiều tiểu bang để hỗ trợ các nạn nhân của vụ tấn công, một nguồn tin của CNN cho hay.

FBI ngày 8/5 xác nhận cơ quan này đã biết về sự gián đoạn dịch vụ nền tảng Canvas và khuyến nghị các sinh viên và giảng viên lo ngại nên chờ hướng dẫn chính thức từ trường học của họ “về phạm vi của sự cố và bản chất của bất kỳ dữ liệu nào bị ảnh hưởng”.

Cơ quan này cảnh báo những người bị ảnh hưởng nên cảnh giác với những kẻ lừa đảo tiềm năng tuyên bố có dữ liệu của họ.

“Việc nhận được tin nhắn không nhất thiết có nghĩa là thông tin cá nhân đã bị xâm phạm”, FBI tuyên bố cho biết, giải thích rằng những kẻ lừa đảo thường phóng đại hoặc nói dối về việc chúng có quyền truy cập dữ liệu để lấy tiền từ nạn nhân.

Instructure sáng ngày 8/5 cho biết Canvas đã “hoạt động trở lại hoàn toàn và có thể sử dụng được”. Nhiều trường ĐH và học khu trên khắp nước Mỹ báo cáo các trang Canvas của trường đã hoạt động trở lại vào ngày 8/5, mặc dù một số trường đã gia hạn thời hạn và thay đổi lịch thi cuối kỳ do vụ tấn công mạng.

Diễn biến vụ tấn công mạng Canvas

Một sinh viên ĐH Washington khi cố gắng đăng nhập vào Canvas vào khoảng trưa ngày 7/5 đã nhận được một tin nhắn từ nhóm tin tặc ShinyHunters khi nhóm này tuyên bố đã “xâm nhập” vào công ty mẹ của nền tảng này, theo một ảnh chụp màn hình mà CNN thu được.

Thông báo này, được nhiều trang tin sinh viên đưa tin, yêu cầu tiền chuộc để ngăn chặn việc rò rỉ dữ liệu từ nền tảng.

Một sinh viên tại ĐH Pennsylvania cho biết đã bị đăng xuất khỏi tài khoản Canvas khi đang ôn thi cuối kỳ. Các giáo sư đã phải vội vàng gửi tài liệu học tập bằng các cách khác, sinh viên này cho biết.

Các trường ĐH trên khắp nước Mỹ, bao gồm ĐH Columbia, Rutgers, Princeton, Kent State, Harvard và Georgetown đã đưa ra các tuyên bố cảnh báo sinh viên về vụ tấn công mạng ảnh hưởng đến các trường học trên cả nước. Các học khu ở California, Florida, Georgia, Oklahoma, Oregon, Nevada, Bắc Carolina, Tennessee, Utah, Virginia, Texas và Wisconsin cũng báo cáo bị ảnh hưởng.

Đây là vụ rò rỉ dữ liệu trường học thứ hai do ShinyHunters nhận trách nhiệm trong tháng này.

Trong thư đòi tiền chuộc ngày 7/5, nhóm tin tặc này tuyên bố đã tấn công mạng Instructure “một lần nữa” và chỉ trích phản ứng của công ty đối với vụ tấn công trước đó: “Thay vì liên hệ với chúng tôi để giải quyết vấn đề, họ đã phớt lờ chúng tôi và thực hiện một số “bản vá bảo mật’”.

Vào ngày 1/5, Instructure cho biết công ty này “đã trải qua một sự cố an ninh mạng do một tác nhân đe dọa tội phạm gây ra”. Công ty cho biết vụ xâm phạm đã được “kiểm soát” vào ngày 2/5, nhưng tên người dùng, địa chỉ email, số ID sinh viên và thông tin liên lạc từ một số tổ chức dường như đã bị lộ.

ShinyHunters tuyên bố trong một thư đòi tiền chuộc được Ransomware.live, trang web theo dõi các cuộc tấn công và nhóm ransomware, chia sẻ vào ngày 3/5 là nhóm đã xâm phạm dữ liệu của 275 triệu cá nhân và có quyền truy cập vào “vài tỷ tin nhắn riêng tư” và chốt thời hạn ngày 6/5 để Instructure liên hệ.

Trong một thông báo ngày 7/5, nhóm tin tặc đã đưa ra thời hạn ngày 12/5 để các trường bị ảnh hưởng “đàm phán một thỏa thuận”.

Trong thời gian gián đoạn hoạt động của Canvas, Instructure cho biết ngày 7/5, công ty đã đưa nền tảng này vào "chế độ bảo trì" để điều tra vấn đề. Tối cùng ngày, công ty thông báo Canvas đã hoạt động trở lại "đối với hầu hết người dùng".

Sáng ngày 8/5, Instructure thông báo một “kẻ tấn công trái phép” đã khai thác lỗ hổng liên quan đến tài khoản Free-For-Teacher của công ty.

“Do đó, chúng tôi đã đưa ra quyết định khó khăn là tạm thời đóng cửa các tài khoản Free-For-Teacher. Điều này giúp chúng tôi tự tin khôi phục quyền truy cập vào Canvas, hiện đã hoạt động trở lại hoàn toàn và sẵn sàng sử dụng”, công ty cho biết trong một tuyên bố.

Các cuộc tấn công mạng vào các nền tảng giáo dục không phải là điều mới lạ. Nhà cung cấp phần mềm Finalsite đã từng bị tấn công bằng mã độc tống tiền vào tháng 7/2022. Trang web của khoảng 5.000 trường học đã bị ảnh hưởng.

Trong thời kỳ đại dịch COVID-19, các cuộc tấn công bằng mã độc tống tiền đã làm gián đoạn việc học từ xa đối với một số trường học ở Mỹ, bao gồm cả một sự cố buộc các trường công lập quận Baltimore phải tạm thời đóng cửa vào tháng 11/2020.

Rủi ro đối với học sinh và giảng viên bị ảnh hưởng bởi cuộc tấn công, theo cựu đặc vụ FBI Richard Kolko, là họ có thể trở thành nạn nhân, “không chỉ hôm nay mà còn cả sau này”. “Bạn cần phải theo dõi sát sao… bởi vì hiện tại họ đang nắm giữ thông tin về những học sinh này và vài năm nữa, họ có thể sử dụng một số thông tin đó để tấn công họ”, Kolko chia sẻ với Boris Sanchez của CNN.

FBI đã khuyến cáo bất kỳ ai có thể bị ảnh hưởng bởi cuộc tấn công mạng ngày 7/5 không nên liên hệ với bất kỳ ai tuyên bố có dữ liệu của họ, bao gồm cả việc đáp ứng các yêu cầu hoặc gửi tiền.

“Chúng tôi khuyến khích mọi người hãy thận trọng với các email, cuộc gọi hoặc tin nhắn không được yêu cầu, tự xưng là từ trường học, nhà cung cấp hệ thống quản lý học tập hoặc cơ quan thực thi pháp luật, và hãy xác minh thông tin liên lạc qua các kênh đáng tin cậy trước khi trả lời”, tuyên bố cho biết thêm.

ShinyHunters là ai?

Không có nhiều thông tin được công khai về nhóm tin tặc đã nhận trách nhiệm về sự cố sập hệ thống Canvas, nhưng các nhà nghiên cứu an ninh mạng và các cơ quan liên bang Mỹ đã liên kết cái tên ShinyHunters với một số vụ đánh cắp dữ liệu nổi tiếng.

Nhóm này đã nhận trách nhiệm về vụ tấn công Ticketmaster và cố gắng bán dữ liệu người dùng trên dark web vào năm 2024, CNN đã đưa tin trước đó.

Đầu năm nay, Mandiant, một công ty tình báo mạng thuộc sở hữu của Google, đã báo cáo về sự gia tăng hoạt động phù hợp với các “hoạt động tống tiền mang thương hiệu ShinyHunters” trước đây, cho biết những kẻ tấn công sử dụng các phương pháp lừa đảo qua giọng nói tinh vi và các trang đăng nhập giả mạo mang thương hiệu công ty để thu thập thông tin đăng nhập của nhân viên trước khi đánh cắp dữ liệu nhạy cảm từ các nền tảng dựa trên đám mây để đòi tiền chuộc.

Năm 2024, Bộ Tư pháp Mỹ đã công bố bản án đối với một thành viên của nhóm tin tặc quốc tế khét tiếng có liên quan đến cái tên ShinyHunters. Các nhà chức trách cho biết một người dùng hoạt động dưới biệt danh đó đã đăng tải dữ liệu bị đánh cắp từ hơn 60 công ty để bán trên các diễn đàn web tối (dark web) và đôi khi đe dọa sẽ tiết lộ các tập tin nhạy cảm nếu nạn nhân không trả tiền.

Các tài liệu tòa án liên quan đến thành viên bị kết án cho thấy các nạn nhân tại Mỹ bao gồm các công ty công nghệ, giải trí, truyền thông, may mặc và thể dục, cũng như một nhà phát triển trò chơi điện tử.

Phản ứng của sinh viên và các trường học

Melanie Topchyan, sinh viên năm cuối tại ĐH California, Riverside, cho biết cô đã bỏ lỡ bài kiểm tra ngày 7/5 vì sự cố và lo ngại về việc theo kịp chương trình học. Cô có bài kiểm tra giữa kỳ vào tuần tới cho một môn học đòi hỏi cao và dựa vào Canvas để xem lại bài giảng và ghi chú. “Tôi hơi hoảng loạn”, Melanie Topchyan chia sẻ với CNN.

Anish Garimidi, sinh viên năm ba ĐH Pennsylvania, bị đăng xuất khỏi Canvas khi đang cố gắng học bài, cũng cho biết cảm thấy lo lắng. “Nguyên nhân lớn nhất gây ra nỗi sợ hãi và lo lắng là tôi bị tước đi những nguồn lực quan trọng để học tập và đạt kết quả tốt nhất”, Garimidi nói với CNN.

Đối với nhiều sinh viên, sự cố xảy ra vào thời điểm tồi tệ nhất. Minhal Nazeer, sinh viên năm hai ĐH Georgetown, đã trở về nhà ở Kentucky vì tất cả các bài tập còn lại của cô đều được làm trực tuyến thông qua Canvas.

Nhưng trong khi một số bạn cùng lớp của cô ấy đang “hoảng loạn”, cô ấy lại nhìn thấy mặt tích cực sau khi các giáo sư gia hạn thời hạn nộp bài.

Một sinh viên năm cuối ĐH Columbia, giấu tên, cho biết sự cố xảy ra vào “thời điểm tồi tệ nhất” - ngay khi nhiều sinh viên đang chuyển từ các sự kiện ăn mừng cuối năm sang chuẩn bị nghiêm túc cho kỳ thi.

Đại học James Madison đã rời một số kỳ thi dự kiến ​​​​vào ngày 8/5 sang ngày 13/5, trường cho biết trong một thông báo.

Sự việc này đã nhấn mạnh mức độ gắn bó sâu sắc của Canvas với đời sống học thuật tại nhiều trường ĐH, không chỉ như một cổng nộp bài mà còn là một công cụ giao tiếp trung tâm.

ĐH Kent State cho biết ngày 8/5 là “rất lo ngại” về những gián đoạn tiếp theo khi kỳ thi cuối kỳ kết thúc. Sự gián đoạn cũng ảnh hưởng đến các lĩnh vực như thanh toán học phí và hỗ trợ tài chính. “Hiện tại chúng tôi đang lên kế hoạch dự phòng cho tất cả các lĩnh vực đó”, thông báo của nhà trường cho biết.

Tại Viện Công nghệ Massachusetts (MIT), Allison Park, một sinh viên năm ba, cho biết các giáo sư đang phải vất vả tìm kiếm địa chỉ email của sinh viên sau khi mất quyền truy cập vào tính năng thông báo của Canvas.

“Việc trang web này là cầu nối giữa giảng viên và sinh viên ngoài giờ học - tôi không nhận ra chúng tôi phụ thuộc vào nền tảng này nhiều đến mức nào cho đến khi Viện phải vội vàng tìm email của chúng tôi”, cô nói.

Liane Xu, một sinh viên khác của MIT, cho biết các khóa học của cô dựa vào Canvas để thu thập bài tập và quản lý điểm số. Mặc dù một số giáo sư lưu trữ tài liệu khóa học trên các trang web riêng biệt, cô cho biết các tài nguyên quan trọng, video bài giảng, ghi chú và tài liệu học tập thường được lưu trữ trong nền tảng này.

Khi học kỳ sắp kết thúc, cô nói, việc truy cập vào những tài liệu đó là rất cần thiết. “Thật không may và chúng tôi là nạn nhân của việc này,” sinh viên năm cuối của ĐH Columbia nói./.