如果我们画一个信息安全的维恩图,圈子一边代表“攻击者想窃取的敏感信息”,另一边代表“资源有限且难以保护的IT环境”,教育行业正好位于这两个圈子的交集处。
学校(包括K-12、学院和大学)储存着健康和医疗记录、未成年人的数据、财务信息、敏感研究、AI训练模型及其他专有知识产权。同时,学校通常人员不足和资金不足(除了一些资金充足的私立机构外),特别是在IT和安全方面。
学校的网络用户包括从5岁起的学生、教师和教授、医生和患者、食堂员工、清洁工、员工和访客。此外,教育设施和校园还需要保护从传统到现代的各种IT环境,覆盖从支付处理系统到医疗设备,甚至包括个人手机、电脑和游戏机。
根据微软的数据显示,教育和科研领域每周平均面临2507次网络攻击企图,攻击者从国家支持的黑客组织到勒索软件团伙,再到其他以经济利益为动机的犯罪团伙,无不将学校作为攻击目标。到2024年第二季度,教育行业已经不幸成为分析的安全事件中第三大受攻击目标。
微软威胁情报团队写道:“微软观察到的跨行业网络威胁在教育领域往往更加复杂,威胁行为者已经意识到该行业的天然脆弱性。”他们补充道,这些威胁包括恶意软件、网络钓鱼攻击、数据盗窃以及易受攻击的物联网设备等多种形式。
伊朗黑客瞄准高校:
知识产权与专家信息岌岌可危
在受伊朗支持的攻击学校的组织中,微软安全分析人员发现了Peach Sandstorm,这是一个由伊斯兰革命卫队(IRGC)支持的团队,使用密码喷洒攻击来入侵教育网络和电子邮件账户,并针对高等教育机构开展社会工程活动。另一个与伊朗政府有关的团伙Mint Sandstorm,其目标是大学里知名的中东事务专家。
微软指出,“这些复杂的网络钓鱼攻击使用社会工程技术,诱使目标下载恶意文件,包括一种名为MediaPI的新型定制后门程序。”
根据微软的数据,2023年伊朗的Mabna Institute入侵了至少144所美国大学的计算机系统,以及其他21个国家的176所大学,窃取了教授的凭据。这些证书被伊朗伊斯兰革命卫队“用于”访问学校的图书馆系统,并在网上出售。
二维码攻击蔓延:
校园安全面临新威胁
犯罪分子利用二维码获得初始访问权限越来越普遍,学校及相关组织(如家长教师协会、校园社团、体育队等)常在宣传单上使用二维码,提供有关募款活动、经济资助申请、停车证、乐队报名等信息。
微软表示:“这为恶意行为者提供了一个有吸引力的机会,针对那些试图通过扫描图片节省时间的用户。”过去一年,微软每天检测到超过15,000条带有恶意二维码的消息,专门针对教育领域。
大学或成间谍温床:
高价值研究成为黑客目标
大学面临着自己独特的安全挑战。微软指出,这些机构的领导者实际上充当着“医疗保健机构、住房提供商和大型金融机构CEO”的角色。此外,他们还参与由联邦资助的研究项目,与国防承包商和技术公司合作——这使他们成为间谍活动的主要目标。
“他们可能正在进行突破性的研究,或在航空航天、工程、核科学等敏感领域的高价值项目中与多个政府机构合作。”报告指出。
对于网络攻击者来说,首先攻破与国防领域相关的教育机构人员可能更为容易,然后利用这一途径更有效地对更高价值的目标进行网络钓鱼攻击。例如,攻击者在攻破某位教授或研究人员的凭据后,可以通过大学的电子邮件账户向政府官员发送邮件,骗取敏感信息。
不幸的是,教育行业的安全问题没有简单的解决方案。它需要对学生和员工进行大量的用户教育,强调诸如多因素认证(MFA)等最佳实践。根据微软的数据,开启MFA的账户被攻破的可能性降低了99.9%以上。MFA和强且独特的密码也有助于防止密码喷洒攻击。
微软还建议实施免费的保护性域名服务,以阻止计算机连接到恶意网站,从而降低勒索软件和其他攻击的风险。
文章来源:
https://www.theregister.com/2024/10/13/schools_nationstate_attacks_ransomware/
推荐阅读
安全KER
安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台,推动数字安全社区文化的普及推广与人才生态的链接融合。目前,安全KER已整合全国数千位白帽资源,联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市,与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。
注册安全KER社区
链接最新“圈子”动态