La Meksikas Nacionālā autonomā universitāte saskaras ar vienu no sliktākās krīzes kiberdrošība par savu vēsturi pēc tam, kad masveida kiberuzbrukums kas būtu atklājis sensitīvu informāciju par lielu daļu tās kopienas. Incidents, kas reģistrēts laikā no 31. decembris un 1. janvārisTas ir radījis šaubas par iestādes aizsardzības sistēmām un spēju reaģēt uz šāda mēroga draudiem.
Universitātes avoti un digitālās drošības speciālisti ir vienisprātis, ka uzbrukums ietekmēja ne tikai iestāžu un privātās e-pasta vēstules, bet arī uz personas, akadēmiskie un finanšu dati studentu, darbinieku un vadības personāla. Lai gan universitāte ir centusies mazināt darbības jomuTehniski pierādījumi un noplūdes liecina par daudz nopietnāku scenāriju, nekā atspoguļo oficiālie paziņojumi.
Koordinēts uzbrukums pārejas gada vidū
31. decembra naktī un 1. janvāra agrās stundās Datorzinātņu un informācijas un komunikācijas tehnoloģiju ģenerāldirektorāts (DGTIC) Tas vismaz uz laiku zaudēja vairāku savu serveru operatīvo kontroli. 18 stundasŠo laika intervālu uzbrucēji būtu izmantojuši, lai ar ievērojamu brīvību pārvietotos universitātes tehnoloģiskajā infrastruktūrā.
Saskaņā ar ekspertu un specializētu žurnālistu veikto rekonstrukciju, uzbrukums sākotnēji bija vērsts pret sistēmām. Institucionālās attīstības sekretariāts (SDI)Pirmā redzamā pazīme bija a parādīšanās. galvaskausa attēls šīs aģentūras tīmekļa vietnē — klasisks žests, ko dažas kibernoziedznieku grupas izmanto, lai reģistrētu ielaušanos un, starp citu, izdotu publisku brīdinājumu.
Digitālo lietu žurnālists Ignacio Gómez Villaseñor ir bijusi piekļuve iekšējiem dokumentiem un tehniskiem pierādījumiem, kas apstiprina, ka grupa ir identificēta kā “ByteToBreach” Viņam izdevās iefiltrēties UNAM serveros. Viņa veiktā failu kriminālistiskā analīze liecina, ka operācija nebija atsevišķs incidents, bet gan vairāku iepriekšējo pārkāpumu kulminācija.
Saskaņā ar šo izmeklēšanu, plaša mēroga uzbrukums būtu apdraudējis vismaz 200 saziņas vai e-pasta vēstules no rektora biroja un e-pasta vēstules no vairāk nekā 300 000 universitātes kopienas locekļiemTurklāt pastāv dažādas datu krātuves ar īpaši sensitīvu informāciju, no kurām daudzas ir saistītas ar administratīvajiem un finanšu pakalpojumiem.
Personiskie, akadēmiskie un finanšu dati uzmanības centrā
Apdraudētā informācija aptvertu ļoti plašu klāstu personas un akadēmiskie dati, sākot no pamata identifikācijas elementiem līdz augsta līmeņa iekšējai dokumentācijai. Iekšējie ziņojumi liecina, ka atklātajā materiālā būtu iekļauts konta numuri, universitātes reģistrācijas, bankas pārskaitījumu kvītis un rēķini, kā arī šifrētas paroles, kas saistītas ar iestāžu kontiem.
Uzbrucēji būtu ieguvuši piekļuvi privātas un iestāžu e-pasta vēstules studentu, akadēmiķu, administratīvā personāla un vadības, kas, saskaņā ar nopludinātajām ziņām, ietver arī augsta ranga amatpersonu konfidenciāla saziņa no universitātes un ziņojumi, kas nāk no Rektora birojsŠis informācijas slānis ir īpaši sensitīvs, jo tas potenciāli var saturēt iekšējus lēmumus, stratēģiskas diskusijas un universitātes vadības dokumentāciju.
Starp failiem, kas būtu bijuši atklāti, ir minēti arī administratīvie dokumenti un maksājumu kvītis, kā arī ierakstus, kas saistīti ar norēķinu un reģistrācijas pārvaldības pakalpojumiŅemot vērā milzīgo informācijas apjomu, universitātes kopiena baidās, ka daļa no šiem datiem varētu tikt izmantota finanšu krāpšana, identitātes zādzība vai izspiešana.
Saskaņā ar pieejamajām analīzēm noplūdes apmērs varētu ietekmēt vairāk nekā 380 000 studentu un akadēmiķufigūra, kas padarītu šo incidentu par vienu no Visnopietnākie uzlaušanas gadījumi, ko piedzīvojusi izglītības iestāde Meksikā un, plašākā nozīmē, Latīņamerikas sfērā, novietojot to citu lielu uzbrukumu līmenī, kas pēdējos gados ir skāruši Eiropas un Spānijas universitātes.
Tehniskā plaisa: ievainojamība CVE-2025-66478 un apkopes kļūme
Tehniskā līmenī ziņojumi liecina, ka uzbrukumā tika izmantota ievainojamība, kas katalogizēta kā CVE-2025-66478, saistīts ar serveri, kuru pamatā ir Next.jsŠis vājums būtu palicis neatrisināts galvenajā periodā, kas sakrita ar posmu darba nestabilitāte un administratīvas kavēšanās komandā, kas atbild par sistēmu izstrādi un uzturēšanu.
Pats Gomess Viljasenjors uzbrukuma panākumus saista ar universitātes iekšējo kontekstu. vēstule, kas datēta ar 2025. gada 19. septembri, ko parakstījuši locekļi Tehnoloģisko projektu koordinācija (CPTI), viņš nosodīja, ka Inženieri un izstrādātāji mēnešiem ilgi nebija saņēmuši atalgojumu. viņu maksas “revīzijas procesu” dēļ, kas radīja protesta un nestabilitātes gaisotni tehnoloģiju jomā.
Šis scenārijs apvienojumā ar ikdienas spiedienu uz digitālajiem pakalpojumiem būtu kavējis ātru ieviešanu. drošības ielāpi un kritiski svarīgi apkopes uzdevumiTādējādi CVE-2025-66478 ievainojamība palika aktīva pietiekami ilgi, lai uzbrucēji to varētu relatīvi viegli izmantot, atverot vārteju uz pamata sistēmām.
Papildus Next.js serveru vājumam kibernoziedznieki būtu apdraudējuši arī F5 BIG-IP slodzes līdzsvarotājiŠie ir tīkla datplūsmas pārvaldības galvenie elementi. Pārņemot kontroli pār šīm iekārtām, viņi varēja novirzīt savienojumus, pārtvert informāciju un veicināt sānu pārvietošanos infrastruktūrā, tādējādi palielinot ielaušanās dziļumu.
ByteToBreach grupas izmantotās metodes
Savāktie tehniskie pierādījumi apraksta a sarežģīta uzbrukuma ķēde kas apvienoja vairākas kiberdrošības jomā jau zināmas metodes. No vienas puses, tās būtu izmantojušas atklātas privātās SSH atslēgas Universitātes aprīkojumā šī ir riskanta prakse, kas, ja netiek pareizi pārvaldīta, paver tiešu piekļuvi iekšējiem serveriem ar ļoti maz šķēršļiem.
Kad grupa bija iekļuvusi iekšā, tai būtu piešķirtas eskalētas privilēģijas, līdz tā būtu ieguvusi piekļuvi. Root al LDAP direktorijs, iestādes autentifikācijas un identitātes pārvaldības sistēmas sirds. Ar šādu kontroles līmeni ir iespējams vaicājumus, modificējiet un izvelciet ierakstus vairumā lietotāju, kas izskaidrotu noplūdes apmēru šifrētas numura zīmes, e-pasti un paroles.
Tas, ka uzbrucējs publicēja detalizētu informāciju par darbībām, kas veiktas, lai iekļūtu sistēmās, nav nejaušība. Kā paskaidroja Gomess Viljasenjors, daudzas grupas izvēlas publiskot šo informāciju, lai... lai pasargātu sevi no iespējamiem atteikumiem institucionālu un ar tehniskiem pierādījumiem pierādīt, ka ielaušanās bija reāla un tālejoša.
Šī prakse, radot papildu risku, izplatot uzbrukuma vektorus, arī atklāj, cik lielā mērā kompromitētas sistēmas varētu izpausties vājas konfigurācijas, slikti pārvaldīti akreditācijas dati vai nelietoti ielāpi, problēmu katalogs, kas nav svešs citām Eiropas un Spānijas universitātēm, kurās nesen notikuši incidenti.
Konteksts: neatļauta piekļuve kopš 2025. gada marta
Gada beigu kiberuzbrukums nenotika vakuumā. UNAM ģenerālpadomnieka oficiālais paziņojums apstiprina, ka 13 2025 marts Pirmais jau ir atklāts "Neautorizēta piekļuve" uz sistēmām Institucionālās attīstības sekretariātsToreiz universitāte prezentēja sūdzība Ģenerālprokuratūrai (ĢPR), oficiāli informējot varas iestādes par sākotnējo pārkāpumu.
Tomēr procedūras attīstība nebija gluži strauja. 2025. gada augustsZiņots, ka Ģenerālprokuratūra (ĢPR) pieprasīja papildu informāciju no SDI administratīvās vienības, brīdinot, ka, ja netiks sniegti nepieciešamie dati, lieta var tikt slēgta. Saskaņā ar minētajiem dokumentiem universitāte nenosūtīja visu pieprasīto informāciju daļēji tāpēc, ka tehniskā komanda Es strādāju protestu laikā un ļoti saspringtos darba apstākļos..
Šie precedenti papildina citus nopietni pārkāpumi, kas reģistrēti 2024. gadākas jau bija radījis bažas par patieso iestāžu kiberdrošības stāvokli. Tādēļ jaunākais uzbrukums, kas ir redzamāks un masveida, nebūtu atsevišķs gadījums, bet gan kulminācija. incidentu ķēde kas nebūtu risināts ar nepieciešamo spēku.
Gomess Viljasenjors apgalvo, ka uzbrucējam pat bija izdevies nodibināt noturība sistēmāsTas ir, spēja palikt slēptai un atgūt kontroli nākotnē, pat pēc reaktīviem tīrīšanas pasākumiem. Ja tas tiktu apstiprināts, universitāte būtu spiesta rūpīgi pārskatīt visu savu infrastruktūru, kaut kas sarežģīts un dārgs gan laika, gan resursu ziņā.
Zagtas informācijas publicēšana un pārdošana
Kad piekļuve bija nodrošināta un dati iegūti, uzbrūkošās grupas nākamais solis būtu bijis informācijas monetizācijaSaskaņā ar noplūdēm hakeris, kas pazīstams kā ByteToBreach publicēja daļu no UNAM datubāzes a Starptautiskais kibernoziegumu forums, zem virsraksta:
UNAM universitātes datubāzes
Šāda veida reklāmas parasti ir vērstas uz sociālajiem tīkliem. kibernoziedznieki, kas ir ieinteresēti iegādāties datu paketes dažādiem nelikumīgiem mērķiem: sākot no masveida pikšķerēšanas kampaņām līdz finanšu krāpšanas vai identitātes zādzības mēģinājumiem. Fakts, ka reklāmā ir tieša atsauce uz lielu universitāti, palielina tās vērtību šajos pagrīdes tirgos.
Potenciālais kaitējums neaprobežojas tikai ar Meksiku. Šāda veida datubāzes var izmantot, lai uzbrukumi, kas vērsti pret uzņēmumiem un organizācijām citās valstīsTas ietver Eiropu un Spāniju, izmantojot atkārtoti izmantotas e-pasta adreses, pakalpojumos koplietotas paroles un ar starptautiskiem darījumiem saistītus bankas datus. Šī iemesla dēļ tādus incidentus kā UNAM rūpīgi uzrauga Eiropas kiberdrošības kopiena.
Starp satraucošākajiem riskiem ir iespējamie krāpnieciska personiskās un finanšu informācijas izmantošana, radīšana detalizēti studentu un pētnieku profili sociālās inženierijas kampaņām un datu izmantošanai kā darījumu ķīlai sarunās starp noziedzīgām grupām. Tas viss palielina atpazīstamību ne tikai universitātei, bet jebkurai struktūrai, kas uztur saites ar savas kopienas locekļiem.
Sensitīvi iekšējie dokumenti un papildu strīdi
Uzbrukums neaprobežojās tikai ar personas datu iegūšanu. Starp ziņotajām datnēm bija arī Saikņu un tehnoloģiju pārneses koordinācijas (CVTT) iekšējie dokumenti, kas atbild par patentu un inovāciju projektu pārvaldību universitātē.
Saskaņā ar nopludināto informāciju, līdz 2025. gadam UNAM būs piešķirta balva par patentu, kas saistīts ar zobu atjaunošanu, lai gan tas jau bija bijis ziņots kā plaģiāts 2024. gada jūnijāŠo dokumentu parādīšanās kiberuzbrukuma kontekstā piešķir papildu nozīmi reputācijas dimensija saistībā ar incidentu, ierosinot potenciāli pretrunīgus iekšējos lēmumus.
Šāda veida iekšējo failu noplūde parāda, cik lielā mērā uzbrucēji spēja tiem piekļūt. sensitīvu dokumentu krātuvesārpus vienkāršām operatīvām datubāzēm. Ja materiāls tiktu pilnībā izplatīts, varētu rasties jaunas domstarpības, kas ietekmētu gan centrālo administrāciju, gan konkrētas pētniecības grupas.
Šāda veida blakusefekts jau ir novērots citos gadījumos, kas notikuši Eiropas universitātēs, kur drošības pārkāpumiem Viņi ir atklājuši konfidenciālus ziņojumus, līgumu projektus un dokumentus, kas saistīti ar intelektuālo īpašumu, radot domino efektu, kas sniedzas tālāk par tīri tehnisku problēmu.
UNAM oficiālā atbilde un sabiedrības uztvere
Saskaroties ar informācijas lavīnu par notikušo, UNAM DGTIC Tā izdeva paziņojumu, kurā atzina, ka "Neatļauta ielaušanās" savās sistēmās. Tomēr oficiālajā ziņojumā tika uzsvērts, ka uzbrukums ir noticis skāra tikai piecas no vairāk nekā 100 000 datorsistēmām kas ir universitātei, un šis skaitlis kontrastē ar noplūžu aprakstīto apmēru.
Iestāde apgalvoja, ka tā nekavējoties aktivizēja datoru drošības protokolikas būtu ietvēris apdraudētu sistēmu preventīva izslēgšana un skarto pakalpojumu pārskatīšanu. Tomēr konkrētas informācijas trūkums par atklāto datu veidu un faktisko skarto cilvēku skaitu ir radījis iespaidu, ka oficiālā reakcija varētu būt pārāk piesardzīga, ja ne gluži nepietiekama.
Tikmēr kiberdrošības speciālisti ir uzstājuši, ka universitātei ir jāpiedāvā skaidru un pārskatāmu informāciju savai kopienai, tostarp konkrētus ieteikumus par paroļu pārvaldība, bankas darījumu uzraudzība un potenciālu uzdošanās mēģinājumu atklāšanu. Bez skaidras komunikācijas daudzi lietotāji joprojām neapzinās riska līmeni, ar kuru viņi saskaras.
Paralēli ir notikušas debates par modeli, tehnoloģiskā pārvaldība iestādes ietvaros, cilvēkresursu un finanšu resursu piešķiršana digitālajai drošībai un universitātes vadības loma šajā sakarā prioritizēt ieguldījumus šajā jomā, diskusijas, kas ir ļoti līdzīgas tām, ko jau gadiem ilgi risinās daudzās universitātēs Spānijā un pārējā Eiropā.
Visa šī epizode uzsver, cik svarīgi ir stabilas, labi apmaksātas tehniskās komandas ar manevrēšanas iespējāmkā arī ar nepārtrauktu politikas atjaunināšanu un neatkarīgām revīzijām, elementiem, kuru neizdošanās gadījumā var rasties lieli incidenti, piemēram, tas, kas pašlaik satricina UNAM.
Lieta atstāj virkni neatbildētu jautājumu par patieso darbības jomu. masveida kiberuzbrukumsdatu apjoms, kas jau ir izplatījies kibernoziegumu forumos, un universitātes faktiskā spēja atjaunot savas kopienas uzticību. Ja kaut kas šodien šķiet skaidrs, tad tas, ka iestādei būs pamatīgi jāstiprina sava kiberdrošības stratēģija un viņu saziņu ar studentiem un darbiniekiem starptautiskā kontekstā, kurā universitātes gan Latīņamerikā, gan Eiropā ir kļuvušas par prioritāru mērķi digitālajiem uzbrucējiem.
