La האוניברסיטה האוטונומית הלאומית של מקסיקו עומד בפני אחד מה המשברים הקשים ביותר של אבטחה cybersecurity של ההיסטוריה שלה לאחר מתקפת סייבר מסיבית אשר היה חושף מידע רגיש על חלק גדול מהקהילה שלו. התקרית, שתועדה בין 31 בדצמבר ו-1 בינוארזה הטיל ספק במערכות ההגנה של המוסד וביכולתו להגיב לאיומים בסדר גודל כזה.
מקורות באוניברסיטה ומומחי אבטחה דיגיטלית מסכימים שההתקפה לא רק השפיעה על מיילים מוסדיים ופרטיים, אבל גם ל נתונים אישיים, אקדמיים וכלכליים של סטודנטים, עובדים וצוות ניהולי. למרות שהאוניברסיטה ניסתה להמעיט בהיקףראיות טכניות והדלפות מצביעות על תרחיש חמור הרבה יותר ממה שמשקפות הצהרות רשמיות.
מתקפה מתואמת באמצע שנת המעבר
במהלך ליל ה-31 בדצמבר ובשעות הבוקר המוקדמות של ה-1 בינואר, ה- המנהל הכללי למחשוב וטכנולוגיות מידע ותקשורת (DGTIC) היא איבדה שליטה תפעולית על כמה מהשרתים שלה למשך לפחות 18 Horasמרווח זמן זה היה נוצל על ידי התוקפים כדי לנוע בחופשיות ניכרת בתוך התשתית הטכנולוגית של האוניברסיטה.
על פי השחזור שבוצע על ידי מומחים ועיתונאים מומחים, ההתקפה התמקדה בתחילה במערכות של מזכירות הפיתוח המוסדי (SDI)הסימן הראשון שנראה לעין היה הופעתו של תמונה של גולגולת באתר האינטרנט של סוכנות זו, מחווה קלאסית של קבוצות פושעי סייבר מסוימות להשאיר תיעוד של הפריצה, ואגב, להוציא אזהרה לציבור.
עיתונאי לענייני דיגיטליות איגנסיו גומז וילאסניור הייתה לו גישה למסמכים פנימיים ולראיות טכניות המאשרות כי הקבוצה שזוהתה כ "בייט לפריצה" הוא הצליח לחדור לשרתי UNAM. ניתוחו הפורנזי של הקבצים מצביע על כך שהפעולה לא הייתה אירוע בודד, אלא שיאה של סדרה של פריצות קודמות.
על פי חקירה זו, הפיגוע המסיבי היה מעמיד בסיכון לפחות 200 הודעות או מיילים ממשרד הרקטור ו מיילים מיותר מ-300.000 חברים בקהילת האוניברסיטהבנוסף, ישנם מאגרי נתונים שונים עם מידע רגיש במיוחד, רבים מהם קשורים לשירותים אדמיניסטרטיביים ופיננסיים.
נתונים אישיים, אקדמיים וכלכליים באור הזרקורים
המידע שנחשף יכסה מגוון רחב מאוד של נתונים אישיים ואקדמיים, החל מאלמנטים מזהים בסיסיים ועד לתיעוד פנימי ברמה גבוהה. דוחות פנימיים מצביעים על כך שהחומר שנחשף יכלול מספרי חשבון, רישומי אוניברסיטאות, קבלות העברה בנקאית וחשבוניות, כמו גם סיסמאות מוצפנות הקשורות לחשבונות מוסדיים.
התוקפים היו יכולים לקבל גישה ל מיילים פרטיים ומוסדיים של סטודנטים, אקדמאים, צוות אדמיניסטרטיבי והנהלה, הכולל, על פי ההדלפות, תקשורת סודית של בכירים מהאוניברסיטה ומסרים המגיעים מ- משרד הרקטורשכבת מידע זו רגישה במיוחד, שכן היא עשויה להכיל החלטות פנימיות, דיונים אסטרטגיים ותיעוד של הנהלת האוניברסיטה.
בין הקבצים שהיו נחשפים מוזכרים גם מסמכים אדמיניסטרטיביים וקבלות תשלום, כמו גם רשומות המקושרות אל שירותי ניהול חיוב ורישוםבהתחשב בכמות המידע העצומה, קהילת האוניברסיטה חוששת שחלק מהנתונים הללו עלולים להיות בשימוש עבור הונאה פיננסית, גניבת זהות או סחיטה.
היקף הדליפה, על פי ניתוחים זמינים, יכול להשפיע על יותר מ 380.000 סטודנטים ואקדמאיםנתון שיהפוך את האירוע הזה לאחד ה... הפריצות החמורות ביותר שספג מוסד חינוכי במקסיקו ובהרחבה, בתחום אמריקה הלטינית, מה שמציב אותו ברמת מתקפות גדולות אחרות שפגעו באוניברסיטאות אירופאיות וספרדיות בשנים האחרונות.
הסדק הטכני: פגיעות CVE-2025-66478 וכשל תחזוקה
ברמה הטכנית, דיווחים מצביעים על כך שהמתקפה ניצלה פגיעות שסומנה כ-CVE-2025-66478, הקשור ל שרתים המבוססים על Next.jsחולשה זו הייתה נותרת בלתי פתורה במהלך תקופה מרכזית, במקביל לשלב של חוסר ביטחון תעסוקתי ועיכובים אדמיניסטרטיביים בצוות האחראי על פיתוח ותחזוקה של המערכות.
גומז וילאסניור עצמו מקשר את הצלחת המתקפה להקשר הפנימי של האוניברסיטה. מכתב מיום 19 בספטמבר 2025, חתומים על ידי חברי ה- תיאום פרויקטים טכנולוגיים (CPTI), הוא גינה את זה מהנדסים ומפתחים עברו חודשים ללא שכר. את שכר טרחתם עקב "תהליכי ביקורת", אשר יצרו אווירה של מחאה וחוסר יציבות בתחום הטכנולוגיה.
תרחיש זה, יחד עם הלחץ היומיומי על שירותים דיגיטליים, היה מעכב את היישום המהיר של תיקוני אבטחה ומשימות תחזוקה קריטיותלפיכך, הפגיעות CVE-2025-66478 נותרה פעילה מספיק זמן כדי שהתוקפים יוכלו לנצל אותה בקלות יחסית, ולפתוח שער למערכות ליבה.
בנוסף לחולשה בשרתי Next.js, פושעי הסייבר היו עלולים לפגוע ב- מאזני עומסים של F5 BIG-IPאלו הם אלמנטים מרכזיים בניהול תעבורת הרשת. על ידי השתלטות על ציוד זה, הם הצליחו לנתב מחדש חיבורים, ליירט מידע ולהקל על תנועה רוחבית בתוך התשתית, ובכך להגדיל את עומק הפריצה.
שיטות בהן משתמשת קבוצת ByteToBreach
הראיות הטכניות שנאספו מתארות את שרשרת תקיפה מתוחכמת אשר שילב מספר טכניקות שכבר ידועות בתחום אבטחת הסייבר. מצד אחד, הם היו משתמשים מפתחות SSH פרטיים נחשפים בציוד אוניברסיטאי, זוהי פרקטיקה מסוכנת שאם לא מנוהלת כראוי, פותחת גישה ישירה לשרתים פנימיים עם מעט מאוד חסמים.
ברגע שהיו בפנים, הקבוצה הייתה מגדילה את ההרשאות שלה עד שתשיג גישה שורש al ספריית LDAP, לב ליבה של מערכת ניהול האימות והזהויות של המוסד. עם רמת שליטה כזו, ניתן שאילתה, שינוי וחילוץ רשומות בכמות גדולה של משתמשים, מה שיסביר את גודל הדליפה לוחיות רישוי מוצפנות, מיילים וסיסמאות.
העובדה שהתוקף פרסם פירוט מפורט של הצעדים שננקטו כדי לפרוץ את המערכות אינה מקרית. כפי שהסביר גומז וילאסניור, קבוצות רבות בוחרות לפרסם מידע זה על מנת... כדי להגן על עצמם מפני סירובים אפשריים מוסדי ולהוכיח, באמצעות ראיות טכניות, כי הפלישה הייתה אמיתית ורחבת היקף.
נוהג זה, אמנם מהווה סיכון נוסף על ידי הפצת וקטורי תקיפה, אך חושף גם את המידה שבה מערכות שנפגעו עלולות להפגין... תצורות חלשות, אישורים שמנוהלים בצורה גרועה או תיקונים שלא יושמו, קטלוג של בעיות שאינו זר לאוניברסיטאות אירופאיות וספרדיות אחרות שסבלו מאירועים אחרונים.
רקע: גישה בלתי מורשית מאז מרץ 2025
מתקפת הסייבר של סוף השנה לא התרחשה בוואקום. הודעה רשמית מהיועץ המשפטי של UNAM מאשרת כי ה 13 מרץ של 2025 ראשון כבר זוהה "גישה בלתי מורשית" למערכות של ה- מזכירות הפיתוח המוסדיבאותו זמן, האוניברסיטה הציגה תלונה למשרד היועץ המשפטי לממשלה (FGR), ומודיעה רשמית לרשויות על ההפרה הראשונית.
עם זאת, התפתחות ההליך לא הייתה מהירה במיוחד. אוגוסט 2025על פי הדיווחים, משרד התובע הכללי ביקש מידע נוסף מהיחידה המנהלית של SDI, והזהיר כי אם לא יסופקו הנתונים הנדרשים, התיק עלול להיסגר. על פי המסמכים המצוטטים, האוניברסיטה לא שלחה את כל המידע המבוקש, בין היתר משום שהצוות הטכני עבדתי תחת מחאה ובתנאי עבודה מתוחים מאוד..
תקדימים אלה מתווספים לאחרים הפרות חמורות שתועדו בשנת 2024שכבר עוררה אזעקות לגבי המצב האמיתי של אבטחת הסייבר המוסדית. לכן, המתקפה האחרונה, גלויה ומאסיבית יותר, לא תהיה מקרה בודד, אלא שיאה של שרשרת אירועים שלא היו מטופלים בכוח הנדרש.
גומז וילאסניור טוען שהתוקף אף הצליח לבסס התמדה בתוך מערכותכלומר, היכולת להישאר מוסתרים ולהחזיר לעצמם שליטה בעתיד, גם לאחר מאמצי ניקוי תגובתיים. אם זה יאושר, האוניברסיטה תיאלץ לעשות זאת. לבדוק לעומק את כל התשתיות שלה, משהו מורכב ויקר הן מבחינת זמן והן מבחינת משאבים.
פרסום ומכירה של מידע גנוב
לאחר שהגישה אובטחה והנתונים חולצו, הצעד הבא של הקבוצה התוקפת היה מוניטיזציה של מידעעל פי ההדלפות, ההאקר המכונה בייט-להפרה פרסם חלק ממסד הנתונים של UNAM ב- פורום בינלאומי לפשעי סייבר, תחת הכותרת:
מאגרי מידע של אוניברסיטת UNAM
פרסומות מסוג זה מכוונות בדרך כלל לרשתות חברתיות. פושעי סייבר המעוניינים לרכוש חבילות נתונים לשימושים אסורים שונים: החל מקמפיינים נרחבים של פישינג ועד לניסיונות הונאה פיננסית או גניבת זהות. העובדה שהמודעה מתייחסת במפורש לאוניברסיטה גדולה מגדילה את ערכה בשווקים תת-קרקעיים אלה.
הנזק הפוטנציאלי אינו מוגבל למקסיקו. ניתן להשתמש במאגרי מידע מסוג זה כדי התקפות המכוונות לחברות וארגונים במדינות אחרותזה כולל את אירופה וספרד, על ידי ניצול כתובות דוא"ל שנעשה בהן שימוש חוזר, סיסמאות משותפות בין שירותים ופרטי בנקאות המקושרים לעסקאות בינלאומיות. מסיבה זו, אירועים כמו זה שהתרחש ב-UNAM מנוטרים מקרוב על ידי קהילת הסייבר האירופית.
בין הסיכונים המדאיגים ביותר נמצאים הסיכונים האפשריים שימוש הונאה במידע אישי ופיננסי, הבריאה של פרופילים מפורטים של סטודנטים וחוקרים לקמפיינים של הנדסה חברתית ולשימוש בנתונים כקלף מיקוח במשא ומתן בין קבוצות פשע. כל זה מגדיל את שטח החשיפה, לא רק עבור האוניברסיטה, אלא עבור כל גוף המקיים קשרים עם חברי הקהילה שלו.
מסמכים פנימיים רגישים ומחלוקות נוספות
ההתקפה לא הוגבלה לחילוץ נתונים אישיים. בין הקבצים שנחשפו, על פי הדיווחים, היו גם מסמכים פנימיים של תיאום הקשרים והעברת הטכנולוגיה (CVTT), אחראי על ניהול פטנטים ופרויקטים של חדשנות באוניברסיטה.
לפי המידע שהודלף, עד שנת 2025 UNAM תהיה זכה בפרס על פטנט הקשור לריפוי שיניים, למרות שזה כבר היה דווח כגניבת דעת ביוני 2024הופעתם של מסמכים אלה בהקשר של מתקפת הסייבר מוסיפה ממד התדמית לאירוע, על ידי הבאת החלטות פנימיות שעלולות להיות שנויות במחלוקת לשולחן העניינים.
דליפת קבצים פנימיים מסוג זה מדגימה את המידה שבה התוקפים הצליחו לגשת מאגרי מסמכים רגישיםמעבר למאגרי מידע תפעוליים פשוטים. אם החומר יופץ במלואו, עלולות להתעורר מחלוקות חדשות שישפיעו הן על הממשל המרכזי והן על קבוצות מחקר ספציפיות.
השפעה משנית מסוג זה כבר נצפתה במקרים אחרים שהתרחשו באוניברסיטאות אירופאיות, שם פרצות אבטחה בסופו של דבר הם חשפו דוחות סודיים, טיוטות חוזים ומסמכים הקשורים לקניין רוחני, ויצרו אפקט דומינו מעבר לבעיה הטכנית בלבד.
תגובה רשמית של UNAM ותפיסת הציבור
לנוכח שטף המידע על התקרית, ה- DGTIC של UNAM היא פרסמה הצהרה בה היא הודתה ב- "חדירה בלתי מורשית" במערכות שלהם. עם זאת, ההודעה הרשמית התעקשה שההתקפה הייתה השפיעו רק על חמש מתוך יותר מ-100.000 מערכות מחשב אשר יש לאוניברסיטה, נתון העומד בניגוד לסדר הגודל המתואר על ידי ההדלפות.
המוסד טען כי הפעיל מיד את פרוטוקולי אבטחת מחשבאשר היה כולל את כיבוי מונע של מערכות פגועות וסקירת השירותים שנפגעו. עם זאת, היעדר פרטים קונקרטיים לגבי סוג הנתונים שנחשפו ומספר האנשים שנפגעו בפועל הגביר את התפיסה שהתגובה הרשמית עשויה להיות זהירה מדי, אם לא ממש לא מספקת.
בינתיים, מומחי אבטחת סייבר התעקשו על הצורך שהאוניברסיטה תציע מידע ברור ושקוף לקהילה שלהם, כולל המלצות ספציפיות עבור ניהול סיסמאות, ניטור תנועות בנקאיות וזיהוי ניסיונות התחזות פוטנציאליים. ללא תקשורת ברורה, משתמשים רבים עדיין אינם מודעים לרמת הסיכון העומדת בפניהם.
במקביל, התעוררו ויכוחים על המודל של ממשל טכנולוגי בתוך המוסד, הקצאת משאבים אנושיים וכספיים לאבטחה דיגיטלית ותפקידן של רשויות האוניברסיטה בהקשר זה לתעדף השקעות בתחום זה, ויכוח דומה מאוד לזה שמנהלות אוניברסיטאות רבות בספרד ובשאר אירופה מזה שנים.
כל הפרק הזה מדגיש את החשיבות של צוותים טכניים יציבים, בעלי שכר טוב ועם מרחב תמרוןכמו גם עם עדכון מתמיד של מדיניות וביקורות עצמאיות, אלמנטים שכאשר הם נכשלים, יכולים לפתוח דלת לאירועים גדולים כמו זה שמרעיד כעת את UNAM.
המקרה מותיר שובל של שאלות פתוחות לגבי היקפן האמיתי של מתקפת סייבר מסיביתכמות הנתונים שכבר הופצה בפורומים בנושא פשעי סייבר ויכולתה בפועל של האוניברסיטה להשיב את אמון הקהילה שלה. אם משהו נראה ברור כיום, זה שהמוסד יצטרך לחזק באופן עמוק את אסטרטגיית אבטחת סייבר והתקשורת שלהם עם סטודנטים וצוות, בהקשר בינלאומי שבו אוניברסיטאות, הן באמריקה הלטינית והן באירופה, הפכו למטרה בעדיפות עליונה עבור תוקפים דיגיטליים.
