فوضى في قطاع التعليم: عصابة ShinyHunters تستغل ثغرات يوم الصفر في أنظمة Oracle PeopleSoft

التقنية المستخدمة كانت تُعرف بـ"سلسلة الأدوات" (Gadget Chain) – وهي مزيج خطير من ثغرات قديمة ومعروفة تم ربطها بثغرات يوم الصفر التي لم تكن معروفة من قبل في نظام PeopleSoft . ولكن المثير للاهتمام أن الهجوم لم يكن فعالاً مع جميع الأنظمة؛ إذ اعتمد نجاحه على كيفية إعداد كل ضحية لنظام PeopleSoft الخاص بها .

أسلوب العمل كان واضحاً ومعهوداً: نموذج "ادفع أو سيتم التسريب". فإذا رفضت الضحية الدفع، يتم نشر البيانات المسروقة مباشرة على موقع التسريبات الخاص بـ ShinyHunters .

الجامعات في مرمى النيران: لماذا قطاع التعليم؟

تحملت الجامعات العبء الأكبر من هذه الهجمات. ركزت ShinyHunters بشكل كبير على مؤسسات التعليم العالي، وهو نمط معروف من حملاتها السابقة في عام 2026 ضد منصات تعليمية عملاقة مثل Canvas/Instructure و Salesforce Experience Cloud .

جامعة نوتنغهام تؤكد الاختراق. كانت جامعة نوتنغهام العريقة في بريطانيا من أبرز الضحايا المؤكدة. فقد تمكن المهاجمون من اختراق نظام "Campus Solutions" (حلول الحرم الجامعي) لإدارة سجلات الطلاب – وهو نظام يعمل بتقنية Oracle PeopleSoft – في نهاية مايو 2026 .

عينات البيانات المسربة التي نشرتها العصابة كانت صادمة. تضمنت سجلات للطلاب والمتقدمين والمساعدات المالية والهجرة والصحة والبيانات الإدارية . وزعمت ShinyHunters أنها سرقت أكثر من 40 غيغابايت من المعلومات الحساسة، بما في ذلك سجلات الفواتير والمدفوعات، وتفاصيل بطاقات الائتمان، ومعلومات تمويل الطلاب، وصادرات من بوابات الحرم الجامعي تشمل فروع الجامعة في المملكة المتحدة وماليزيا والصين .

التطور المقلق: من الاحتيال الصوتي إلى استغلال ثغرات يوم الصفر

يمثل هذا الهجوم نقطة تحول تكتيكية كبيرة لـ ShinyHunters. فخلال عام 2025 وأوائل عام 2026، اعتمدت المجموعة بشكل شبه حصري على استغلال الهوية والوصول من خلال أساليب مثل الاحتيال الصوتي (Vishing)، والهندسة الاجتماعية، والاستيلاء على حسابات الدخول الموحد (SSO) مثل Okta، وإساءة استخدام رموز OAuth لاختراق المنظمات .

فقد وثقت تقارير من شركتي Mandiant و Google Threat Intelligence Group كيف كانت ShinyHunters تنتحل شخصية موظفي الدعم الفني، وتوجه الموظفين إلى مواقع تصيد تحاكي بوابات شركاتهم، وتسرق بذلك بيانات اعتماد الدخول الموحد ورموز التحقق متعددة العوامل (MFA) .

في الواقع، كان موجز استخباراتي من "ذا كروسووك" (The Crosswalk) صريحاً في القول إن ShinyHunters "لا تستغل تقريباً الثغرات البرمجية أبداً" وركز بدلاً من ذلك على خداع مكاتب المساعدة، والتحايل على أنظمة التحقق للموظفين، ورموز OAuth لتطبيقات الطرف الثالث . لكن هجمات PeopleSoft تكسر هذا القالب بالكامل، باستخدامها استغلالاً حقيقياً لثغرات برمجية - بما في ذلك ثغرات يوم الصفر - وهو شيء لم نشهده من قبل في عملياتهم .

هذا التحول يرفع مستوى التهديد بشكل كبير، لأنه يعني أن المؤسسات التي كانت تعتبر نفسها في مأمن لأنها عززت سياسات كلمات المرور والتحقق متعدد العوامل، أصبحت الآن عرضة للخطر بسبب نقاط ضعف في البرمجيات التي تستخدمها.

استجابة Oracle والسلطات البريطانية: صمت مطبق

حتى 10 يونيو 2026، لم تُصدر Oracle أي بيان عام أو تحذير أمني بخصوص هذه الحملة تحديداً. لم يتم الإعلان أو التأكيد على إصدار أي تحديثات أمنية (Patches) مرتبطة بهذا النشاط الإجرامي . يعكس هذا الصمت قلقاً متزايداً في أوساط الأمن السيبراني.

كذلك، لم يُدل مكتب مفوض المعلومات البريطاني (ICO) ولا أجهزة إنفاذ القانون بأي تصريحات علنية محددة حول الحادثة. أدارت جامعة نوتنغهام الأزمة داخلياً، حيث أبلغت الطلاب مباشرة وأوقفت الأنظمة المصابة بشكل مؤقت للتحقيق .

مؤشرات الاختراق: ما المعلومات المتوفرة للدفاع؟

لم ينشر مجتمع الأمن السيبراني بعد مؤشرات اختراق (IoCs) محددة ومتعلقة بنظام PeopleSoft، مثل عناوين IP أو بصمات ملفات مرتبطة بهذه الحملة. قامت شركة Huntress بنشر "ملف تعريف للجهة المهددة" (Threat Actor Profile) يتضمن مؤشرات شبكية مرتبطة بالبنية التحتية لـ ShinyHunters، لكنها تتعلق بحملات سابقة ركزت على خدمات SaaS، وليس استغلال ثغرات PeopleSoft تحديداً .

ويشير موجز "ذا كروسووك" إلى أن أسلوب ShinyHunters التقليدي - وهو إساءة استخدام الهوية - نادراً ما ينتج مؤشرات اختراق خاصة بثغرات برمجية، مما يصعّب مهمة صيد التهديدات الدفاعية لهذه الحملة بالذات .

تصعيد 2026: سلسلة من الهجمات المدمرة

حملة PeopleSoft ليست حدثاً معزولاً، بل فصل جديد في سنة من التصعيد الوحشي من قبل ShinyHunters:

• أوائل 2026: حملة "AuraInspector" التي استغلت تكوينات خاطئة في Salesforce Experience Cloud، وأعلنت فيها العصابة عن تأثر ما يقرب من 400 منظمة .
• فبراير 2026: اختراق شركة Wynn Resorts وكشف أكثر من 800,000 سجل للموظفين، حيث تم ربط الوصول الأولي أيضاً بثغرة في Oracle PeopleSoft .
• أبريل – مايو 2026: اختراق منصة Canvas/Instructure التعليمية – أكبر عملية سرقة بيانات في تاريخ قطاع التعليم – حيث زعمت ShinyHunters سرقة 275 مليون سجل من حوالي 8,000 إلى 9,000 مؤسسة .
• مايو – يونيو 2026: اختراق شركة Charter Communications وتسريب 4.9 مليون سجل للعملاء .
• يونيو 2026: حملة Oracle PeopleSoft تضيف أكثر من 100 منظمة و300 نسخة مخترقة إلى السجل الأسود .

يأتي هذا ليؤكد تقرير شركة Verizon لتحقيقات خرق البيانات لعام 2026 (DBIR) حدوث تحول هيكلي: لأول مرة منذ 19 عاماً، تفوق استغلال الثغرات على استخدام بيانات الاعتماد المسروقة كأبرز وسيلة لبدء الاختراقات . إن تحول ShinyHunters إلى استخدام سلاسل استغلال حقيقية – بدلاً من إساءة استخدام الهوية – يتوافق مع هذا الاتجاه الأوسع، مما يشير إلى أن الحملات المتوازية واسعة النطاق ضد منصات المؤسسات المنتشرة على نطاق واسع ستستمر على الأرجح.

الدرس القاسي للجامعات

بالنسبة للجامعات، الدرس قاسٍ وواضح. نفس سلسلة التوريد البرمجية الموحدة التي جعلت منصات مثل Canvas و PeopleSoft أساسية للتعلم والإدارة عن بُعد، جعلتها أيضاً نقاط فشل كارثية عندما يجد المهاجمون ثغرة في إحدى زواياها . لم تعد حماية البنية التحتية الرقمية رفاهية، بل أصبحت ضرورة وجودية في عصر أصبح فيه الطلاب وبياناتهم هدفاً سهلاً ومربحاً.