GÉANT: Linux-sårbarheder, AI og identitetstyveri prægede trusselsbilledet i andet kvartal
En række alvorlige Linux-sårbarheder, et globalt databrud hos læringsplatformen Canvas og fremkomsten af nye phishingmetoder satte sit præg på cybertrusselslandskabet for forsknings- og uddannelsessektoren i andet kvartal af 2026. Det fremgår af GÉANTs trusselsrapport for andet kvartal 2026, der netop er udkommet.
Linux kom under massivt pres
Ifølge rapporten blev kvartalet domineret af en exceptionel bølge af lokale privilege escalation-sårbarheder i Linux-kernen. Forløbet begyndte med offentliggørelsen af Copy Fail (CVE-2026-31431) i slutningen af april og blev efterfulgt af en række beslægtede sårbarheder, herunder Dirty Frag, Fragnesia, DirtyClone, DirtyDecrypt, PinTheft og CIFSwitch.
GÉANT skriver, at sårbarhederne er særligt relevante for miljøer med delt Linux-infrastruktur, HPC-klynger, containerplatforme og forskningsmiljøer, hvor mange brugere deler ressourcer. Flere af fejlene gjorde det muligt for en lokal bruger at opnå root-rettigheder uden særlige forudsætninger, og i flere tilfælde blev fungerende exploit-kode offentliggjort kort efter afsløringen.
GÉANT anbefaler, at organisationer prioriterer opdatering og genstart af berørte Linux-systemer samt gennemgår brugen af udsatte moduler og tjenester som IPsec, RDS, AFS og CIFS.
Canvas-brud ramte millioner af brugere
Kvartalets mest markante sikkerhedshændelse var kompromitteringen af læringsplatformen Canvas, som anvendes af tusindvis af uddannelsesinstitutioner verden over. Trusselsaktøren ShinyHunters hævdede at have stjålet omkring 3,6 terabyte data fra platformen med oplysninger om op til 275 millioner brugere.
Angrebet blev ifølge rapporten muliggjort gennem en supporthenvendelse med et vedhæftet JavaScript-dokument, som blev åbnet af en Canvas-medarbejder. Det gav angriberne adgang til interne systemer og efterfølgende mulighed for omfattende dataeksfiltration.
Hændelsen understreger den stigende risiko ved de store uddannelsesteknologiske platforme, som samler enorme mængder elev-, studie- og forskningsdata ét sted. GÉANT peger på, at flere af de mest udbredte uddannelsesplatforme har været ramt af alvorlige sikkerhedshændelser inden for de seneste 18 måneder.
AI ændrer trusselslandskabet (igen)
Rapporten fremhæver samtidig, at kunstig intelligens spiller en stadig større rolle på begge sider af cyberkonflikten. AI anvendes i stigende grad af trusselsaktører til at automatisere phishing, malwareudvikling og rekognoscering, mens sikkerhedsforskere benytter teknologien til at identificere sårbarheder langt hurtigere end tidligere.
Et af kvartalets mest opsigtsvækkende eksempler var en analyse af en større open source-browser, hvor et avanceret AI-system identificerede 271 bekræftede sårbarheder, heraf 180 med høj alvorlighed. Samtidig rapporterer GÉANT, at brugen af såkaldt "shadow AI" fortsætter med at vokse blandt medarbejdere, hvilket øger risikoen for utilsigtet deling af følsomme data til eksterne AI-tjenester.
Device code phishing vinder frem
En anden udvikling, som rapporten advarer om, er den stigende anvendelse af såkaldt device code phishing. Metoden misbruger en legitim OAuth-funktion, der normalt bruges til login på enheder med begrænsede inputmuligheder som tv-skærme og møderumsudstyr.
I stedet for at stjæle adgangskoder overtaler angriberne brugeren til at indtaste en kode på Microsofts legitime login-side. Resultatet er, at angriberen modtager en gyldig sessionstoken og dermed adgang til kontoen uden at kende brugerens kodeord. Teknikken er blevet observeret mod en lang række sektorer, herunder universiteter og forskningsinstitutioner.
International politiaktion ramte cyberkriminelle netværk
Midt i et ellers travlt trusselsbillede noterer rapporten også en markant succes for international retshåndhævelse. Under Operation Endgame blev infrastrukturen bag malwarefamilierne SocGholish, StealC og Amadey ramt af koordinerede aktioner i juni.
Myndigheder beslaglagde hundredvis af servere og domæner, inddrog millioner af stjålne legitimationsoplysninger og frøs kryptovaluta for betydelige beløb. Operationen ramte aktører, der ofte fungerer som leverandører af adgang til efterfølgende ransomwareangreb og datatyveri.
ShinyHunters dominerede kvartalet
Blandt de trusselsaktører, som GÉANT fremhæver, skiller især ShinyHunters sig ud. Gruppen forbindes ikke blot med Canvas-hændelsen, men også med angreb mod Oracle PeopleSoft-miljøer og andre centrale platforme i uddannelsessektoren.
Rapporten beskriver gruppen som den mest forstyrrende aktør mod uddannelsessektoren i 2026 og peger på, at kombinationen af leverandørkompromitteringer, datatyveri og afpresning fortsat udgør en af de mest presserende udfordringer for sektoren.
Hvad er GÉANT?
GÉANT er den europæiske samarbejdsorganisation for e-infrastruktur og tjenester til forskning og uddannelse. GÉANT udvikler og driver et højhastighedsnetværk, der forbinder europæiske forskningsnetværk med hinanden og med resten af verden. Endvidere koordinerer GÉANT en række EU-støttede udviklingsprojekter. DeiC anvender GÉANTs netværk til at give brugerne af forskningsnettet forbindelse til udlandet. Det sker via DeiCs forbindelse til NORDUnet.
Endvidere er DeiC aktiv i arbejdsgrupper, udvalg og udviklingsprojekter i GÉANT.
DKCERT indgår i en række samarbejdsprojekter i GÉANT på sikkerhedsdagsordenen, herunder et cyber threat intelligence-projekt, der bl.a. udgiver de kvartårlige trusselsrapporter.