0
0
Uma operação de hackers iraniana expandiu uma campanha global de phishing que visa as universidades na tentativa de roubar nomes de usuário e senhas.
Apelidada de Colbalt Dickens, a campanha foi inicialmente detalhada em agosto do ano passado , com pesquisadores do Secureworks culpando ataques cibernéticos contra universidades de 14 países em um grupo de hackers vinculado ao governo iraniano. O objetivo dos ataques é roubar propriedade intelectual, que pode ser explorada ou vendida com fins lucrativos.
“Esta campanha visa acessar a pesquisa acadêmica que pode ser aplicada a outros benefícios econômicos e é uma resposta direta às sanções e um êxodo de talentos acadêmicos do Irã para países onde eles podem participar e se beneficiar de acadêmicos abertos e colaborativos. Allison Wikoff, pesquisador de segurança sênior da Secureworks, disse ao ZDNet.
Nove membros do grupo foram indiciados pelo Departamento de Justiça dos EUA por conduzir campanhas de roubo cibernético em nome das forças armadas iranianas – o Corpo da Guarda Revolucionária Islâmica – mas isso não teve nenhum impacto nas operações do grupo de hackers, porque, apesar desses ataques direcionados ainda estão ocorrendo.
Agora, a Unidade de Contra-Ameaça Secureworks (CTU) detalhou novos ataques de Colbalt Dickens, que ocorreram em julho e agosto deste ano. Mais de 60 universidades na Austrália, Estados Unidos, Reino Unido, Canadá, Hong Kong e Suíça foram alvo de uma nova campanha global de phishing .
Como ataques anteriores do grupo, os e-mails de phishing são baseados em serviços de bibliotecas on-line, alegando que o usuário precisa reativar sua conta clicando em um link . Enquanto as campanhas anteriores usavam um encurtador de URL para ocultar o endereço da Web da página de login da biblioteca falsificada, desta vez os atacantes estão usando um URL falsificado que parece genuíno.
Aqueles que clicam no link são direcionados para uma página da Web muito parecida – ou mesmo idêntica – ao recurso de biblioteca dessa universidade e solicitados a inserir suas credenciais de login, um ato que fornece seu nome de usuário e senha aos atacantes. Para evitar levantar suspeitas, o usuário é direcionado para a versão legítima do site falsificada após a inserção dos detalhes.
Para ajudar a executar esta campanha mais recente, a Cobalt Dickens registrou pelo menos 20 novos domínios, completos com certificados SSL válidos nos domínios .ml, .ga, .cf, .gq e .tk – todos os domínios maliciosos foram detalhados na gravação completa dos ataques .
O grupo também emprega ferramentas e códigos publicamente disponíveis retirados do GitHub para ajudar a conduzir os ataques de uma maneira que permita evitar o uso de malware, para que eles não sejam detectados pelo software de segurança cibernética.
A partir de setembro de 2019, acredita-se que os hackers iranianos tenham atingido pelo menos 380 universidades em mais de 30 países – com algumas segmentadas várias vezes – e acredita-se que os ataques contra professores e estudantes continuem.
Para ajudar a combater a ameaça de ataques de phishing, os pesquisadores recomendam que universidades e instituições educacionais implementem a autenticação multifator.
“Embora a implementação de controles de segurança adicionais como o MFA possa parecer onerosa em ambientes que valorizam a flexibilidade e a inovação do usuário, as contas de senha única são inseguras. Os pesquisadores da CTU recomendam que todas as organizações protejam os recursos da Internet com o MFA para mitigar ameaças focadas em credenciais”, disse Wikoff .
As universidades são um alvo atraente para os ciberataques porque, além de conter grandes quantidades de propriedade intelectual e pesquisas de ponta, também não são tão fortemente regulamentadas quanto outras indústrias, como as financeiras.