Okrem študentov sa so začiatkom akademického roka do škôl vrátila aj spear-phishingová kampaň iránskej APT skupiny Secret Librarian (Tajný knihovník), známej aj pod menom Cobalt Dickens. Upozornila na to IT bezpečnostná firma Malwarebytes.
Útočníci využívajú už overené postupy – zaregistrujú si doménu s veľmi podobným názvom, ako je doména domácej stránky univerzity. Pravidelne sa v ich webovej adrese opakujú koncovky .me (Čierna Hora), .tk (novozélandský Tokelau) a .cf (Stredoafrická republika).
Na zahalenie skutočného pôvodu hostiteľských domén využívajú „knihovníci“ služby americkej spoločnosti Cloudflare. Krytie však nebolo nepriestrelné a Malwarebytes sa prostredníctvom externej pomoci podarilo vystopovať časť infraštruktúry skupiny, ktorá sa nachádza v Iráne.
Today Iranian APT Silent Librarian (aka Cobalt Dickens or TA407) is attacking Nanyang Technological University in Singapore: https://t.co/F701O9oA5m[.]https://t.co/f3xtxAdzGZ @CSAsingapore @douglasmun pic.twitter.com/wdxHu6Nhz4
— peterkruse (@peterkruse) October 13, 2020
Výskumníci zatiaľ odhalili 25 falošných domén univerzít z viac ako tucta krajín, medzi inými USA, Veľkej Británie či Holandska. Odhadujú však, že množstvo zasiahnutých krajín je vyššie.
Bezpečnostní experti preto odporúčajú neodpisovať na e-maily, ktoré sa v univerzitnom mene dožadujú od zamestnancov a študentov prístupových údajov.
„Vzhľadom na to, že Irán čelí neustálym sankciám, snaží sa držať krok so svetovým vývojom v rôznych oblastiach, vrátane technologickej. Tieto útoky ako také predstavujú národný záujem a sú dobre financované.“
Iránsky režim podobné špionážne aktivity podporuje dlhodobo. V marci 2018 boli v USA obžalovaní deviati hekeri, ktorí cielili na akademické inštitúcie. Ani to však skupinu Silent Librarians neodradilo a v útokoch pokračovali v priebehu rokov 2018 aj 2019.
Michael Andruch