Secret Librarian: Knihovníci, ktorí škodia školám

Secret Librarian: Knihovníci, ktorí škodia školám

Okrem študentov sa so začiatkom akademického roka do škôl vrátila aj spear-phishingová kampaň iránskej APT skupiny Secret Librarian (Tajný knihovník), známej aj pod menom Cobalt Dickens. Upozornila na to IT bezpečnostná firma Malwarebytes.

Útočníci využívajú už overené postupy – zaregistrujú si doménu s veľmi podobným názvom, ako je doména domácej stránky univerzity. Pravidelne sa v ich webovej adrese opakujú koncovky .me (Čierna Hora), .tk (novozélandský Tokelau) a .cf (Stredoafrická republika).

Na zahalenie skutočného pôvodu hostiteľských domén využívajú „knihovníci“ služby americkej spoločnosti Cloudflare. Krytie však nebolo nepriestrelné a Malwarebytes sa prostredníctvom externej pomoci podarilo vystopovať časť infraštruktúry skupiny, ktorá sa nachádza v Iráne.

[tweet https://twitter.com/peterkruse/status/1315910940311851013 align=”center”]

Výskumníci zatiaľ odhalili 25 falošných domén univerzít z viac ako tucta krajín, medzi inými USA, Veľkej Británie či Holandska. Odhadujú však, že množstvo zasiahnutých krajín je vyššie.

Bezpečnostní experti preto odporúčajú neodpisovať na e-maily, ktoré sa v univerzitnom mene dožadujú od zamestnancov a študentov prístupových údajov.

„Vzhľadom na to, že Irán čelí neustálym sankciám, snaží sa držať krok so svetovým vývojom v rôznych oblastiach, vrátane technologickej. Tieto útoky ako také predstavujú národný záujem a sú dobre financované.“

Iránsky režim podobné špionážne aktivity podporuje dlhodobo. V marci 2018 boli v USA obžalovaní deviati hekeri, ktorí cielili na akademické inštitúcie. Ani to však skupinu Silent Librarians neodradilo a v útokoch pokračovali v priebehu rokov 2018 aj 2019.


Michael Andruch