Иранские хакеры интересуются, как пройти в библиотеку

Киберпрестпуная группировка Cobalt Dickens, действующая, по мнению многих исследователей, в интересах иранского правительства, провела в июле-августе масштабную фишинговую кампанию, направленную против более чем 60 университетов в различных странах мира. Университеты и конкретно университетские библиотеки являются главным объектом интереса этой группы, из-за чего ее нередко называют еще и Silent Librarian. По оценкам специалистов за время своего существования группировка атаковала не менее 380 университетов в 30 странах, в том числе 144 образовательных учреждения в США.

«Почерк» хакеров достаточно узнаваем. Они рассылают читателям университетских библиотек сообщения электронной почты, в которых говорится о необходимости пройти процедуру проверки аккаунта. Для этого получателям предлагается перейти по ссылке и ввести логин и пароль. Ссылка, разумеется, является фальсифицированной, хотя и ведет на страницу, тщательно имитирующую страницу авторизации соответствующей библиотеки. Правда, в последней кампании хакеры несколько изменили образ действий. Ранее они использовали укороченные ссылки, теперь же применили фальсифицированные адреса. Для этого злоумышленники через сервис Freenom зарегистрировали порядка 20 доменных имен в общих доменах верхнего уровня, позволяющих бесплатную регистрацию, таких как .ML, .GA, .CF, .GQ и .TK - специалисты компании Secureworks выявили задействованные в этих атаках доменные имена и опубликовали их список: предполагается, что это поможет положить конец фишинговой кампании.

Считается, что хакеры используют похищенные учетные данные как для перепродажи, так и для предоставления доступа к научным библиотекам мира исследователям из иранских государственных структур, лишенным этого доступа ввиду режима санкций. Весной 2018 года Министерство юстиции США выдвинуло обвинения против девяти человек, предположительно причастных к деятельности группировки Cobalt Dickens. Но поскольку все они являются гражданами Ирана и не покидают территорию своей страны, это событие никак не повлияло на деятельность хакеров.

Источник: Bleeping Computer