由伊朗黑客瞄准的英国大学
根据“安全作业”反威胁单位(CTU),网络知识产权盗贼在英国和13个国家的大学拥有超过70所大学。
据信该活动旨在旨在窃取目标大学窃取研究,并与与伊朗政府相关的钴狄更斯群体有关。
SecureWorks的研究人员在为大学发现欺骗登录页面时发现了该活动。进一步研究托管欺骗网页的IP地址揭示了更广泛的窃取凭据的运动。
大约16个世纪,有超过300个欺骗网站和位于英国的76所大学的登录页面,包括美国,加拿大,中国,以色列,瑞士,澳大利亚和日本。
在将其凭据输入假登录页面后,受害者被重定向到合法网站,在那里他们被自动登录到有效的会话,或者提示重新输入其凭据。
许多欺骗域引用了目标大学的在线图书馆系统,指示威胁演员的意图访问这些资源。
研究人员无法确认所有已识别的欺骗页面的功能,因为在分析时不可能访问一些域。
在2018年5月至8月之间,许多域名在2018年5月至8月之间注册,最近在8月19日注册。域名注册表明,当CTU研究人员发现活动时,仍然正在创建基础架构。
在此广告系列中观察到的大多数域都决定了相同的IP地址和DNS名称服务器。2018年5月注册的域也包含了欺骗大学目标的子域。这些子域将访问者重定向到其他攻击者控制的域上的欺骗登录页面。
在线学术资源的目标类似于伊朗网络攻击组以前的网络行动。在那些运营中,这也与八月攻击共享基础设施,Cobalt Dickens集团创建了面向Phish Target的域,并使用凭证窃取知识产权具体资源,包括图书馆系统。
2018年3月,美国司法部在2013年至2017年间,联合国司法部和九名伊朗国民致力于威胁小组的活动。
尽管公开披露,但CTU分析表明,尽管有针对一些成员的起诉书,但CTU分析表明,CTU分析可能会对最新的大学的统治者负责。
大学是有兴趣获得知识产权的威胁行动者的有吸引力的目标。除了比重大监管的金融或医疗组织更难以保力,众所周知,大学将开发尖端研究。
CTU研究人员联系了各种全球合作伙伴来解决这种威胁。他们认为,这种广泛的登录页面窃取凭据强化了组织需要使用安全协议来合并多因素认证,并在可公开可访问的系统上实现复杂的密码要求。
CTU研究人员建议组织实施培训计划,以教育用户有关安全威胁的建议,包括认可和报告可疑电子邮件的指导。