Весной 2018 года американские власти заочно предъявили обвинения девяти гражданам Ирана, которые, по их данным, входили в «правительственную» хак-группу, связанную с Mabna Institute — компанией, созданной в 2013 году специально для атак на университеты, редакции научных журналов, технологические компании и правительственные организации.
Сообщалась, что за годы своего существования группировка похитила более 32 терабайт академических и исследовательских данных. По данным следователей, хакеры нацеливались на 100 000 учетных записей профессоров и сотрудников образовательных учреждений по всему миру и успешно взломали около 8 000 из них. Украденную информацию злоумышленники затем продавали в даркнете.
Теперь, спустя 18 месяцев после этого, исследователи Secureworks сообщили, что данная группировка, которую специалисты называют Cobalt Dickens, по-прежнему активна и атакует учебные заведения в разных странах мира, включая США, Канаду, Великобританию, Швейцарию и Австралию.
По данным исследователей, недавняя фишинговая кампания Cobalt Dickens была направлена против 60 различных учебных заведений. Начиная с июля текущего года хакеры использовали вредоносные веб-страницы, которые маскировались под настоящие ресурсы университетов, чтобы похитить учетные данные своих целей. Людей заманивали на такие сайты с помощью фишинговых писем, содержащих соответствующие ссылки.
Как правило, такие письма сообщали жертвам, что срок действия их учетной записи в онлайн-библиотеке истечет, если те немедленно не активируют ее повторно, войдя в систему. Перейдя по ссылке из такого послания, пользователи попадали на страницы, которые выглядели как настоящие библиотечные ресурсы, широко используемые в учебных заведениях. Разумеется, все введенные на таких страницах учетные данные передавались в руки злоумышленников.
Чтобы затруднить обнаружение вредоносных ресурсов, участники Cobalt Dickens защитили многие из них с помощью HTTPS-сертификатов, а также наполнили фальшивые ресурсы контентом, извлеченным с настоящих сайтов. Так, Cobalt Dickens зарегистрировала не менее 20 новых доменов с действительными сертификатами SSL в зонах .ml, .ga, .cf, .gq и .tk. Для этого члены группы использовали бесплатные сервисы и решения: пользовались услугами хостера Freenom, сертификатами Let's Encrypt, а некоторые инструменты нашли на GitHub.
Аналитики Secureworks считают, что к настоящему моменту хакеры атаковали сотрудников и студентов в общей сложности 380 университетов более чем в 30 странах мира. И, по мнению экспертов, эти атаки будут продолжаться и далее, невзирая на обвинения, уже предъявленные членам группы.
