18 meses após a acusação, phishers iranianos ainda estão mirando universidades

9

Aurich Lawson / Getty

Em março de 2018, nove iranianos foram acusados ​​criminalmente por seu envolvimento com o Instituto Mabna, uma empresa promotora federal disse que foi criada em 2013 com o objetivo expresso de usar invasões cibernéticas coordenadas para roubar terabytes de dados acadêmicos de universidades, editores de periódicos acadêmicos, empresas de tecnologia e organizações governamentais. Quase 18 meses depois, as atividades de hackers do grupo ainda estão fortes, afirmou a Secureworks, uma empresa de segurança da Dell, na quarta-feira.

O grupo de hackers, que os pesquisadores da Secureworks chamam de Cobalt Dickens, empreendeu recentemente uma operação de phishing que visava mais de 60 universidades em países como EUA, Canadá, Reino Unido, Suíça e Austrália, de acordo com um relatório. A partir de julho, Cobalt Dickens usou páginas maliciosas da Web que falsificaram recursos legítimos da universidade na tentativa de roubar as senhas de indivíduos-alvo. Os indivíduos foram atraídos por e-mails como o abaixo, datado de 2 de agosto.

Secureworks

Os e-mails informavam aos alvos que suas contas de biblioteca on-line expirariam, a menos que os reativassem fazendo login. Aqueles que digitaram senhas foram redirecionados para o site legítimo da biblioteca sendo falsificado, enquanto nos bastidores, o site falsificado armazenava a senha em um arquivo chamado pass.txt. Abaixo está um diagrama de como o golpe funcionou:

Secureworks

Os links nos e-mails levavam diretamente às páginas falsificadas, um afastamento de uma operação da Cobalt Dickens em relação ao ano passado, que dependia de encurtadores de links. Para facilitar a mudança, os atacantes registraram mais de 20 novos domínios para aumentar um grande número de domínios usados ​​em campanhas anteriores. Para dificultar a localização dos sites maliciosos, a Cobalt Dickens protegeu muitos deles com certificados HTTPS e os preencheu com conteúdo extraído diretamente dos sites falsificados.

Os membros do grupo usaram serviços gratuitos ou ferramentas de software do provedor de domínio Freenom, provedor de certificados Let's Encrypt e Github. Em alguns casos, eles também deixaram pistas nos comentários ou metadados de páginas falsas de que eles eram de fato iranianos.

Secureworks

Secureworks

Os promotores federais disseram há 18 meses que o grupo de ataque tinha como alvo mais de 100.000 contas de professores em todo o mundo e comprometeu com sucesso cerca de 8.000 delas. Os acusados ​​roubaram quase 32 terabytes de dados acadêmicos e propriedade intelectual. Os acusados ​​venderam os dados roubados em sites. A Secureworks disse que o Cobalt Dickens até hoje tem como alvo pelo menos 380 universidades em mais de 30 países.

A ousadia da nova operação ressalta os resultados limitados que as acusações criminais têm contra muitos tipos de atacantes. Uma contramedida muito mais eficaz seria o uso da autenticação multifatorial, que neutralizaria imediatamente as operações e exigiria que os atacantes dediquem consideravelmente mais recursos. A forma mais eficaz de AMF é o setor de todo o setor Padrão WebAuthn, mas mesmo senhas únicas baseadas em tempo de um aplicativo autenticador ou, se nada mais for possível, uma senha única enviada por mensagem SMS teria vencido as campanhas.

Fonte: Ars Technica