Dang Cuong
Member
-
22/06/2019
-
5
-
14 bài viết
Tin tặc Iran tiếp tục các cuộc tấn công lừa đảo đánh cắp thông tin chống lại các trường đại học trên khắp thế giới
Một hoạt động hack của Iran đã mở rộng toàn cầu chiến dịch lừa đảo nhắm vào các trường đại học trong nỗ lực đánh cắp tên người dùng và mật khẩu.
Được mệnh danh là Colbalt Dickens, chiến dịch ban đầu được chi tiết vào tháng 8 năm ngoái, với các nhà nghiên cứu tại Secureworks đổ lỗi cho các cuộc tấn công mạng nhắm vào các trường đại học ở 14 quốc gia trong một nhóm hack liên kết với chính phủ Iran. Mục đích của các cuộc tấn công là đánh cắp tài sản trí tuệ, có thể được khai thác hoặc bán để kiếm lợi nhuận.
"Chiến dịch này nhằm mục đích tiếp cận nghiên cứu học thuật có thể được áp dụng cho các lợi ích kinh tế và khác, và là một phản ứng trực tiếp đối với các lệnh trừng phạt và một cuộc di cư của tài năng học thuật từ Iran đến các quốc gia nơi họ có thể tham gia và hưởng lợi từ học thuật mở và hợp tác nghiên cứu, "Allison Wikoff, nhà nghiên cứu bảo mật cao cấp tại Secureworks nói với ZDNet.
Chín thành viên của nhóm đã bị Bộ Tư pháp Hoa Kỳ truy tố vì thực hiện các chiến dịch trộm cắp trên mạng thay mặt cho quân đội Iran – Lực lượng Vệ binh Cách mạng Hồi giáo – nhưng điều đó không có tác động gì đến hoạt động của nhóm hack, bởi vì những điều này các cuộc tấn công nhắm mục tiêu vẫn đang diễn ra.
Bây giờ Đơn vị Đe dọa Bảo mật (CTU) có các cuộc tấn công mới chi tiết bởi Colbalt Dickens, diễn ra vào tháng Bảy và tháng Tám năm nay. Hơn 60 trường đại học ở Úc, Hoa Kỳ, Vương quốc Anh, Canada, Hồng Kông và Thụy Sĩ đã được nhắm mục tiêu trong một toàn cầu mới lừa đảo chiến dịch.
Giống như các cuộc tấn công trước đây của nhóm, các email lừa đảo dựa trên các dịch vụ thư viện trực tuyến, cho rằng người dùng cần phải phản ứng lại tài khoản của họ bằng cách nhấp vào một liên kết. Mặc dù các chiến dịch trước đó đã sử dụng trình rút ngắn URL để che khuất địa chỉ web của trang đăng nhập thư viện giả mạo, nhưng lần này những kẻ tấn công đang sử dụng URL giả mạo Điều đó dường như là chính hãng.
Những người nhấp vào liên kết được dẫn đến một trang web trông rất giống nhau – hoặc thậm chí giống hệt – với tài nguyên thư viện của trường đại học đó và yêu cầu nhập thông tin đăng nhập của họ, một hành động cung cấp tên người dùng và mật khẩu của họ cho những kẻ tấn công. Để tránh gây nghi ngờ, người dùng được chuyển đến phiên bản hợp pháp của trang web bị giả mạo sau khi chi tiết của họ được nhập.
Để giúp chạy chiến dịch mới nhất này, Cobalt Dickens đã đăng ký ít nhất 20 tên miền mới, hoàn thành với chứng chỉ SSL hợp lệ trên các tên miền .ml, .ga, .cf, .gq và .tk – tất cả các tên miền độc hại đã được nêu chi tiết trong viết đầy đủ các cuộc tấn công.
Nhóm cũng sử dụng các công cụ và mã có sẵn công khai được lấy từ GitHub để giúp tiến hành các cuộc tấn công theo cách cho phép chúng tránh sử dụng phần mềm độc hại, do đó chúng có thể vẫn không bị phát hiện bởi phần mềm an ninh mạng.
Kể từ tháng 9 năm 2019, người ta nghĩ rằng tin tặc Iran đã nhắm mục tiêu vào ít nhất 380 trường đại học ở hơn 30 quốc gia – với một số mục tiêu được nhắm mục tiêu nhiều lần – và tin rằng các cuộc tấn công nhắm vào giảng viên và sinh viên sẽ tiếp tục.
Để giúp chống lại mối đe dọa của các cuộc tấn công lừa đảo, các nhà nghiên cứu khuyên rằng các trường đại học và tổ chức giáo dục thực hiện xác thực đa yếu tố.
"Trong khi thực hiện các kiểm soát bảo mật bổ sung như MFA có vẻ nặng nề trong môi trường coi trọng sự linh hoạt và đổi mới của người dùng, các tài khoản mật khẩu đơn lẻ không an toàn. Các nhà nghiên cứu của CTU khuyến nghị tất cả các tổ chức bảo vệ tài nguyên trên Internet với MFA để giảm thiểu các mối đe dọa tập trung vào thông tin", Wikoff nói. .
Các trường đại học tạo mục tiêu hấp dẫn cho những kẻ tấn công mạng bởi vì, không chỉ chứa một lượng lớn tài sản trí tuệ và nghiên cứu tiên tiến, chúng còn không được kiểm soát chặt chẽ như các ngành công nghiệp khác như tài chính.
"Chiến dịch này nhằm mục đích tiếp cận nghiên cứu học thuật có thể được áp dụng cho các lợi ích kinh tế và khác, và là một phản ứng trực tiếp đối với các lệnh trừng phạt và một cuộc di cư của tài năng học thuật từ Iran đến các quốc gia nơi họ có thể tham gia và hưởng lợi từ học thuật mở và hợp tác nghiên cứu, "Allison Wikoff, nhà nghiên cứu bảo mật cao cấp tại Secureworks nói với ZDNet.
Chín thành viên của nhóm đã bị Bộ Tư pháp Hoa Kỳ truy tố vì thực hiện các chiến dịch trộm cắp trên mạng thay mặt cho quân đội Iran – Lực lượng Vệ binh Cách mạng Hồi giáo – nhưng điều đó không có tác động gì đến hoạt động của nhóm hack, bởi vì những điều này các cuộc tấn công nhắm mục tiêu vẫn đang diễn ra.
Bây giờ Đơn vị Đe dọa Bảo mật (CTU) có các cuộc tấn công mới chi tiết bởi Colbalt Dickens, diễn ra vào tháng Bảy và tháng Tám năm nay. Hơn 60 trường đại học ở Úc, Hoa Kỳ, Vương quốc Anh, Canada, Hồng Kông và Thụy Sĩ đã được nhắm mục tiêu trong một toàn cầu mới lừa đảo chiến dịch.
Giống như các cuộc tấn công trước đây của nhóm, các email lừa đảo dựa trên các dịch vụ thư viện trực tuyến, cho rằng người dùng cần phải phản ứng lại tài khoản của họ bằng cách nhấp vào một liên kết. Mặc dù các chiến dịch trước đó đã sử dụng trình rút ngắn URL để che khuất địa chỉ web của trang đăng nhập thư viện giả mạo, nhưng lần này những kẻ tấn công đang sử dụng URL giả mạo Điều đó dường như là chính hãng.
Những người nhấp vào liên kết được dẫn đến một trang web trông rất giống nhau – hoặc thậm chí giống hệt – với tài nguyên thư viện của trường đại học đó và yêu cầu nhập thông tin đăng nhập của họ, một hành động cung cấp tên người dùng và mật khẩu của họ cho những kẻ tấn công. Để tránh gây nghi ngờ, người dùng được chuyển đến phiên bản hợp pháp của trang web bị giả mạo sau khi chi tiết của họ được nhập.
Để giúp chạy chiến dịch mới nhất này, Cobalt Dickens đã đăng ký ít nhất 20 tên miền mới, hoàn thành với chứng chỉ SSL hợp lệ trên các tên miền .ml, .ga, .cf, .gq và .tk – tất cả các tên miền độc hại đã được nêu chi tiết trong viết đầy đủ các cuộc tấn công.
Nhóm cũng sử dụng các công cụ và mã có sẵn công khai được lấy từ GitHub để giúp tiến hành các cuộc tấn công theo cách cho phép chúng tránh sử dụng phần mềm độc hại, do đó chúng có thể vẫn không bị phát hiện bởi phần mềm an ninh mạng.
Kể từ tháng 9 năm 2019, người ta nghĩ rằng tin tặc Iran đã nhắm mục tiêu vào ít nhất 380 trường đại học ở hơn 30 quốc gia – với một số mục tiêu được nhắm mục tiêu nhiều lần – và tin rằng các cuộc tấn công nhắm vào giảng viên và sinh viên sẽ tiếp tục.
Để giúp chống lại mối đe dọa của các cuộc tấn công lừa đảo, các nhà nghiên cứu khuyên rằng các trường đại học và tổ chức giáo dục thực hiện xác thực đa yếu tố.
"Trong khi thực hiện các kiểm soát bảo mật bổ sung như MFA có vẻ nặng nề trong môi trường coi trọng sự linh hoạt và đổi mới của người dùng, các tài khoản mật khẩu đơn lẻ không an toàn. Các nhà nghiên cứu của CTU khuyến nghị tất cả các tổ chức bảo vệ tài nguyên trên Internet với MFA để giảm thiểu các mối đe dọa tập trung vào thông tin", Wikoff nói. .
Các trường đại học tạo mục tiêu hấp dẫn cho những kẻ tấn công mạng bởi vì, không chỉ chứa một lượng lớn tài sản trí tuệ và nghiên cứu tiên tiến, chúng còn không được kiểm soát chặt chẽ như các ngành công nghiệp khác như tài chính.
Theo : gioicongnghe