Иранская кибергруппировка Cobalt Dickens (также известна как Silent Librarian) продолжает охоту за интеллектуальной собственностью западных организаций. В августе эксперты Secureworks обнаружили новые фишинговые атаки, от которых пострадали университеты, государственные учреждения и коммерческие компании в 14 странах.

Впервые об этой угрозе стало известно в марте благодаря исследованию специалистов Phishlabs. Они рассказали, что иранские киберпреступники разработали эффективную схему для кражи учетных данных, которая на протяжении уже нескольких лет позволяет им скачивать платные учебные материалы. Для этого они атакуют преподавательский состав, с чьих аккаунтов можно получить доступ к электронным архивам образовательных учреждений.

Чтобы заманить жертв на свои сайты, взломщики используют фишинговые письма якобы от университетских библиотек. Эксперты отмечают грамотность этих текстов, которая вкупе с впечатляющей организационно-технической подготовкой обеспечивает высокую результативность рассылок. Это позволяет группировке практически не менять содержание своих сообщений с первых кампаний в 2014 году.

По информации ФБР, к марту 2018 года злоумышленники украли свыше 31,5 ТБ данных более чем у 300 университетов в 22 странах мира. Атаки коснулись 100 тыс. пользователей, из которых взлому подверглись около 8 тыс. Эксперты оценили материальный ущерб в $3,4 млрд.

Министерство юстиции США подозревает в совершении атак иранскую компанию Mabna Institute, которая перепродает материалы и пользовательские аккаунты в Интернете. По мнению ведомства, особо ценная информация — научные исследования, инженерные разработки, корпоративные и секретные правительственные сведения — попадает к сотрудникам иранских спецслужб.

Вскоре после отчета Phishlabs американский суд заочно обвинил девять сотрудников Mabna в проведении кибератак и краже персональных данных. Подозреваемые также попали в список наиболее разыскиваемых ФБР преступников. Ожидалось, что после этого группировка снизит активность, однако перерыва в кампаниях фактически не было.

Недавняя фишинговая волна затронула 76 университетов в Австралии, Великобритании, Израиле, США, Канаде, Китае, Турции, Швейцарии, Японии. Злоумышленники создали более 300 поддельных сайтов, выдавая их за страницы входа в университетские порталы и онлайн-библиотеки. Специалисты изучили использованные домены и выяснили, что они были зарегистрированы в период с мая по август.

Эксперты связались с пострадавшими организациями и передали им рекомендации по укреплению безопасности. В частности, для защиты от фишинга следует внедрять системы многофакторной аутентификации, а при создании паролей необходимо проверять их на устойчивость.

Ранее исследователи Google и ученые из Калифорнийского университета в Беркли выяснили, что фишинг представляет наибольшую опасность для конфиденциальности учетных записей. Хотя в количественном отношении жертвы этой техники уступают пользователям, пострадавшим от утечек паролей, статистически вероятность лишиться своего аккаунта больше именно у них.

Категории: Мошенничество, Хакеры