هاجم قراصنة إيرانيون أكثر من 60 جامعة عالمية للوصول إلى المكتبة، وأجرت مجموعة كوبالت ديكنز Cobalt Dickens، المرتبطة بالحكومة الإيرانية، عمليات تصيد في شهري يوليو وأغسطس استهدفت أكثر من 60 جامعة في بلدان في أربع قارات في سبيل الوصول إلى المكتبة.
ويقول الباحثون الأمنيون: إن نشاط القرصنة للمجموعة المرتبطة بالحكومة الإيرانية أثر على 380 جامعة على الأقل في أكثر من 30 دولة، وهناك العديد من الأهداف التي هوجمت عدة مرات.
واستهدفت حملة التصيد الأخيرة مؤسسات في أستراليا؛ وهونغ كونغ؛ والولايات المتحدة؛ وكندا؛ والمملكة المتحدة؛ وسويسرا، واستخدم القراصنة الإيرانيون ما لا يقل عن 20 من أسماء النطاقات الجديدة المسجلة باستخدام خدمة (Freenom).
ويُظهر البريد الإلكتروني المزيف المُرسل من قبل مجموعة كوبالت ديكنز إلى الأشخاص الذين لديهم إمكانية الوصول إلى مكتبة الجامعة المستهدفة، رسالة تحث على إعادة تنشيط الحساب من خلال اتباع رابط مخادع.
ويُعد استخدام الرابط المخادع تغييرًا في طريقة الهجوم، حيث اعتمدت الحملات السابقة من مجموعة كوبالت ديكنز على عناوين (URL) مختصرة للتوجيه إلى صفحة تسجيل دخول مزيفة.
موضوعات ذات صلة بما تقرأ الآن:
ويقول الباحثون من وحدة مكافحة التهديدات (CTU) في شركة خدمات أمن المعلومات وحماية أجهزة Secureworks: إن اتباع الرابط المزيف يؤدي إلى صفحة ويب تبدو متطابقة أو مشابهة لمورد المكتبة المخادعة.
ويجري تخزين بيانات الدخول – بمجرد توفيرها – في ملف يسمى (pass.txt)، ويحمل مستعرض الويب موقع الجامعة الأصلي.
وغالبًا ما يلجأ القراصنة من أجل إلغاء الشكوك حول النشاط الاحتيالي إلى استخدام شهادات (TLS) صالحة لمواقع الويب الخاصة بهم، ويبدو أن معظم الشهادات التي تمت ملاحظتها في هذه الحملة مجانية، وصادرة عن هيئة المصدقة غير الربحية (Let’s Encrypt).
وتُعرف المجموعة أيضًا باسم (Silent Librarian)، وتركز على مهاجمة المؤسسات التعليمية، وذلك بالرغم من أن ضحاياها يعدون شركات قطاع خاص أيضًا.
ويبدو أن الغرض من الهجمات هو سرقة بيانات دخول حساب المكتبة وبيع الموارد الأكاديمية وكذلك الوصول إليها للعملاء في إيران.