Iraanse hackers vallen universiteiten wereldwijd aan

Een Iraanse cybercrimegroepering heeft de afgelopen maanden gericht universiteiten wereldwijd aangevallen. In totaal waren 76 universiteiten doelwit in 14 verschillende landen doelwit, waaronder Australië, Canada, China, Israël, Japan, Turkije, het Verenigd Koninkrijk, de Verenigde Staten en Zwitserland.

De aanvallen zijn ontdekt door onderzoekers van Secureworks' Counter Threat Unit (CTU). De onderzoekers kwamen vervalste inlogpagina voor een universiteit op het spoor en hebben deze pagina nader onderzocht. Het IP-adres dat werd gebruikt om deze vervalste inlogpagina te hosten, bleek ook gekoppeld te zijn aan een bredere campagne om inloggegevens te stelen. In totaal ging het om 16 domeinnamen, waarop vervalste webpagina voor in totaal 300 websites en inlogpagina's van 76 universiteiten wereldwijd werden aangeboden.

Toegang tot online bibliotheken

Indien slachtoffers op de vervalste pagina hun inloggegevens invoerden, werden zij doorgestuurd naar de legitieme website waarop zij dachten in te loggen. In sommige gevallen werden gebruikers hierbij automatisch ingelogd, terwijl zij in andere gevallen opnieuw hun inloggegevens moesten invoeren. De domeinnamen die door de aanvallers zijn gebruikt houden in veel gevallen verband met online bibliotheken van de universiteiten. Secureworks concludeert dan ook dat de aanvallers toegang wilden verkrijgen tot deze bibliotheken.

Secureworks meldt overeenkomsten te zien met een eerder aanvalscampagnes van de cybercrimegroepering COBALT DICKENS, die banden heeft met de Iraanse overheid. Deze campagnes waren eveneens gericht op het verkrijgen van toegang tot online bronnen van universiteiten. Verschillende leden van COBALT DICKENS zijn inmiddels aangeklaagd.