Okrem študentov sa so začiatkom akademického roka do škôl vrátila aj spear-phishingová kampaň iránskej APT skupiny Secret Librarian (Tajný knihovník), známej aj pod menom Cobalt Dickens.
Útočníci využívajú už overené postupy – zaregistrujú si doménu s veľmi podobným názvom, ako je doména domácej stránky univerzity. Pravidelne sa v ich webovej adrese opakujú koncovky .me (Čierna Hora), .tk (novozélandský Tokelau) a .cf (Stredoafrická republika). Na zahalenie skutočného pôvodu hostiteľských domén využívajú „knihovníci“ služby americkej spoločnosti Cloudflare. Krytie však nebolo nepriestrelné a Malwarebytes sa prostredníctvom externej pomoci podarilo vystopovať časť infraštruktúry skupiny, ktorá sa nachádza v Iráne. Výskumníci zatiaľ odhalili 25 falošných domén univerzít z viac ako tucta krajín, medzi inými USA, Veľkej Británie či Holandska.
Odhadujú však, že množstvo zasiahnutých krajín je vyššie. Bezpečnostní experti preto odporúčajú neodpisovať na e-maily, ktoré sa v univerzitnom mene dožadujú od zamestnancov a študentov prístupových údajov. „Vzhľadom na to, že Irán čelí neustálym sankciám, snaží sa držať krok so svetovým vývojom v rôznych oblastiach, vrátane technologickej. Tieto útoky ako také predstavujú národný záujem a sú dobre financované.“ Iránsky režim podobné špionážne aktivity podporuje dlhodobo. V marci 2018 boli v USA obžalovaní deviati hekeri, ktorí cielili na akademické inštitúcie. Ani to však skupinu Silent Librarians neodradilo a v útokoch pokračovali v priebehu rokov 2018 aj 2019.
Zdroj: CS
