Un grupo de piratas informáticos, con presuntos vínculos con Irán, continúa una campaña dirigida a decenas de escuelas y universidades con correos electrónicos de phishing para obtener credenciales y luego intentar acceder y robar propiedad intelectual, de acuerdo a un nuevo análisis de SecureWorks.
En julio y agosto, el grupo de hacking, que lleva los nombres de “Cobalt Dickens” y “Secret Librarian”, se dirigió a 60 universidades y colegios en Estados Unidos, Reino Unido, Australia, Canadá, Hong Kong y Suiza.
Los criminales utilizaron logotipos y otros materiales copiados de los sitios web legítimos de la escuela, para ayudar a crear correos electrónicos de phishing de aspecto realista, así como páginas de inicio de sesión falsificadas. Estas mismas técnicas también fueron parte de una campaña similar en 2018 que los investigadores de SecureWorks también investigaron.
Los investigadores han identificado a 380 colegios y universidades de todo el mundo a los que los actores del mal se han dirigido en los últimos dos años, algunos de ellos más de una vez, según el análisis.
En esta última campaña, no está claro si Colbalt Dickens robó con éxito la propiedad intelectual, aunque algunos delincuentes asociados con el grupo han llevado a cabo robos en el pasado, señala el informe.
Colbalt Dickens continúa su campaña a pesar de que al menos nueve de sus presuntos miembros fueron acusados por el Departamento de Justicia de Estados Unidos en marzo de 2018 por cargos que incluían intrusión informática, fraude electrónico y robo de identidad.
Los nueve piratas informáticos pertenecían a una organización llamada Instituto Mabna, que se considera a sí misma como un centro de investigación, aunque los fiscales sospechan que tiene vínculos con el Cuerpo de la Guardia Revolucionaria Islámica de Irán, un grupo paramilitar que también está involucrado en el ciberespionaje.
Uno de los principales objetivos del instituto era ayudar a robar la propiedad intelectual, según la acusación.
A pesar del escrutinio de los investigadores y de las fuerzas de seguridad de Estados Unidos, el grupo de piratas ha continuado enviando correos electrónicos de phishing a víctimas potenciales durante los últimos 18 meses, dice Allison Wikoff, investigadora principal de la Unidad de Contra Amenazas de SecureWorks.
“No hemos observado ningún cambio en las operaciones desde los incidentes de 2018, que es lo que en parte hace que esta actividad sea tan notable”, dijo Wikoff a Information Security Media Group. “Cobalt Dickens todavía usa parte de la infraestructura asociada con la actividad de acusación.”
Durante sus campañas de este año y el año pasado, Cobalt Dickens utilizó correos electrónicos de phishing para dirigirse a las víctimas con el fin de robarles sus credenciales, dicen los investigadores. En la mayoría de los casos, estos mensajes maliciosos parecían correos electrónicos legítimos de la oficina de servicios de biblioteca de una escuela, señala el informe de investigación.
A diferencia de la campaña de 2018, que usó enlaces acortados para ocultar la actividad maliciosa, los incidentes de julio y agosto incluyeron correos electrónicos que contenían URL falsificados que dirigían a la víctima a una página falsa diseñada para parecerse a los servicios de biblioteca de una escuela, señalan los investigadores.
Si la víctima introdujo sus credenciales, esos datos se almacenaron localmente en servidores controlados por los atacantes y la víctima fue redirigida al sitio web de la biblioteca legítima, dicen los investigadores de SecureWorks.
En preparación para la campaña en julio y agosto, los integrantes de Cobalt Dickens registraron 20 nuevos dominios para ayudar a falsificar los sitios web de las universidades. En muchos casos, los dominios contenían certificados Secure Sockets Layer para darles un aire más de autenticidad, encontró SecureWorks.
En muchos casos, los investigadores de SecureWorks dicen que el grupo Cobalt Dickens utilizó varias herramientas gratuitas de GitHub y otros repositorios de codificación para ayudar a copiar las páginas de inicio de sesión de estas universidades y a evitar la detección. Un análisis de los metadatos reveló que los atacantes copiaban versiones antiguas del sitio web de una escuela como parte de la campaña de suplantación de identidad.
Después de que SecureWorks encontrara esta última campaña, los sitios falsificados fueron retirados, señala el informe, que no revelaba los nombres de las universidades a las que iban dirigidos.
Como parte de su investigación, el equipo de SecureWorks pudo identificar indicios de que algunas de las actividades de Cobalt Dickens podrían estar relacionadas con Irán examinando el código malicioso. Por ejemplo, los metadatos de la última campaña contenían un sello de tiempo relacionado con Irán, señala el informe.
“Las[tácticas, técnicas y procedimientos] de la actividad de Cobalt Dickens cubierta en una investigación de 2019 y 2018 son casi idénticas a las reveladas en la acusación del Instituto Mabna del Departamento de Justicia de Estados Unidos de marzo de 2018”, dice Wikoff. “Esto incluye la infraestructura creada, las metodologías de phishing y las víctimas. Además, gran parte de la infraestructura tiene un nexo iraní, al igual que las herramientas utilizadas para configurar los sitios web falsificados”.
Los ataques de Cobalt Dickens dirigidos a robar la propiedad intelectual no son los primeros que se dirigen a las universidades, especialmente a las que se dedican a la investigación de vanguardia y a otros proyectos.
En octubre de 2018, Kaspersky publicó un informe que mostraba que más de 130 universidades y escuelas de 16 países eran víctimas de correos electrónicos de phishing diseñados para robar credenciales que darían a los atacantes un mayor acceso a grandes partes de la red. El objetivo parecía haber sido robar la propiedad intelectual y los datos sensibles. En muchos casos, se utilizaron sitios web de escuelas falsificados para atraer a las víctimas. Los investigadores no vincularon estas campañas a un grupo específico.
Medidas de seguridad como la autenticación de dos factores pueden ayudar a frustrar algunos de estos tipos de ataques, indicó Wikoff. Pero muchas escuelas no utilizan estas herramientas debido a la alta tasa de rotación de estudiantes y a las preocupaciones de los miembros del profesorado sobre la flexibilidad y el acceso.
Con información de: TekCrispy.
