De groep cybercriminelen die bekend staat als “COBALT DICKENS” gaat ondanks eerdere aanklachten en onthullingen door met haar acties en richt zich opnieuw op onderwijsinstellingen.
Ook Nederlandse universiteiten kunnen weer tot de doelen behoren.Onder de domeinen die door COBALT DICKENS worden gebruikt bevinden zich onder meer .nl en .com adressen, bijvoorbeeld llli.nl, lliv.nl en lib-service.com. Een volledige lijst is te vinden op https://www.secureworks.com/blog/cobalt-dickens-goes-back-to-school-again.
Al in maart 2018 heeft het Amerikaanse ministerie van Justitie het Mabna-instituut en negen Iraanse medewerkers aangeklaagd omdat zij honderden universiteiten onbevoegd waren binnengedrongen om intellectueel eigendom te stelen en financieel voordeel te behalen. Onderzoekers van de Secureworks Counter Threat Unit (CTU) hebben de naam COBALT DICKENS toegewezen aan deze groep cybercriminelen die vermoedelijk wordt aangestuurd door de Iraanse regering. Ondanks deze aanklacht en andere onthullingen van COBALT DICKENS-campagnes, blijft de groep (ook bekend als “Silent Librarian”) doorgaan met haar activiteiten. CTU-onderzoekers hebben vastgesteld dat de criminelen gebruikmaken van gratis online-diensten, waaronder gratis certificaten, domeinen en algemeen beschikbare instrumenten.
In juli en augustus 2019 ontdekten CTU-onderzoekers een nieuwe grote wereldwijde phishing-operatie van COBALT DICKENS. Deze operatie is vergelijkbaar met haar campagne in augustus 2018, waarbij de groep toegang bemachtigde tot universitaire systemen om phishing-e-mails met onderwerpen te versturen die gekoppeld zijn aan het gebruik van bibliotheken.
De berichten bevatten links naar nagebootste (“spoofed”) inlogpagina’s voor diensten van de universiteiten. In tegenstelling tot eerdere campagnes die verkorte links bevatten om de infrastructuur van de aanvallers te verduisteren, bevatten deze berichten de nagebootste URL.
Ontvangers die op deze link klikken, worden naar een webpagina geleid die identiek of nagenoeg identiek lijkt op de echte pagina van de bibliotheek. Nadat de slachtoffers hun referenties hebben ingevoerd, worden hun webbrowsers doorgestuurd naar het next.php-bestand, waar de referenties lokaal worden opgeslagen in het pass.txt-bestand. De browser van het slachtoffer wordt dan naar de legitieme site gestuurd.
Voor deze campagne registreerden de cybercrimninelen ten minste 20 nieuwe domeinen. Deze domeinen werden geregistreerd via de Freenom-domeinprovider.CTU-onderzoekers hebben alle bekende domeinen die verband houden met COBALT DICKENS-operaties opgesomd. Zij bevelen organisaties aan om de beschikbare controles te gebruiken om de toegang tot deze domeinen te controleren en te beperken.
