Nhiều trường đại học trên thế giới đang là “tầm ngắm” của nhóm tin tặc Colbalt Dickens

Hoạt động tấn công của nhóm tin tặc Iran đã mở rộng thành một chiến dịch lừa đảo (phishing) toàn cầu nhắm vào các trường đại học trong nỗ lực đánh cắp các tên người dùng (username) và mật khẩu (password).

Có tên là Colbalt Dickens, chiến dịch ban đầu được các nhà nghiên cứu tại Secureworks đề cập chi tiết vào tháng 8 năm ngoái, những cuộc tấn công mạng được phát động nhắm vào các trường đại học ở 14 quốc gia. Mục đích của các cuộc tấn công là đánh cắp tài sản trí tuệ, sau đó có thể được khai thác hoặc bán để kiếm lợi nhuận.

Allison Wikoff, nhà nghiên cứu bảo mật cao cấp tại Secureworks cho ZDNet biết: "Chiến dịch này nhằm mục đích tiếp cận nghiên cứu học thuật để đạt được các lợi ích kinh tế và các lợi ích khác, là một phản hồi trực tiếp đối với các lệnh trừng phạt và một cuộc di cư của các tài năng học thuật từ Iran đến các quốc gia nơi họ có thể tham gia và hưởng lợi từ học thuật mở và hợp tác nghiên cứu".

9 thành viên của nhóm Colbalt Dickens đã bị Bộ Tư pháp Hoa Kỳ truy tố vì thực hiện các chiến dịch trộm cắp trên mạng thay mặt cho quân đội Iran - Quân đoàn Vệ binh Cách mạng Hồi giáo - nhưng điều đó không có tác động gì đến hoạt động của nhóm tấn công này, bởi vì các cuộc tấn công nhắm mục tiêu vẫn đang diễn ra.

Secureworks Counter Threat Unit (CTU) vừa liệt kê chi tiết các cuộc tấn công mới của Colbalt Dickens, diễn ra vào tháng 7 và tháng 8 năm nay. Hơn 60 trường đại học ở Úc, Hoa Kỳ, Vương quốc Anh, Canada, Hồng Kông và Thụy Sĩ đã được nhắm mục tiêu trong một chiến dịch lừa đảo toàn cầu mới.

Giống như các cuộc tấn công trước đây của nhóm tin tặc này, các email lừa đảo dựa trên các dịch vụ thư viện trực tuyến, thông báo rằng người dùng cần phải phản hồi lại tài khoản của họ bằng cách nhấp vào một liên kết (link).

Mặc dù các chiến dịch trước đó đã sử dụng trình rút ngắn URL để che khuất địa chỉ web của trang đăng nhập thư viện giả mạo, nhưng lần này những kẻ tấn công đang sử dụng một URL giả mạo có vẻ là chính hãng.

Những người dùng nhấp vào liên kết được dẫn đến một trang web trông như thật - hoặc thậm chí giống hệt – đến tài nguyên thư viện của trường đại học đó và yêu cầu nhập thông tin đăng nhập của họ, một hành động giúp những kẻ tấn công có được tên người dùng và mật khẩu của họ. Để tránh gây nghi ngờ, người dùng được chuyển đến phiên bản hợp pháp của trang web bị giả mạo sau khi chi tiết của họ được nhập.

Để phát động chiến dịch mới nhất này, Cobalt Dickens đã đăng ký ít nhất 20 tên miền mới, cùng với chứng chỉ SSL (SSL certificate) hợp lệ trên các tên miền .ml, .ga, .cf, .gq và .tk – và đều là các tên miền độc hại.

Nhóm này cũng sử dụng các công cụ và mã công khai có sẵn từ GitHub (một dịch vụ cung cấp kho lưu trữ mã nguồn Git dựa trên nền web cho các dự án phát triển phần mềm) để giúp thực hiện các cuộc tấn công theo cách tránh sử dụng phần mềm độc hại, do đó chúng vẫn có thể không bị phát hiện bởi phần mềm bảo mật mạng.

Từ đầu tháng 9/2019 tới nay, nhóm tin tặc này được cho là đã đã nhắm mục tiêu vào ít nhất 380 trường đại học ở hơn 30 quốc gia - với một số mục tiêu được nhắm nhiều lần - và cũng được nhận định rằng các cuộc tấn công nhắm vào giảng viên và sinh viên sẽ tiếp tục.

Để giúp chống lại mối đe dọa của các cuộc tấn công lừa đảo, các nhà nghiên cứu khuyến nghị các trường đại học và tổ chức giáo dục thực hiện xác thực đa yếu tố (multi-factor authentication - MFA).

"Trong khi thực hiện các kiểm soát bảo mật bổ sung như MFA có vẻ phiền hà trong môi trường coi trọng sự linh hoạt và đổi mới của người dùng như trường đại học nhưng sử dụng các tài khoản với mật khẩu thông thường là không an toàn. Các nhà nghiên cứu của CTU khuyến nghị rằng tất cả các trường đại học bảo vệ các tài nguyên tiếp xúc với Internet bằng MFA để giảm thiểu các mối đe dọa tập trung vào thông tin xác thực”, Wikoff cho biết thêm.

Các trường đại học đang trở thành một mục tiêu hấp dẫn cho những kẻ tấn công mạng bởi vì, các trường đại học không chỉ chứa một khối lượng lớn tài sản trí tuệ và nghiên cứu tiên tiến, trong khi chưa được kiểm soát chặt chẽ như các ngành khác như ngành tài chính.