Hakeri iz Irana ciljaju sveučilišta i obrazovne institucije u 14 različitih država s ciljem krađe intelektualnog vlasništva.

The Secureworks Counter Threat Unit (CTU) izjavio je da postoji mogućnost da kampanju vodi grupa Cobalt Dickens, iranska APT grupa (advanced persistent threat). Istraživači povezuju Cobalt Dickens grupu s iranskom vladom jer su u ožujku devet navodnih članova grupe izveli nekoliko napada na sveučilišta i tvrtke u ime islamske republike, odnosno njene grupe Iran’s Islamic Revolutionary Guard Corps (IRGC).

Mabna Institute kao dio Cobalt Dickens grupe povezuje se s krađom informacija od 76 sveučilišta u 21 zemlji, kao i od 47 kompanija iz privatnog sektora iz SAD-a i šire, uključujući američko ministarstvo rada (US Department of Labor) i Ujedinjene narode (United Nations).

U posljednjem napadu ciljano je ukupno 76 sveučilišta iz 14 zemalja uključujući Ujedinjeno Kraljevstvo, Sjedinjene Američke Države, Kanadu, Kinu i Švicarsku.

Nakon što su otkrili lažiranu web stranicu koja se predstavljala kao jedno od ciljanih sveučilišta, CTU je otkrio širu kampanju namijenjenu krađi korisničkih imena i lozinki akademskog osoblja. Korišteno je 16 domena za lažiranje 300 web stranica, uključujući stranice za prijavu na web sjedište pojedinih sveučilišta, kao i stranice za prijavu u online biblioteke. Većina tih domena registrirano je između svibnja i kolovoza 2018. godine. Čini se kako kampanja i dalje traje, a posljednja domena registrirana je 19. kolovoza.

Metama je poslana poveznica na lažirane domene kroz phishing poruke elektroničke pošte. Ako je žrtva unijela svoje korisničke podatke na lažiranu stranicu oni bi se poslali legitimnom servisu, ali kiberkriminalci su ih istovremeno spremali kako bi stekli pristup legitimnom sustavu.

Sveučilišta su stalna meta kiberkriminalaca zbog velikog broja akademskih i istraživačkih projekata. Intelektualno vlasništvo može biti iznimno vrijedno, osobito kad se radi o istraživanju iz područja tehnologije i obrane.

Istraživački tim kontaktirao je globalne partnere kako bi ih upozorio na phishing napade. Ističu kako ovakvi napadi potiču organizacije na implementaciju višestruke autentifikacije korištenjem sigurnih protokola i implementaciju obaveznog korištenja kompleksnih lozinki u javno dostupne sustave.