Cibercriminales atacan 76 universidades para robar sus investigaciones y propiedad intelectual

Un grupo de investigadores ha realizado una serie de ataques coordinados para irrumpir en los sistemas de reconocidas universidades para cometer robos de propiedad intelectual de profesores, estudiantes e investigadores.

Los cibercriminales atacaron 76 universidades en 14 países, incluyendo Australia, Canadá, Israel, Japón, Suiza, Turquía, el Reino Unido y los Estados Unidos. Se descubrieron 16 dominios que imitaban los de universidades legítimas y 300 sitios web fraudulentos que tenían como objetivo confundir a los visitantes de estas 76 universidades.

La amenaza fue descubierta por la Unidad de Defensa contra Amenazas de Secureworks (CTU), que culpó al grupo de cibercriminales Cobalt Dickens de haber coordinado y ejecutado el ataque. Se ha acusado a esta banda de criminales de tener vínculos con el gobierno de Irán.

Los atacantes falsificaban las páginas de inicio de sesión de las universidades para engañar a sus víctimas. En muchos de los casos, imitaban específicamente las páginas de los sistemas de las bibliotecas para acceder a sus recursos académicos. Cuando las víctimas ingresaban sus credenciales en una página de inicio falsa, los atacantes recolectaban sus datos y las redirigían al sitio legítimo para que ingresaran de nuevo sus credenciales y pasaran por alto el breve incidente al acceder al contenido que buscaban.

La mayor parte de los dominios fue creada entre marzo y agosto de 2018, y el último se creó el 19 de agosto. Se cree que los atacantes seguían construyendo sitios fraudulentos para añadir a su red de ataques cuando los investigadores de Secureworks descubrieron la amenaza.

Los investigadores no han revelado qué universidades específicas fueron atacadas, pero aseguraron que han comenzado a alertarles sobre el problema. También dijeron que muchas estaban entre las más prestigiosas del mundo.

“El propósito de los ataques de Cobalt Dickens es conseguir recursos académicos a los que sólo se tiene acceso con subscripción, además de irrumpir en las cuentas de correo del plantel docente, administrativo y estudiantil de las universidades”, dijo Rafe Pilling, investigador de seguridad de Secureworks. “El incentivo principal debe ser el dinero que puedan conseguir con ello, pero las credenciales que consigan pueden ser usadas en otros ataques phishing e intrusiones a cuentas de personas que confían en los mensajes provenientes de instituciones educativas”, explicó.

Pero a pesar de las múltiples posibilidades de ataque que pueden surgir a partir de esta amenaza, Pilling aseguró que hasta el momento no se ha visto ningún caso en el que se exploten las credenciales robadas para realizar otros ataques.

Este no sería el primer ataque de Cobalt Dickens a instituciones académicas. “Esta actividad encaja a la perfección con las formas de operar típicas de Cobalt Dickens”, dijeron los expertos de Secureworks. “Nuestra investigación indica que no han modificado sus tácticas a comparación de los ataques que han estado realizando durante los últimos años”.

Fuentes
Iranian Hackers Target Universities in Global Cyberattack Campaign • DarkReading
IRANIAN HACKERS ATTACK UK UNIVERSITIES TO STEAL SECRET RESEARCH • The Independent UK
Over 70 Universities Targeted by Iranian Hackers • Latest Hacking News