'Aangeklaagde Iraanse staatshackers richten zich nog steeds op universiteiten'

Volgens beveiligingsbedrijf Secureworks, onderdeel van Dell, richten staatshackers zich met phishingcampagnes op universiteiten over de hele wereld, waaronder Nederlandse. Het zou gaan om een groep die gerelateerd is aan de Iraanse overheid en die eerder door de VS is aangeklaagd.

Het bedrijf schrijft in een blogpost dat het via onderzoek naar een enkel ip-adres van een phishingpagina een netwerk vond van 300 nagemaakte websites en inlogpagina's van 76 universiteiten. Die zijn verdeeld over veertien landen, waaronder Nederland, Duitsland, de VS en China. Veel van de domeinen van die pagina's zouden tussen mei en augustus zijn geregistreerd, wat er volgens Secureworks op wijst dat de campagne nog steeds actief is. De meeste sites maakten gebruik van hetzelfde ip-adres en dezelfde dns-server.

Op de inlogpagina's zou de bezoeker gevraagd worden om zijn gebruikersnaam en wachtwoord in te vullen, waarna deze werden gebruikt om de bezoeker naar de legitieme site van de universiteit door te sturen en daar automatisch in te loggen. Volgens het bedrijf ging het in veel gevallen om de gespoofte domeinen van bibliotheeksystemen van de universiteiten, wat een aanwijzing zou zijn voor het soort informatie dat de aanvallers zoeken.

Secureworks duidt de groep die achter de campagne zit aan met de eigen naam Cobalt Dickens. Deze groep zou banden hebben met de Iraanse overheid. Het bedrijf zegt de groep te kunnen identificeren op basis van de gebruikte infrastructuur. In dit verband verwijst het naar de aanklacht die het Amerikaanse ministerie van Justitie, waarmee het in maart negen personen aanklaagde voor het stelen van 31,5TB aan gegevens van Amerikaanse en internationale universiteiten en bedrijven.

De personen zouden handelen in opdracht van het Iraanse Mabna-instituut en uit zijn op academisch onderzoek en intellectueel eigendom. Volgens de aanklacht was de groep in staat 8000 accounts van professoren over de hele wereld met succes over te nemen via gerichte phishingacties. De gestolen data zou naast de buitgemaakte logins vervolgens binnen Iran weer doorverkocht worden.

secureworks-universiteiten — Landen die het doelwit zijn van de groep, volgens Secureworks.

Reacties (36)

Pastafarian 24 augustus 2018 18:31

Ik heb bij verschillende universiteiten gewerkt, en kan beamen dat er ontzettend veel phishing mails binnenkomen. Vaak zijn dit standaard emailtjes die bedrijven ook krijgen, zoals neppe 'facturen' / 'latest payment information', 'overschreden postvak limiet', maar vaak genoeg zijn ze gericht. Zo kreeg ik onlangs het volgende bericht:

Het personeelsprofiel van de [knip] Universiteit wordt binnenkort geüpload. Klik op onderstaande afbeeldingen om uw foto-ID te bekijken.

In de meeste gevallen kan je direct zien dat de afzender van buitenaf komt (e.g. Lara, Alejandro [alara@visalia.k12.ca.us] was de afzender van de email hierboven), maar vaak genoeg worden ook accounts gebruikt die buit zijn gemaakt bij andere universiteiten, of mijn universiteit zelf. En er zijn zoals altijd genoeg flapdrollen die alles geloven. Niet alleen omdat het oude professoren zijn, maar ook omdat veel van de staf uit het buitenland komt en domweg niet opgegroeid zijn met computers / digibeet zijn.

Eigenlijk moet iedere universiteit tweestapsauthenticatie gebruiken. Of zelf ontwikkeld, of via een vertrouwd, Nederlands platform. Veel van de medewerkers moeten daadwerkelijk beschermd worden.

Overigens zijn het natuurlijk niet alleen Iraanse staatshackers die accounts proberen buit te maken. Er is genoeg geld aan te verdienen, omdat de toegang tot wetenschappelijke vakbladen / data / etc. vaak zo ontzettend duur is.

[Reactie gewijzigd door Pastafarian op 23 juli 2024 11:44]

HKLM_ @Pastafarian • 24 augustus 2018 18:36

Dat ze niet opgegroeit zijn met computers en het daarom niet snappen is echt onzin. Mijn oma van 80 weet ook dat ze niet op iedere e-mail moet klikken en geloven wat er instaat. Dan kan een universiteits medewerker dit ook (die zijn toch zo goed in denken) daarnaast mag er vanuit de IT van de uni wel uitleg komen en een betere spamfilter die veeeel strakker is afgesteld.

Verwijderd @HKLM_ • 25 augustus 2018 19:56

Ik ben zelf werkzaam in de IT, en ik trapte onlangs bijna in een marktplaats oplichtingstruc. Ik moest eerlijk oversteken instellen, daarvoor kreeg je een SMS, om te verifiëren. Zij stuurden tegelijkertijd een SMS die erg op die van marktplaats leek. Ik dacht nog heb ik misschien twee keer op die knop geklikt? Dus met hun social engineering (goed opgezet Facebook profiel en een WhatsApp met notabene een trouwdatum in de profieltekst) trapte ik er zowat in. Halverwege het invullen van mijn bankgegevens (wat ik verwachtte, want je moet een cent overmaken zag ik) zag ik dat de verbinding niet secure was. Dat heeft mij gered. Als ze dat wel in orde hadden, was ik er waarschijnlijk ingetrapt. Met andere woorden het is eerder arrogant om te denken dat het jou niet overkomt omdat je een baan in de IT had. Sommige groepen zijn zeer goed in de combinatie social engineering als de technische kant. Ik heb uiteraard mijn telefoonnummer van de site gehaald.

xbeam @Verwijderd • 26 augustus 2018 15:35

Dan hoop ik dat jij je login code nog niet had ingetypt. want als ze slim zijn schrijven je login op achtergrond al weg. Voor dat je op versturen drukt.

Maar als je in IT zit waarom heb je dan thuis geen goede ips of utm draaien. En sta je alleen ssl en door jou geverifieerde verbindingen toe.

[Reactie gewijzigd door xbeam op 23 juli 2024 11:44]

Verwijderd @xbeam • 26 augustus 2018 20:43

Ik heb alles moeten resetten inderdaad. Ik heb voor de zekerheid zelfs een nieuwe bankpas laten aanvragen.

SirBlade @HKLM_ • 24 augustus 2018 19:06

Het probleem is dat universiteiten en HBO's relatief veel internationaal communiceren. Voor veel andere soorten instellingen kan je relatief makkelijk alle mail uit niet-westerse landen blocken. Als een universiteit dat doet komt het onderwijzend personeel in opstand.

Verwijderd @SirBlade • 25 augustus 2018 14:30

Ook voor heel veel andere organisaties wordt dat steeds moeilijker. Zelfs relatief kleine bedrijven hebben tegenwoordig al flink wat internationale contacten. Kijk alleen maar naar software development. Voor een bedrijf van 10..20 mensen is het al heel makkelijk om te offshore naar elders. Daarnaast doen ook de kleine handelsondernemingen (waar we er heel van hebben) internationaal zaken (ook buiten Europa).

Blokkeren is dus maar zelden een echt goed oplossing. Al was het maar omdat er dan vanzelf iets komt dat uit niet-geblokkeerde landen komt.

Iblies @HKLM_ • 25 augustus 2018 08:03

Dat ze niet opgegroeit zijn met computers en het daarom niet snappen is echt onzin. Mijn oma van 80 weet ook dat ze niet op iedere e-mail moet klikken en geloven wat er instaat. Dan kan een universiteits medewerker dit ook (die zijn toch zo goed in denken) daarnaast mag er vanuit de IT van de uni wel uitleg komen en een betere spamfilter die veeeel strakker is afgesteld.

Zwakste schakel? Je moet dus echt mensen niet gaan vertrouwen op hun blauwe ogen dat ze veilig werken.

Zelfs op hoogste niveau is het mis gegaan in Nederland en was er ingrijpen nodig;
https://www.nrc.nl/nieuws...il-minister-kamp-a1532248

Je moet er van uit gaan dat er altijd medewerkers zijn die een beperkte visie hebben van veiligheid, en dat heeft weinig met IQ/gezond verstand te maken.

Verwijderd @Iblies • 25 augustus 2018 14:33

Eigenlijk doen we dat op ieder ander gebied wel gewoon. Als mensen allemaal slim zouden zijn en nadenken over gevolgen zou je geen regels hoeven hebben om (bijvoorbeeld) veiligheidsgordel of valhelmen te gebruiken. Dat zou je gewoon zelf bedenken. Maar omdat er veel mensen niet zo slim zijn zijn er regels ingevoerd om dit af te dwingen. Dat zou voor ICT ook moeten eigenlijk.

Verwijderd @HKLM_ • 24 augustus 2018 18:45

Er staat je een mooie toekomst in IT veiligheid te wachten HKLM_.

Maar even serieus, dus als jouw oma een email van jouw krijgt met een link naar de foto's van je vakantie klikt ze daar absoluut niet op? Want om dat soort phishing gaat het hier. Een email van een vriend, je baas, je vriendin. Die open jij allemaal niet zonder eerst de hele email header te besturen? Indien inderdaad, hulde, jou zullen ze niet snel te pakken nemen. Maar werkelijk elke IT beveiliger weet dat je met een gerichte actie (zoals hier het geval) je werkelijk iedereen te grazen neemt.

En wat dat met een spamfilter te maken heeft?

HKLM_ @Verwijderd • 24 augustus 2018 19:05

Omdat je in een degelijke spamfilters dit soort mailtjes kan afvangen daar zijn gewoon tools voor. Als die het niet vertrouwen komt de mail of gewoon niet door zonder melding bij it of de medewerker moet gerichte acties doen om de mail te bekijken waar onderzoek verplicht is. Het is allemaal beschikbaar maar je moet het wel implementeren.

servicedb @HKLM_ • 24 augustus 2018 20:02

Dan kan ik je ook gelijk vertellen dat het filteren van spam erg lastig is. Naast dat content geanalyseerd wordt om te kijken of het spam is, worden urls e.d. ook tegen blacklists aangehouden. Als de content analyse de mail niet blokkeerd dan is het afhankelijk van de blacklists. Als die blacklist net te laat is met dit IP adres dan laat de server de mail door. De server gaat niet op een later tijdstip nog een keer scannen. Dus helemaal waterdicht is het niet.

In dit geval betreft het dezelfde IP adressen dus het zou tegen gehouden kunnen worden. Maar denk nou niet dat phising altijd tegengehouden zal worden. Er kan altijd iets doorglippen, ook zonder mooie “tooltjes”. Sterker nog, bedrijven sturen phising emails naar eigen medewerkers om die te trainen op het vinden van phising e-mails...

[Reactie gewijzigd door servicedb op 23 juli 2024 11:44]

Sandor_Clegane @HKLM_ • 24 augustus 2018 18:38

Sommige mailtjes zijn echt sneaky. In een moment van onoplettendheid, je hebt het druk ( i know, shit happens), en je bent de sjaak.

Proditor @Pastafarian • 24 augustus 2018 21:54

Ik werk bij een van de grote Universiteiten. En geloof me, het digitale niveau van medewerkers (zowel ondersteunend als wetenschappelijk is bedroevend.

MrMonkE @Proditor • 25 augustus 2018 01:36

Moet je eens in een ziekenhuis gaan werken, dan verlang je terug naar de ICT grootheden van je grote universiteit.

Wel over het algemeen lieve mensen die in de ziekenhuizen werken. Dat wel. $_/-\o_$

Ayporos @MrMonkE • 25 augustus 2018 08:26

gelukkig maar.. kunnen ze je lieftallig troosten wanneer je creditcard/patientgegevens op straat liggen. $_/-\o_$

Verwijderd @Ayporos • 25 augustus 2018 14:28

Niet alleen dat, maar het gebrek aan digitale vaardigheden (samen met het niet willen leren) zorgt voor een vreselijke inefficiëntie. Zo heb ik in een paar ziekenhuizen meegemaakt dat er gewoon goede personeelsplanningssoftware was, maar dat de mensen die de planning maakte weigerden om dat gebruiken. Die bleven de planning op zo'n bord aan de muur doen, en voerde het daarna in, in die applicatie. Leuk voor een redelijk statische planning, maar in ziekenhuizen moet je juist flexibel zijn. En daar is die software heel goed in. En het erge is nog wel dat dit gewoon werd toegestaan door de leiding. En als het nu een sector zou zijn waar meer mensen dan werk is, kan je het nog begrijpen. Maar in de zorg zouden ze toch alles moeten aangrijpen om dit soort dingen zo slim mogelijk te doen zodat er meer tijd voor zorg overblijft (waar altijd zo over wordt geklaagd).

Ayporos @Verwijderd • 25 augustus 2018 19:13

da's gewoon gewenning denk ik idd.. het planning bord is erg iconisch natuurlijk (als ik al die ziekenhuis drama's die ik heb gekeken mag geloven)

MrMonkE @Ayporos • 25 augustus 2018 20:06

Plus dat ze er bij calamiteiten sowieso mee moeten werken.

Verwijderd @Verwijderd • 27 augustus 2018 07:37

laat ik mezelf nog maar niet afvragen wat dat soort applicaties kosten.

CivLord

@Verwijderd • 28 augustus 2018 08:25

Waarschijnlijk goede software, met een draak van een userinterface en opties die totaal onlogisch ergens zijn weggewerkt. En een steile leercurve wanneer je meer wilt dan enkel een reeds voorgekookte planning invoeren.
Dat zie ik helaas veel te vaak. Een programma dat goed functioneert voor nerds, maar dat niet intuïtief werkt waardoor het veel te veel tijd kost om er mee te leren omgaan. En wanneer dat een vervanging is voor iets simpels dat gewoon werkt, zal het niet gebruikt worden.

ymmv 24 augustus 2018 19:54

Het klinkt allemaal heel gevaarlijk alsof die hackers gericht zich richten op topuniversiteiten om bedrijfsgeheimen e.d. te stelen. Maar dit is wat er met de gestolen informatie gebeurt: de gestolen inlogaccounts worden gebruikt om tot westerse digitale universiteitsbilbliotheken toegang te krijgen. Zo krijgen ze dmv gestolen accounts en wachtwoorden toegang tot westerse research papers en tijdschriften die voor Iran achter een blokkade zitten.

Zie voor meer info: https://info.phishlabs.co...abna-institute-indictment

Chris.nl 24 augustus 2018 22:46

'k Klik regelmatig bewust op de links van phishingmails om Quad9 DNS te testen. Hou geen exacte statistieken bij maar ik schat dat de helft afgevangen wordt. Voor mij een reden om Quad9 (of OpenDNS) te adviseren om 'digibeten' iets meer te beschermen.

My Tec Master 25 augustus 2018 10:54

Lang niet alles phising mail is makkelijke te herkennen. Mijn werk heeft er een handle van officiele mail te versturen dat eruit ziet als phising. Bij twijfel weggooien is daarom mijn werkwijze. Als het belangrijk is krijg je de mail nog wel een keer.

Tim2010 24 augustus 2018 18:58

Ja wij krijgen ze bij de Universiteit Utrecht ook vaak genoeg binnen. Al onze mailboxen hebben een spamfilter waar alle mailtjes doorheen moeten voor ze bij je postvakje komen en als het systeem twijfelt krijgt een mailtje groot SPAM in de titel. Ik weet niet hoe het bij andere afdelingen gaat maar bij ons trapt niemand er nog in. En wij hebben nog behoorlijk wat digibeten rondlopen op de afdeling.

kodak

Phishing
Beveiliging en antivirus
Hackers

@Tim2010 • 25 augustus 2018 00:39

Wil je hiermee zeggen dat je het verschil herkent tussen een gewoon phishingmailtje en een phishingmailtje van deze staatshackers?

Atomsk @Tim2010 • 25 augustus 2018 02:03

Op mijn werk (Hogeschool) ook, maar niks is 100%. Zo af en toe krijg ik toch wel eens een mailtje met (toevallig?) de naam van een collega als afzender en één of ander vage zin met een link. Dan moet je toch wel eens 2x kijken voordat je tot de conclusie komt dat het niet klopt.

Ook heeft er wel eens een student een gerichte fishing actie gedaan tegen mede-studenten en een aantal daarmee hun studiefinanciering afhandig gemaakt. Kun je natuurlijk zeggen dat die studenten ontzettend stom zijn, maar het blijft gewoon een feit dat hoe persoonlijker een mail is, hoe groter de kans dat je erin trapt.

Verwijderd 26 augustus 2018 17:39

Die zgn beveiligingsbedrijf Secureworks is niet meer als een front voor de Amerikaanse staatshackers, met als doel iedereen behalve Amerika in een kwaad daglicht te stellen.

Zijn we alweer vergeten wie de StuxNet virus heeft bedacht en een heuse aanval heeft uitgevoerd op een kerncentrale. Gelukkig heeft de Iraanse overheid erger kunnen voorkomen.

Als het aan die Amerikaanse staatsterroristen ligt, zal de hele wereld in puin liggen.

Sandor_Clegane 24 augustus 2018 18:27

Denk dat die Iraniers er erg wakker van liggen dat ze zijn aangeklaagd.

Nijl @Sandor_Clegane • 24 augustus 2018 18:29

Ik denk van niet.

Pim0377 @Nijl • 24 augustus 2018 21:27

Ik denk dat hij een sarcasme smiley is vergeten

Rzarect0r @ToxicR9 • 25 augustus 2018 16:49

Welke 'soort' kunnen wij volgens jou wel vertrouwen?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (36)

Sorteer op:

Weergave: