تعرضت الأوساط الأكاديمية الجامعية حول العالم، خلال شهر أغسطس من العام 2018، لحملة احتيال واسعة النطاق تجاوزت نتائجها مجرد الاستحواذ على بيانات وحسابات الاعتماد الخاصة بدراسات ومشاريع الطلبة.
واكتشف باحثو وخبراء وحدة مكافحة التهديدات الأمنية لدى شركة سيكيوروركس رابطًا احتياليًا ينتحل الصفة الرسمية لصفحة تسجيل الدخول إلى الموقع الالكتروني للجامعة. وبعد إجراء المزيد من التحريات حول عنوان بروتوكول الإنترنت IP الذي يستضيف الصفحة الاحتيالية، تم الكشف عن وجود حملة واسعة النطاق لسرقة بيانات وحسابات الاعتماد، تضمنت ستة عشر نطاقًا احتضن أكثر من 300 موقع وصفحة احتيالية لتسجيل الدخول إلى 76 جامعة تنتشر في 14 دولة حول العالم، بما فيها أستراليا وكندا والصين واليابان وسويسرا وتركيا والمملكة المتحدة والولايات المتحدة.
فبعد أن يقوم المستخدمون بإدخال بيانات اعتمادهم ضمن صفحة تسجيل الدخول المزيفة، تمت إعادة توجيه وربط الضحايا بالموقع الرسمي ليتم تسجيل دخولهم بشكل تلقائي عبر جلسة مطابقة نظامية، أو بمطالبتهم إدخال بيانات اعتمادهم مرةً أخرى. وقد تم ربط الكثير من هذه النطاقات الاحتيالية بأنظمة المكتبات الإلكترونية في الجامعات المستهدفة، ما يشير إلى نية الجهات التي تقف وراء هذه الحملة من التهديدات الوصول إلى هذه المصادر.
ولم يتمكن باحثو وخبراء وحدة مكافحة التهديدات الأمنية لدى الشركة من تأكيد آلية العمل الوظيفي لكافة الصفحات الاحتيالية التي تم تحديدها، وذلك لأنه تعذر الوصول إلى بعض النطاقات في فترة إجراء التحليلات. في حين وجدت الوحدة أنه تم تسجيل العديد من هذه النطاقات خلال الفترة ما بين شهري مايو وأغسطس من العام 2018، وتسجيل آخرها يوم 19 أغسطس الماضي. كما تشير تسجيلات النطاق إلى أن البنية التحتية التي دعمت انتشار هذه الحملة كانت لا تزال قيد الإنشاء عندما اكتشف باحثو وخبراء وحدة مكافحة التهديدات الأمنية هذا النشاط الاحتيالي الخبيث.
كما أن معظم النطاقات التي تم رصدها والمشاركة ضمن هذه الحملة تم ربطها بنفس عنوان بروتوكول الإنترنت IP وسيرفر تسمية نظام أسماء النطاقات DNS. وعثر أيضًا على نطاق مسجل في شهر مايو من العام 2018 يحتوي على نطاقات فرعية احتيالية تستهدف الجامعات، حيث تقوم هذه النطاقات الفرعية بإعادة توجيه الزائرين إلى صفحات تسجيل الدخول الاحتيالية الموجودة ضمن نطاقات أخرى تتحكم بها الجهات المهاجمة.
من جهةٍ أخرى، فإن عملية استهداف المصادر الأكاديمية عبر الإنترنت مشابهة لعمليات إلكترونية سابقة قامت بها كوبالت ديكنز، وهي مجموعة مرتبطة بالحكومة الإيرانية تشن العديد من الهجمات الالكترونية.
وخلال هذه العمليات، التي استخدمت فيها ذات البنية التحتية التي استعانت بها خلال هجمات شهر أغسطس، قامت المجموعة بإنشاء نطاقات مشابهة للاحتيال على الأهداف، واستخدام بيانات وحسابات اعتماداتهم لسرقة الملكيات الفكرية من بعض المصادر الخاصة، بما فيها أنظمة المكتبات.
وفي شهر مارس من العام 2018، أدانت وزارة العدل الأمريكية معهد مبنى الإيراني وتسعة مواطنين آخرين بأنشطة ترتبط بهجمات مجموعة كوبالت ديكنز، والتي حدثت خلال الفترة ما بين العامين 2013 و2017. ويشار هنا إلى أن العديد من الجهات المهاجمة لا تلجأ إلى تغيير منهجية إجراءاتها حتى لو تم كشفها، وتشير نتائج التحليل الذي أجرته وحدة مكافحة التهديدات إلى احتمالية وقوف مجموعة كوبالت ديكنز وراء حملة استهداف الجامعات، بالرغم من لوائح الاتهام التي تضمن أسماء بعض أعضائها.
وتعد الجامعات من الأهداف الجذابة التي تستقطب الجهات المهاجمة، التي تصبو للحصول على الملكية الفكرية. وبالإضافة إلى أنه من الصعوبة بمكان تأمين الحماية الشاملة لها ولمصادرها على غرار المؤسسات المالية أو منظمات الرعاية الصحية التي تخضع لمستويات أمنية ولوائح تنظيمية صارمة، من المعروف أن الجامعات تحتضن الكثير من الأبحاث المتطورة التي تستقطب الدارسين والطلاب من شتى أنحاء العالم. الأمر الذي دفع باحثو وخبراء وحدة مكافحة التهديدات الأمنية التواصل مع العديد من شركائهم العالميين للتصدي لهذا التهديد.
وقد دفعت هذه الحملة الاحتيالية واسعة النطاق، التي استهدفت صفحات تسجيل الدخول لسرقة بيانات وحسابات الاعتماد، المؤسسات إلى تعزيز عمليات المصادقة متعددة المراحل التي تطبقها باستخدام بروتوكولات آمنة، وتفعيل إجراءات معقدة لاعتماد كلمات المرور ضمن الأنظمة المتاحة للجميع. كما يوصي باحثو وخبراء وحدة مكافحة التهديدات الأمنية العملاء بتبني برامج تدريبية قادرة على تثقيف المستخدمين حول طبيعة التهديدات الأمنية، بما في ذلك تقديم الإرشادات التوجيهية للتعرف على رسائل البريد الإلكتروني المشبوهة، والإبلاغ عنها.
وقد قام باحثو وخبراء وحدة مكافحة التهديدات الأمنية بوضع عدة مؤشرات للكشف عن هذا النوع من التهديدات، ومنها إعادة تخصيص عناوين بروتوكول الإنترنت IP، فقد تحتوي النطاقات وعناوين بروتوكول الإنترنت IP على محتوى خبيث، لذا يجب مراعاة المخاطر قبل الاطلاع عليهم بواسطة المتصفح.
واكتشف باحثو وخبراء وحدة مكافحة التهديدات الأمنية لدى شركة سيكيوروركس رابطًا احتياليًا ينتحل الصفة الرسمية لصفحة تسجيل الدخول إلى الموقع الالكتروني للجامعة. وبعد إجراء المزيد من التحريات حول عنوان بروتوكول الإنترنت IP الذي يستضيف الصفحة الاحتيالية، تم الكشف عن وجود حملة واسعة النطاق لسرقة بيانات وحسابات الاعتماد، تضمنت ستة عشر نطاقًا احتضن أكثر من 300 موقع وصفحة احتيالية لتسجيل الدخول إلى 76 جامعة تنتشر في 14 دولة حول العالم، بما فيها أستراليا وكندا والصين واليابان وسويسرا وتركيا والمملكة المتحدة والولايات المتحدة.
فبعد أن يقوم المستخدمون بإدخال بيانات اعتمادهم ضمن صفحة تسجيل الدخول المزيفة، تمت إعادة توجيه وربط الضحايا بالموقع الرسمي ليتم تسجيل دخولهم بشكل تلقائي عبر جلسة مطابقة نظامية، أو بمطالبتهم إدخال بيانات اعتمادهم مرةً أخرى. وقد تم ربط الكثير من هذه النطاقات الاحتيالية بأنظمة المكتبات الإلكترونية في الجامعات المستهدفة، ما يشير إلى نية الجهات التي تقف وراء هذه الحملة من التهديدات الوصول إلى هذه المصادر.
ولم يتمكن باحثو وخبراء وحدة مكافحة التهديدات الأمنية لدى الشركة من تأكيد آلية العمل الوظيفي لكافة الصفحات الاحتيالية التي تم تحديدها، وذلك لأنه تعذر الوصول إلى بعض النطاقات في فترة إجراء التحليلات. في حين وجدت الوحدة أنه تم تسجيل العديد من هذه النطاقات خلال الفترة ما بين شهري مايو وأغسطس من العام 2018، وتسجيل آخرها يوم 19 أغسطس الماضي. كما تشير تسجيلات النطاق إلى أن البنية التحتية التي دعمت انتشار هذه الحملة كانت لا تزال قيد الإنشاء عندما اكتشف باحثو وخبراء وحدة مكافحة التهديدات الأمنية هذا النشاط الاحتيالي الخبيث.
كما أن معظم النطاقات التي تم رصدها والمشاركة ضمن هذه الحملة تم ربطها بنفس عنوان بروتوكول الإنترنت IP وسيرفر تسمية نظام أسماء النطاقات DNS. وعثر أيضًا على نطاق مسجل في شهر مايو من العام 2018 يحتوي على نطاقات فرعية احتيالية تستهدف الجامعات، حيث تقوم هذه النطاقات الفرعية بإعادة توجيه الزائرين إلى صفحات تسجيل الدخول الاحتيالية الموجودة ضمن نطاقات أخرى تتحكم بها الجهات المهاجمة.
من جهةٍ أخرى، فإن عملية استهداف المصادر الأكاديمية عبر الإنترنت مشابهة لعمليات إلكترونية سابقة قامت بها كوبالت ديكنز، وهي مجموعة مرتبطة بالحكومة الإيرانية تشن العديد من الهجمات الالكترونية.
وخلال هذه العمليات، التي استخدمت فيها ذات البنية التحتية التي استعانت بها خلال هجمات شهر أغسطس، قامت المجموعة بإنشاء نطاقات مشابهة للاحتيال على الأهداف، واستخدام بيانات وحسابات اعتماداتهم لسرقة الملكيات الفكرية من بعض المصادر الخاصة، بما فيها أنظمة المكتبات.
وفي شهر مارس من العام 2018، أدانت وزارة العدل الأمريكية معهد مبنى الإيراني وتسعة مواطنين آخرين بأنشطة ترتبط بهجمات مجموعة كوبالت ديكنز، والتي حدثت خلال الفترة ما بين العامين 2013 و2017. ويشار هنا إلى أن العديد من الجهات المهاجمة لا تلجأ إلى تغيير منهجية إجراءاتها حتى لو تم كشفها، وتشير نتائج التحليل الذي أجرته وحدة مكافحة التهديدات إلى احتمالية وقوف مجموعة كوبالت ديكنز وراء حملة استهداف الجامعات، بالرغم من لوائح الاتهام التي تضمن أسماء بعض أعضائها.
وتعد الجامعات من الأهداف الجذابة التي تستقطب الجهات المهاجمة، التي تصبو للحصول على الملكية الفكرية. وبالإضافة إلى أنه من الصعوبة بمكان تأمين الحماية الشاملة لها ولمصادرها على غرار المؤسسات المالية أو منظمات الرعاية الصحية التي تخضع لمستويات أمنية ولوائح تنظيمية صارمة، من المعروف أن الجامعات تحتضن الكثير من الأبحاث المتطورة التي تستقطب الدارسين والطلاب من شتى أنحاء العالم. الأمر الذي دفع باحثو وخبراء وحدة مكافحة التهديدات الأمنية التواصل مع العديد من شركائهم العالميين للتصدي لهذا التهديد.
وقد دفعت هذه الحملة الاحتيالية واسعة النطاق، التي استهدفت صفحات تسجيل الدخول لسرقة بيانات وحسابات الاعتماد، المؤسسات إلى تعزيز عمليات المصادقة متعددة المراحل التي تطبقها باستخدام بروتوكولات آمنة، وتفعيل إجراءات معقدة لاعتماد كلمات المرور ضمن الأنظمة المتاحة للجميع. كما يوصي باحثو وخبراء وحدة مكافحة التهديدات الأمنية العملاء بتبني برامج تدريبية قادرة على تثقيف المستخدمين حول طبيعة التهديدات الأمنية، بما في ذلك تقديم الإرشادات التوجيهية للتعرف على رسائل البريد الإلكتروني المشبوهة، والإبلاغ عنها.
وقد قام باحثو وخبراء وحدة مكافحة التهديدات الأمنية بوضع عدة مؤشرات للكشف عن هذا النوع من التهديدات، ومنها إعادة تخصيص عناوين بروتوكول الإنترنت IP، فقد تحتوي النطاقات وعناوين بروتوكول الإنترنت IP على محتوى خبيث، لذا يجب مراعاة المخاطر قبل الاطلاع عليهم بواسطة المتصفح.
