تعرضت الأوساط الأكاديمية الجامعية حول العالم، خلال شهر أغسطس من العام 2018، لحملة احتيال واسعة النطاق تجاوزت نتائجها مجرد الاستحواذ على بيانات وحسابات الاعتماد الخاصة بدراسات ومشاريع الطلبة.
واكتشف باحثو وخبراء وحدة مكافحة التهديدات الأمنية لدى شركة سيكيوروركس العالمية الرائدة فى توفير الحماية للشركات فى العالم الرقمى المتصل بالإنترنت، رابطاً احتيالياً ينتحل الصفة الرسمية لصفحة تسجيل الدخول إلى الموقع الالكترونى للجامعة. وبعد إجراء المزيد من التحريات حول عنوان بروتوكول الإنترنت IP الذى يستضيف الصفحة الاحتيالية، تم الكشف عن وجود حملة واسعة النطاق لسرقة بيانات وحسابات الاعتماد، تضمنت ستة عشر نطاقاً احتضن أكثر من 300 موقع وصفحة احتيالية لتسجيل الدخول إلى 76 جامعة تنتشر فى 14 دولة حول العالم، بما فيها أستراليا وكندا والصين واليابان وسويسرا وتركيا والمملكة المتحدة والولايات المتحدة.
فبعد أن يقوم المستخدمون بإدخال بيانات اعتمادهم ضمن صفحة تسجيل الدخول المزيفة، تمت إعادة توجيه وربط الضحايا بالموقع الرسمى ليتم تسجيل دخولهم بشكل تلقائى عبر جلسة مطابقة نظامية، أو بمطالبتهم إدخال بيانات اعتمادهم مرةً أخرى. وقد تم ربط الكثير من هذه النطاقات الاحتيالية بأنظمة المكتبات الإلكترونية فى الجامعات المستهدفة، ما يشير إلى نية الجهات التى تقف وراء هذه الحملة من التهديدات الوصول إلى هذه المصادر.
ولم يتمكن باحثو وخبراء وحدة مكافحة التهديدات الأمنية لدى الشركة من تأكيد آلية العمل الوظيفى لكافة الصفحات الاحتيالية التى تم تحديدها، وذلك لأنه تعذر الوصول إلى بعض النطاقات فى فترة إجراء التحليلات. فى حين وجدت الوحدة أنه تم تسجيل العديد من هذه النطاقات خلال الفترة ما بين شهرى مايو وأغسطس من العام 2018، وتسجيل آخرها يوم 19 أغسطس الماضي. كما تشير تسجيلات النطاق إلى أن البنية التحتية التى دعمت انتشار هذه الحملة كانت لا تزال قيد الإنشاء عندما اكتشف باحثو وخبراء وحدة مكافحة التهديدات الأمنية هذا النشاط الاحتيالى الخبيث.
معظم النطاقات التى تم رصدها والمشاركة ضمن هذه الحملة تم ربطها بنفس عنوان بروتوكول الإنترنت IP وسيرفر تسمية نظام أسماء النطاقات DNS. وعثر أيضاً على نطاق مسجل فى شهر مايو من العام 2018 يحتوى على نطاقات فرعية احتيالية تستهدف الجامعات، حيث تقوم هذه النطاقات الفرعية بإعادة توجيه الزائرين إلى صفحات تسجيل الدخول الاحتيالية الموجودة ضمن نطاقات أخرى تتحكم بها الجهات المهاجمة.
من جهةٍ أخرى، فإن عملية استهداف المصادر الأكاديمية عبر الإنترنت مشابهة لعمليات إلكترونية سابقة قامت بها كوبالت ديكنز، وهى مجموعة مرتبطة بالحكومة الإيرانية تشن العديد من الهجمات الالكترونية.
وخلال هذه العمليات، التى استخدمت فيها ذات البنية التحتية التى استعانت بها خلال هجمات شهر أغسطس، قامت المجموعة بإنشاء نطاقات مشابهة للاحتيال على الأهداف، واستخدام بيانات وحسابات اعتماداتهم لسرقة الملكيات الفكرية من بعض المصادر الخاصة، بما فيها أنظمة المكتبات.
وفى شهر مارس من العام 2018، أدانت وزارة العدل الأمريكية معهد مبنى الإيرانى وتسعة مواطنين آخرين بأنشطة ترتبط بهجمات مجموعة كوبالت ديكنز، والتى حدثت خلال الفترة ما بين العامين 2013 و2017. ويشار هنا إلى أن العديد من الجهات المهاجمة لا تلجأ إلى تغيير منهجية إجراءاتها حتى لو تم كشفها، وتشير نتائج التحليل الذى أجرته وحدة مكافحة التهديدات إلى احتمالية وقوف مجموعة كوبالت ديكنز وراء حملة استهداف الجامعات، بالرغم من لوائح الاتهام التى تضمن أسماء بعض أعضائها.
وتعد الجامعات من الأهداف الجذابة التى تستقطب الجهات المهاجمة، التى تصبو للحصول على الملكية الفكرية. وبالإضافة إلى أنه من الصعوبة تأمين الحماية الشاملة لها ولمصادرها على غرار المؤسسات المالية أو منظمات الرعاية الصحية التى تخضع لمستويات أمنية ولوائح تنظيمية صارمة، من المعروف أن الجامعات تحتضن الكثير من الأبحاث المتطورة التى تستقطب الدارسين والطلاب من شتى أنحاء العالم. الأمر الذى دفع باحثو وخبراء وحدة مكافحة التهديدات الأمنية التواصل مع العديد من شركائهم العالميين للتصدى لهذا التهديد.
وقد دفعت هذه الحملة الاحتيالية واسعة النطاق، التى استهدفت صفحات تسجيل الدخول لسرقة بيانات وحسابات الاعتماد، المؤسسات إلى تعزيز عمليات المصادقة متعددة المراحل التى تطبقها باستخدام بروتوكولات آمنة، وتفعيل إجراءات معقدة لاعتماد كلمات المرور ضمن الأنظمة المتاحة للجميع. كما يوصى باحثو وخبراء وحدة مكافحة التهديدات الأمنية العملاء بتبنى برامج تدريبية قادرة على تثقيف المستخدمين حول طبيعة التهديدات الأمنية، بما فى ذلك تقديم الإرشادات التوجيهية للتعرف على رسائل البريد الإلكترونى المشبوهة، والإبلاغ عنها.
وقد قام باحثو وخبراء وحدة مكافحة التهديدات الأمنية بوضع عدة مؤشرات للكشف عن هذا النوع من التهديدات، ومنها إعادة تخصيص عناوين بروتوكول الإنترنت IP، فقد تحتوى النطاقات وعناوين بروتوكول الإنترنت IP على محتوى خبيث، لذا يجب مراعاة المخاطر قبل الإطلاع عليهم بواسطة المتصفح.