26.04.2018

Vor einigen Tagen wurden (bei heise Online sowie Spiegel Online) Informationen veröffentlicht, nach denen bereits seit 2014 mehrere deutsche Universitäten Ziel von erfolgreichen Phishing-Angriffen mutmaßlich iranischer Akteure wurden. Diese Angriffe hatten das Ziel, Credentials von Nutzern der jeweiligen Einrichtung zu erbeuten, um bspw. unveröffentlichte Forschungsarbeiten ausspähen zu können.
Tatsächlich haben auch wir bereits seit Oktober 2016 derartige Angriffe beobachtet und betroffene Einrichtungen umgehend informiert. Mittlerweile liegen uns weitere Informationen vor, so dass wir derzeit neue Benachrichtigungen verschicken.

Technische Details zu den Angriffen sind in einem aktuellen Blog-Post der Firma PhishLabs (sowie hier) zu finden: hier sind entsprechende Phishing-Domains sowie zugehörige IP-Adressen aufgelistet, die für diese Angriffe verwendet wurden.

Obwohl die Angriffe seit etlichen Jahren laufen (und noch andauern sollen) ist es ggf. ratsam, in Firewall- und anderen Logs nach entsprechenden Domains oder IP-Adressen zu suchen.

Update: Es wurden in den vergangenen Wochen weitere Phishing-Angriffe auf deutsche Hochschulen beobachtet, wie beispielsweise die Firma SecureWorks in einem Blog-Post berichtet (die Tätergruppe wird hier jedoch "COBALT DICKENS" genannt). Auch hier finden sich entsprechende Phishing-Domains sowie zugehörige IP-Adressen. Uns liegen neue Informationen vor; wir informieren nachwievor betroffene Einrichtungen.