Thought Leadership
Eine groß angelegte Angriffswelle hat mehrere renommierte Universitäten in den USA getroffen. Infoblox hat eine Kampagne aufgedeckt, bei der Angreifer mit dem Tool Evilginx gezielt die Multi Faktor Authentifizierung umgingen und Nutzerkonten von Studierenden und Beschäftigten kompromittierten.
Zu den betroffenen Einrichtungen gehören unter anderem die University of California und die University of Michigan.
Wie Evilginx den Schutz der MFA aushebelt
Evilginx ist ein Open Source Werkzeug, das Adversary in the Middle Methoden nutzt. Dabei werden echte Anmeldeprozesse nachgebildet, um Zugangsdaten und Session Cookies abzugreifen. Mit diesen Cookies können Angreifer anschließend vollständig auf ein Konto zugreifen, selbst wenn für den Login eine zusätzliche Bestätigung über MFA erforderlich wäre.
Die Untersuchung legt nahe, dass eine neuere Version des Frameworks zum Einsatz kam. Die Vorgehensweise zeigt, wie gefährdet selbst moderne Authentifizierungsverfahren bleiben, wenn Angreifer sich zwischen Benutzer und Dienst schalten können.
Ein Netzwerk aus dutzenden Domains
Infoblox konnte über DNS Muster mehr als siebzig miteinander verbundene Domains identifizieren, die zwischen April und November 2025 aktiv waren. Die Angreifer nutzten kurzlebige Adressen, Proxydienste und verschleierte Hosting Strukturen, die auf den ersten Blick kaum zuzuordnen waren. Obwohl viele Elemente über Cloudflare maskiert wurden, ließen sich bestimmte wiederkehrende Signaturen erkennen, die das gesamte Netzwerk sichtbar machten.
Betroffene Studierende erhielten personalisierte Nachrichten mit weiterleitenden TinyURL Links. Dahinter verbargen sich täuschend echte Versionen der zentralen Loginportale ihrer Universitäten. Sämtliche typischen Merkmale wie Logos, Farbgestaltung und Subdomains waren überzeugend nachgebildet. Die Angriffe richteten sich vor allem gegen Einrichtungen wie die University of California Santa Cruz, die University of California Santa Barbara, die University of San Diego, die Virginia Commonwealth University und die University of Michigan.
Verschleierungsstrategien erschweren die Abwehr
Die Kampagne nutzte moderne Techniken, um ihre Herkunft zu verbergen. Zu den eingesetzten Mechanismen gehörten Cloudflare Proxies, Reverse Proxies und sehr kurz gültige URLs. Diese Methoden erschwerten es den Sicherheitslösungen der Hochschulen, verdächtige Aktivitäten rechtzeitig zu erkennen. Erst der Hinweis eines Sicherheitsexperten auf ungewöhnliche Loginversuche führte dazu, dass die Kampagne genauer untersucht wurde.
Im Zuge der Analyse weist Infoblox auf ein besonders folgenschweres Beispiel aus der jüngeren Vergangenheit hin. Angreifer verschafften sich Zugang zur University of Washington und erreichten dort das Burke Museum of Natural History. Ein Teil der digitalen Sammlungen mit Tier und Pflanzenexemplaren wurde dabei beschädigt oder gelöscht. Laut Dr. Renée Burton, Vice President bei Infoblox Threat Intel, gingen damit wertvolle Daten verloren, die über viele Jahre von Freiwilligen zusammengetragen wurden.
Universitäten bleiben ein attraktives Angriffsziel
Die aktuelle Untersuchung verdeutlicht, dass Hochschulen aufgrund ihrer offenen IT Landschaften und ihrer vielfältigen Nutzergruppen besonders verwundbar sind. Die Kombination aus sensiblen Forschungsdaten, komplexen Systemen und hohen Zugriffszahlen macht sie für Cyberkriminelle attraktiv. Die Evilginx Kampagne zeigt, wie weitreichend Angriffe sein können, wenn sie unentdeckt bleiben.
