Οι απατεώνες δημοσιεύουν διαφημίσεις για υπηρεσίες πειρατείας σε κυβερνητικούς ιστότοπους
Related Posts
Οι απατεώνες έχουν δημοσιεύσει
διάφορες διαφημίσεις για υπηρεσίες πειρατείας σε επίσημους ιστότοπους πολλών κυβερνήσεων πολιτειών, κομητειών και τοπικών αρχών των ΗΠΑ, μιας ομοσπονδιακής υπηρεσίας, καθώς και πολλών πανεπιστημίων.
Οι διαφημίσεις περιέχονταν σε αρχεία PDF που ανέβηκαν σε επίσημους ιστότοπους .gov που ανήκουν στις κυβερνήσεις των πολιτειών της Καλιφόρνια, της Βόρειας Καρολίνας, του Νιού Χάμσαϊρ, του Οχάιο, της Ουάσιγκτον και του Ουαϊόμινγκ. Κομητεία Σεντ Λούις στη Μινεσότα, Κομητεία Φράνκλιν στο Οχάιο, Κομητεία Σάσεξ στο Ντέλαγουερ. την πόλη Johns Creek στη Γεωργία. και την ομοσπονδιακή διοίκηση για την κοινοτική διαβίωση.
Οι απατεώνες ανέβασαν επίσης παρόμοιες διαφημίσεις στους ιστότοπους .edu πολλών πανεπιστημίων: UC Berkeley, Stanford, Yale, UC San Diego, University of Virginia, UC San Francisco, University of Colorado Denver, Metropolitan Community College, University of Washington, University of Pennsylvania, University of Texas Southwestern, Jackson State University, Hillsdale College, United Nations University, Lehigh University, Community Colleges of Spokane, Empire State University, Smithsonian Institute, Oregon State University, University of Buckingham στο Ηνωμένο Βασίλειο και Universidad Del Norte στην Κολομβία.
Εκτός από τους ιστότοπους .gov και .edu, άλλα θύματα περιλαμβάνουν τον Ερυθρό Σταυρό της Ισπανίας. ο αμυντικός εργολάβος και κατασκευαστής αεροδιαστημικής Rockwell Collins — μέρος της Collins Aerospace και θυγατρική του αμυντικού γίγαντα Raytheon· και μια τουριστική εταιρεία με έδρα την Ιρλανδία.
Τα PDF συνδέονται με πολλούς διαφορετικούς ιστότοπους, μερικοί από αυτούς διαφημιστικές υπηρεσίες που ισχυρίζονται ότι μπορούν να παραβιάσουν τους λογαριασμούς Instagram, Facebook και Snapchat. Υπηρεσίες εξαπάτησης σε βιντεοπαιχνίδια· και υπηρεσίες για τη δημιουργία ψεύτικων οπαδών.
«Ο ΚΑΛΥΤΕΡΟΣ τρόπος για Hack Insta 2021», έγραψε ένα PDF. «Εάν θέλετε να χακάρετε τον λογαριασμό Instagram (είτε τον δικό σας από τον οποίο κλειδώσατε ή τον φίλο σας), το InstaHacker είναι το κατάλληλο μέρος για να αναζητήσετε. Εμείς, στο InstaHacker, παρέχουμε στους χρήστες μας εύκολες λύσεις χακαρίσματος Instagram που είναι ασφαλείς και εντελώς απαλλαγμένες από κακόβουλες προθέσεις [
sic
throughout].»
Ορισμένα από τα έγγραφα έχουν ημερομηνίες που υποδηλώνουν ότι μπορεί να ήταν στο διαδίκτυο εδώ και χρόνια.
Αυτές οι διαφημίσεις βρέθηκαν από τον John Scott-Railton, ανώτερο ερευνητή στο Citizen Lab. Δεν είναι σαφές εάν οι ιστότοποι που βρήκε – και έχουμε παραθέσει – είναι μια πλήρης λίστα με τους ιστότοπους που επηρεάζονται από αυτήν την τεράστια καμπάνια ανεπιθύμητων μηνυμάτων. Και με δεδομένο πόσοι ιστότοποι εμφάνιζαν πολύ παρόμοιες διαφημίσεις, η ίδια ομάδα ή άτομο μπορεί να βρίσκεται πίσω από όλες.
«Οι μεταφορτώσεις PDF SEO είναι σαν ευκαιριακές λοιμώξεις που ευδοκιμούν όταν το ανοσοποιητικό σας σύστημα καταστέλλεται. Εμφανίζονται όταν έχετε εσφαλμένες διαμορφωμένες υπηρεσίες, μη επιδιορθωμένο CMS [content management system] σφάλματα και άλλα προβλήματα ασφαλείας», δήλωσε ο Scott-Railton.
Ενώ αυτή η καμπάνια φαίνεται να είναι περίπλοκη, τεράστια και ταυτόχρονα ένα φαινομενικά αβλαβές παιχνίδι SEO για την προώθηση υπηρεσιών απάτης, οι κακόβουλοι χάκερ θα μπορούσαν να έχουν εκμεταλλευτεί τα ίδια ελαττώματα για να κάνουν πολύ μεγαλύτερη ζημιά, σύμφωνα με τον Scott-Railton.
«Σε αυτήν την περίπτωση, τα PDF που ανέβασαν είχαν απλώς κείμενο που δείχνει μια υπηρεσία απάτης που μπορεί επίσης να είναι κακόβουλη από όσο γνωρίζουμε, αλλά θα μπορούσαν κάλλιστα να έχουν ανεβάσει αρχεία PDF με κακόβουλο περιεχόμενο», είπε. “Ή κακόβουλοι σύνδεσμοι.”
Ο Zee Zaman, εκπρόσωπος της αμερικανικής υπηρεσίας κυβερνοασφάλειας, CISA είπε ότι η υπηρεσία «γνωρίζει προφανείς συμβιβασμούς σε ορισμένους κυβερνητικούς και πανεπιστημιακούς ιστότοπους για τη φιλοξενία ανεπιθύμητων μηνυμάτων βελτιστοποίησης μηχανών αναζήτησης (SEO). Συντονιζόμαστε με οντότητες που ενδέχεται να επηρεαστούν και προσφέρουμε βοήθεια όπως απαιτείται».
Το TechCrunch επιθεώρησε ορισμένους από τους ιστότοπους που διαφημίζονται στα PDF και φαίνεται ότι αποτελούν μέρος ενός περίπλοκου σχεδίου για τη δημιουργία χρημάτων μέσω της απάτης κλικ. Οι κυβερνοεγκληματίες φαίνεται να χρησιμοποιούν εργαλεία ανοιχτού κώδικα για να δημιουργήσουν αναδυόμενα παράθυρα για να επαληθεύσουν ότι ο επισκέπτης είναι άνθρωπος, αλλά στην πραγματικότητα παράγουν χρήματα στο παρασκήνιο. Μια ανασκόπηση του πηγαίου κώδικα των ιστότοπων υποδηλώνει ότι οι υπηρεσίες hacking όπως διαφημίζονται είναι πιθανώς ψεύτικες, παρά το γεγονός ότι τουλάχιστον ένας από τους ιστότοπους εμφανίζει τις φωτογραφίες προφίλ και τα ονόματα των φερόμενων θυμάτων.
Πολλά θύματα είπαν στο TechCrunch ότι αυτά τα περιστατικά δεν είναι απαραίτητα σημάδια παραβίασης, αλλά μάλλον αποτέλεσμα απατεώνων που εκμεταλλεύονται ένα ελάττωμα σε διαδικτυακές φόρμες ή λογισμικό συστήματος διαχείρισης περιεχομένου (CMS), το οποίο τους επέτρεψε να ανεβάσουν τα PDF στους ιστοτόπους τους.
Οι εκπρόσωποι για τρία από τα θύματα – την πόλη Johns Creek στη Τζόρτζια, το Πανεπιστήμιο της Ουάσιγκτον και τα Κοινοτικά Κολλέγια του Spokane – είπαν όλοι ότι το πρόβλημα αφορούσε ένα σύστημα διαχείρισης περιεχομένου που ονομάζεται Kentico CMS.
Δεν είναι απολύτως σαφές πώς επηρεάστηκαν όλοι οι ιστότοποι. Όμως εκπρόσωποι δύο διαφορετικών θυμάτων, του Τμήματος Ψαριών και Άγριας Ζωής της Καλιφόρνια και του Πανεπιστημίου του Μπάκιγχαμ στο Ηνωμένο Βασίλειο, περιέγραψαν τεχνικές που φαίνεται να είναι ίδιες, αλλά χωρίς να αναφέρουν το Kentico.
“Φαίνεται ότι ένα εξωτερικό άτομο εκμεταλλεύτηκε έναν από τους μηχανισμούς αναφοράς μας για να ανεβάσει αρχεία PDF αντί για φωτογραφίες”, δήλωσε στο TechCrunch ο David Perez, ειδικός στον τομέα της κυβερνοασφάλειας στο Τμήμα Ψαριών και Άγριας Ζωής της Καλιφόρνια.
Το τμήμα έχει
αρκετές σελίδες
όπου οι πολίτες μπορούν να αναφέρουν θεάσεις λαθροθηρίας και τραυματισμένα ζώα, μεταξύ άλλων θεμάτων. Ο αναπληρωτής διευθυντής επικοινωνίας του τμήματος Τζόρνταν Τραβέρσο είπε ότι υπήρχε μια εσφαλμένη φόρμα στη σελίδα για να αναφέρει άρρωστες ή νεκρές νυχτερίδες, αλλά ο ιστότοπος «δεν παραβιάστηκε στην πραγματικότητα» και το ζήτημα επιλύθηκε και το τμήμα αφαίρεσε τα έγγραφα.
Ο Ρότζερ Πέρκινς, εκπρόσωπος του Πανεπιστημίου του Μπάκιγχαμ, είπε ότι «αυτές οι σελίδες δεν είναι αποτέλεσμα πειρατείας, αλλά είναι παλιές «κακές σελίδες» που προκύπτουν από τη χρήση μιας φόρμας — βασικά είναι ανεπιθύμητα και βρίσκονται τώρα στη διαδικασία δημιουργίας αφαιρέθηκε […] υπήρχε μια δημόσια μορφή (που δεν υπήρχε πλέον) την οποία εκμεταλλεύτηκαν αυτοί οι άνθρωποι».
Η Tori Pettis, εκπρόσωπος της Ένωσης Επιτρόπων για την Πυροσβεστική της Ουάσιγκτον, μία από τις πληττόμενες υπηρεσίες, είπε στο TechCrunch ότι τα αρχεία έχουν αφαιρεθεί. Η Pettis είπε ότι δεν ήταν σίγουρη αν το πρόβλημα ήταν με την Kentico και ότι «ο ιστότοπος δεν έχει παραβιαστεί, ωστόσο, υπήρχε μια ευπάθεια που προηγουμένως επέτρεπε στα νέα μέλη να ανεβάζουν αρχεία στους λογαριασμούς τους πριν ολοκληρωθεί το προφίλ».
Η Jennifer Chapman, ανώτερη διευθύντρια επικοινωνίας στην πόλη Johns Creek, είπε ότι «συνεργαστήκαμε με την εταιρεία φιλοξενίας μας για να αφαιρέσουμε τα εν λόγω PDF και να επιλύσουμε το πρόβλημα».
Η Ann Mosher, υπεύθυνη δημοσίων σχέσεων για τη Διοίκηση για την Κοινοτική Διαβίωση, είπε ότι οι σελίδες “έχουν αφαιρεθεί”.
Ο Leslie Sepuka, αναπληρωτής διευθυντής πανεπιστημιακών επικοινωνιών στο Πανεπιστήμιο της Καλιφόρνια του Σαν Ντιέγκο, είπε ότι «ανεβάστηκαν μη εξουσιοδοτημένα αρχεία PDF σε αυτόν τον ιστότοπο. Τα αρχεία έχουν αφαιρεθεί και έχουν γίνει αλλαγές για να αποτραπεί περαιτέρω μη εξουσιοδοτημένη πρόσβαση. Ζητήθηκε επίσης από όλους τους χρήστες με πρόσβαση στον ιστότοπο να επαναφέρουν τους κωδικούς πρόσβασής τους.”
Ο Victor Balta, εκπρόσωπος του Πανεπιστημίου της Ουάσιγκτον, δήλωσε ότι «το ζήτημα φαίνεται να προήλθε από μια ξεπερασμένη και ευάλωτη μονάδα προσθήκης στον ιστότοπο, η οποία επέτρεπε τη μεταφόρτωση περιεχομένου σε δημόσιο χώρο». Ο εκπρόσωπος πρόσθεσε ότι «δεν υπάρχει καμία ένδειξη για βαθύτερο αντίκτυπο ή παραβίαση της πρόσβασης ή των δεδομένων εντός του σχετικού συστήματος».
Ο Μπαλτά απέδωσε το θέμα στην Kentico.
Ο Thomas Ingle, διευθυντής τεχνολογικών υπηρεσιών στο Community Colleges of Spokane, είπε ότι το πρόβλημα ήταν ένας διακομιστής Windows που εκτελούσε το Kentico και ότι «είχαμε ανεβάσει έγγραφα (σε αυτήν την περίπτωση το PDF που αναφέρατε) στα οποία έδειχναν άλλοι διακομιστές που παραβιάστηκαν. ”
Η Janet Gilmore, εκπρόσωπος του UC Berkeley, δήλωσε: «Βρέθηκε μια ευπάθεια σε αυτόν τον ιστότοπο», αναφερόμενη στον ιστότοπο όπου αναρτήθηκαν οι διαφημίσεις hacking και ότι το ζήτημα διορθώθηκε «για να αποτραπεί αυτό να συμβεί ξανά στο μέλλον. ”
Οι υπόλοιποι οργανισμοί που κατονομάζονται δεν απάντησαν στα ερωτήματα της TechCrunch. Αρκετές κλήσεις και email προς την Kentico Software δεν επιστράφηκαν.
Η τελική ζημιά αυτής της καμπάνιας ανεπιθύμητης αλληλογραφίας είναι και θα καταλήξει να είναι ελάχιστη, αλλά η δυνατότητα μεταφόρτωσης περιεχομένου σε ιστότοπους .gov θα ήταν ανησυχητική, όχι μόνο για τους εν λόγω ιστότοπους .gov, αλλά για ολόκληρη την κυβέρνηση των ΗΠΑ.
Έχει ήδη συμβεί. το 2020,
Ιρανοί χάκερ εισέβαλαν στον ιστότοπο μιας πόλης των ΗΠΑ
με προφανή στόχο την αλλαγή της καταμέτρησης των ψήφων. Και οι εκλογικοί υπάλληλοι
έχουν εκφράσει ανησυχία
για χάκερ που εισβάλλουν σε ιστότοπους που σχετίζονται με εκλογές.
