کلاهبرداران تبلیغاتی را برای خدمات هک در وب سایت های دولتی منتشر می کنند

کلاهبرداران منتشر کرده اند تبلیغات مختلف برای خدمات هک در وب سایت های رسمی چندین ایالت، شهرستان و دولت های محلی ایالات متحده، یک آژانس فدرال، و همچنین دانشگاه های متعدد.

آگهی‌ها در فایل‌های PDF آپلود شده در وب‌سایت‌های رسمی .gov متعلق به دولت‌های ایالتی کالیفرنیا، کارولینای شمالی، نیوهمپشایر، اوهایو، واشنگتن و وایومینگ قرار داشتند. شهرستان های سنت لوئیس در مینه سوتا، شهرستان فرانکلین در اوهایو، شهرستان ساسکس در دلاور. شهر جانز کریک در جورجیا؛ و اداره فدرال برای زندگی اجتماعی.

کلاهبرداران همچنین تبلیغات مشابهی را در وب‌سایت‌های .edu چندین دانشگاه بارگذاری کردند: UC Berkeley، Stanford، Yale، UC San Diego، University of Virginia، UC San Francisco، University of Colorado Denver، Metropolitan Community College، دانشگاه واشنگتن، دانشگاه پنسیلوانیا، دانشگاه تگزاس ساوت وسترن، دانشگاه ایالتی جکسون، کالج هیلزدیل، دانشگاه ملل متحد، دانشگاه لیهای، کالج‌های اجتماعی اسپوکین، دانشگاه امپایر استیت، موسسه اسمیتسونیان، دانشگاه ایالتی اورگان، دانشگاه باکینگهام در بریتانیا، و دانشگاه دل نورته در کلمبیا.

به غیر از سایت‌های .gov و .edu، قربانیان دیگر شامل صلیب سرخ اسپانیا هستند. پیمانکار دفاعی و سازنده هوافضا راکول کالینز – بخشی از کالینز هوافضا و یکی از شرکت های تابعه غول دفاعی Raytheon. و یک شرکت گردشگری مستقر در ایرلند.

فایل‌های PDF به چندین وب‌سایت مختلف پیوند دارند، برخی از آنها خدمات تبلیغاتی که ادعا می‌کنند قادر به هک کردن حساب‌های اینستاگرام، فیسبوک و اسنپ چت هستند. خدمات تقلب در بازی های ویدیویی؛ و خدماتی برای ایجاد فالوورهای جعلی.

در یکی از PDFها آمده است: «بهترین راه برای هک اینستا 2021». اگر به دنبال هک کردن حساب اینستاگرام هستید (خواه اکانت شما که از آن قفل شده اید یا دوستتان)، InstaHacker مکان مناسبی برای جستجو است. ما در InstaHacker راه حل های آسان هک اینستاگرام را به کاربران خود ارائه می دهیم که ایمن و کاملاً عاری از هرگونه نیت مخرب هستند. [sic throughout]”

برخی از اسناد دارای تاریخ هایی هستند که نشان می دهد ممکن است سال ها آنلاین بوده باشند.

این تبلیغات توسط جان اسکات ریلتون، محقق ارشد در آزمایشگاه شهروند پیدا شد. مشخص نیست سایت هایی که او پیدا کرده – و ما لیست کرده ایم – لیست کاملی از سایت هایی هستند که تحت تأثیر این کمپین عظیم اسپم قرار گرفته اند یا خیر. و با توجه به تعداد وب‌سایت‌هایی که تبلیغات بسیار مشابهی را نمایش می‌دهند، ممکن است همان گروه یا فرد پشت همه آنها باشد.

«بارگذاری‌های PDF SEO مانند عفونت‌های فرصت‌طلبانه هستند که وقتی سیستم ایمنی شما سرکوب می‌شود، رشد می‌کنند. هنگامی که سرویس‌های پیکربندی نادرست، CMS وصله‌نشده دارید، نمایش داده می‌شوند [content management system] Scott-Railton گفت: اشکالات و سایر مشکلات امنیتی.

به گفته Scott-Railton، در حالی که به نظر می رسد این کمپین پیچیده، عظیم و در عین حال یک بازی سئو به ظاهر بی ضرر برای ترویج خدمات کلاهبرداری است، هکرهای مخرب می توانستند از همان نقص ها برای وارد آوردن آسیب بسیار بیشتر سوء استفاده کنند.

او گفت: «در این مورد، پی‌دی‌اف‌هایی که آنها آپلود کرده‌اند فقط دارای متنی بودند که به یک سرویس کلاهبرداری اشاره می‌کرد که ممکن است تا آنجایی که ما می‌دانیم مخرب باشد، اما آنها به خوبی می‌توانستند پی‌دی‌اف‌هایی با محتوای مخرب آپلود کنند. “یا پیوندهای مخرب.”

زی زمان، سخنگوی آژانس امنیت سایبری ایالات متحده، CISA، گفت که این آژانس “از مصالحه های ظاهری برای وب سایت های دولتی و دانشگاهی خاص برای میزبانی هرزنامه های بهینه سازی موتور جستجو (SEO) آگاه است. ما در حال هماهنگی با نهادهای بالقوه تحت تأثیر هستیم و در صورت نیاز کمک ارائه می دهیم.»

TechCrunch برخی از وب‌سایت‌های تبلیغ شده در فایل‌های PDF را بررسی کرد و به نظر می‌رسد که آنها بخشی از یک طرح پیچیده برای تولید پول از طریق تقلب کلیک هستند. به نظر می رسد مجرمان سایبری از ابزارهای منبع باز برای ایجاد پنجره های بازشو برای تأیید اینکه بازدیدکننده یک انسان است استفاده می کنند، اما در واقع در پس زمینه پول تولید می کنند. بررسی کد منبع وب‌سایت‌ها نشان می‌دهد که سرویس‌های هک تبلیغاتی احتمالا جعلی هستند، علی‌رغم اینکه حداقل یکی از سایت‌هایی که تصاویر نمایه و نام قربانیان ادعایی را نمایش می‌دهند.

چندین قربانی به TechCrunch گفتند که این حوادث لزوماً نشانه‌ای از رخنه نیست، بلکه نتیجه سوء استفاده کلاهبرداران از نقص در فرم‌های آنلاین یا یک نرم‌افزار سیستم مدیریت محتوا (CMS) است که به آنها اجازه می‌دهد فایل‌های PDF را در سایت‌های خود آپلود کنند.

نمایندگان سه تن از قربانیان – شهر جانز کریک در جورجیا، دانشگاه واشنگتن و کالج های اجتماعی اسپوکین – همگی گفتند که مشکل مربوط به یک سیستم مدیریت محتوا به نام Kentico CMS است.

کاملاً مشخص نیست که چگونه همه سایت ها تحت تأثیر قرار گرفتند. اما نمایندگان دو قربانی مختلف، دپارتمان ماهی و حیات وحش کالیفرنیا و دانشگاه باکینگهام در بریتانیا، تکنیک هایی را توصیف کردند که به نظر می رسد یکسان هستند، اما بدون ذکر کنتیکو.

دیوید پرز، متخصص امنیت سایبری در دپارتمان ماهی و حیات وحش کالیفرنیا به TechCrunch گفت: «به نظر می‌رسد که یک فرد خارجی از یکی از مکانیسم‌های گزارش‌دهی ما برای آپلود فایل‌های PDF به جای عکس استفاده کرده است.

این بخش دارای صفحات متعددی است که در آن شهروندان می توانند مشاهده شکار غیرقانونی و حیوانات مجروح را از جمله موارد دیگر گزارش کنند. جردن تراورسو، معاون مدیر ارتباطات این وزارتخانه گفت که یک فرم پیکربندی نادرست در صفحه برای گزارش خفاش‌های بیمار یا مرده وجود دارد، اما سایت “در واقع به خطر نیفتاده” و مشکل حل شد و بخش اسناد را حذف کرد.

راجر پرکینز، سخنگوی دانشگاه باکینگهام، گفت: «این صفحات نتیجه هک نیستند، بلکه «صفحات بد» قدیمی ناشی از استفاده از یک فرم هستند – اساساً آنها هرزنامه هستند و اکنون در مرحله ساخت هستند. حذف شده […] یک شکل عمومی (دیگر وجود نداشت) وجود داشت که این افراد از آن استفاده کردند.»

توری پتیس، سخنگوی انجمن کمیسیونرهای آتش سوزی واشنگتن، یکی از آژانس های آسیب دیده، به TechCrunch گفت که فایل ها حذف شده اند. پتیس گفت مطمئن نیست که آیا این مشکل مربوط به Kentico است یا خیر، و اینکه “سایت هک نشده است، با این حال، یک آسیب پذیری وجود دارد که قبلا به اعضای جدید اجازه می داد قبل از تکمیل نمایه، فایل ها را در حساب های خود آپلود کنند.”

جنیفر چپمن، مدیر ارشد ارتباطات در شهر جانز کریک، گفت که “ما با شرکت میزبان خود برای حذف فایل های PDF مورد نظر و حل مشکل کار کردیم.”

آن موشر، افسر امور عمومی اداره زندگی اجتماعی، گفت که این صفحات “حذف شده اند.”

لزلی سپوکا، معاون مدیر ارتباطات دانشگاه در دانشگاه کالیفرنیا سن دیگو، گفت که «پی‌دی‌اف‌های غیرمجاز در این سایت آپلود شده‌اند. فایل ها حذف شده اند و تغییراتی برای جلوگیری از دسترسی غیرمجاز بیشتر ایجاد شده است. از تمامی کاربرانی که به وب سایت دسترسی دارند نیز خواسته شده است که رمز عبور خود را بازنشانی کنند.

ویکتور بالتا، سخنگوی دانشگاه واشنگتن، گفت: «به نظر می‌رسد این مشکل از یک ماژول افزونه قدیمی و آسیب‌پذیر در وب‌سایت ناشی می‌شود که امکان آپلود محتوا در یک فضای عمومی را فراهم می‌کرد.» این سخنگوی افزود: “هیچ نشانه ای از تاثیر عمیق تر یا به خطر انداختن دسترسی یا داده ها در سیستم مربوطه وجود ندارد.”

بالتا این موضوع را به کنتیکو نسبت داد.

توماس اینگل، مدیر خدمات فناوری در کالج‌های اجتماعی اسپوکین، گفت که مشکل یک سرور ویندوزی است که Kentico را اجرا می‌کند، و ما اسنادی را آپلود کرده‌ایم (در این مورد PDF که شما به آن اشاره کردید) که سرورهای دیگری که ربوده شده‌اند به آنها اشاره می‌کنند. ”

جانت گیلمور، سخنگوی کالیفرنیا برکلی، با اشاره به سایتی که تبلیغات هک شده در آن پست شده بود، گفت: «یک آسیب‌پذیری در این وب‌سایت یافت شد، و این مشکل «برای جلوگیری از تکرار این اتفاق در آینده» اصلاح شد. ”

بقیه سازمان های نامبرده به سوالات TechCrunch پاسخ ندادند. چندین تماس و ایمیل به Kentico Software برگشت داده نشد.

آسیب نهایی این کمپین هرزنامه حداقل است و خواهد بود، اما داشتن توانایی آپلود محتوا در وب سایت های .gov نه تنها برای وب سایت های .gov مورد بحث، بلکه برای کل دولت ایالات متحده نگران کننده است.

قبلاً اتفاق افتاده است. در سال 2020، هکرهای ایرانی با هدف ظاهری تغییر شمارش آرا به وب سایت یکی از شهرهای آمریکا نفوذ کردند. و مقامات انتخاباتی از هک کردن وب سایت های مرتبط با انتخابات توسط هکرها ابراز نگرانی کرده اند.