Сайты государственных ведомств и университетов США, а также некоторых университетов и частных компаний Европы уже несколько лет используются хакерами для рекламы своих услуг и фишинговых сайтов. Они помещали туда PDF-файлы с нужными им ссылками, используя найденные уязвимости или легальные формы для загрузки документов. Сколько это продолжалось, неизвестно. Эксперты сходятся во мнении, что масштабная спам-кампания вполне могла быть организована одним хакером.

Государство и университеты работают на хакеров

Мошенники уже давно используют государственные сайты для открытой рекламы своих «услуг», в том числе хакерских. По данным портала TechCrunch, они работали масштабно, используя государственные сайты в нескольких штатах США в качестве бесплатной рекламной площадки, а также размещая рекламу на веб-порталах университетов и федеральных агентств США, и это могло длиться годами. Ссылки на эти файлы затем отображались в результатах поиска.

Рекламные объявления содержались в файлах PDF, загруженных на официальные сайты в доменной зоне .gov. Среди пострадавших государственные структуры штатов Калифорния, Северная Каролина, Нью-Гэмпшир, Огайо, Вашингтон и Вайоминг, а также округов Сент-Луис в Миннесоте, Франклин в Огайо и Сассекс в Делавэре. Злоумышленники не обошли стороной и официальные сайты департаментов города Джонс-Крик (Джорджия) и портал Федерального управления общественной жизни.

Теперь стоит держаться подальше не только от сомнительных сайтов, но и от порталов вузов и госорганов

Образовательные учреждения также стали жертвами хакеров. Зараженные спамом» веб-сайты Калифорнийского университета в Беркли, Стэнфорда, Йельского университета, Калифорнийского университета в Сан-Диего, Университета Вирджинии, Калифорнийского университета в Сан-Франциско, Колорадского университета в Денвере, Метрополитен-колледжа, Вашингтонского университета, Пенсильванского университета, Техасского Юго-Западного университета, Университета штата Джексон, Хиллсдейла Колледж, Университет Организации Объединенных Наций, Университет Лихай, Общественные колледжи Спокан, Университет штата Эмпайр, Смитсоновский институт и Университет штата Орегон.

ЧИТАТЬ   США, Япония и Южная Корея проводят учения в спорном море, пока Байден приветствует лидеров Японии и Филиппин

Международная экспансия хакеров

Злоумышленники, разместившие свою рекламу на государственных сайтах и ​​порталах образовательных учреждений, решили не ограничиваться только США. Например, следы их пребывания обнаружены на сайте Букингемского университета в Соединенном Королевстве, то есть ареал их деятельности охватывает как минимум Северную Америку и Европу. Об этом говорит и их незримое присутствие на сайте испанского отделения Красного Креста и анонимного туристического агентства в Ирландии.

Но все же в центре внимания США, и пока непонятно, с чем именно это может быть связано. По данным TechCrunch, хакеров даже рекламировали на сайте американского оборонного подрядчика и производителя аэрокосмической техники Rockwell Collins, дочерней компании военно-промышленного гиганта Raytheon.

Что скрывается внутри

Взломанные PDF-файлы, которые каким-то образом оказались на сайтах перечисленных организаций, сами по себе опасности не представляют, но представляет опасность их содержимое. Они включают в себя ссылки на различные сайты, где пользователям рекомендуется использовать инструменты для взлома популярных веб-сервисов в Интернете, включая мессенджер ShapChat и запрещенный в России соцсети американского миллиардера Марку Цукербергу (Марк Цукерберг).

Но не всем интересно взламывать чужие профили, и чтобы расширить аудиторию потенциальных клиентов, хакеры рекламируют и другие услуги. Среди них способы накрутки в видеоиграх и сервисы для обмана подписчиков в социальных сетях.

Один из сайтов, разрекламированных хакерами для взлома известной социальной сети

О таком оригинальном способе рекламы пиратских сервисов стало известно лишь в начале июня 2023 года, но, похоже, эта схема используется годами. Убедительных доказательств этому пока нет, но есть косвенные доказательства — некоторые из найденных документов имеют дату создания и модификации, а это, по мнению TechCrunch, может свидетельствовать о том, что эти файлы находятся на серверах уже давно, много лет. .

Техническая реализация

Несколько жертв хакеров сообщили TechCrunch, что эти инциденты не обязательно являются признаками взлома, а скорее являются результатом использования мошенниками уязвимости в онлайн-формах или программном обеспечении системы управления контентом (CMS), которое позволяло им загружать PDF-файлы со своих сайтов. Представители трех пострадавших — города Джонс-Крик в Джорджии, Вашингтонского университета и муниципальных колледжей Спокан — заявили, что проблема связана с системой управления контентом под названием Kentico CMS.

ЧИТАТЬ   Создатели российского смартфона «Р-фон» запускают Linux-планшет для сопряжения с ним

Эксперты еще не составили полный список методов, используемых хакерами для загрузки своих файлов на веб-сайты. Но представители Калифорнийского департамента рыб и дикой природы и Букингемского университета в Великобритании описали методы, которые кажутся одинаковыми, но не упоминая Kentico. «Похоже, что незнакомец использовал один из наших механизмов отчетности для загрузки PDF-файлов вместо изображений», — сказал TechCrunch TechCrunch. Дэвид Перес (Дэвид Перес), специалист по кибербезопасности, Департамент рыбы и дикой природы Калифорнии.

На веб-сайте министерства есть несколько страниц, где граждане могут, среди прочего, сообщать о случаях браконьерства и раненых животных. Заместитель директора Департамента по связям с общественностью Джордан Траверсо (Джордан Траверсо) сказал, что страница была неправильно настроена с формой для сообщения о больных или мертвых летучих мышах, но сайт «фактически не был скомпрометирован», и проблема была решена — департамент удалил документы.

Массовый спам-бизнес

Найдены рекламные материалы хакерских сервисов Джон Скотт Рейлтон (Джон Скотт-Рейлтон), старший научный сотрудник Citizen Lab. Неясно, являются ли найденные им сайты полным списком ресурсов, затронутых этой широкомасштабной спам-кампанией — возможно, их больше.

Кто стоит за столь масштабным взломом, пока неизвестно. Но, учитывая количество веб-сайтов, которые отображали одинаковую или очень похожую рекламу вопреки желанию их владельцев, за каждым из них может стоять группа хакеров или человек.

«Загрузки SEO в формате PDF подобны оппортунистическим инфекциям, которые процветают, когда ваша иммунная система подавлена. Они появляются, когда вы неправильно настроили службы, неисправленные ошибки CMS [системы управления контентом] и другие вопросы безопасности», — сказал Скотт-Рейлтон.

Хотя эта кампания выглядит сложной, масштабной и в то же время, казалось бы, безобидной SEO-игрой по продвижению мошеннических услуг, по словам Скотта-Рейлтона, злоумышленники могли использовать те же недостатки, чтобы нанести гораздо больший ущерб. «В этом случае PDF-файлы, которые они загружали, просто содержали текст, указывающий на вредоносную службу, которая, как мы знаем, также может быть вредоносной, но они вполне могли загружать PDF-файлы с вредоносным содержимым. Или вредоносные ссылки», — заявил он.

ЧИТАТЬ   Даты выпуска смарт-кольца Samsung стали известны

Все дело в деньгах

TechCrunch проверил некоторые веб-сайты, рекламируемые в PDF-файлах, на свой страх и риск. Оказалось, что это только часть очень сложной мошеннической схемы по выкачиванию денег с кликов. Киберпреступники, похоже, используют всплывающие окна с открытым исходным кодом, чтобы убедиться, что посетитель — человек, но на самом деле зарабатывают деньги в фоновом режиме. Анализ исходного кода веб-сайтов позволяет предположить, что рекламируемые хакерские услуги, скорее всего, являются поддельными, несмотря на то, что по крайней мере на одном из сайтов отображаются изображения профилей и имена предполагаемых жертв.

Схема проверена и не дает сбоев.

Хакеры вполне способны заставить фишинговые сайты бесплатно рекламировать свои услуги вдали от небольших государственных структур и университетских порталов, пусть и всемирно известных. Они способны «вербовать» веб-ресурсы гораздо более крупных организаций, например, Евросоюза.

О том, что сайт ЕС является рекламной площадкой для киберпреступников, стало известно в конце 2022 года. Как сообщал CNews, он был задействован в точно такой же схеме — незнакомцы воспользовались легальной возможностью загрузить документы на сайт и разместили много файлов, содержащих ключевые слова. На счету шли тысячи документов, а дополнительный успех заключался в том, что в результате ссылки на эти файлы долгое время отображались в первых строках результатов поиска.

На самом деле хакеры не взламывали сайт ЕС — они лишь воспользовались той функцией, которую он предлагал всем посетителям без исключения. Это означает, что в данном случае нарушения закона не было.

Георгий Дорофеев

Source

От admin