Dolandırıcılar yayınladı birden fazla ABD eyaletinin, ilçesinin ve yerel yönetiminin, bir federal kurumun ve çok sayıda üniversitenin resmi web sitelerinde bilgisayar korsanlığı hizmetleri için çeşitli reklamlar.
Reklamlar, Kaliforniya, Kuzey Karolina, New Hampshire, Ohio, Washington ve Wyoming eyalet hükümetlerine ait resmi .gov web sitelerine yüklenen PDF dosyalarında yer alıyordu; Minnesota’daki St. Louis İlçesi, Ohio’daki Franklin İlçesi, Delaware’deki Sussex İlçesi; Georgia’daki Johns Creek kasabası; ve federal Toplum Yaşamı İdaresi.
Dolandırıcılar ayrıca birkaç üniversitenin .edu web sitelerine de benzer reklamlar yükledi: UC Berkeley, Stanford, Yale, UC San Diego, Virginia Üniversitesi, UC San Francisco, Colorado Üniversitesi Denver, Metropolitan Community College, Washington Üniversitesi, Pensilvanya Üniversitesi, Birleşik Krallık’ta Texas Southwestern Üniversitesi, Jackson Eyalet Üniversitesi, Hillsdale Koleji, Birleşmiş Milletler Üniversitesi, Lehigh Üniversitesi, Community Colleges of Spokane, Empire State Üniversitesi, Smithsonian Enstitüsü, Oregon Eyalet Üniversitesi, Buckingham Üniversitesi ve Kolombiya’da Universidad Del Norte.
.gov ve .edu sitelerinin yanı sıra, diğer kurbanlar arasında İspanya’nın Kızılhaçı; savunma yüklenicisi ve havacılık üreticisi Rockwell Collins – Collins Aerospace’in bir parçası ve savunma devi Raytheon’un bir yan kuruluşu; ve İrlanda merkezli bir turizm şirketi.
PDF’ler, bazıları Instagram, Facebook ve Snapchat hesaplarına girebileceğini iddia eden reklam hizmetleri olan birkaç farklı web sitesine bağlanır; video oyunlarında hile yapmak için hizmetler; ve sahte takipçiler oluşturmak için hizmetler.
Bir PDF’de “Insta 2021’i Hacklemenin EN İYİ yolu” yazıyordu. “Instagram hesabını hacklemek istiyorsan (kendi hesabına giriş yapmadığın veya arkadaşın), InstaHacker aramak için doğru yer. InstaHacker olarak biz, kullanıcılarımıza güvenli ve herhangi bir kötü niyetten tamamen arınmış, kolay Instagram hackleme çözümleri sunuyoruz. [sic throughout]”
Belgelerden bazılarının yıllardır çevrimiçi olabileceğini gösteren tarihler var.
Bu reklamlar, Citizen Lab’de kıdemli bir araştırmacı olan John Scott-Railton tarafından bulundu. Bulduğu ve bizim de listelediğimiz sitelerin bu büyük spam kampanyasından etkilenen sitelerin tam listesi olup olmadığı belli değil. Ve kaç tane web sitesinin çok benzer reklamlar gösterdiği göz önüne alındığında, hepsinin arkasında aynı grup veya kişi olabilir.
“SEO PDF yüklemeleri, bağışıklık sisteminiz baskılandığında ortaya çıkan fırsatçı enfeksiyonlar gibidir. Yanlış yapılandırılmış hizmetleriniz, yama uygulanmamış CMS’niz olduğunda ortaya çıkarlar. [content management system] hatalar ve diğer güvenlik sorunları,” dedi Scott-Railton.
Scott-Railton’a göre, bu kampanya karmaşık, devasa ve aynı zamanda dolandırıcılık hizmetlerini teşvik etmek için görünüşte zararsız bir SEO oyunu gibi görünse de, kötü niyetli bilgisayar korsanları aynı kusurları çok daha fazla zarar vermek için kullanabilirdi.
“Bu durumda yükledikleri PDF’lerde, bildiğimiz kadarıyla kötü amaçlı da olabilecek bir dolandırıcılık hizmetine işaret eden bir metin vardı, ancak kötü amaçlı içeriklere sahip PDF’leri de yüklemiş olabilirler” dedi. “Ya da kötü amaçlı bağlantılar.”
ABD siber güvenlik ajansı CISA’nın sözcüsü Zee Zaman, ajansın “arama motoru optimizasyonu (SEO) spam’ı barındırmak için belirli hükümet ve üniversite web sitelerine verilen açık tavizlerin farkında olduğunu söyledi. Potansiyel olarak etkilenen kuruluşlarla koordinasyon halindeyiz ve gerektiğinde yardım sunuyoruz.”
TechCrunch, PDF’lerde reklamı yapılan bazı web sitelerini inceledi ve tıklama sahtekarlığı yoluyla para kazanmaya yönelik karmaşık bir planın parçası gibi görünüyor. Siber suçlular, ziyaretçinin insan olduğunu doğrulamak için açılır pencereler oluşturmak üzere açık kaynak araçları kullanıyor gibi görünüyor, ancak aslında arka planda para kazanıyorlar. Web sitelerinin kaynak kodlarının incelenmesi, sitelerden en az birinin kurban olduğu iddia edilen kişilerin profil resimlerini ve adlarını göstermesine rağmen, reklamı yapılan bilgisayar korsanlığı hizmetlerinin muhtemelen sahte olduğunu gösteriyor.
Birkaç kurban TechCrunch’a bu olayların mutlaka bir ihlal belirtisi olmadığını, bunun yerine çevrimiçi formlardaki veya bir içerik yönetim sistemi (CMS) yazılımındaki bir kusurdan yararlanarak PDF’leri sitelerine yüklemelerine izin veren dolandırıcıların sonucu olduğunu söyledi.
Kurbanlardan üçünün (Georgia’daki Johns Creek kasabası, Washington Üniversitesi ve Community Colleges of Spokane) temsilcileri, sorunun Kentico CMS adlı bir içerik yönetim sistemiyle ilgili olduğunu söyledi.
Tüm sitelerin nasıl etkilendiği tam olarak belli değil. Ancak iki farklı kurbanın temsilcileri, California Balık ve Vahşi Yaşam Departmanı ve Birleşik Krallık’taki Buckingham Üniversitesi, Kentico’dan bahsetmeden aynı gibi görünen teknikleri açıkladı.
California Balık ve Yaban Hayatı Departmanında siber güvenlik uzmanı olan David Perez, TechCrunch’a “Dış bir kişinin, resimler yerine PDF’leri yüklemek için raporlama mekanizmalarımızdan birinden yararlandığı görülüyor” dedi.
departman var birkaç sayfa vatandaşların, diğer sorunların yanı sıra, kaçak avlanma ve yaralı hayvanları gördüklerini bildirebilecekleri yer. Bölümün iletişim müdür yardımcısı Jordan Traverso, sayfada hasta veya ölü yarasaları bildirmek için yanlış yapılandırılmış bir form olduğunu, ancak sitenin “aslında tehlikeye atılmadığını” ve sorunun çözüldüğünü ve departmanın belgeleri kaldırdığını söyledi.
Buckingham Üniversitesi sözcüsü Roger Perkins, “bu sayfalar bilgisayar korsanlığının sonucu değil, bir formun kullanımından kaynaklanan eski ‘kötü sayfalar’dır – temelde bunlar spam’dir ve şu anda dönüştürülme sürecindedir. kaldırıldı […] bu insanların yararlandığı (artık mevcut olmayan) halka açık bir form vardı.
Etkilenen kurumlardan biri olan Washington Yangın Komiserleri Derneği sözcüsü Tori Pettis, TechCrunch’a dosyaların kaldırıldığını söyledi. Pettis, sorunun Kentico ile ilgili olup olmadığından emin olmadığını ve “sitenin saldırıya uğramadığını, ancak daha önce yeni üyelerin profil tamamlanmadan önce hesaplarına dosya yüklemesine izin veren bir güvenlik açığı olduğunu” söyledi.
Johns Creek kasabasının kıdemli iletişim müdürü Jennifer Chapman, “söz konusu PDF’leri kaldırmak ve sorunu çözmek için barındırma şirketimizle birlikte çalıştık” dedi.
Toplum Yaşamı İdaresi’nin halkla ilişkiler sorumlusu Ann Mosher, sayfaların “kaldırıldığını” söyledi.
University of California San Diego’da üniversite iletişimlerinden sorumlu müdür yardımcısı Leslie Sepuka, “Bu siteye yetkisiz PDF’ler yüklendi. Dosyalar kaldırıldı ve daha fazla yetkisiz erişimi önlemek için değişiklikler yapıldı. Web sitesine erişimi olan tüm kullanıcılardan da şifrelerini sıfırlamaları istendi.”
Washington Üniversitesi sözcüsü Victor Balta, “sorunun web sitesindeki içeriğin kamusal bir alana yüklenmesine izin veren güncel olmayan ve savunmasız bir eklenti modülünden kaynaklandığı görülüyor” dedi. Sözcü, “ilgili sistem içinde erişim veya verilerin daha derin bir etkisinin veya uzlaşmasının olduğuna dair bir gösterge olmadığını” ekledi.
Balta konuyu Kentico’ya bağladı.
Community Colleges of Spokane teknoloji hizmetleri direktörü Thomas Ingle, sorunun Kentico çalıştıran bir Windows Server olduğunu ve “ele geçirilen diğer sunucuların işaret ettiği yüklenmiş belgelerimiz (bu durumda referans verdiğiniz PDF) vardı” dedi. ”
UC Berkeley sözcüsü Janet Gilmore, bilgisayar korsanlığı reklamlarının yayınlandığı siteye atıfta bulunarak “Bu web sitesinde bir güvenlik açığı bulundu” ve sorunun “bunun gelecekte tekrarlanmaması için” düzeltildiğini söyledi. ”
Adı geçen kuruluşların geri kalanı TechCrunch’ın sorularına yanıt vermedi. Kentico Software’e yapılan birkaç arama ve e-posta yanıtsız kaldı.
Bu istenmeyen e-posta kampanyasının nihai zararı asgari düzeydedir ve en sonunda da öyle olacaktır, ancak .gov web sitelerine içerik yükleyebilmek, yalnızca söz konusu .gov web siteleri için değil, tüm ABD hükümeti için endişe verici olacaktır.
Zaten oldu. 2020’de İranlı bilgisayar korsanları bir ABD şehrinin web sitesine girdi oy sayımlarını değiştirmek gibi bariz bir amaç ile. Ve seçim görevlileri endişelerini dile getirdiler seçimle ilgili web sitelerine giren bilgisayar korsanları için.
