Betrüger haben veröffentlicht Verschiedene Anzeigen für Hacking-Dienste auf den offiziellen Websites mehrerer US-Bundesstaaten, Kreis- und Kommunalverwaltungen, einer Bundesbehörde sowie zahlreicher Universitäten.
Die Anzeigen waren in PDF-Dateien enthalten, die auf offizielle .gov-Websites der Landesregierungen von Kalifornien, North Carolina, New Hampshire, Ohio, Washington und Wyoming hochgeladen wurden; St. Louis County in Minnesota, Franklin County in Ohio, Sussex County in Delaware; die Stadt Johns Creek in Georgia; und die Bundesverwaltung für Gemeinschaftsleben.
Betrüger haben ähnliche Anzeigen auch auf den .edu-Websites mehrerer Universitäten hochgeladen: UC Berkeley, Stanford, Yale, UC San Diego, University of Virginia, UC San Francisco, University of Colorado Denver, Metropolitan Community College, University of Washington, University of Pennsylvania, University of Texas Southwestern, Jackson State University, Hillsdale College, United Nations University, Lehigh University, Community Colleges of Spokane, Empire State University, Smithsonian Institution, Oregon State University, University of Buckingham im Vereinigten Königreich und Universidad Del Norte in Kolumbien.
Neben .gov- und .edu-Seiten gehören auch das spanische Rote Kreuz zu den Opfern; der Rüstungskonzern und Luft- und Raumfahrthersteller Rockwell Collins – Teil von Collins Aerospace und eine Tochtergesellschaft des Verteidigungsgiganten Raytheon; und ein in Irland ansässiges Tourismusunternehmen.
Die PDFs verweisen auf mehrere verschiedene Websites, einige davon Werbedienste, die angeblich in der Lage sind, Instagram-, Facebook- und Snapchat-Konten zu hacken; Dienstleistungen zum Betrügen bei Videospielen; und Dienste zur Erstellung gefälschter Follower.
„Der beste Weg, Insta 2021 zu hacken“, heißt es in einem PDF. „Wenn Sie auf der Suche nach einem Instagram-Konto sind (entweder Ihres, von dem Sie ausgesperrt wurden, oder das Ihres Freundes), ist InstaHacker der richtige Ort für Sie. Wir von InstaHacker bieten unseren Nutzern einfache Instagram-Hack-Lösungen, die sicher und völlig frei von böswilligen Absichten sind [sic throughout].“
Einige der Dokumente weisen Daten auf, die darauf hindeuten, dass sie möglicherweise schon seit Jahren online sind.
Diese Anzeigen wurden von John Scott-Railton, einem leitenden Forscher am Citizen Lab, gefunden. Es ist unklar, ob die von ihm gefundenen und von uns aufgelisteten Websites eine vollständige Liste der von dieser massiven Spam-Kampagne betroffenen Websites darstellen. Und wenn man bedenkt, wie viele Websites sehr ähnliche Anzeigen zeigten, könnte dieselbe Gruppe oder Einzelperson hinter allen stecken.
„SEO-PDF-Uploads sind wie opportunistische Infektionen, die gedeihen, wenn Ihr Immunsystem unterdrückt wird. Sie werden angezeigt, wenn Ihre Dienste falsch konfiguriert sind oder Ihr CMS nicht gepatcht ist [content management system] Bugs und andere Sicherheitsprobleme“, sagte Scott-Railton.
Während diese Kampagne komplex, massiv und gleichzeitig ein scheinbar harmloses SEO-Spiel zur Förderung von Betrugsdiensten zu sein scheint, hätten böswillige Hacker laut Scott-Railton die gleichen Mängel ausnutzen können, um viel mehr Schaden anzurichten.
„In diesem Fall enthielten die von ihnen hochgeladenen PDFs nur einen Text, der auf einen Betrugsdienst verwies, der unseres Wissens nach ebenfalls bösartig sein könnte, aber sie könnten durchaus auch PDFs mit bösartigen Inhalten hochgeladen haben“, sagte er. „Oder bösartige Links.“
Zee Zaman, ein Sprecher der US-amerikanischen Cybersicherheitsbehörde CISA, sagte, dass die Agentur „sich der offensichtlichen Kompromittierung bestimmter Regierungs- und Universitätswebsites bewusst ist, um Suchmaschinenoptimierungs-Spam (SEO) zu hosten.“ Wir stimmen uns mit potenziell betroffenen Einrichtungen ab und bieten bei Bedarf Hilfe an.“
Tech hat einige der in den PDFs beworbenen Websites untersucht und sie scheinen Teil eines komplizierten Plans zu sein, um durch Klickbetrug Geld zu generieren. Die Cyberkriminellen scheinen Open-Source-Tools zu verwenden, um Popups zu erstellen, um zu überprüfen, ob der Besucher ein Mensch ist, generieren aber im Hintergrund tatsächlich Geld. Eine Überprüfung des Quellcodes der Websites legt nahe, dass es sich bei den beworbenen Hacking-Diensten wahrscheinlich um Fälschungen handelt, obwohl auf mindestens einer der Websites Profilbilder und Namen mutmaßlicher Opfer angezeigt werden.
Mehrere Opfer sagten gegenüber Tech, dass diese Vorfälle nicht unbedingt Anzeichen eines Verstoßes seien, sondern vielmehr das Ergebnis von Betrügern, die einen Fehler in Online-Formularen oder einer Content-Management-System-Software (CMS) ausnutzten, der es ihnen ermöglichte, die PDFs auf ihre Websites hochzuladen.
Vertreter von drei der Opfer – der Stadt Johns Creek in Georgia, der University of Washington und den Community Colleges of Spokane – sagten alle, dass das Problem bei einem Content-Management-System namens Kentico CMS liege.
Es ist nicht ganz klar, wie alle Websites betroffen waren. Aber Vertreter zweier verschiedener Opfer, des California Department of Fish and Wildlife und der University of Buckingham im Vereinigten Königreich, beschrieben Techniken, die scheinbar die gleichen sind, ohne jedoch Kentico zu erwähnen.
„Es scheint, dass eine externe Person einen unserer Meldemechanismen ausgenutzt hat, um PDFs anstelle von Bildern hochzuladen“, sagte David Perez, Cybersicherheitsspezialist beim California Department of Fish and Wildlife, gegenüber Tech.
Die Abteilung hat mehrere Seiten Hier können Bürger unter anderem Sichtungen von Wilderei und verletzten Tieren melden. Der stellvertretende Kommunikationsdirektor der Abteilung, Jordan Traverso, sagte, dass auf der Seite ein falsch konfiguriertes Formular zur Meldung kranker oder toter Fledermäuse vorhanden sei, die Website jedoch „nicht wirklich manipuliert“ sei und das Problem behoben und die Abteilung die Dokumente entfernt habe.
Roger Perkins, ein Sprecher der University of Buckingham, sagte: „Diese Seiten sind nicht das Ergebnis eines Hackerangriffs, sondern alte ‚schlechte Seiten‘, die durch die Verwendung eines Formulars entstanden sind – im Grunde genommen handelt es sich um Spam, der jetzt entsteht.“ ENTFERNT […] Es gab eine öffentlich zugängliche Form (die es nicht mehr gibt), die diese Leute ausnutzten.“
Tori Pettis, eine Sprecherin der Washington Fire Commissioners Association, einer der betroffenen Behörden, sagte gegenüber Tech, dass die Dateien entfernt wurden. Pettis sagte, sie sei sich nicht sicher, ob das Problem bei Kentico liege, und dass „die Website nicht gehackt wurde, es jedoch eine Schwachstelle gab, die es neuen Mitgliedern zuvor ermöglichte, Dateien in ihre Konten hochzuladen, bevor das Profil fertiggestellt wurde.“
Jennifer Chapman, leitende Kommunikationsmanagerin der Stadt Johns Creek, sagte: „Wir haben mit unserem Hosting-Unternehmen zusammengearbeitet, um die fraglichen PDFs zu entfernen und das Problem zu beheben.“
Ann Mosher, Beauftragte für öffentliche Angelegenheiten der Administration for Community Living, sagte, die Seiten seien „entfernt worden“.
Leslie Sepuka, stellvertretende Direktorin für Universitätskommunikation an der University of California San Diego, sagte, dass „nicht autorisierte PDFs auf diese Website hochgeladen wurden“. Die Dateien wurden entfernt und Änderungen vorgenommen, um weiteren unbefugten Zugriff zu verhindern. Alle Benutzer mit Zugriff auf die Website wurden außerdem gebeten, ihre Passwörter zurückzusetzen.“
Victor Balta, Sprecher der University of Washington, sagte: „Das Problem scheint auf ein veraltetes und anfälliges Plugin-Modul auf der Website zurückzuführen zu sein, das das Hochladen von Inhalten in einen öffentlichen Raum ermöglichte.“ Der Sprecher fügte hinzu: „Es gibt keine Hinweise auf tiefere Auswirkungen oder eine Beeinträchtigung des Zugriffs oder der Daten innerhalb des entsprechenden Systems.“
Balta schrieb das Problem Kentico zu.
Thomas Ingle, Direktor für Technologiedienste an den Community Colleges of Spokane, sagte, dass das Problem ein Windows-Server mit Kentico sei und dass „wir Dokumente hochgeladen hatten (in diesem Fall das PDF, auf das Sie verwiesen haben), auf die andere gekaperte Server verwiesen.“ ”
Janet Gilmore, eine Sprecherin der UC Berkeley, sagte: „Auf dieser Website wurde eine Schwachstelle gefunden“ und bezog sich dabei auf die Website, auf der die Hacking-Anzeigen gepostet wurden. Das Problem sei behoben worden, „um zu verhindern, dass so etwas in Zukunft noch einmal passiert.“ ”
Der Rest der genannten Organisationen antwortete nicht auf die Anfragen von Tech. Mehrere Anrufe und E-Mails an Kentico Software wurden nicht beantwortet.
Der letztendliche Schaden dieser Spam-Kampagne ist und bleibt minimal, aber die Möglichkeit, Inhalte auf .gov-Websites hochzuladen, wäre nicht nur für die betreffenden .gov-Websites, sondern für die gesamte US-Regierung besorgniserregend.
Es ist bereits passiert. Im Jahr 2020, Iranische Hacker sind in die Website einer US-Stadt eingedrungen mit dem offensichtlichen Ziel, die Stimmenauszählung zu ändern. Und Wahlbeamte haben Bedenken geäußert für Hacker, die wahlbezogene Websites hacken.