کلاهبرداران منتشر کرده اند تبلیغات مختلف برای خدمات هک در وب سایت های رسمی چندین ایالت، شهرستان و دولت های محلی ایالات متحده، یک آژانس فدرال، و همچنین دانشگاه های متعدد.
آگهیها در فایلهای PDF آپلود شده در وبسایتهای رسمی .gov متعلق به دولتهای ایالتی کالیفرنیا، کارولینای شمالی، نیوهمپشایر، اوهایو، واشنگتن و وایومینگ قرار داشتند. شهرستان های سنت لوئیس در مینه سوتا، شهرستان فرانکلین در اوهایو، شهرستان ساسکس در دلاور. شهر جانز کریک در جورجیا؛ و اداره فدرال برای زندگی اجتماعی.
کلاهبرداران همچنین تبلیغات مشابهی را در وبسایتهای .edu چندین دانشگاه بارگذاری کردند: UC Berkeley، Stanford، Yale، UC San Diego، University of Virginia، UC San Francisco، University of Colorado Denver، Metropolitan Community College، دانشگاه واشنگتن، دانشگاه پنسیلوانیا، دانشگاه تگزاس ساوت وسترن، دانشگاه ایالتی جکسون، کالج هیلزدیل، دانشگاه ملل متحد، دانشگاه لیهای، کالجهای اجتماعی اسپوکین، دانشگاه امپایر استیت، موسسه اسمیتسونیان، دانشگاه ایالتی اورگان، دانشگاه باکینگهام در بریتانیا، و دانشگاه دل نورته در کلمبیا.
به غیر از سایتهای .gov و .edu، قربانیان دیگر شامل صلیب سرخ اسپانیا هستند. پیمانکار دفاعی و سازنده هوافضا راکول کالینز – بخشی از کالینز هوافضا و یکی از شرکت های تابعه غول دفاعی Raytheon. و یک شرکت گردشگری مستقر در ایرلند.
فایلهای PDF به چندین وبسایت مختلف پیوند دارند، برخی از آنها خدمات تبلیغاتی که ادعا میکنند قادر به هک کردن حسابهای اینستاگرام، فیسبوک و اسنپ چت هستند. خدمات تقلب در بازی های ویدیویی؛ و خدماتی برای ایجاد فالوورهای جعلی.
در یکی از PDFها آمده است: «بهترین راه برای هک اینستا 2021». اگر به دنبال هک کردن حساب اینستاگرام هستید (خواه اکانت شما که از آن قفل شده اید یا دوستتان)، InstaHacker مکان مناسبی برای جستجو است. ما در InstaHacker راه حل های آسان هک اینستاگرام را به کاربران خود ارائه می دهیم که ایمن و کاملاً عاری از هرگونه نیت مخرب هستند. [sic throughout]”
برخی از اسناد دارای تاریخ هایی هستند که نشان می دهد ممکن است سال ها آنلاین بوده باشند.
این تبلیغات توسط جان اسکات ریلتون، محقق ارشد در آزمایشگاه شهروند پیدا شد. مشخص نیست سایت هایی که او پیدا کرده – و ما لیست کرده ایم – لیست کاملی از سایت هایی هستند که تحت تأثیر این کمپین عظیم اسپم قرار گرفته اند یا خیر. و با توجه به تعداد وبسایتهایی که تبلیغات بسیار مشابهی را نمایش میدهند، ممکن است همان گروه یا فرد پشت همه آنها باشد.
«بارگذاریهای PDF SEO مانند عفونتهای فرصتطلبانه هستند که وقتی سیستم ایمنی شما سرکوب میشود، رشد میکنند. هنگامی که سرویسهای پیکربندی نادرست، CMS وصلهنشده دارید، نمایش داده میشوند [content management system] Scott-Railton گفت: اشکالات و سایر مشکلات امنیتی.
به گفته Scott-Railton، در حالی که به نظر می رسد این کمپین پیچیده، عظیم و در عین حال یک بازی سئو به ظاهر بی ضرر برای ترویج خدمات کلاهبرداری است، هکرهای مخرب می توانستند از همان نقص ها برای وارد آوردن آسیب بسیار بیشتر سوء استفاده کنند.
او گفت: «در این مورد، پیدیافهایی که آنها آپلود کردهاند فقط دارای متنی بودند که به یک سرویس کلاهبرداری اشاره میکرد که ممکن است تا آنجایی که ما میدانیم مخرب باشد، اما آنها به خوبی میتوانستند پیدیافهایی با محتوای مخرب آپلود کنند. “یا پیوندهای مخرب.”
زی زمان، سخنگوی آژانس امنیت سایبری ایالات متحده، CISA، گفت که این آژانس “از مصالحه های ظاهری برای وب سایت های دولتی و دانشگاهی خاص برای میزبانی هرزنامه های بهینه سازی موتور جستجو (SEO) آگاه است. ما در حال هماهنگی با نهادهای بالقوه تحت تأثیر هستیم و در صورت نیاز کمک ارائه می دهیم.»
TechCrunch برخی از وبسایتهای تبلیغ شده در فایلهای PDF را بررسی کرد و به نظر میرسد که آنها بخشی از یک طرح پیچیده برای تولید پول از طریق تقلب کلیک هستند. به نظر می رسد مجرمان سایبری از ابزارهای منبع باز برای ایجاد پنجره های بازشو برای تأیید اینکه بازدیدکننده یک انسان است استفاده می کنند، اما در واقع در پس زمینه پول تولید می کنند. بررسی کد منبع وبسایتها نشان میدهد که سرویسهای هک تبلیغاتی احتمالا جعلی هستند، علیرغم اینکه حداقل یکی از سایتهایی که تصاویر نمایه و نام قربانیان ادعایی را نمایش میدهند.
چندین قربانی به TechCrunch گفتند که این حوادث لزوماً نشانهای از رخنه نیست، بلکه نتیجه سوء استفاده کلاهبرداران از نقص در فرمهای آنلاین یا یک نرمافزار سیستم مدیریت محتوا (CMS) است که به آنها اجازه میدهد فایلهای PDF را در سایتهای خود آپلود کنند.
نمایندگان سه تن از قربانیان – شهر جانز کریک در جورجیا، دانشگاه واشنگتن و کالج های اجتماعی اسپوکین – همگی گفتند که مشکل مربوط به یک سیستم مدیریت محتوا به نام Kentico CMS است.
کاملاً مشخص نیست که چگونه همه سایت ها تحت تأثیر قرار گرفتند. اما نمایندگان دو قربانی مختلف، دپارتمان ماهی و حیات وحش کالیفرنیا و دانشگاه باکینگهام در بریتانیا، تکنیک هایی را توصیف کردند که به نظر می رسد یکسان هستند، اما بدون ذکر کنتیکو.
دیوید پرز، متخصص امنیت سایبری در دپارتمان ماهی و حیات وحش کالیفرنیا به TechCrunch گفت: «به نظر میرسد که یک فرد خارجی از یکی از مکانیسمهای گزارشدهی ما برای آپلود فایلهای PDF به جای عکس استفاده کرده است.
این بخش دارای صفحات متعددی است که در آن شهروندان می توانند مشاهده شکار غیرقانونی و حیوانات مجروح را از جمله موارد دیگر گزارش کنند. جردن تراورسو، معاون مدیر ارتباطات این وزارتخانه گفت که یک فرم پیکربندی نادرست در صفحه برای گزارش خفاشهای بیمار یا مرده وجود دارد، اما سایت “در واقع به خطر نیفتاده” و مشکل حل شد و بخش اسناد را حذف کرد.
راجر پرکینز، سخنگوی دانشگاه باکینگهام، گفت: «این صفحات نتیجه هک نیستند، بلکه «صفحات بد» قدیمی ناشی از استفاده از یک فرم هستند – اساساً آنها هرزنامه هستند و اکنون در مرحله ساخت هستند. حذف شده […] یک شکل عمومی (دیگر وجود نداشت) وجود داشت که این افراد از آن استفاده کردند.»
توری پتیس، سخنگوی انجمن کمیسیونرهای آتش سوزی واشنگتن، یکی از آژانس های آسیب دیده، به TechCrunch گفت که فایل ها حذف شده اند. پتیس گفت مطمئن نیست که آیا این مشکل مربوط به Kentico است یا خیر، و اینکه “سایت هک نشده است، با این حال، یک آسیب پذیری وجود دارد که قبلا به اعضای جدید اجازه می داد قبل از تکمیل نمایه، فایل ها را در حساب های خود آپلود کنند.”
جنیفر چپمن، مدیر ارشد ارتباطات در شهر جانز کریک، گفت که “ما با شرکت میزبان خود برای حذف فایل های PDF مورد نظر و حل مشکل کار کردیم.”
آن موشر، افسر امور عمومی اداره زندگی اجتماعی، گفت که این صفحات “حذف شده اند.”
لزلی سپوکا، معاون مدیر ارتباطات دانشگاه در دانشگاه کالیفرنیا سن دیگو، گفت که «پیدیافهای غیرمجاز در این سایت آپلود شدهاند. فایل ها حذف شده اند و تغییراتی برای جلوگیری از دسترسی غیرمجاز بیشتر ایجاد شده است. از تمامی کاربرانی که به وب سایت دسترسی دارند نیز خواسته شده است که رمز عبور خود را بازنشانی کنند.
ویکتور بالتا، سخنگوی دانشگاه واشنگتن، گفت: «به نظر میرسد این مشکل از یک ماژول افزونه قدیمی و آسیبپذیر در وبسایت ناشی میشود که امکان آپلود محتوا در یک فضای عمومی را فراهم میکرد.» این سخنگوی افزود: “هیچ نشانه ای از تاثیر عمیق تر یا به خطر انداختن دسترسی یا داده ها در سیستم مربوطه وجود ندارد.”
بالتا این موضوع را به کنتیکو نسبت داد.
توماس اینگل، مدیر خدمات فناوری در کالجهای اجتماعی اسپوکین، گفت که مشکل یک سرور ویندوزی است که Kentico را اجرا میکند، و ما اسنادی را آپلود کردهایم (در این مورد PDF که شما به آن اشاره کردید) که سرورهای دیگری که ربوده شدهاند به آنها اشاره میکنند. ”
جانت گیلمور، سخنگوی دانشگاه کالیفرنیا برکلی، با اشاره به سایتی که تبلیغات هک شده در آن پست شده بود، گفت: «یک آسیبپذیری در این وبسایت یافت شد، و این مشکل «برای جلوگیری از تکرار این اتفاق در آینده» اصلاح شد. ”
بقیه سازمان های نامبرده به سوالات TechCrunch پاسخ ندادند. چندین تماس و ایمیل به Kentico Software برگشت داده نشد.
آسیب نهایی این کمپین هرزنامه حداقل است و خواهد بود، اما داشتن توانایی آپلود محتوا در وب سایت های .gov نه تنها برای وب سایت های .gov مورد بحث، بلکه برای کل دولت ایالات متحده نگران کننده است.
قبلاً اتفاق افتاده است. در سال 2020، هکرهای ایرانی با هدف ظاهری تغییر شمارش آرا به وب سایت یکی از شهرهای آمریکا نفوذ کردند. و مقامات انتخاباتی از هک کردن وب سایت های مرتبط با انتخابات توسط هکرها ابراز نگرانی کرده اند.