Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

Государственные сайты США годами бесплатно рекламируют услуги хакеров

Сайты госведомств и университетов США, а также некоторых вузов и частных компаний из Европы в течение нескольких лет использовались хакерами для рекламы своих услуг и фишинговых сайтов. Они размещали на них PDF-файлы с нужными им ссылками, используя найденные уязвимости или легальные формы загрузки документов. Как долго это продолжалось, неизвестно. Эксперты сходятся во мнении, что масштабную спам-компанию вполне мог устроить всего один хакер.

Государство и вузы работают на хакеров

Мошенники в течение длительного времени использовали государственные сайты для открытой рекламы своих «услуг», в том числе и хакерских. Как пишет портал TechCrunch, они работали на широкую ногу, используя в качестве бесплатной рекламной площадки госсайты в нескольких американских штатах, а также публикуя объявления на веб-порталах американских вузов и федеральных агентств, и это могло продолжаться годами. Ссылки на такие файлы затем выводились в выдаче поисковиков.

Рекламные объявления содержались в файлах PDF, загруженных на официальные веб-сайты в доменной зоне .gov. В числе пострадавших – госструктуры штатов Калифорния, Северная Каролина, Нью-Гэмпшир, Огайо, Вашингтон и Вайоминг, а округов Сент-Луис в Миннесоте, Франклин в Огайо и Сассекс в Делавэре. Не обошли злоумышленники и официальные сайты ведомств в городе Джонс-Крик (Джорджия) и портал Федерального управление общественной жизни (Federal administration for Community Living).

Фото: geralt / Pixabay
Держаться подальше теперь нужно не только от сомнительных сайтов, но и от порталов унверситетов и госструктур

Образовательные учреждения тоже попали во внимание хакеров. Спамом были Заражены» сайты Калифорнийского университета в Беркли, Стэнфорда, Йельского университета, Калифорнийского университета в Сан-Диего, Университета Вирджинии, Калифорнийского университета в Сан-Франциско, Университета Колорадо в Денвере, Колледжа Метрополитен, Университета Вашингтона, Университета Пенсильвании, Юго-западного Техасскиого университета, Университета штата Джексон, Колледжа Хиллсдейл, Университета Организации Объединенных Наций, Университета Лихай, Общественных колледжей Спокан, Университета Эмпайр-стейт, Смитсоновского института и Университета штата Орегон.

Международная экспансия хакеров

Злоумышленники, разместившие на госсайтах и порталах учебных заведений свою рекламу, решили не ограничиваться одними только США. Например, следы их присутствия были обнаружены на сайте Букингемского университета в Великобритании, то есть зона их действий охватывает как минимум Северную Америку и Европу. На это указывает и их незримое присутствие на сайте испанского представительства «Красного креста» и неназванной туристической компании в Ирландии.

Но все же основной упор сделан именно на США, и пока неясно, с чем именно это может быть связано. Как пишет TechCrunch, хакеры рекламировались даже на сайте американского оборонного подрядчика и производителя аэрокосмической техники Rockwell Collins – дочерней компании военно-промышленного гиганта Raytheon.

Что скрывается внутри

Хакерские PDF-файлы, неизвестно каким образом оказавшиеся в составе сайтов перечисленных организаций, сами по себе опасности не представляют, в отличие от их содержимого. Они включают в себя ссылки на различные сайты, где пользователям предлагают воспользоваться средствами взлома популярных в интернете веб-сервисов, включая мессенджер ShapChat и запрещенные в России социальные сети американского миллиардера Марка Цукерберга (Mark Zuckerberg).

Но не всех интересует взлом чужих профилей, и чтобы расширить аудиторию потенциальных клиентов, хакеры рекламируют и другие сервисы. Среди них – средства для читерства в видеоиграх и сервисы накрутки подписчиков в соцсетях.

Фото: TechCrunch
Один из рекламируемых хакерами сайтов по взлому известной соцсети

О столь оригинальном способе рекламы хакерских услуг стало известно лишь в начале июня 2023 г., но, похоже, эта схема используется годами. Неопровержимых доказательств этому пока нет, но есть косвенные – некоторые из обнаруженных документов имеют дату создания и изменения, и это, как пишет TechCrunch, может указывать на то, что эти файлы находятся на серверах в течение многих лет.

Техническая реализация

Несколько жертв хакеров сообщили TechCrunch, что эти инциденты не обязательно являются признаками взлома, а скорее результатом того, что мошенники использовали уязвимость в онлайн-формах или программном обеспечении системы управления контентом (CMS), что позволило им загружать PDF-файлы на свои сайты. Представители трех пострадавших — города Джонс-Крик в Джорджии, Вашингтонского университета и муниципальных колледжей Спокана — заявили, что проблема связана с системой управления контентом под названием Kentico CMS.

Эксперты пока не выяснили весь список методов, какими пользовались хакеры для загрузки своих файлов на сайты. Но представители Калифорнийского департамента рыбы и дикой природы и Букингемского университета в Великобритании описали методы, которые кажутся одинаковыми, но без упоминания Кентико. «Похоже, что постороннее лицо воспользовалось одним из наших механизмов отчетности для загрузки PDF-файлов вместо изображений», — сказал TechCrunch Дэвид Перес (David Perez), специалист по кибербезопасности Департамента рыбы и дикой природы Калифорнии.

У департамента на сайте есть несколько страниц, на которых граждане могут, среди прочего, сообщать о случаях браконьерства и раненых животных. Заместитель директора департамента по связям с общественностью Джордан Траверсо (Jordan Traverso) сказал, что на странице была неправильно настроена форма для сообщения о больных или мертвых летучих мышах, но сайт «фактически не был скомпрометирован», и проблема была решена – департамент удалил документы.

Масштабная спам-компания

Документы с рекламой услуг хакеров были найдены Джоном Скоттом-Рейлтоном (John Scott-Railton), старшим научным сотрудником компании Citizen Lab. Неясно, являются ли сайты, которые он нашел полным списком ресурсов, затронутых этой масштабной спам-кампанией – не исключено, что их может оказаться больше.

На ком лежит ответственность за столь масштабный взлом, пока неизвестно. Но с учетом того, как много веб-сайтов против воли их владельцев показывали или одну и ту же, или очень похожую рекламу, за всеми ними может стоять одна хакерская группа или вовсе один человек.

Как очистить кэш WhatsApp и Telegram, чтобы освободить память на смартфоне и ПК

«Загрузка SEO PDF подобна оппортунистическим инфекциям, которые процветают, когда ваша иммунная система подавлена. Они появляются, когда у вас неправильно настроены службы, неисправленные ошибки CMS [системы управления контентом] и другие проблемы с безопасностью», – сказал Скотт-Рейлтон.

Хотя эта кампания кажется сложной, масштабной и в то же время, казалось бы, безобидной SEO-игрой для продвижения мошеннических услуг, по словам Скотта-Рейлтона, злоумышленники могли использовать те же недостатки, чтобы нанести гораздо больший ущерб. «В этом случае в загружаемых ими PDF-файлах просто был текст, указывающий на мошенническую службу, которая, насколько нам известно, также могла быть вредоносной, но они вполне могли загружать PDF-файлы с вредоносным содержимым. Или вредоносные ссылки», – сказал он.

Все из-за денег

Эксперты TechCrunch на свой страх и риск проверили некоторые из веб-сайтов, рекламируемых в PDF-файлах. Выяснилось, что это лишь часть очень запутанной мошеннической схемы получения денег с помощью кликов. Киберпреступники, похоже, используют инструменты с открытым исходным кодом для создания всплывающих окон, чтобы убедиться, что посетитель является человеком, но на самом деле зарабатывают деньги в фоновом режиме. Обзор исходного кода веб-сайтов позволяет предположить, что рекламируемые хакерские услуги, вероятно, являются подделкой, несмотря на то, что по крайней мере на одном из сайтов отображаются изображения профилей и имена предполагаемых жертв.

Схема проверена и сбоев не дает

Хакеры вполне способны заставить бесплатно рекламировать свои услуги и фишинговые сайты далеко не только небольшие госведомства и порталы университетов, пусть и всемирно известным. Им по силам «завербовать» и веб-ресурсы гораздо более крупных организаций, к примеру, Евросоюза.

О том, что сайт ЕС – это рекламная площадка для киберпреступников, стало известно в конце 2022 г. Как сообщал CNews, он был вовлечен в точно такую же схему – неизвестные воспользовались легальной возможностью загрузки на сайт документов и разместили на нем множество файлов с ключевыми словами. Счет шел на тысячи документов, и дополнительным успехом стало то, что в результате ссылки на эти файлы долгое время выводились в первых строках поисковой выдачи.

По сути, хакеры не взламывали сайт Евросоюза – они лишь воспользовались функцией, которую он предоставлял всем без исключения посетителям. Это означает, что никакого нарушения закона в данном случае не было.