Несколько жертв хакеров сообщили TechCrunch, что эти инциденты не обязательно являются признаками взлома, а скорее результатом того, что мошенники использовали уязвимость в онлайн-формах или программном обеспечении системы управления контентом (CMS), что позволило им загружать PDF-файлы на свои сайты. Представители трёх пострадавших — города Джонс-Крик в Джорджии, Вашингтонского университета и муниципальных колледжей Спокана — заявили, что проблема связана с системой управления контентом под названием Kentico CMS.
Эксперты пока не выяснили весь список методов, какими пользовались хакеры для загрузки своих файлов на сайты. Но представители Калифорнийского департамента рыбы и дикой природы и Букингемского университета в Великобритании описали методы, которые кажутся одинаковыми, но без упоминания Кентико. «Похоже, что постороннее лицо воспользовалось одним из наших механизмов отчетности для загрузки PDF-файлов вместо изображений», — сказал TechCrunch Дэвид Перес (David Perez), специалист по кибербезопасности Департамента рыбы и дикой природы Калифорнии.
У департамента на сайте есть несколько страниц, на которых граждане могут, среди прочего, сообщать о случаях браконьерства и раненых животных. Заместитель директора департамента по связям с общественностью Джордан Траверсо (Jordan Traverso) сказал, что на странице была неправильно настроена форма для сообщения о больных или мертвых летучих мышах, но сайт «фактически не был скомпрометирован», и проблема была решена — департамент удалил документы.
Документы с рекламой услуг хакеров были найдены Джоном Скоттом-Рейлтоном (John Scott-Railton), старшим научным сотрудником компании Citizen Lab. Неясно, являются ли сайты, которые он нашел полным списком ресурсов, затронутых этой масштабной спам-кампанией — не исключено, что их может оказаться больше.
На ком лежит ответственность за столь масштабный взлом, пока неизвестно. Но с учетом того, как много веб-сайтов против воли их владельцев показывали или одну и ту же, или очень похожую рекламу, за всеми ними может стоять одна хакерская группа или вовсе один человек.
«Загрузка SEO PDF подобна оппортунистическим инфекциям, которые процветают, когда ваша иммунная система подавлена. Они появляются, когда у вас неправильно настроены службы, неисправленные ошибки CMS [системы управления контентом] и другие проблемы с безопасностью», — сказал Скотт-Рейлтон.
Хотя эта кампания кажется сложной, масштабной и в то же время, казалось бы, безобидной SEO-игрой для продвижения мошеннических услуг, по словам Скотта-Рейлтона, злоумышленники могли использовать те же недостатки, чтобы нанести гораздо больший ущерб. «В этом случае в загружаемых ими PDF-файлах просто был текст, указывающий на мошенническую службу, которая, насколько нам известно, также могла быть вредоносной, но они вполне могли загружать PDF-файлы с вредоносным содержимым. Или вредоносные ссылки», — сказал он.
Эксперты TechCrunch на свой страх и риск проверили некоторые из веб-сайтов, рекламируемых в PDF-файлах. Выяснилось, что это лишь часть очень запутанной мошеннической схемы получения денег с помощью кликов. Киберпреступники, похоже, используют инструменты с открытым исходным кодом для создания всплывающих окон, чтобы убедиться, что посетитель является человеком, но на самом деле зарабатывают деньги в фоновом режиме. Обзор исходного кода веб-сайтов позволяет предположить, что рекламируемые хакерские услуги, вероятно, являются подделкой, несмотря на то, что по крайней мере на одном из сайтов отображаются изображения профилей и имена предполагаемых жертв.
Хакеры вполне способны заставить бесплатно рекламировать свои услуги и фишинговые сайты далеко не только небольшие госведомства и порталы университетов, пусть и всемирно известным. Им по силам «завербовать» и веб-ресурсы гораздо более крупных организаций, к примеру, Евросоюза.
О том, что сайт ЕС — это рекламная площадка для киберпреступников, стало известно в конце 2022 г. Как сообщал CNews, он был вовлечен в точно такую же схему — неизвестные воспользовались легальной возможностью загрузки на сайт документов и разместили на нём множество файлов с ключевыми словами. Счёт шел на тысячи документов, и дополнительным успехом стало то, что в результате ссылки на эти файлы долгое время выводились в первых строках поисковой выдачи.
По сути, хакеры не взламывали сайт Евросоюза — они лишь воспользовались функцией, которую он предоставлял всем без исключения посетителям. Это означает, что никакого нарушения закона в данном случае не было.
Оригинал этого материала© CNews.ru, 08.12.2022, Иллюстрации: TorrentFreak.com
Евгений Черкесов
Хакеры начали использовать официальный сайт Евросоюза (europa.eu) для рекламы своих мошеннических сайтов. Они легально загрузили на него тысячи документов с ключевыми словами, например, про просмотр новых фильмов онлайн, и ссылками на опасные сайты, и теперь они выдаются в первых строчках поисковой выдачи. По сути, сайт ЕС бесплатно рекламирует мошеннические сайты, и притом все это в рамках закона, так никакого взлома не было.
Киберпреступники втянули в свои махинации Евросоюз, пишет портал TorrentFreak. Официальные веб-ресурсы ЕС (europa.eu) вовсю рекламируют хакерские сайты, притом происходит это на совершенно легальной основе, потому что сайты никто не взламывал.
Свою лепту вносят и поисковые системы. Как известно, они удаляют из выдачи ссылки на хакерские и пиратские сайты, но они точно не станут удалять из выдачи ссылки, ведущие на официальные ресурсы Евросоюза.
Как результат, ссылки на потенциально опасные сайты выводятся в верхних строках поисковой выдачи.
По сути, хакеры просто нашли лазейку, позволяющую им на вполне законных основаниях превратить сайты Евросоюза в свою рекламную площадку. Они массово загружают на них PDF-документы, переполненные различными ключевыми словами, используя для этого формы отправки файлов и обратной связи.
Другими словами, обвинить мошенников на данном этапе не в чем. Они ничего не взламывали, не проникали в компьютерную сеть ЕС, а лишь воспользовались возможностями сайта, доступ к которым предоставлен всем без исключения пользователям.
Отдельные подразделы сайта ЕС полюбились мошенникам больше всего. Чаще всего они заливают документы через подразделы, посвященные некоторым связанным с ЕС организациям. Среди них — Обсерватория Европейского союза по наноматериалам (European Union Observatory for Nanomaterials, EUON) и Европейское общество химиков (European Chemicals Society, ECHA).
Доподлинно неизвестно, сколько именно файлов хакеры успели загрузить на сайты ЕС на 8 декабря 2022 г. Специалисты TorrentFreak нашли тысячи PDF-документов, ведущих на весьма сомнительные сайты. И никто не исключает, что в будущем их станет ещё больше, даже после огласки.
Документы, которыми хакеры накачивают накопители привязанных к сайтам ЕС серверов, содержат призывы посетить сайты с бесплатными копиями последних новинок мирового кинематографа. В частности, они предлагают недавно вышедшие в мировом (но не в российском) прокате фильм «Черный Адам» и вторую часть киноленты «Энола Холмс».
Ссылку на сайт ЕС с хакерскими документами получат те, кто желает посмотреть фильм онлайн.
Редакция CNews обнаружила на некоторых хакерских сайтах информацию о возможности загрузки на серверы Евросоюза документов с любым требуемым содержимым, которые впоследствии будут отображаться в верхних строках поисковых выдач. По всей видимости, администраторы этих серверов уже осведомлены о проблеме, поскольку, как пишет TorrentFreak, одна из обнаруженных киберпреступниками лазеек уже закрыта. Они закачивали документы на сайт инициативы ЕС Joinup путём создания новых учётных записей, но в настоящее время такой возможности нет. Это может быть временной мерой в связи с недавним наплывом мошенников. К тому же некоторые загруженные PDF-документы уже удалены с серверов.
Однако ничто не мешает хакерам провернуть такой же фокус с сайтами других государств и госструктур. Так что, создав прецедент, те, кто придумал использовать сайт ЕС в своих мошеннических целях, вероятно, показали пример другим киберпреступникам.
