詐欺師が公開した 米国の複数の州、郡、地方自治体、連邦機関、および多数の大学の公式 Web サイトにハッキング サービスのさまざまな広告が掲載されています。
広告は、カリフォルニア、ノースカロライナ、ニューハンプシャー、オハイオ、ワシントン、ワイオミングの州政府に属する公式 .gov Web サイトにアップロードされた PDF ファイルに含まれていました。 ミネソタ州のセントルイス郡、オハイオ州のフランクリン郡、デラウェア州のサセックス郡。 ジョージア州のジョンズクリークの町。 そして連邦地域生活局。
詐欺師は、いくつかの大学の .edu Web サイトにも同様の広告をアップロードしました。カリフォルニア大学バークレー校、スタンフォード大学、イェール大学、カリフォルニア大学サンディエゴ大学、バージニア大学、カリフォルニア大学サンフランシスコ校、コロラド大学デンバー大学、メトロポリタン コミュニティ カレッジ、ワシントン大学、ペンシルベニア大学、テキサス サウスウェスタン大学、ジャクソン州立大学、ヒルズデール カレッジ、国連大学、リーハイ大学、スポケーン コミュニティ カレッジ、エンパイア州立大学、スミソニアン博物館、オレゴン州立大学、英国のバッキンガム大学、コロンビアのデルノルテ大学。
.gov サイトと .edu サイト以外にも、スペイン赤十字社が被害者となっています。 防衛請負業者兼航空宇宙メーカーのロックウェル・コリンズ – コリンズ・エアロスペースの一部であり、防衛大手レイセオンの子会社。 アイルランドに本拠を置く観光会社です。
PDF はいくつかの異なる Web サイトにリンクしており、その中には Instagram、Facebook、Snapchat のアカウントをハッキングできると主張するサービスを宣伝するものもあります。 ビデオゲームで不正行為を行うサービス。 および偽のフォロワーを作成するサービス。
「Insta 2021 をハックする最良の方法」とある PDF には書かれていました。 「Instagram アカウント (ロックアウトされた自分のアカウント、または友達のアカウント) をハッキングしたい場合は、InstaHacker が最適な場所です。 私たち InstaHacker は、安全で悪意がまったくない、簡単な Instagram ハッキング ソリューションをユーザーに提供します。 [sic throughout]」
文書の中には、何年もオンラインで存在していた可能性を示唆する日付が記載されているものもあります。
これらの広告は、シチズン ラボの上級研究員であるジョン スコット レイルトン氏によって発見されました。 彼が発見し、私たちがリストしたサイトが、この大規模なスパム キャンペーンの影響を受けたサイトの完全なリストであるかどうかは不明です。 そして、非常によく似た広告を表示していた Web サイトの数を考えると、それらすべての背後に同じグループまたは個人がいる可能性があります。
「SEO PDF アップロードは、免疫システムが抑制されたときに蔓延する日和見感染症のようなものです。 サービスの設定が間違っている場合、CMS にパッチが適用されていない場合に表示されます。 [content management system] バグやその他のセキュリティ問題があります」と Scott-Railton 氏は言いました。
Scott-Railton 氏によると、このキャンペーンは複雑かつ大規模であり、同時に詐欺サービスを宣伝するための一見無害な SEO 戦略であるように見えますが、悪意のあるハッカーが同じ欠陥を悪用してさらに多くの損害を与えた可能性があります。
「今回の場合、彼らがアップロードした PDF には、私たちが知る限り、これも悪意のある可能性がある詐欺サービスを示すテキストが含まれていましたが、彼らが悪意のあるコンテンツを含む PDF をアップロードした可能性は十分にあります。」と彼は言いました。 「または悪意のあるリンク。」
米国のサイバーセキュリティ機関CISAの広報担当者ジー・ザマン氏は、同機関は「検索エンジン最適化(SEO)スパムをホストする目的で、特定の政府や大学のWebサイトに明らかな侵害が行われていることを認識している」と述べた。 私たちは影響を受ける可能性のある団体と連携し、必要に応じて支援を提供しています。」
TechCrunch は、PDF で宣伝されている Web サイトの一部を検査したところ、それらはクリック詐欺を通じて収益を得る複雑なスキームの一部であるようです。 サイバー犯罪者はオープンソース ツールを使用してポップアップを作成し、訪問者が人間であることを確認しているようですが、実際にはバックグラウンドで金銭を生み出しています。 ウェブサイトのソースコードを調査したところ、少なくとも 1 つのサイトで被害者とされる人物のプロフィール写真と名前が表示されていたにもかかわらず、宣伝されているハッキング サービスは偽物である可能性が高いことが示唆されました。
何人かの被害者がTechCrunchに語ったところによると、これらの事件は必ずしも侵害の兆候ではなく、詐欺師がオンラインフォームやコンテンツ管理システム(CMS)ソフトウェアの欠陥を悪用した結果、PDFを自分のサイトにアップロードできたという。
被害者のうちジョージア州ジョンズクリーク町、ワシントン大学、スポケーンのコミュニティカレッジの3団体の代表はいずれも、問題はKentico CMSと呼ばれるコンテンツ管理システムにあったと述べた。
すべてのサイトがどのような影響を受けたのかは完全には明らかではありません。 しかし、カリフォルニア州魚類野生生物局と英国のバッキンガム大学という2つの異なる被害者の代表者は、ケンティコには言及せずに、同じと思われる手法について説明した。
「外部の人物が当社の報告メカニズムの1つを利用して、写真の代わりにPDFをアップロードしたようです」とカリフォルニア州魚類野生生物局のサイバーセキュリティ専門家であるデビッド・ペレス氏はTechCrunchに語った。
部門は、 数ページ ここでは市民が密猟や負傷した動物の目撃情報などを報告できる。 同省の広報副部長ジョーダン・トラベルソ氏は、病気や死んだコウモリを報告するページに設定ミスのフォームがあったが、サイトは「実際には侵害されておらず」、問題は解決され、同省は文書を削除したと述べた。
バッキンガム大学の広報担当者、ロジャー・パーキンス氏は、「これらのページはハッキングの結果ではなく、フォームの使用によって生じた古い「悪いページ」である。基本的にそれらはスパムであり、現在スパム化の過程にある」と述べた。削除されました […] これらの人々が利用した一般向けのフォーム(現在は存在しません)がありました。」
影響を受けた機関の一つであるワシントン消防委員協会の広報担当者トリ・ペティス氏はTechCrunchに対し、ファイルは削除されたと語った。 ペティス氏は、問題がKenticoにあるのかどうかは分からないとし、「サイトはハッキングされていないが、以前はプロフィールが完成する前に新規メンバーが自分のアカウントにファイルをアップロードできる脆弱性があった」と述べた。
ジョンズクリーク町のシニアコミュニケーションマネージャー、ジェニファー・チャップマン氏は、「ホスティング会社と協力して問題のPDFを削除し、問題を解決した」と述べた。
地域生活局の広報担当官アン・モッシャー氏は、ページは「削除された」と述べた。
カリフォルニア大学サンディエゴ校の大学広報部アソシエイトディレクターであるレスリー・セプカ氏は、「不正なPDFがこのサイトにアップロードされた」と述べた。 ファイルは削除され、さらなる不正アクセスを防ぐために変更が加えられました。 ウェブサイトにアクセスできるすべてのユーザーは、パスワードをリセットするよう求められています。」
ワシントン大学の広報担当者ビクター・バルタ氏は、「この問題は、ウェブサイト上の古くて脆弱なプラグインモジュールが原因で発生したようで、これによりコンテンツが公共スペースにアップロードされることになった」と述べた。 広報担当者は、「関連システム内のアクセスやデータに対する、より深刻な影響や侵害の兆候はない」と付け加えた。
バルタはこの問題はケンティコのせいだとした。
スポケーンのコミュニティ カレッジのテクノロジー サービス ディレクターであるトーマス イングル氏は、問題は Kentico を実行している Windows サーバーにあると述べ、「ハイジャックされた他のサーバーが指している文書 (この場合は、あなたが参照した PDF) がアップロードされていました。 」
カリフォルニア大学バークレー校の広報担当者ジャネット・ギルモア氏は、ハッキング広告が掲載されたサイトについて「このウェブサイトに脆弱性が見つかった」とし、「今後このようなことが起こらないようにするために問題は修正された」と述べた。 」
名前が挙がった残りの組織はTechCrunchの問い合わせに応じなかった。 Kentico Software への数件の電話や電子メールは返信されませんでした。
このスパム キャンペーンによる最終的な被害は、現在も、そして最終的には最小限で済むでしょうが、.gov Web サイトにコンテンツをアップロードできるようになることは、問題の .gov Web サイトだけでなく、米国政府全体にとっても懸念すべきことです。
それはすでに起こっています。 2020年には、 イランのハッカーが米国の都市のウェブサイトに侵入 明らかに投票数を変更することが目的です。 そして選挙関係者も 懸念を表明した 選挙関連のウェブサイトをハッキングするハッカー向け。