Les escrocs ont publié diverses publicités pour des services de piratage sur les sites Web officiels de plusieurs États, comtés et gouvernements locaux américains, d’une agence fédérale, ainsi que de nombreuses universités.
Les publicités étaient contenues dans des fichiers PDF téléchargés sur des sites Web officiels .gov appartenant aux gouvernements des États de Californie, de Caroline du Nord, du New Hampshire, de l’Ohio, de Washington et du Wyoming ; le comté de St. Louis dans le Minnesota, le comté de Franklin dans l’Ohio, le comté de Sussex dans le Delaware ; la ville de Johns Creek en Géorgie ; et l’Administration fédérale pour l’intégration communautaire.
Les escrocs ont également téléchargé des annonces similaires sur les sites Web .edu de plusieurs universités : UC Berkeley, Stanford, Yale, UC San Diego, Université de Virginie, UC San Francisco, Université du Colorado à Denver, Metropolitan Community College, Université de Washington, Université de Pennsylvanie, University of Texas Southwestern, Jackson State University, Hillsdale College, United Nations University, Lehigh University, Community Colleges of Spokane, Empire State University, Smithsonian Institution, Oregon State University, University of Buckingham au Royaume-Uni et Universidad Del Norte en Colombie.
Outre les sites .gov et .edu, d’autres victimes incluent la Croix-Rouge espagnole ; l’entrepreneur de défense et constructeur aérospatial Rockwell Collins – qui fait partie de Collins Aerospace et une filiale du géant de la défense Raytheon ; et une société de tourisme basée en Irlande.
Les fichiers PDF renvoient à plusieurs sites Web différents, dont certains sont des services publicitaires qui prétendent pouvoir pirater des comptes Instagram, Facebook et Snapchat ; services de triche dans les jeux vidéo ; et des services pour créer de faux abonnés.
« MEILLEUR moyen de pirater Insta 2021 », lit un PDF. « Si vous cherchez à pirater un compte Instagram (soit le vôtre dont vous avez été bloqué, soit votre ami), InstaHacker est le bon endroit à rechercher. Chez InstaHacker, nous fournissons à nos utilisateurs des solutions de piratage Instagram simples, sûres et totalement exemptes de toute intention malveillante. [sic throughout].”
Certains des documents ont des dates qui suggèrent qu’ils sont peut-être en ligne depuis des années.
Ces publicités ont été trouvées par John Scott-Railton, chercheur principal au Citizen Lab. Il n’est pas clair si les sites qu’il a trouvés – et nous les avons répertoriés – sont une liste complète des sites touchés par cette campagne de spam massive. Et étant donné le nombre de sites Web qui affichaient des publicités très similaires, le même groupe ou individu peut être derrière tout cela.
« Les téléchargements de PDF SEO sont comme des infections opportunistes qui se développent lorsque votre système immunitaire est supprimé. Ils apparaissent lorsque vous avez des services mal configurés, un CMS non corrigé [content management system] bogues et autres problèmes de sécurité », a déclaré Scott-Railton.
Bien que cette campagne semble être complexe, massive et en même temps un jeu de référencement apparemment inoffensif pour promouvoir des services d’escroquerie, des pirates malveillants auraient pu exploiter les mêmes failles pour faire beaucoup plus de dégâts, selon Scott-Railton.
« Dans ce cas, les PDF qu’ils ont téléchargés contenaient simplement du texte pointant vers un service d’escroquerie qui pourrait également être malveillant à notre connaissance, mais ils auraient très bien pu télécharger des PDF avec des contenus malveillants », a-t-il déclaré. « Ou des liens malveillants. »
Zee Zaman, porte-parole de l’agence américaine de cybersécurité, CISA, a déclaré que l’agence « est consciente des compromis apparents sur certains sites Web gouvernementaux et universitaires pour héberger des spams d’optimisation des moteurs de recherche (SEO). Nous nous coordonnons avec les entités potentiellement touchées et offrons une assistance si nécessaire. »
TechCrunch a inspecté certains des sites Web annoncés dans les fichiers PDF, et ils semblent faire partie d’un stratagème compliqué visant à générer de l’argent par la fraude au clic. Les cybercriminels semblent utiliser des outils open source pour créer des fenêtres contextuelles afin de vérifier que le visiteur est un humain, mais génèrent en réalité de l’argent en arrière-plan. Un examen du code source des sites Web suggère que les services de piratage annoncés sont probablement faux, malgré qu’au moins un des sites affiche les photos de profil et les noms des victimes présumées.
Plusieurs victimes ont déclaré à TechCrunch que ces incidents ne sont pas nécessairement les signes d’une violation, mais plutôt le résultat d’escrocs exploitant une faille dans les formulaires en ligne ou un logiciel de système de gestion de contenu (CMS), qui leur a permis de télécharger les PDF sur leurs sites.
Les représentants de trois des victimes – la ville de Johns Creek en Géorgie, l’Université de Washington et les collèges communautaires de Spokane – ont tous déclaré que le problème concernait un système de gestion de contenu appelé Kentico CMS.
On ne sait pas exactement comment tous les sites ont été affectés. Mais les représentants de deux victimes différentes, le California Department of Fish and Wildlife et l’Université de Buckingham au Royaume-Uni, ont décrit des techniques qui semblent être les mêmes, mais sans mentionner Kentico.
« Il semble qu’une personne externe ait profité de l’un de nos mécanismes de signalement pour télécharger des fichiers PDF au lieu d’images », a déclaré à TechCrunch David Perez, spécialiste de la cybersécurité au California Department of Fish and Wildlife.
Le département a plusieurs pages où les citoyens peuvent signaler des observations de braconnage et d’animaux blessés, entre autres problèmes. Le directeur adjoint des communications du département, Jordan Traverso, a déclaré qu’il y avait un formulaire mal configuré dans la page pour signaler les chauves-souris malades ou mortes, mais le site « n’était pas réellement compromis » et le problème a été résolu et le département a supprimé les documents.
Roger Perkins, porte-parole de l’Université de Buckingham, a déclaré que « ces pages ne sont pas le résultat d’un piratage mais sont de vieilles » mauvaises pages « résultant de l’utilisation d’un formulaire – en gros, ce sont des spams et sont maintenant en train d’être supprimé […] il y avait un formulaire public (qui n’existe plus) dont ces personnes ont profité.
Tori Pettis, porte-parole de la Washington Fire Commissioners Association, l’une des agences concernées, a déclaré à TechCrunch que les fichiers avaient été supprimés. Pettis a déclaré qu’elle ne savait pas si le problème venait de Kentico et que « le site n’a pas été piraté, cependant, il y avait une vulnérabilité qui permettait auparavant aux nouveaux membres de télécharger des fichiers sur leurs comptes avant que le profil ne soit terminé ».
Jennifer Chapman, responsable principale des communications à la ville de Johns Creek, a déclaré que « nous avons travaillé avec notre société d’hébergement pour supprimer les fichiers PDF en question et résoudre le problème ».
Ann Mosher, responsable des affaires publiques pour l’Administration for Community Living, a déclaré que les pages « ont été retirées ».
Leslie Sepuka, directrice associée des communications universitaires à l’Université de Californie à San Diego, a déclaré que « des fichiers PDF non autorisés ont été téléchargés sur ce site. Les fichiers ont été supprimés et des modifications ont été apportées pour empêcher tout accès non autorisé. Tous les utilisateurs ayant accès au site Web ont également été invités à réinitialiser leurs mots de passe.
Victor Balta, porte-parole de l’Université de Washington, a déclaré que « le problème semble provenir d’un module de plug-in obsolète et vulnérable sur le site Web, qui permettait de télécharger du contenu dans un espace public ». Le porte-parole a ajouté qu' »il n’y a aucune indication d’un impact plus profond ou d’une compromission de l’accès ou des données au sein du système relatif ».
Balta a attribué le problème à Kentico.
Thomas Ingle, directeur des services technologiques des Community Colleges de Spokane, a déclaré que le problème était un serveur Windows exécutant Kentico, et que « nous avions téléchargé des documents (dans ce cas, le PDF que vous avez référencé) vers lesquels d’autres serveurs piratés pointaient. ”
Janet Gilmore, porte-parole de l’UC Berkeley, a déclaré: « Il y avait une vulnérabilité trouvée sur ce site Web », faisant référence au site où les publicités de piratage ont été publiées, et que le problème a été corrigé « pour éviter que cela ne se reproduise à l’avenir. ”
Les autres organisations nommées n’ont pas répondu aux demandes de TechCrunch. Plusieurs appels et e-mails à Kentico Software sont restés sans réponse.
Le dommage ultime de cette campagne de spam est et finira par être minime, mais avoir la possibilité de télécharger du contenu sur des sites Web .gov serait préoccupant, non seulement pour les sites Web .gov en question, mais pour l’ensemble du gouvernement américain.
C’est déjà arrivé. En 2020, des pirates iraniens ont fait irruption sur le site Web d’une ville américaine dans le but apparent de modifier le décompte des voix. Et les responsables électoraux se sont dits préoccupés par le fait que des pirates piratent des sites Web liés aux élections.