Los estafadores han publicado varios anuncios de servicios de piratería en los sitios web oficiales de varios gobiernos estatales, de condados y locales de EE. UU., una agencia federal y numerosas universidades.
Los anuncios estaban contenidos en archivos PDF subidos a sitios web oficiales .gov pertenecientes a los gobiernos estatales de California, Carolina del Norte, New Hampshire, Ohio, Washington y Wyoming; el condado de St. Louis en Minnesota, el condado de Franklin en Ohio, el condado de Sussex en Delaware; la ciudad de Johns Creek en Georgia; y la Administración Federal para la Vida Comunitaria.
Los estafadores también subieron anuncios similares en los sitios web .edu de varias universidades: UC Berkeley, Stanford, Yale, UC San Diego, University of Virginia, UC San Francisco, University of Colorado Denver, Metropolitan Community College, University of Washington, University of Pennsylvania, University of Texas Southwestern, Jackson State University, Hillsdale College, United Nations University, Lehigh University, Community Colleges of Spokane, Empire State University, Smithsonian Institution, Oregon State University, University of Buckingham en el Reino Unido y Universidad Del Norte en Colombia.
Aparte de los sitios .gov y .edu, otras víctimas incluyen a la Cruz Roja Española; el contratista de defensa y fabricante aeroespacial Rockwell Collins, parte de Collins Aerospace y una subsidiaria del gigante de defensa Raytheon; y una empresa de turismo con sede en Irlanda.
Los archivos PDF se vinculan a varios sitios web diferentes, algunos de ellos anuncian servicios que afirman poder piratear cuentas de Instagram, Facebook y Snapchat; servicios para hacer trampa en videojuegos; y servicios para crear seguidores falsos.
“La MEJOR manera de hackear Insta 2021”, decía un PDF. “Si está buscando hackear una cuenta de Instagram (ya sea la suya de la que se bloqueó o la de su amigo), InstaHacker es el lugar adecuado para buscar. Nosotros, en InstaHacker, brindamos a nuestros usuarios soluciones sencillas para hackear Instagram que son seguras y completamente libres de intenciones maliciosas. [sic throughout].”
Algunos de los documentos tienen fechas que sugieren que pueden haber estado en línea durante años.
Estos anuncios fueron encontrados por John Scott-Railton, investigador principal del Citizen Lab. No está claro si los sitios que encontró, y que hemos enumerado, son una lista completa de los sitios afectados por esta campaña masiva de spam. Y dada la cantidad de sitios web que mostraban anuncios muy similares, el mismo grupo o individuo puede estar detrás de todos ellos.
“Las cargas de PDF de SEO son como infecciones oportunistas que florecen cuando se suprime el sistema inmunológico. Aparecen cuando tiene servicios mal configurados, CMS sin parchear [content management system] errores y otros problemas de seguridad”, dijo Scott-Railton.
Si bien esta campaña parece ser compleja, masiva y, al mismo tiempo, una jugada de SEO aparentemente inofensiva para promover servicios fraudulentos, los piratas informáticos maliciosos podrían haber explotado las mismas fallas para causar mucho más daño, según Scott-Railton.
“En este caso, los archivos PDF que cargaron solo tenían un texto que apuntaba a un servicio de estafa que, hasta donde sabemos, también podría ser malicioso, pero muy bien podrían haber cargado archivos PDF con contenido malicioso”, dijo. “O enlaces maliciosos”.
Zee Zaman, portavoz de la agencia de seguridad cibernética de EE. UU., CISA, dijo que la agencia “está al tanto de los aparentes compromisos de ciertos sitios web gubernamentales y universitarios para alojar spam de optimización de motores de búsqueda (SEO). Nos estamos coordinando con las entidades potencialmente afectadas y ofreciendo asistencia según sea necesario”.
TechCrunch inspeccionó algunos de los sitios web anunciados en los PDF y parecen ser parte de un complicado plan para generar dinero a través del fraude de clics. Los ciberdelincuentes parecen estar utilizando herramientas de código abierto para crear ventanas emergentes para verificar que el visitante es un humano, pero en realidad están generando dinero en segundo plano. Una revisión del código fuente de los sitios web sugiere que los servicios de piratería tal como se anuncian probablemente sean falsos, a pesar de que al menos uno de los sitios muestra las imágenes de perfil y los nombres de las presuntas víctimas.
Varias víctimas le dijeron a TechCrunch que estos incidentes no son necesariamente signos de una violación, sino el resultado de estafadores que explotan una falla en los formularios en línea o un software de sistema de administración de contenido (CMS), que les permitió cargar los archivos PDF en sus sitios.
Los representantes de tres de las víctimas, la ciudad de Johns Creek en Georgia, la Universidad de Washington y los colegios comunitarios de Spokane, dijeron que el problema era con un sistema de gestión de contenido llamado Kentico CMS.
No está del todo claro cómo se vieron afectados todos los sitios. Pero los representantes de dos víctimas diferentes, el Departamento de Pesca y Vida Silvestre de California y la Universidad de Buckingham en el Reino Unido, describieron técnicas que parecen ser las mismas, pero sin mencionar a Kentico.
«Parece que una persona externa se aprovechó de uno de nuestros mecanismos de informes para cargar archivos PDF en lugar de imágenes», dijo a TechCrunch David Pérez, especialista en seguridad cibernética del Departamento de Pesca y Vida Silvestre de California.
El departamento tiene varias páginas donde los ciudadanos pueden reportar avistamientos de caza furtiva y animales heridos, entre otras cuestiones. El subdirector de comunicaciones del departamento, Jordan Traverso, dijo que había un formulario mal configurado en la página para reportar murciélagos enfermos o muertos, pero el sitio “no estaba realmente comprometido” y el problema se resolvió y el departamento eliminó los documentos.
Roger Perkins, un vocero de la Universidad de Buckingham, dijo que “estas páginas no son el resultado de una piratería, sino que son viejas ‘páginas malas’ que resultaron del uso de un formulario; básicamente son spam y ahora están en proceso de ser remoto […] había una forma de cara al público (que ya no existe) que estas personas aprovecharon”.
Tori Pettis, portavoz de la Asociación de Comisionados de Bomberos de Washington, una de las agencias afectadas, le dijo a TechCrunch que los archivos se eliminaron. Pettis dijo que no estaba segura de si el problema era con Kentico y que “el sitio no ha sido pirateado, sin embargo, había una vulnerabilidad que anteriormente permitía a los nuevos miembros cargar archivos en sus cuentas antes de que se completara el perfil”.
Jennifer Chapman, gerente sénior de comunicaciones en la ciudad de Johns Creek, dijo que “trabajamos con nuestra empresa de alojamiento para eliminar los archivos PDF en cuestión y resolver el problema”.
Ann Mosher, oficial de asuntos públicos de la Administración para la Vida Comunitaria, dijo que las páginas “han sido eliminadas”.
Leslie Sepuka, directora asociada de comunicaciones universitarias de la Universidad de California en San Diego, dijo que “se cargaron archivos PDF no autorizados en este sitio. Los archivos se han eliminado y se han realizado cambios para evitar más accesos no autorizados. También se ha pedido a todos los usuarios con acceso al sitio web que restablezcan sus contraseñas”.
Victor Balta, portavoz de la Universidad de Washington, dijo que “el problema parece haber surgido de un módulo de complemento desactualizado y vulnerable en el sitio web, que permitía cargar contenido en un espacio público”. El portavoz agregó que «no hay indicios de ningún impacto más profundo o compromiso de acceso o datos dentro del sistema relativo».
Balta atribuyó el problema a Kentico.
Thomas Ingle, director de servicios de tecnología en Community Colleges of Spokane, dijo que el problema era un servidor de Windows que ejecutaba Kentico y que “teníamos documentos cargados (en este caso, el PDF al que hizo referencia) que apuntaban a otros servidores que fueron secuestrados. ”
Janet Gilmore, portavoz de UC Berkeley, dijo: “Se encontró una vulnerabilidad en este sitio web”, refiriéndose al sitio donde se publicaron los anuncios de piratería, y que el problema se solucionó “para evitar que esto vuelva a suceder en el futuro. ”
El resto de las organizaciones nombradas no respondieron a las consultas de TechCrunch. Varias llamadas y correos electrónicos a Kentico Software no fueron devueltos.
El daño final de esta campaña de spam es y terminará siendo mínimo, pero tener la capacidad de cargar contenido en sitios web .gov sería preocupante, no solo para los sitios web .gov en cuestión, sino para todo el gobierno de EE. UU.
Ya ha sucedido. En 2020, piratas informáticos iraníes irrumpieron en el sitio web de una ciudad de EE. UU. con el aparente objetivo de alterar el recuento de votos. Y los funcionarios electorales han expresado su preocupación por los piratas informáticos que piratean sitios web relacionados con las elecciones.