Penipu telah menerbitkan berbagai iklan untuk layanan peretasan di situs web resmi beberapa pemerintah negara bagian, kabupaten dan lokal AS, agen federal, serta banyak universitas.

Iklan tersebut dimuat dalam file PDF yang diunggah ke situs resmi .gov milik pemerintah negara bagian California, Carolina Utara, New Hampshire, Ohio, Washington, dan Wyoming; Louis County di Minnesota, Franklin County di Ohio, Sussex County di Delaware; kota Johns Creek di Georgia; dan Administrasi Federal untuk Kehidupan Masyarakat.

Penipu juga mengunggah iklan serupa di situs .edu beberapa universitas: UC Berkeley, Stanford, Yale, UC San Diego, University of Virginia, UC San Francisco, University of Colorado Denver, Metropolitan Community College, University of Washington, University of Pennsylvania, University of Texas Southwestern, Jackson State University, Hillsdale College, United Nations University, Lehigh University, Community Colleges of Spokane, Empire State University, Smithsonian Institution, Oregon State University, University of Buckingham di Inggris, dan Universidad Del Norte di Kolombia.

Selain situs .gov dan .edu, korban lainnya termasuk Palang Merah Spanyol; kontraktor pertahanan dan pabrikan kedirgantaraan Rockwell Collins — bagian dari Collins Aerospace dan anak perusahaan raksasa pertahanan Raytheon; dan perusahaan pariwisata yang berbasis di Irlandia.

Tautan PDF ke beberapa situs web berbeda, beberapa di antaranya adalah layanan iklan yang mengklaim dapat meretas akun Instagram, Facebook, dan Snapchat; layanan untuk menipu dalam permainan video; dan layanan untuk membuat pengikut palsu.

“Cara TERBAIK untuk Meretas Insta 2021,” baca satu PDF. “Jika Anda ingin meretas akun Instagram (baik akun Anda yang terkunci atau teman Anda), InstaHacker adalah tempat yang tepat untuk mencarinya. Kami, di InstaHacker, memberi pengguna kami solusi peretasan Instagram mudah yang aman dan sepenuhnya bebas dari niat jahat apa pun [sic throughout].”

Beberapa dokumen memiliki tanggal yang menunjukkan bahwa mereka mungkin telah online selama bertahun-tahun.

Iklan ini ditemukan oleh John Scott-Railton, seorang peneliti senior di Lab Warga. Tidak jelas apakah situs yang dia temukan — dan kami daftarkan — adalah daftar lengkap situs yang terpengaruh oleh kampanye spam besar-besaran ini. Dan mengingat berapa banyak situs web yang menampilkan iklan yang sangat mirip, grup atau individu yang sama mungkin ada di balik semuanya.

“Unggahan SEO PDF seperti infeksi oportunistik yang berkembang saat sistem kekebalan Anda ditekan. Mereka muncul ketika Anda memiliki layanan yang salah konfigurasi, CMS yang belum ditambal [content management system] bug, dan masalah keamanan lainnya,” kata Scott-Railton.

Meskipun kampanye ini tampaknya rumit, masif, dan pada saat yang sama merupakan permainan SEO yang tampaknya tidak berbahaya untuk mempromosikan layanan scam, peretas jahat dapat mengeksploitasi kelemahan yang sama untuk melakukan lebih banyak kerusakan, menurut Scott-Railton.

“Dalam hal ini PDF yang mereka unggah hanya memiliki teks yang mengarah ke layanan scam yang mungkin juga berbahaya sejauh yang kami tahu, tetapi mereka bisa saja mengunggah PDF dengan konten jahat,” katanya. “Atau tautan berbahaya.”

Zee Zaman, juru bicara badan keamanan dunia maya AS, CISA mengatakan bahwa badan tersebut “menyadari adanya kompromi yang nyata terhadap situs web pemerintah dan universitas tertentu untuk menampung spam pengoptimalan mesin pencari (SEO). Kami berkoordinasi dengan entitas yang berpotensi terkena dampak dan menawarkan bantuan sesuai kebutuhan.”

TechCrunch memeriksa beberapa situs web yang diiklankan dalam PDF, dan mereka tampaknya merupakan bagian dari skema rumit untuk menghasilkan uang melalui penipuan klik. Penjahat dunia maya tampaknya menggunakan alat sumber terbuka untuk membuat munculan guna memverifikasi bahwa pengunjung adalah manusia, tetapi sebenarnya menghasilkan uang di latar belakang. Tinjauan kode sumber situs web menunjukkan bahwa layanan peretasan seperti yang diiklankan kemungkinan besar palsu, meskipun setidaknya salah satu situs menampilkan gambar profil dan nama korban yang diduga.

Beberapa korban memberi tahu TechCrunch bahwa insiden ini belum tentu merupakan tanda pelanggaran, melainkan hasil dari penipu yang mengeksploitasi cacat dalam formulir online atau perangkat lunak sistem manajemen konten (CMS), yang memungkinkan mereka mengunggah PDF ke situs mereka.

Perwakilan dari tiga korban – kota Johns Creek di Georgia, University of Washington, dan Community Colleges of Spokane – semuanya mengatakan bahwa masalahnya ada pada sistem manajemen konten yang disebut Kentico CMS.

Tidak sepenuhnya jelas bagaimana semua situs terpengaruh. Tetapi perwakilan dari dua korban berbeda, California Department of Fish and Wildlife dan University of Buckingham di Inggris, menjelaskan teknik yang tampaknya sama, tetapi tanpa menyebut Kentico.

“Tampaknya orang eksternal memanfaatkan salah satu mekanisme pelaporan kami untuk mengunggah PDF alih-alih gambar,” kata David Perez, spesialis keamanan dunia maya di Departemen Perikanan dan Margasatwa California kepada TechCrunch.

Departemen tersebut memiliki beberapa halaman di mana warga dapat melaporkan penampakan perburuan dan hewan yang terluka, di antara masalah lainnya. Wakil direktur departemen komunikasi Jordan Traverso mengatakan bahwa ada formulir yang salah konfigurasi di halaman untuk melaporkan kelelawar yang sakit atau mati, tetapi situs tersebut “sebenarnya tidak disusupi” dan masalah tersebut telah diselesaikan dan departemen tersebut menghapus dokumen tersebut.

Roger Perkins, juru bicara Universitas Buckingham, mengatakan bahwa “laman-laman ini bukan hasil peretasan tetapi adalah ‘laman buruk’ lama yang dihasilkan dari penggunaan formulir — pada dasarnya itu adalah spam dan sekarang dalam proses menjadi DIHAPUS […] ada bentuk yang menghadap publik (tidak ada lagi) yang dimanfaatkan orang-orang ini.

Tori Pettis, juru bicara Asosiasi Komisaris Kebakaran Washington, salah satu agensi yang terkena dampak, mengatakan kepada TechCrunch bahwa file tersebut telah dihapus. Pettis mengatakan dia tidak yakin apakah masalahnya ada pada Kentico, dan bahwa “situs tersebut belum diretas, namun, ada kerentanan yang sebelumnya memungkinkan anggota baru mengunggah file ke akun mereka sebelum profil selesai.”

Jennifer Chapman, manajer komunikasi senior di kota Johns Creek, mengatakan bahwa “kami bekerja dengan perusahaan hosting kami untuk menghapus PDF yang dipermasalahkan dan menyelesaikan masalah tersebut.”

Ann Mosher, pejabat urusan publik Administrasi untuk Kehidupan Masyarakat, mengatakan halaman-halaman itu “telah diturunkan.”

Leslie Sepuka, associate director komunikasi universitas di University of California San Diego, mengatakan bahwa “PDF yang tidak sah diunggah ke situs ini. File telah dihapus dan perubahan telah dilakukan untuk mencegah akses tidak sah lebih lanjut. Semua pengguna yang memiliki akses ke situs web juga telah diminta untuk menyetel ulang kata sandi mereka.”

Victor Balta, juru bicara University of Washington, mengatakan “masalah ini tampaknya berasal dari modul plugin yang kedaluwarsa dan rentan di situs web, yang memungkinkan konten diunggah ke ruang publik.” Juru bicara menambahkan bahwa, “tidak ada indikasi dampak yang lebih dalam atau kompromi akses atau data dalam sistem relatif.”

Balta mengaitkan masalah itu dengan Kentico.

Thomas Ingle, direktur layanan teknologi di Community Colleges of Spokane, mengatakan bahwa masalahnya adalah Server Windows yang menjalankan Kentico, dan bahwa “kami telah mengunggah dokumen (dalam hal ini PDF yang Anda rujuk) yang ditunjuk oleh server lain yang dibajak. ”

Janet Gilmore, juru bicara UC Berkeley, mengatakan: “Ada kerentanan yang ditemukan di situs web ini,” mengacu pada situs tempat iklan peretasan dipasang, dan bahwa masalah tersebut telah diperbaiki “untuk mencegah hal ini terjadi lagi di masa mendatang. ”

Organisasi lain yang disebutkan tidak menanggapi pertanyaan TechCrunch. Beberapa panggilan dan email ke Kentico Software tidak dibalas.

Kerugian utama dari kampanye spam ini adalah dan pada akhirnya akan minimal, tetapi memiliki kemampuan untuk mengunggah konten ke situs web .gov akan menjadi perhatian, tidak hanya untuk situs web .gov yang bersangkutan, tetapi juga untuk seluruh pemerintah AS.

Itu sudah terjadi. Pada tahun 2020, peretas Iran membobol situs web kota AS dengan tujuan nyata untuk mengubah jumlah suara. Dan pejabat pemilu telah menyatakan keprihatinannya terhadap peretas yang meretas situs web terkait pemilu.