Компромат.Ru ®

Читают с 1999 года

Весь сор в одной избе

Библиотека компромата

Поисковая оптимизация и никакого мошенничества

Хакеры свои услуги продвигали на госсайтах США, ЕС, университетов

Оригинал этого материала
© CNews.ru, 05.06.2023, Государственные сайты США годами бесплатно рекламируют услуги хакеров, Иллюстрация: Techcrunch.com

Георгий Дорофеев

Сайты госведомств и университетов США, а также некоторых вузов и частных компаний из Европы в течение нескольких лет использовались хакерами для рекламы своих услуг и фишинговых сайтов. Они размещали на них PDF-файлы с нужными им ссылками, используя найденные уязвимости или легальные формы загрузки документов. Как долго это продолжалось, неизвестно. Эксперты сходятся во мнении, что масштабную спам-компанию вполне мог устроить всего один хакер.

Государство и вузы работают на хакеров

Мошенники в течение длительного времени использовали государственные сайты для открытой рекламы своих «услуг», в том числе и хакерских. Как пишет портал TechCrunch, они работали на широкую ногу, используя в качестве бесплатной рекламной площадки госсайты в нескольких американских штатах, а также публикуя объявления на веб-порталах американских вузов и федеральных агентств, и это могло продолжаться годами. Ссылки на такие файлы затем выводились в выдаче поисковиков.

Рекламные объявления содержались в файлах PDF, загруженных на официальные веб-сайты в доменной зоне .gov. В числе пострадавших — госструктуры штатов Калифорния, Северная Каролина, Нью-Гэмпшир, Огайо, Вашингтон и Вайоминг, а округов Сент-Луис в Миннесоте, Франклин в Огайо и Сассекс в Делавэре. Не обошли злоумышленники и официальные сайты ведомств в городе Джонс-Крик (Джорджия) и портал Федерального управление общественной жизни (Federal administration for Community Living).

Образовательные учреждения тоже попали во внимание хакеров. Спамом были Заражены» сайты Калифорнийского университета в Беркли, Стэнфорда, Йельского университета, Калифорнийского университета в Сан-Диего, Университета Вирджинии, Калифорнийского университета в Сан-Франциско, Университета Колорадо в Денвере, Колледжа Метрополитен, Университета Вашингтона, Университета Пенсильвании, Юго-западного Техасскиого университета, Университета штата Джексон, Колледжа Хиллсдейл, Университета Организации Объединенных Наций, Университета Лихай, Общественных колледжей Спокан, Университета Эмпайр-стейт, Смитсоновского института и Университета штата Орегон.

Международная экспансия хакеров

Злоумышленники, разместившие на госсайтах и порталах учебных заведений свою рекламу, решили не ограничиваться одними только США. Например, следы их присутствия были обнаружены на сайте Букингемского университета в Великобритании, то есть зона их действий охватывает как минимум Северную Америку и Европу. На это указывает и их незримое присутствие на сайте испанского представительства «Красного креста» и неназванной туристической компании в Ирландии.

Но все же основной упор сделан именно на США, и пока неясно, с чем именно это может быть связано. Как пишет TechCrunch, хакеры рекламировались даже на сайте американского оборонного подрядчика и производителя аэрокосмической техники Rockwell Collins — дочерней компании военно-промышленного гиганта Raytheon.

Что скрывается внутри

Хакерские PDF-файлы, неизвестно каким образом оказавшиеся в составе сайтов перечисленных организаций, сами по себе опасности не представляют, в отличие от их содержимого. Они включают в себя ссылки на различные сайты, где пользователям предлагают воспользоваться средствами взлома популярных в интернете веб-сервисов, включая мессенджер ShapChat и запрещенные в России социальные сети американского миллиардера Марка Цукерберга (Mark Zuckerberg).

Но не всех интересует взлом чужих профилей, и чтобы расширить аудиторию потенциальных клиентов, хакеры рекламируют и другие сервисы. Среди них — средства для читерства в видеоиграх и сервисы накрутки подписчиков в соцсетях.

Compromat.Ru: 78441
Один из рекламируемых хакерами сайтов по взлому известной соцсети
О столь оригинальном способе рекламы хакерских услуг стало известно лишь в начале июня 2023 г., но, похоже, эта схема используется годами. Неопровержимых доказательств этому пока нет, но есть косвенные — некоторые из обнаруженных документов имеют дату создания и изменения, и это, как пишет TechCrunch, может указывать на то, что эти файлы находятся на серверах в течение многих лет.

Техническая реализация

Несколько жертв хакеров сообщили TechCrunch, что эти инциденты не обязательно являются признаками взлома, а скорее результатом того, что мошенники использовали уязвимость в онлайн-формах или программном обеспечении системы управления контентом (CMS), что позволило им загружать PDF-файлы на свои сайты. Представители трех пострадавших — города Джонс-Крик в Джорджии, Вашингтонского университета и муниципальных колледжей Спокана — заявили, что проблема связана с системой управления контентом под названием Kentico CMS.

Эксперты пока не выяснили весь список методов, какими пользовались хакеры для загрузки своих файлов на сайты. Но представители Калифорнийского департамента рыбы и дикой природы и Букингемского университета в Великобритании описали методы, которые кажутся одинаковыми, но без упоминания Кентико. «Похоже, что постороннее лицо воспользовалось одним из наших механизмов отчетности для загрузки PDF-файлов вместо изображений», — сказал TechCrunch Дэвид Перес (David Perez), специалист по кибербезопасности Департамента рыбы и дикой природы Калифорнии.

У департамента на сайте есть несколько страниц, на которых граждане могут, среди прочего, сообщать о случаях браконьерства и раненых животных. Заместитель директора департамента по связям с общественностью Джордан Траверсо (Jordan Traverso) сказал, что на странице была неправильно настроена форма для сообщения о больных или мертвых летучих мышах, но сайт «фактически не был скомпрометирован», и проблема была решена — департамент удалил документы.

Масштабная спам-компания

Документы с рекламой услуг хакеров были найдены Джоном Скоттом-Рейлтоном (John Scott-Railton), старшим научным сотрудником компании Citizen Lab. Неясно, являются ли сайты, которые он нашел полным списком ресурсов, затронутых этой масштабной спам-кампанией — не исключено, что их может оказаться больше.

На ком лежит ответственность за столь масштабный взлом, пока неизвестно. Но с учетом того, как много веб-сайтов против воли их владельцев показывали или одну и ту же, или очень похожую рекламу, за всеми ними может стоять одна хакерская группа или вовсе один человек.

«Загрузка SEO PDF подобна оппортунистическим инфекциям, которые процветают, когда ваша иммунная система подавлена. Они появляются, когда у вас неправильно настроены службы, неисправленные ошибки CMS [системы управления контентом] и другие проблемы с безопасностью», — сказал Скотт-Рейлтон.

Хотя эта кампания кажется сложной, масштабной и в то же время, казалось бы, безобидной SEO-игрой для продвижения мошеннических услуг, по словам Скотта-Рейлтона, злоумышленники могли использовать те же недостатки, чтобы нанести гораздо больший ущерб. «В этом случае в загружаемых ими PDF-файлах просто был текст, указывающий на мошенническую службу, которая, насколько нам известно, также могла быть вредоносной, но они вполне могли загружать PDF-файлы с вредоносным содержимым. Или вредоносные ссылки», — сказал он.

Все из-за денег

Эксперты TechCrunch на свой страх и риск проверили некоторые из веб-сайтов, рекламируемых в PDF-файлах. Выяснилось, что это лишь часть очень запутанной мошеннической схемы получения денег с помощью кликов. Киберпреступники, похоже, используют инструменты с открытым исходным кодом для создания всплывающих окон, чтобы убедиться, что посетитель является человеком, но на самом деле зарабатывают деньги в фоновом режиме. Обзор исходного кода веб-сайтов позволяет предположить, что рекламируемые хакерские услуги, вероятно, являются подделкой, несмотря на то, что по крайней мере на одном из сайтов отображаются изображения профилей и имена предполагаемых жертв.

Схема проверена и сбоев не дает

Хакеры вполне способны заставить бесплатно рекламировать свои услуги и фишинговые сайты далеко не только небольшие госведомства и порталы университетов, пусть и всемирно известным. Им по силам «завербовать» и веб-ресурсы гораздо более крупных организаций, к примеру, Евросоюза.

О том, что сайт ЕС — это рекламная площадка для киберпреступников, стало известно в конце 2022 г. Как сообщал CNews, он был вовлечен в точно такую же схему — неизвестные воспользовались легальной возможностью загрузки на сайт документов и разместили на нем множество файлов с ключевыми словами. Счет шел на тысячи документов, и дополнительным успехом стало то, что в результате ссылки на эти файлы долгое время выводились в первых строках поисковой выдачи.

По сути, хакеры не взламывали сайт Евросоюза — они лишь воспользовались функцией, которую он предоставлял всем без исключения посетителям. Это означает, что никакого нарушения закона в данном случае не было.

***
Оригинал этого материала
© CNews.ru, 08.12.2022, Иллюстрации: TorrentFreak.com

Таинственные хакеры бесплатно и легально рекламируют себя на официальном сайте Евросоюза

Евгений Черкесов

Хакеры начали использовать официальный сайт Евросоюза (europa.eu) для рекламы своих мошеннических сайтов. Они легально загрузили на него тысячи документов с ключевыми словами, например, про просмотр новых фильмов онлайн, и ссылками на опасные сайты, и теперь они выдаются в первых строчках поисковой выдачи. По сути, сайт ЕС бесплатно рекламирует мошеннические сайты, и притом все это в рамках закона, так никакого взлома не было.

Дерзкая, но успешная выходка хакеров

Киберпреступники втянули в свои махинации Евросоюз, пишет портал TorrentFreak. Официальные веб-ресурсы ЕС (europa.eu) вовсю рекламируют хакерские сайты, притом происходит это на совершенно легальной основе, потому что сайты никто не взламывал.

Свою лепту вносят и поисковые системы. Как известно, они удаляют из выдачи ссылки на хакерские и пиратские сайты, но они точно не станут удалять из выдачи ссылки, ведущие на официальные ресурсы Евросоюза.

Как результат, ссылки на потенциально опасные сайты выводятся в верхних строках поисковой выдачи.

Compromat.Ru: 78442
Хакерские ссылки в первых строчках выдачи в Google
О еще более лучшем результате и мечтать не приходится, потому что многие компании зачастую прикладывают неимоверные усилия, чтобы их сайт оказался хотя бы на одной из первых десяти строчек выдачи по нужному поисковому запросу.

Все гениальное просто

По сути, хакеры просто нашли лазейку, позволяющую им на вполне законных основаниях превратить сайты Евросоюза в свою рекламную площадку. Они массово загружают на них PDF-документы, переполненные различными ключевыми словами, используя для этого формы отправки файлов и обратной связи.

Другими словами, обвинить мошенников на данном этапе не в чем. Они ничего не взламывали, не проникали в компьютерную сеть ЕС, а лишь воспользовались возможностями сайта, доступ к которым предоставлен всем без исключения пользователям.

Отдельные подразделы сайта ЕС полюбились мошенникам больше всего. Чаще всего они заливают документы через подразделы, посвященные некоторым связанным с ЕС организациям. Среди них — Обсерватория Европейского союза по наноматериалам (European Union Observatory for Nanomaterials, EUON) и Европейское общество химиков (European Chemicals Society, ECHA).

Доподлинно неизвестно, сколько именно файлов хакеры успели загрузить на сайты ЕС на 8 декабря 2022 г. Специалисты TorrentFreak нашли тысячи PDF-документов, ведущих на весьма сомнительные сайты. И никто не исключает, что в будущем их станет еще больше, даже после огласки.

Что "рекламирует" Евросоюз

Документы, которыми хакеры накачивают накопители привязанных к сайтам ЕС серверов, содержат призывы посетить сайты с бесплатными копиями последних новинок мирового кинематографа. В частности, они предлагают недавно вышедшие в мировом (но не в российском) прокате фильм «Черный Адам» и вторую часть киноленты «Энола Холмс».

Ссылку на сайт ЕС с хакерскими документами получат те, кто желает посмотреть фильм онлайн.

Compromat.Ru: 78443
Один из сайтов, которые видят пользователи, перешедшие по ссылке из документа
Рекламные документы уверяют, что за просмотр фильмов не нужно платить, и что никто не будет интересоваться реквизитами банковской карты желающего сэкономить на походе в кинотеатр и заставлять его регистрироваться.

Compromat.Ru: 78444
Разумеется, ни каких фильмов по ссылкам, которые мошенники подсовывают доверчивым пользователям, нет. Они ведут на крайне сомнительные сторонние сайты, которые многие современные антивирусные системы помечают как вредоносные. Однако не все пользуются антивирусами, плюс тот факт, что документ загружен на сервер Евросоюза, может надежно усыпить бдительность даже самого искушенного пользователя.

Золотая жила

Редакция CNews обнаружила на некоторых хакерских сайтах информацию о возможности загрузки на серверы Евросоюза документов с любым требуемым содержимым, которые впоследствии будут отображаться в верхних строках поисковых выдач. По всей видимости, администраторы этих серверов уже осведомлены о проблеме, поскольку, как пишет TorrentFreak, одна из обнаруженных киберпреступниками лазеек уже закрыта. Они закачивали документы на сайт инициативы ЕС Joinup путем создания новых учетных записей, но в настоящее время такой возможности нет. Это может быть временной мерой в связи с недавним наплывом мошенников. К тому же некоторые загруженные PDF-документы уже удалены с серверов.

Однако ничто не мешает хакерам провернуть такой же фокус с сайтами других государств и госструктур. Так что, создав прецедент, те, кто придумал использовать сайт ЕС в своих мошеннических целях, вероятно, показали пример другим киберпреступникам.

Другие материалы раздела:
Паутина для доверчивых
📁 Фильтрация Компромaт.Ру +
📁 Дубик всеблокирующий =>
📁 Кремль атакует Рунет +
ГосНетКонтроль
Антикоррупционный "Посейдон"
📁 Охота на экстремизм в Сети +
📁 Ответственность за коммент. +
Ответственность за ссылку
Виртуальные бандиты
Вредоносы-вымогатели
Кибер-империя зла
Топ разыскиваемых ФБР хакеров
Про хакеров для "чайников"
Как отбиться от хакера
Классификатор "русских хакеров"
Особенности национального хака
Порно, спам и пиратская музыка
Экономика инет-мошенничества
Схема финансовой кибер-ОПГ
Рынок хакерского труда
"Черные списки" в Интернете
Основы информационной войны
📁 Сурковская сеть +
Спам-канализация "ЕдРа"
📁 DDoS-атаки в ПолитРунете +
Призма Володина
Полит- и бизнес-пиар в ЖЖ
"Черный пиар" в соцсетях
Борьба с клеветой в Телеграме
Потребители политинфы в ЖЖ
Тысячников поймали на заказухе
Рейтинг инфоцыган
Rexona опиарилась в блогах
📁 Тролли в Рунете +
Политические форумы Рунета
📁 Сайты власти +
📁 Доменная зона РФ +
Как регулируются домены в СНГ
Эл. почта без тайны связи
Твит-цензура на Универсиаде
Скупка доменов-однофамильцев
Давидович растерял домены
Суд запретил YouTube
Бараны vs "Умное голосование"
YouTube запрещен без суда
Атака на сайт президента РФ
📁 Угрозы Матвиенко =>
📁 Дело сайта "УфаГубЪ" +
📁 "Ковровский форум" +
Дело "Костромских Джедаев"
Обидно.Ру
Экстремизм на "Самиздате"
Экстремисты на форуме Ура.ру
Запрос IP за комменты на Ура.ру
Дело "Вятского наблюдателя"
Dead-Moros - клеветник
📁 Дело Терентьева (Коми) +
📁 Алкснис против ЖЖиста +
Приговор блогеру Кирилину
Компьютер блогера уничтожить
Условный срок за песню
Каганова лишили сайта
В Сети поймали русофоба
Из зоны .ru на зону
Тройка-сталь vs Мегасофта
Интернет как улика
Бизнес по Фрейду
Дрочеры напрокат
Рекламный фальш-трафик
Технология "порнонакрутки"
Порнотехнологии от BMW
Закрытая "статистика"
Весь Рунет делал "ЭТО"
Шантаж политиков
Министрам сделали и-нет
Власть качает фильмы и порно
В интернете разрешили порно
Порностудии "грабят" пиратов
Лужков о "пауках из интернета"
Москва отказывается от сайтов
Фашистский сайт антифашистов
Нацисты атакуют Интернет
Аморальная история
📁 Адагамов (drugoi) педофил +
Андреев и Badoo
Абдулнасыров и Lingualeo
Вербицкий и "дело о бороде"
📁 Белоусов vs Рябыко +
Блогер-уклонистка Блиновская
📁 Волож и Yandex.Ru +
📁 Ombudsment Воронцов +
Фейки Гамбашидзе и Тупикина
📁 Гельман Марат =>
📁 Греков Ярослав (Моська) +
📁 Дуров и "ВКонтакте" +
Енцов и "Литмир"
Еремеев, FIX и "Банк 131"
Жуйков и группа TrickBot
📁 Карачинский Анатолий =>
Клименко и торренты Torrnado
📁 Олег Куваев и Масяня +
📁 Лебедев Артемий +
Лифшиц и Cyber-safety.ru
Лихтенштейн и взлом Bitfinex
Напольский и Z-Library
📁 Мамут и Афиша-Рамблер-SUP +
"Матерь бложья" Митрошина
Муромский и хакер-группа REvil
Можаев Дмитрий и "2Sun"
Интернет-омбудсмен Мариничев
📁 Носик Антон +
📁 Павловский Глеб =>
Попков и "Однокласники"
📁 Рыков Константин (Форис) +
📁 Огородникова взяли за взятку +
📁 Сачков (Group-IB) на госизмене +
Себрант Андрей
📁 Солдатов и Reliable Comm. +
Трухин и Zaycev.net
Валерия Чекалина (Лерчек)
📁 Чиракадзе и Право.ру +
Шабутдинов и "Like Центр"
📁 Шилов и AT Consulting +
Экслер Алекс
📁 Криминальные услуги Auto.Ru +
Схема с фейковыми сайтами
Сайт о Балаковской АЭС
Продажный рейтинг "Банкир. Ру"
Cyberplat торгует детским порно
📁 Газета.Ру +
Подтасовки от Газеты и Ленты
📁 Блокировка Ингушетия.Ру +
"Комстару" закон не писан
📁 Лента.Ру +
📁 "Макхост" +
📁 "Саспенды" в Livejournal.com +
Утечка базы Mamba.ru.
📁 Mail.Ru (Port.Ru).Три жизни +
📁 "Новый фокус" конфисковали +
СДЭК и мошенники
Черный пиар "Озоновой дыры"
📁 "РБК" +
Русские зомби-машины RBN
📁 RLE.Ru.Взлом конкурента +
РТКОММ vs .masterhost
📁 Ru-Center - киберсквотер +
Заразный сайт "Собеседника"
SpyLog.Двойные стандарты
📁 Пираты из ФЛБ +
📁 Трест "Рунет" +
Партии идут www
Партийная паутина
Мультики про это
Проститутки на putin2000.ru
Провайдерские войны
"Дело Плещука". RBS
"Дело Серебряного". DirecTV
📁 "Дело Левина". Ситибанк +
Убийство Сухомлина (Чечня.Ру)
Опустить конкурента на форумах
Рейтинг исков о защите дел. репут.
Смерть главного спамера
Взломы хакерских форумов
📁 Аникеев и "Шалтай-Болтай" +
Группа "Али Баба и 4"
📁 Богачев и GameOver Zeus +
Бойко и QQAAZZ
Бурков и Cardplanet
Ваулин и KickassTorrents
📁 Винник и BTC +
Потрошитель корп.счетов Глотов
📁 Игорь Гусев и Glavmed +
Дубников и EggChange
Золотарев, Лопатин и Carder.su
📁 Врублевский и Chronopay +
Капканов и сеть "Avalanche"
📁 Кислицын и хакер Никулин +
Китуашвили и Смотра.ру
📁 Козловский, Еремин и Lurk +
📁 Спамер-педофил Л.Куваев +
📁 "Троян" Никиты Кузьмина +
Кульков и Try2Check
📁 Левашов (Severa) и Kelihos +
📁 Легкодымов и биржа Bitzlato +
Марченко, Сабитов и DDos-Guard
📁 Медведев и группа Infraud +
Спамер Николаенко и Mega-D
"Троян" SpyEye Панина
Петуховский и Suex
Банковские боты Покорских
📁 Похититель карт Селезнев +
Семенов, Шторм и Tornado Cash
📁 Смилянец и похитители карт +
Кардер Строганов (Flint24)
Билетное ОПС Сумбаева
Синенко (Сутер) и Ashoo
Андрей Тюрин и Гери Шалон
📁 Фомченков и эл.платежи +
Хорохорин и CarderPlanet
Хакер Хэлл - Максимов
Шведов и Legalizer
Максим Якубец и Evil Corp.
📁 Якубец и Ковальский +
"Хакеры ГРУ" и NotPetya
📁 Союз хакеров и трейдеров +
Прибалтийские криптосхемы
📁 Сайт адюльтера AshleyMadison +
eBay и травля блогеров
Clearview на службе полиции
Файлообменник EX.ua
📁 Торрент-трекер Interfilm.ru +
📁 "Отмывочная" Liberty Reserve +
📁 Банда вымогателей LockBit +
Криминальный Megaupload.com
Сайт RusLeaks.com
📁 Бэнкман-Фрид и FTX +
Грег Блатт и Tinder
Инсайдеры из Coinbase
Анонимусы взломали Stratfor
Хирург-вымогатель Гонсалес
Штрафы за "обратную связь"
Алекс Джонс и InfoWars.com
Любарские и Radaris
Дмитрий Шелест и Onerep.com
Озер и криптобиржа Thodex
Сутенер Энди Рубин
📁 Тим Кук и Apple +
📁 Продажная Wikipedia +
Фемида судит по "Википедии"
📁 Компромат-сайт Wikileaks.org +
📁 Sony хакнули за Ким Чен Ына +
📁 Майер и Yahoo +
Утечка из Yves Rocher
Liberation:задержан за коммент
ЕСПЧ наказал СМИ за комменты
📁 "Право быть забытым" +
Хостеры пиратам не подельники
📁 Интернет и "большой брат" +
Кто за кем следит
📁 Санчес, Прадос и Eliminalia +
Shodan: охота за устройствами
📁 Трэвис Каланик и Uber +
Тиджей Флетчер и iSpoof
📁 Цукерберг и Facebook +
Секс-шалости "звезд". Фото
📁 Чанпэн Чжао и Binance +
"Hackerazzi" дали 10 лет
Рынок взломанных аккаунтов
Рынок копий паспортов
Рынок "цифровых личностей"
Утечка данных избирателей США
Записная книжка Пэрис Хилтон
📁 Яндекс нашел блядей в СПС =>
📁 Дело Kavkaz.org живет =>
Сеть из 70 тыс. педофилов
📁 "Пират Робертс" и Silk Road +
"Покерная пирамида" Full Tilt
PokerStars подмазывал РКН
Эпплбаум и Tor Project
Торговля ботами в США
Реклама хакеров на госсайтах
Слив менструаций и оргазмов
Twitter подсматривает за членами
Интернет-табу для школьников
Порно-облава на 136 сайтов
Коноплю выкуривают из паблика
Наркорынок в русском даркнете
"Гидре" отрубили серверы
Рынок труда даркнета
Фальшивомонетчики в даркнете
Криптообманники
Yota стала цензором
Разгрузка инвесторов в Telegram
Блокировка записи о блокировке
Блокировка офшорных доменов
Блокировка приложений
📁 Блокировка анонимайзеров +
Блокировка за колбасу
Блокировка пустоты
Блокировка сайтов о топорах

Знаком '+' отмечены подразделы,
а '=>' - ссылки между разделами.


Compromat.Ru ® — зарегистрированный товарный знак. Св. №319929. 18+. info@compromat.ru