به گزارش اقتصادآنلاین، سایت تحلیلی تریدینگ ویو در گزارشی به بررسی نحوه هک صدها دستگاه روسی با هدف استخراج پنهان رمزارز پرداخته است. این سایت تحلیلی در گزارش خود آورده است: شرکت امنیت سایبری کسپرسکی اعلام کرده است که گروه هکری “Librarian Ghouls” صدها دستگاه روسی را به خطر انداخته و از آنها برای استخراج رمزارز در یک مورد آشکار از کریپتوجکینگ استفاده کرده است.
به گفته کسپرسکی در گزارشی که روز دوشنبه منتشر شد، این گروه هکری، که با نام “Rare Werewolf” نیز شناخته میشود، از طریق ایمیلهای فیشینگ آلوده به بدافزار که به صورت پیامهایی از سازمانهای قانونی و به ظاهر اسناد رسمی یا دستورات پرداخت ظاهر میشوند، به سیستمها دسترسی پیدا میکند.
نحوه نفوذ هکرها و استخراج رمزارز
پس از آلوده شدن یک رایانه به بدافزار، هکرها یک اتصال از راه دور برقرار کرده و سیستمهای امنیتی مانند ویندوز دیفندر را غیرفعال میکنند.
دستگاه آلوده همچنین طوری برنامهریزی شده است که در ساعت ۱ بامداد روشن و در ساعت ۵ صبح خاموش شود؛ هکرها از این بازه زمانی برای برقراری دسترسی از راه دور غیرمجاز و سرقت اطلاعات کاربری استفاده میکنند.
کسپرسکی میگوید: “ارزیابی ما این است که مهاجمان از این تکنیک برای پنهان کردن ردهای خود استفاده میکنند تا کاربر متوجه نشود که دستگاهش ربوده شده است.”
سپس آنها اطلاعات کاربری را سرقت کرده و همچنین اطلاعاتی در مورد RAM، هستههای CPU و GPU موجود در دستگاه جمعآوری میکنند تا قبل از استقرار ماینر رمزارز، آن را بهینه پیکربندی کنند.
به گفته کسپرسکی، در حالی که ماینر در حال کار است، هکرها ارتباط خود را با استخر ماینینگ حفظ کرده و هر ۶۰ ثانیه یک درخواست ارسال میکنند.
این شرکت اعلام کرد: “ما مشاهده میکنیم که مهاجمان به طور مداوم تاکتیکهای خود را اصلاح میکنند، که نه تنها شامل استخراج دادهها بلکه استقرار ابزارهای دسترسی از راه دور و استفاده از سایتهای فیشینگ برای به خطر انداختن حسابهای ایمیل نیز میشود.”
سابقه و مشخصات گروه هکری
کمپین کریپتوجکینگ از دسامبر آغاز شده و همچنان ادامه دارد و تاکنون صدها کاربر روسی، به ویژه شرکتهای صنعتی و دانشکدههای مهندسی را تحت تأثیر قرار داده است. همچنین قربانیان اضافی در بلاروس و قزاقستان نیز گزارش شدهاند.
منشأ این گروه مشخص نشده است؛ با این حال، کسپرسکی گفت که ایمیلهای فیشینگ “به زبان روسی نوشته شدهاند و شامل آرشیوهایی با نام فایلهای روسی، همراه با اسناد فریبنده روسیزبان هستند.”
کسپرسکی اظهار داشت: “این نشان میدهد که اهداف اصلی این کمپین احتمالاً در روسیه هستند یا به زبان روسی صحبت میکنند.”
کسپرسکی حدس میزند که “Librarian Ghouls” ممکن است هکتیویست باشند، کسانی که از هک به عنوان نوعی نافرمانی مدنی برای پیشبرد یک دستور کار سیاسی استفاده میکنند، به دلیل استفاده از تکنیکهایی که معمولاً با گروههای مشابه مرتبط هستند، مانند تکیه بر نرمافزارهای قانونی و شخص ثالث.
کسپرسکی گفت: “یکی از ویژگیهای متمایز این تهدید این است که مهاجمان استفاده از نرمافزارهای قانونی شخص ثالث را به توسعه باینریهای مخرب خود ترجیح میدهند.”
مشخص نیست که این گروه چه مدت فعال بوده است، اما یک شرکت امنیت سایبری روسی دیگر، BI.ZONE، در گزارشی در تاریخ ۲۳ نوامبر اعلام کرد که “Rare Werewolf” حداقل از سال ۲۰۱۹ فعال بوده است.
