شرکت امنیت سایبری کسپرسکی هشدار می‌دهد / صدها دستگاه هدف ماینینگ پنهان توسط هکرها

به گزارش اقتصادآنلاین، سایت تحلیلی تریدینگ ویو در گزارشی به بررسی نحوه هک صدها دستگاه روسی با هدف استخراج  پنهان رمزارز پرداخته است. این سایت تحلیلی در گزارش خود آورده است: شرکت امنیت سایبری کسپرسکی اعلام کرده است که گروه هکری “Librarian Ghouls” صدها دستگاه روسی را به خطر انداخته و از آن‌ها برای استخراج رمزارز در یک مورد آشکار از کریپتوجکینگ استفاده کرده است.

به گفته کسپرسکی در گزارشی که روز دوشنبه منتشر شد، این گروه هکری، که با نام “Rare Werewolf” نیز شناخته می‌شود، از طریق ایمیل‌های فیشینگ آلوده به بدافزار که به صورت پیام‌هایی از سازمان‌های قانونی و به ظاهر اسناد رسمی یا دستورات پرداخت ظاهر می‌شوند، به سیستم‌ها دسترسی پیدا می‌کند.

نحوه نفوذ هکرها و استخراج رمزارز

پس از آلوده شدن یک رایانه به بدافزار، هکرها یک اتصال از راه دور برقرار کرده و سیستم‌های امنیتی مانند ویندوز دیفندر را غیرفعال می‌کنند.

دستگاه آلوده همچنین طوری برنامه‌ریزی شده است که در ساعت ۱ بامداد روشن و در ساعت ۵ صبح خاموش شود؛ هکرها از این بازه زمانی برای برقراری دسترسی از راه دور غیرمجاز و سرقت اطلاعات کاربری استفاده می‌کنند.

کسپرسکی می‌گوید: “ارزیابی ما این است که مهاجمان از این تکنیک برای پنهان کردن ردهای خود استفاده می‌کنند تا کاربر متوجه نشود که دستگاهش ربوده شده است.”

سپس آن‌ها اطلاعات کاربری را سرقت کرده و همچنین اطلاعاتی در مورد RAM، هسته‌های CPU و GPU موجود در دستگاه جمع‌آوری می‌کنند تا قبل از استقرار ماینر رمزارز، آن را بهینه پیکربندی کنند.

به گفته کسپرسکی، در حالی که ماینر در حال کار است، هکرها ارتباط خود را با استخر ماینینگ حفظ کرده و هر ۶۰ ثانیه یک درخواست ارسال می‌کنند.

این شرکت اعلام کرد: “ما مشاهده می‌کنیم که مهاجمان به طور مداوم تاکتیک‌های خود را اصلاح می‌کنند، که نه تنها شامل استخراج داده‌ها بلکه استقرار ابزارهای دسترسی از راه دور و استفاده از سایت‌های فیشینگ برای به خطر انداختن حساب‌های ایمیل نیز می‌شود.”

سابقه و مشخصات گروه هکری

کمپین کریپتوجکینگ از دسامبر آغاز شده و همچنان ادامه دارد و تاکنون صدها کاربر روسی، به ویژه شرکت‌های صنعتی و دانشکده‌های مهندسی را تحت تأثیر قرار داده است. همچنین قربانیان اضافی در بلاروس و قزاقستان نیز گزارش شده‌اند.

منشأ این گروه مشخص نشده است؛ با این حال، کسپرسکی گفت که ایمیل‌های فیشینگ “به زبان روسی نوشته شده‌اند و شامل آرشیوهایی با نام فایل‌های روسی، همراه با اسناد فریبنده روسی‌زبان هستند.”

کسپرسکی اظهار داشت: “این نشان می‌دهد که اهداف اصلی این کمپین احتمالاً در روسیه هستند یا به زبان روسی صحبت می‌کنند.”

کسپرسکی حدس می‌زند که “Librarian Ghouls” ممکن است هکتیویست باشند، کسانی که از هک به عنوان نوعی نافرمانی مدنی برای پیشبرد یک دستور کار سیاسی استفاده می‌کنند، به دلیل استفاده از تکنیک‌هایی که معمولاً با گروه‌های مشابه مرتبط هستند، مانند تکیه بر نرم‌افزارهای قانونی و شخص ثالث.

کسپرسکی گفت: “یکی از ویژگی‌های متمایز این تهدید این است که مهاجمان استفاده از نرم‌افزارهای قانونی شخص ثالث را به توسعه باینری‌های مخرب خود ترجیح می‌دهند.”

مشخص نیست که این گروه چه مدت فعال بوده است، اما یک شرکت امنیت سایبری روسی دیگر، BI.ZONE، در گزارشی در تاریخ ۲۳ نوامبر اعلام کرد که “Rare Werewolf” حداقل از سال ۲۰۱۹ فعال بوده است.

منبع خبر