كشفت شركة كاسبرسكي للأمن السيبراني أن مجموعة الهاكرز المعروفة باسم Librarian Ghouls والتي تُعرف أيضًا باسم Rare Werewolf قد اخترقت مئات الأجهزة في روسيا واستخدمتها لتعدين العملات المشفرة، في ما يُعتقد أنه حالة من الاستغلال الخفي لموارد الأجهزة (Cryptojacking).

وأوضحت كاسبرسكي في تقرير صدر يوم الإثنين أن المجموعة تستهدف الأنظمة عبر رسائل تصيّد إلكتروني تحتوي على برمجيات خبيثة، وتتنكر على هيئة رسائل من مؤسسات شرعية، مثل أوامر دفع أو وثائق رسمية.

المهاجمون يسرقون طاقة المعالجة لتعدين العملات المشفرة. المصدر: Cointelegraph

فحص مواصفات الجهاز قبل التفعيل

بعد إصابة الحاسوب بالبرمجيات الخبيثة، ينشئ المهاجمون اتصالًا عن بُعد ويقومون بتعطيل أنظمة الحماية مثل Windows Defender.

كما تتم برمجة الجهاز المصاب ليبدأ العمل تلقائيًا في الساعة الواحدة صباحًا ويغلق في الساعة الخامسة فجرًا، حيث يستغل القراصنة هذه الفترة لتوسيع وصولهم غير المصرّح به وسرقة بيانات الدخول.

وقالت كاسبرسكي:
"نُقدّر أن المهاجمين يستخدمون هذا التوقيت لتجنب كشف نشاطهم، بحيث لا يلاحظ المستخدم أن جهازه قد تم اختراقه."

بعدها، يسرق المهاجمون بيانات الدخول، كما يجمعون معلومات حول مكوّنات الجهاز، مثل سعة الذاكرة (RAM) وعدد أنوية المعالج (CPU cores) ومعالجات الرسوميات (GPU)، بهدف تهيئة برمجية التعدين بشكل أمثل قبل تشغيلها.

وأثناء تشغيل أداة التعدين، يحافظ القراصنة على اتصال مستمر بمجمّع التعدين، حيث يرسلون طلبًا كل 60 ثانية، بحسب التقرير.

وأضافت كاسبرسكي:
"نلاحظ أن المهاجمين يطوّرون أساليبهم باستمرار، بدءًا من سرقة البيانات، مرورًا باستخدام أدوات التحكم عن بُعد، ووصولًا إلى مواقع تصيّد مخصصة لاختراق حسابات البريد الإلكتروني."

حملة Cryptojacking مستمرة منذ 2024

بدأت هذه الحملة الإلكترونية في ديسمبر 2024 ولا تزال مستمرة، وقد أثّرت حتى الآن على مئات المستخدمين في روسيا، خاصة في المؤسسات الصناعية والمدارس الهندسية. كما تم تسجيل حالات إضافية في بيلاروس وكازاخستان.

ولم يُحدد أصل المجموعة بعد، لكن كاسبرسكي أشار إلى أن رسائل التصيّد "كُتبت باللغة الروسية، وتضم أرشيفات بأسماء ملفات روسية، بالإضافة إلى مستندات مزيفة مكتوبة بالروسية."

وقالت الشركة:
"تشير هذه الأدلة إلى أن الأهداف الرئيسية للحملة تقع على الأرجح في روسيا أو تتحدث اللغة الروسية."

المجموعة قد تكون من قراصنة الناشطين "Hacktivists"

تُرجّح كاسبرسكي أن تكون مجموعة Librarian Ghouls جزءًا من حركة القراصنة الناشطين سياسيًا (Hacktivists)، الذين يستخدمون الاختراق كوسيلة للعصيان المدني ونشر أجندات سياسية، وذلك نظرًا لاستخدامهم أساليب مألوفة لدى هذه الفئة، مثل الاعتماد على برمجيات مشروعة من أطراف ثالثة بدلًا من تطوير برمجيات خبيثة خاصة بهم.

وقالت الشركة:
"اللافت في هذه التهديدات هو أن المهاجمين يفضّلون استخدام برمجيات مشروعة من جهات خارجية على تطوير برامج ضارة خاصة."

ولا يزال من غير الواضح متى بدأت المجموعة نشاطها، لكن شركة الأمن السيبراني الروسية BI.ZONE ذكرت في تقرير بتاريخ 23 نوفمبر أن مجموعة Rare Werewolf تنشط منذ عام 2019 على الأقل.