Исследовательское подразделение Cisco Talos сообщило об обнаружении многофункционального Linux-фреймворка DKnife, который как минимум с 2019 года используется для скрытного перехвата и модификации сетевого трафика на уровне маршрутизаторов и шлюзов. Компрометированное сетевое оборудование превращается в точку проведения атак «человек посередине» (MitM), доставки вредоносного ПО и сбора конфиденциальных данных пользователей.
Что такое DKnife и чем он опасен для сетей
DKnife представляет собой постэксплуатационный фреймворк для Linux, нацеленный не на конечные рабочие станции, а именно на сетевую инфраструктуру: роутеры, пограничные шлюзы и другие узлы, через которые проходит пользовательский трафик. После установки на устройство злоумышленники получают возможность прозрачно перехватывать, анализировать и изменять сетевые пакеты без заметных сбоев в работе сети.
Ключевая особенность DKnife — использование атак MitM: трафик между пользователем и легитимным ресурсом незаметно проходит через контролируемый злоумышленниками узел. Это позволяет подменять загружаемые файлы (например, APK для Android), внедрять бэкдоры в Windows-системы, кражу учетных данных и отслеживание активности в популярных сервисах, включая WeChat.
Архитектура DKnife и ключевые компоненты Linux-фреймворка
Модульная структура и сетевые манипуляции
По данным Cisco Talos, DKnife состоит минимум из семи взаимосвязанных бинарных компонентов под Linux, каждый из которых отвечает за отдельный этап атаки. Центральный модуль dknife.bin реализует глубокую инспекцию пакетов (DPI), анализирует проходящий трафик, применяет логику атак и отправляет собранные данные на управляющие серверы.
Связь с инфраструктурой управления обеспечивается вспомогательным модулем postapi.bin, выступающим ретранслятором между dknife.bin и C2-серверами. Для скрытого проксирования HTTPS-трафика применяется модуль sslmm.bin — специально адаптированный реверс-прокси на базе HAProxy, который помогает подменять содержимое сессий без заметного нарушения работы сервисов.
Отдельное значение имеет модуль yitiji.bin, который создает на роутере виртуальный сетевой интерфейс TAP с приватным адресом 10.3.3.3. Через этот интерфейс фреймворк перехватывает и переписывает пакеты «на лету», фактически внедряясь в локальный сегмент сети и маршрутизируя трафик через инфраструктуру атакующих.
Для удаленного доступа и устойчивости применяются дополнительные компоненты: remote.bin реализует P2P VPN-клиент на базе технологии n2n, mmdown.bin отвечает за загрузку и обновление вредоносных Android APK-файлов, а dkupdate.bin управляет установкой, развертыванием и обновлением самого фреймворка DKnife на скомпрометированных узлах.
Связь DKnife с китайскими APT-группами и фреймворком Spellbinder
Анализ Cisco Talos указывает на китайское происхождение оператора DKnife. В коде обнаружены строки на упрощенном китайском языке — как в названиях отдельных компонентов, так и в комментариях. Кроме того, набор целевых сервисов включает китайские почтовые провайдеры, мобильные приложения, медиадомены и пользователей экосистемы WeChat, что указывает на фокус именно на китайскоязычную аудиторию.
Фреймворк активно используется для установки известных бэкдоров ShadowPad и DarkNimbus (DarkNights), которые ранее уже связывались исследователями с китайскими киберпреступными и APT-группировками. Зафиксированы случаи, когда через DKnife на Windows-системы загружался ShadowPad, подписанный сертификатом китайской компании, после чего разворачивался DarkNimbus. На Android-устройства вредоносное ПО доставлялось напрямую путем подмены APK в перехватываемом трафике.
На той же инфраструктуре управления, что и DKnife, выявлен бэкдор WizardNet, ранее описанный компанией ESET и связанный с MitM-фреймворком Spellbinder. Дополнительно установлено, что DarkNimbus разрабатывается китайской фирмой UPSEC, которую различные исследования ассоциируют с APT-группой TheWizards, операторами Spellbinder. Сходство тактик, техник и процедур (TTPs) между DKnife и Spellbinder усиливает гипотезу о принадлежности этих инструментов к одному или близким кластерам угроз.
Цели атак: от сетевого оборудования до трафика WeChat
Помимо доставки малвари, DKnife обладает широкими возможностями мониторинга и кражи данных. Особое внимание уделяется экосистеме WeChat: фреймворк способен отслеживать голосовые и видеозвонки, текстовые сообщения, передаваемые изображения и даже статьи, которые пользователь читает внутри платформы.
События активности сначала агрегируются и маршрутизируются между внутренними компонентами DKnife, после чего упаковываются и отправляются на командные серверы через HTTP POST-запросы. Такой подход маскирует утечку данных под обычный веб-трафик и затрудняет обнаружение средствами мониторинга.
Риски для организаций и практические рекомендации по защите
Фреймворк DKnife демонстрирует устойчивый тренд: смещение атак с конечных устройств на сетевую инфраструктуру. Компрометация маршрутизатора или шлюза позволяет атакующим незаметно контролировать множество хостов внутри сети, обходя традиционные средства защиты, ориентированные на рабочие станции и серверы.
Для снижения рисков рекомендуется уделить внимание безопасности сетевого оборудования: своевременно обновлять прошивки роутеров и межсетевых экранов, отключать неиспользуемые сервисы удаленного администрирования, применять многофакторную аутентификацию для управления устройствами и ограничивать доступ к ним из внешних сетей. Важно использовать системы мониторинга и обнаружения вторжений, ориентированные на аномальное сетевое поведение, включая нестандартные туннели, подозрительные TAP-интерфейсы и нехарактерный трафик к внешним C2-хостам.
Учитывая связь DKnife с продвинутыми APT-группами и его способность незаметно контролировать трафик популярных платформ вроде WeChat, организациям и частным пользователям целесообразно усилить внимание к защите домашних и корпоративных роутеров, а также регулярно пересматривать стратегии кибербезопасности с учетом растущей роли атак на сетевой периметр.
