Аналітики підрозділу Cisco Talos повідомили про виявлення багатокомпонентного Linux-фреймворка DKnife, який щонайменше з 2019 року застосовується для прихованого перехоплення та модифікації мережевого трафіку на рівні маршрутизаторів і шлюзів. Компрометовані пристрої перетворюються на платформу для атак типу «людина посередині» (MitM), розповсюдження шкідливого ПЗ та збору чутливих даних користувачів.
Що таке DKnife і чому він небезпечний для маршрутизаторів та шлюзів
На відміну від класичних троянів, орієнтованих на робочі станції, DKnife — це постексплуатаційний Linux-фреймворк, націлений на мережеву інфраструктуру: інтернет-маршрутизатори, прикордонні шлюзи, інші вузли, через які проходить масовий користувацький трафік. Після закріплення на пристрої зловмисники здобувають можливість непомітно аналізувати та змінювати пакети без помітного впливу на стабільність мережі.
Ключова загроза DKnife — реалізація MitM-атак на рівні інфраструктури. Трафік між користувачем і легітимним сервісом прозоро проксуюється через вузол, контрольований атакувальниками. Це дає змогу підмінювати завантажувані файли (наприклад, Android APK), впроваджувати бекдори у Windows-системи, викрадати облікові дані та відстежувати активність у популярних сервісах, включно з екосистемою WeChat.
Архітектура DKnife: модулі, які керують трафіком
Глибока інспекція пакетів і керування атаками
За даними Cisco Talos, DKnife складається щонайменше з семи взаємопов’язаних Linux-бінарників, кожен з яких відповідає за окрему частину ланцюга атаки. Центральний компонент dknife.bin виконує глибоку інспекцію пакетів (Deep Packet Inspection, DPI), аналізує трафік у реальному часі, застосовує правила атак та передає зібрані дані на сервери керування (C2).
Компонент postapi.bin відповідає за обмін даними між dknife.bin і інфраструктурою C2, діючи як транспортний шар. Для прихованого перехоплення та модифікації HTTPS-сесій застосовується sslmm.bin — адаптований реверс-проксі на базі HAProxy, який дозволяє підмінювати контент зашифрованих з’єднань, мінімізуючи ризик відмови сервісів.
Віртуальні інтерфейси, тунелі та оновлення фреймворка
Особливу роль відіграє модуль yitiji.bin, який створює на маршрутизаторі віртуальний мережевий інтерфейс TAP із приватною IP-адресою 10.3.3.3. Через цей інтерфейс DKnife перехоплює та переписує пакети «на льоту», фактично вбудовуючись у локальний сегмент мережі та перенаправляючи трафік крізь інфраструктуру зловмисників.
Для стійкого віддаленого доступу використовується remote.bin — P2P VPN-клієнт на базі технології n2n, що дозволяє встановлювати шифровані тунелі між скомпрометованими вузлами. Модуль mmdown.bin відповідає за завантаження та оновлення шкідливих Android APK-файлів, а dkupdate.bin керує інсталяцією, розгортанням і оновленням самого фреймворка DKnife на вражених пристроях.
Китайські APT-кластери, ShadowPad, DarkNimbus та Spellbinder
У коді DKnife Cisco Talos ідентифікували численні рядки на спрощеній китайській мові, як у назвах компонентів, так і в коментарях. Додатково цільовий перелік сервісів включає китайські поштові платформи, медіадомени, мобільні застосунки та користувачів WeChat, що вказує на фокус на китайськомовний сегмент.
Фреймворк використовують для розгортання відомих бекдорів ShadowPad та DarkNimbus (DarkNights), раніше пов’язаних з китайськими APT- та кримінальними угрупованнями. Зафіксовані сценарії, коли через DKnife на Windows-системи доставлявся ShadowPad, підписаний сертифікатом китайської компанії, після чого інсталювався DarkNimbus. На Android-пристроях шкідливі APK підмінювалися безпосередньо в перехопленому трафіку.
На тій самій інфраструктурі C2, що й DKnife, виявлено бекдор WizardNet, описаний ESET та пов’язаний із MitM-фреймворком Spellbinder. DarkNimbus, своєю чергою, приписують китайській компанії UPSEC, асоційованій у дослідженнях з APT-групою TheWizards, операторами Spellbinder. Схожість тактик, технік і процедур (TTPs) між DKnife та Spellbinder підсилює гіпотезу про спільний або споріднений кластер загроз.
Перехоплення трафіку WeChat та ризики для організацій
Окрім доставки малварі, DKnife має розвинені функції моніторингу та ексфільтрації даних. Значна частина функціоналу спрямована на екосистему WeChat: фреймворк здатний відстежувати голосові й відеодзвінки, текстові повідомлення, передані зображення та навіть матеріали, які користувач читає всередині платформи.
Зібрані події спочатку агрегуються внутрішніми модулями DKnife, після чого пакуються та надсилаються на C2-сервери через HTTP POST-запити. Такий підхід маскує витік інформації під звичайний веб-трафік, ускладнюючи виявлення традиційними системами моніторингу.
Як захистити мережеву інфраструктуру від DKnife та подібних фреймворків
Випадок із DKnife відображає стійкий тренд у кіберзагрозах: зміщення фокусу атак із кінцевих пристроїв на мережеву інфраструктуру. Компрометація маршрутизатора чи шлюзу дозволяє атакувальникам непомітно контролювати масивний обсяг внутрішнього трафіку та обходити класичні засоби захисту, орієнтовані на хости.
Для зниження ризиків організаціям та домашнім користувачам доцільно посилити захист мережевого обладнання: регулярно оновлювати прошивки, відключати невикористовувані сервіси віддаленого адміністрування, запроваджувати багатофакторну автентифікацію для доступу до панелей керування та жорстко обмежувати керівний доступ з Інтернету.
Критично важливим є впровадження систем моніторингу та виявлення вторгнень, здатних фіксувати аномальну мережеву поведінку: нестандартні тунельні протоколи, підозрілі TAP-інтерфейси, нетиповий вихідний трафік до невідомих C2-хостів. Регулярний аудит конфігурацій маршрутизаторів, сегментація мережі та оновлення стратегії кібербезпеки з урахуванням атак на мережевий периметр стають ключовими кроками для зменшення впливу загроз на кшталт DKnife.
