Поделиться
Шпионский набор DKnife под Linux - используется для слежки с 2019 года, но обнаружен только сейчас
Эксперты Cisco выявили новый фреймворк под Linux - DKnife, многофункциональный шпионский инструмент, связанный с развёртыванием ранее выявленных вредоносных программ.
На кромке ножа
Эксперты Cisco Talos выявили набор вредоносных инструментов под Linux под названием DKnife. По мнению исследователей, он использовался минимум с 2019 года.
Вредоносная программа содержит элементы упрощенного китайского языка в названиях компонентов и комментариях к коду. При этом она нацеливается практически исключительно на китайские сервисы, такие как почтовые сервисы, мобильные приложения, медиа-домены и пользователи WeChat.
С технической точки зрения, DKnife — это ELF-фреймворк, предназначенный для глубокого анализа пакетов (DPI), манипулирования трафиком на конечных точках сети (компьютерах, мобильных устройствах, устройствах IoT и др.), а также сбора учетных данных и доставки вредоносного ПО.
Первоначальный вектор атаки к настоящему времени не определён. Однако исследователи обнаружили, что DKnife используется, в том числе, для распространения более ранних бэкдоров ShadowPad и DarkNimbus. Оба использовались в кибершпионских кампаниях в интересах властей КНР, причём если ShadowPad применялся в отношении организаций и критической инфраструктуры в других странах (в том числе, европейских и ближневосточных), о DarkNimbus известно, что он применялся для слежки за жителями Тибета и уйгурами.
Семь ножей в спину
DKnife состоит из семи модулей, каждый из которых отвечает за определенные действия.
dknife.bin отвечает за анализ пакетов и логику атак, а также информирует о статусе атаки, действиях пользователей и отправляет собранные данные на командный сервер.
postapi.bin - компонент передачи данных между DKnife.bin и контрольными серверами серверами.
sslmm.bin - специализированный обратный прокси-сервер на базе кода HAProxy.
yitiji.bin создает виртуальный Ethernet-интерфейс (TAP) на маршрутизаторе и подключает его к локальной сети для перенаправления трафика в нужном атакующим направлении.
remote.bin - клиент VPN для одноранговых сетей, использующий программное обеспечение n2n VPN.
mmdown.bin - загрузчик вредоносных программ для APK-файлов Android; также выполняет функции, связанные с их обновлением.
dkupdate.bin - основной компонент DKnife для загрузки, развертывания и обновления.
«Ключевые возможности [DKnife] включают в себя передачу обновлений от командных серверов к бэкдорам, перехват DNS и обновлений к приложениям под Android и загрузок двоичных файлов, доставку бэкдоров ShadowPad и DarkNimbus, выборочное прерывание трафика продуктов безопасности и передачу данных об активности пользователей на удаленные серверы C2», - говорится в отчете исследователей.
После установки DKnife запускает компонент yitiji.bin для создания эмуляции TAP-интерфейса (виртуального сетевого устройства) на маршрутизаторе с приватным IP-адресом 10.3.3.3. Это позволяет злоумышленнику перехватывать и перезаписывать сетевые пакеты во время их передачи к целевому хосту.
Тем самым DKnife можно использовать для распространения вредоносных APK-файлов на мобильные устройства или системы Windows в сети.
Исследователи Cisco наблюдали, как DKnife установил бэкдор ShadowPad для Windows, подписанный сертификатом сторонней китайской компании.
За этим последовало развертывание бэкдора DarkNimbus. На устройства под ОС Android этот бэкдор доставляется DKnife напрямую.
Ко всему этому DKnife осуществляет перехват DNS, сбор учётных данных посредством расшифровки POP3/IMAP, а также отслеживает использование мессенджжеров (WeChat и Signal), перехватывает геоданные, отслеживает чтение новостей пользователем, его телефонные звонки, вызов такси и покупки.
Наибольшего внимания удостаивается активность в WeChat: система DKnife перехватывает и мониторит голосовые и видеозвонки, текстовые сообщения, отправленные и полученные изображения, а также прочитанные на платформе статьи.
Поскольку DKnife устанавливается на шлюзовые устройства и сообщает о событиях по мере прохождения пакетов, это позволяет отслеживать активность пользователей и собирать данные в режиме реального времени.
События активности пользователя сначала передаются внутри компонентов DKnife, а затем экспортируются посредством HTTP POST-запросов к конкретным API конечных точек в управляющей инфраструктуре.
«Судя по всему, это средство узконаправленной, но при этом тотальной слежки за отдельными пользователями, - считает Никита Павлов, эксперт по информационной безопасности компании SEQ. - Однако применение технологий искусственного интеллекта могут превратить его в нечто тотальное и по своему охвату. И это рисует весьма антиутопическую картину - уже даже не будущего, а настоящего».
По состоянию на январь 2026 вся инфраструктура DKnife оставалась активной.
Поделиться
Короткая ссылка
