Китайский шпионский фреймворк DKnife атакует роутеры с 2019 года

Морда 9 февраля

Специалисты по кибербезопасности из Cisco Talos раскрыли детали шпионской кампании, направленной на компрометацию маршрутизаторов и периферийных сетевых устройств. В центре расследования оказался инструментарий под названием DKnife, который используется хакерами как минимум с 2019 года и остается активным по состоянию на 2026 год.

Вредоносное ПО внедряется в оборудование, обеспечивающее доступ в интернет, что позволяет хакерам контролировать весь трафик, проходящий через зараженный узел. Основной вектор атаки — метод «человек посередине». DKnife перехватывает легитимные запросы на обновление приложений и мгновенно подменяет их на вредоносные файлы.

Хотя заражение происходит на уровне роутера, конечными целями злоумышленников являются устройства на базе Windows и Android, подключенные к сети.

Исследователи выявили сложную архитектуру фреймворка, состоящую из семи модулей:

dknife.bin — основной движок для анализа проходящего трафика
postapi.bin — модуль для отправки украденных данных на серверы злоумышленников
sslmm.bin — обратный прокси для расшифровки защищенных соединений и кражи учетных данных
yitiji.bin — создает скрытую сеть внутри роутера для маскировки вредоносного трафика
remote.bin — обеспечивает удаленный доступ через VPN
mmdown.bin — модуль для обновления вредоносных файлов на Android
dkupdate.bin — модуль поддержания работоспособности всей системы

DKnife обладает широкими возможностями для шпионажа. ПО способно отслеживать активность в мессенджерах WeChat и Signal, перехватывая сообщения и данные видеозвонков. Для обеспечения скрытности вредонос умеет распознавать трафик защитных решений (например, 360 Total Security или Tencent PC Manager) и блокировать их соединение с серверами обновлений, оставляя пользователя без защиты.

Эксперты Cisco Talos с высокой долей уверенности связывают атаку с хакерскими группировками из КНР. На это указывают комментарии в коде на упрощенном китайском языке, а также использование цифровых сертификатов китайских компаний. Кроме того, обнаружены связи DKnife с известными бэкдорами ShadowPad, DarkNimbus и WizardNet.

Изначально кампания была нацелена на китайскоязычных пользователей, однако география атак расширилась: следы активности были зафиксированы в Филиппинах, Камбодже и ОАЭ.