پژوهشگران امنیت سایبری از کشف یک فریمورک مخرب پیشرفته به نام DKnife خبر دادهاند که از سال ۲۰۱۹ تاکنون در کارزارهای جاسوسی سایبری فعال بوده است. این ابزار با تمرکز بر دستگاههای لبه شبکه (Edge Devices) مانند روترها، امکان ربایش و دستکاری ترافیک شبکه را فراهم میکند.
DKnife پس از نفوذ به تجهیزات شبکه، بهعنوان یک چارچوب «پس از نفوذ» عمل کرده و حملات Adversary in-the-Middle – AitM را اجرا میکند. در این سناریو، مهاجم میتواند ترافیک عبوری میان کاربران و مقصد نهایی را رهگیری، بازنویسی یا آلوده کند؛ بدون آنکه کاربر نهایی متوجه شود.
قابلیتهای فنی و ساختار ماژولار
بر اساس گزارش منتشرشده توسط پژوهشگران شرکت سیسکو، DKnife یک فریمورک Linux مبتنی بر ELF است که از هفت ماژول مجزا تشکیل شده و قابلیتهایی نظیر موارد زیر را ارائه میدهد:
– بازرسی عمیق بستهها (DPI)
– دستکاری و هدایت ترافیک شبکه
– ربایش DNS و بهروزرسانیهای نرمافزاری
– تحویل بدافزار به سیستمهای Windows و Android
– سرقت اعتبارنامههای ایمیل (POP3/IMAP)
– پایش لحظهای فعالیت کاربران
این ابزار با ایجاد یک رابط شبکه مجازی (TAP) روی روتر، ترافیک کاربران را پیش از رسیدن به مقصد اصلی رهگیری کرده و امکان تزریق فایلهای مخرب، از جمله APKهای آلوده Android و باینریهای Windows را فراهم میکند.
ارتباط با بازیگران تهدید وابسته به چین
تحلیل کد و زیرساخت DKnife نشان میدهد که این ابزار دارای نشانههای زبانی چینی سادهشده است. پژوهشگران با اطمینان بالا اعلام کردهاند که این فعالیتها به یک بازیگر تهدید با منشأ چین مرتبط است.
همچنین مشاهده شده که DKnife برای تحویل بکدورهای شناختهشدهای مانند ShadowPad و DarkNimbus مورد استفاده قرار گرفته؛ بدافزارهایی که پیشتر نیز در عملیات جاسوسی دولتی شناسایی شدهاند.
تهدیدی جدی برای حریم خصوصی کاربران
یکی از جنبههای نگرانکننده DKnife، توانایی آن در پایش دقیق رفتار کاربران است. این ابزار میتواند اطلاعاتی نظیر تماسها، پیامها، تصاویر، موقعیتیابی، خریدهای آنلاین و حتی الگوی مصرف اخبار کاربران را بهصورت بلادرنگ جمعآوری و به سرورهای فرماندهی و کنترل (C2) ارسال کند.
وضعیت فعلی تهدید
طبق آخرین ارزیابیها، تا ژانویه ۲۰۲۶ زیرساختهای فرماندهی و کنترل DKnife همچنان فعال بودهاند. شاخصهای نفوذ (IoC) مرتبط با این ابزار منتشر شده و به سازمانها توصیه میشود امنیت تجهیزات شبکه، بهویژه روترها و گیتویها، را با دقت بیشتری بررسی کنند.
جمعبندی
DKnife نمونهای روشن از تغییر تمرکز حملات سایبری از سیستمهای کاربری به زیرساخت شبکه است؛ جایی که مهاجم با یک نفوذ، میتواند کل ترافیک کاربران را تحت کنترل بگیرد. این موضوع بار دیگر اهمیت بهروزرسانی تجهیزات شبکه و پایش امنیت لایههای زیرین ارتباطات را برجسته میکند.
اطلاعات بیشتر
مشروح گزارش سیسکو از طریق لینک زیر قابلمطالعه است: