ابزار جاسوسی DKnife؛ ربایش ترافیک روتر برای حملات پیشرفته سایبری

پژوهشگران امنیت سایبری از کشف یک فریم‌ورک مخرب پیشرفته به نام DKnife خبر داده‌اند که از سال ۲۰۱۹ تاکنون در کارزارهای جاسوسی سایبری فعال بوده است. این ابزار با تمرکز بر دستگاه‌های لبه شبکه (Edge Devices) مانند روترها، امکان ربایش و دست‌کاری ترافیک شبکه را فراهم می‌کند.

DKnife پس از نفوذ به تجهیزات شبکه، به‌عنوان یک چارچوب «پس از نفوذ» عمل کرده و حملات Adversary in-the-Middle – AitM را اجرا می‌کند. در این سناریو، مهاجم می‌تواند ترافیک عبوری میان کاربران و مقصد نهایی را رهگیری، بازنویسی یا آلوده کند؛ بدون آن‌که کاربر نهایی متوجه شود.

قابلیت‌های فنی و ساختار ماژولار

بر اساس گزارش منتشرشده توسط پژوهشگران شرکت سیسکو، DKnife یک فریم‌ورک Linux مبتنی بر ELF است که از هفت ماژول مجزا تشکیل شده و قابلیت‌هایی نظیر موارد زیر را ارائه می‌دهد:

    – بازرسی عمیق بسته‌ها (DPI)

    – دست‌کاری و هدایت ترافیک شبکه

    – ربایش DNS و به‌روزرسانی‌های نرم‌افزاری

    – تحویل بدافزار به سیستم‌های Windows و Android

    – سرقت اعتبارنامه‌های ایمیل (POP3/IMAP)

    – پایش لحظه‌ای فعالیت کاربران

این ابزار با ایجاد یک رابط شبکه مجازی (TAP) روی روتر، ترافیک کاربران را پیش از رسیدن به مقصد اصلی رهگیری کرده و امکان تزریق فایل‌های مخرب، از جمله APKهای آلوده Android و باینری‌های Windows را فراهم می‌کند.

ارتباط با بازیگران تهدید وابسته به چین

تحلیل کد و زیرساخت DKnife نشان می‌دهد که این ابزار دارای نشانه‌های زبانی چینی ساده‌شده است. پژوهشگران با اطمینان بالا اعلام کرده‌اند که این فعالیت‌ها به یک بازیگر تهدید با منشأ چین مرتبط است.

همچنین مشاهده شده که DKnife برای تحویل بک‌دورهای شناخته‌شده‌ای مانند ShadowPad و DarkNimbus مورد استفاده قرار گرفته؛ بدافزارهایی که پیش‌تر نیز در عملیات جاسوسی دولتی شناسایی شده‌اند.

تهدیدی جدی برای حریم خصوصی کاربران

یکی از جنبه‌های نگران‌کننده DKnife، توانایی آن در پایش دقیق رفتار کاربران است. این ابزار می‌تواند اطلاعاتی نظیر تماس‌ها، پیام‌ها، تصاویر، موقعیت‌یابی، خریدهای آنلاین و حتی الگوی مصرف اخبار کاربران را به‌صورت بلادرنگ جمع‌آوری و به سرورهای فرماندهی و کنترل (C2) ارسال کند.

وضعیت فعلی تهدید

طبق آخرین ارزیابی‌ها، تا ژانویه ۲۰۲۶ زیرساخت‌های فرماندهی و کنترل DKnife همچنان فعال بوده‌اند. شاخص‌های نفوذ (IoC) مرتبط با این ابزار منتشر شده و به سازمان‌ها توصیه می‌شود امنیت تجهیزات شبکه، به‌ویژه روترها و گیت‌وی‌ها، را با دقت بیشتری بررسی کنند.

جمع‌بندی

DKnife نمونه‌ای روشن از تغییر تمرکز حملات سایبری از سیستم‌های کاربری به زیرساخت شبکه است؛ جایی که مهاجم با یک نفوذ، می‌تواند کل ترافیک کاربران را تحت کنترل بگیرد. این موضوع بار دیگر اهمیت به‌روزرسانی تجهیزات شبکه و پایش امنیت لایه‌های زیرین ارتباطات را برجسته می‌کند.

اطلاعات بیشتر

مشروح گزارش سیسکو از طریق لینک زیر قابل‌مطالعه است:

https://blog.talosintelligence.com/knife-cutting-the-edge

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *