DKnife AitM ফ্রেমওয়ার্ক

সাইবার নিরাপত্তা গবেষকরা DKnife নামে পরিচিত একটি অত্যাধুনিক গেটওয়ে-মনিটরিং এবং অ্যান্টারপ্রাইজ-ইন-দ্য-মিডল (AitM) কাঠামো প্রকাশ করেছেন, যা চীন-নেক্সাস হুমকির জন্য দায়ী এবং কমপক্ষে ২০১৯ সাল থেকে সক্রিয়। এই কাঠামোটি নেটওয়ার্ক প্রান্তে কাজ করার জন্য উদ্দেশ্যমূলকভাবে তৈরি করা হয়েছে, যা গোপন ট্র্যাফিক পরিদর্শন, ম্যানিপুলেশন এবং আপোস করা রাউটার এবং এজ ডিভাইসের মাধ্যমে ম্যালওয়্যার সরবরাহ সক্ষম করে।

চীনা ভাষাভাষী ব্যবহারকারীদের কৌশলগত লক্ষ্যবস্তুতে পরিণত করা

DKnife মূলত চীনা ভাষাভাষী ব্যবহারকারীদের লক্ষ্য করে। এই মূল্যায়ন একাধিক সূচক দ্বারা সমর্থিত, যার মধ্যে রয়েছে চীনা ইমেল সরবরাহকারীদের জন্য তৈরি ফিশিং পৃষ্ঠা, WeChat-এর মতো বহুল ব্যবহৃত চীনা মোবাইল অ্যাপ্লিকেশনের উপর দৃষ্টি নিবদ্ধ করা ডেটা এক্সফিল্ট্রেশন মডিউল এবং সোর্স কোডের মধ্যে চীনা মিডিয়া ডোমেনের হার্ড-কোডেড রেফারেন্স। তবে গবেষকরা সতর্ক করে দিচ্ছেন যে এই উপসংহারটি একটি একক কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে প্রাপ্ত কনফিগারেশন ফাইলের উপর ভিত্তি করে তৈরি, যা অন্যান্য অঞ্চলের জন্য তৈরি সমান্তরাল অবকাঠামোর সম্ভাবনা উন্মুক্ত করে দেয়।

বৃহত্তর চীন-সংযুক্ত হুমকি কার্যকলাপের সাথে সম্পর্ক

আর্থ মিনোটর নামে ট্র্যাক করা একটি বৃহত্তর চীনা হুমকি গোষ্ঠীর তদন্তের সময় এই কাঠামোটি উন্মোচিত হয়েছিল, যা MOONSHINE এক্সপ্লয়েট কিট এবং ডার্কনিম্বাস (ডার্কনাইটস নামেও পরিচিত) ব্যাকডোরের সাথে যুক্ত ছিল। উল্লেখযোগ্যভাবে, ডার্কনিম্বাসকে দ্য উইজার্ডস নামে পরিচিত আরেকটি চীন-সংযুক্ত উন্নত স্থায়ী হুমকি গোষ্ঠী দ্বারাও মোতায়েন করা হয়েছে।

অবকাঠামো বিশ্লেষণে DKnife এবং WizardNet-এর মধ্যে ওভারল্যাপ প্রকাশ পেয়েছে, যা TheWizards দ্বারা ব্যবহৃত একটি উইন্ডোজ ইমপ্লান্ট এবং Spellbinder নামক AitM ফ্রেমওয়ার্কের মাধ্যমে সরবরাহ করা হয়েছিল, যা ২০২৫ সালের এপ্রিলে প্রকাশ্যে নথিভুক্ত করা হয়েছিল। কম্বোডিয়া, হংকং, মূল ভূখণ্ড চীন, ফিলিপাইন এবং সংযুক্ত আরব আমিরাত জুড়ে ব্যক্তি এবং জুয়া-সম্পর্কিত সত্তাকে TheWizards দ্বারা লক্ষ্যবস্তু করার কারণে এই সংযোগগুলি তাৎপর্যপূর্ণ।

একটি লিনাক্স-কেন্দ্রিক, মডুলার স্থাপত্য

উইজার্ডনেটের বিপরীতে, ডিকেনাইফ বিশেষভাবে লিনাক্স-ভিত্তিক পরিবেশের জন্য তৈরি করা হয়েছে, যা এটি রাউটার এবং এজ ডিভাইসগুলিতে স্থাপনের জন্য উপযুক্ত করে তোলে। ফ্রেমওয়ার্কটি একটি ELF ডাউনলোডারের মাধ্যমে সরবরাহ করা হয় এবং একটি মডুলার ডিজাইন ব্যবহার করে যা অপারেটরদের প্যাকেট ফরোয়ার্ডিং থেকে শুরু করে সম্পূর্ণ ট্র্যাফিক ইন্টারসেপশন এবং ম্যানিপুলেশন পর্যন্ত ক্ষমতাগুলি নির্বাচনীভাবে সক্ষম করতে দেয়।

ডিনাইফ ফ্রেমওয়ার্ক উপাদান

• dknife.bin – গভীর প্যাকেট পরিদর্শন, ব্যবহারকারীর কার্যকলাপ পর্যবেক্ষণ, DNS হাইজ্যাকিং এবং বাইনারি ডাউনলোড হাইজ্যাকিং এর জন্য দায়ী মূল মডিউল।
• postapi.bin – একটি রিপোর্টিং রিলে যা DKnife থেকে সংগ্রহ করা ডেটা গ্রহণ করে এবং দূরবর্তী C2 সার্ভারে ফরোয়ার্ড করে।
• sslmm.bin – একটি পরিবর্তিত HAProxy রিভার্স প্রক্সি যা TLS টার্মিনেশন, ইমেল ডিক্রিপশন এবং URL রিডাইরেকশনের জন্য ব্যবহৃত হয়।

• mmdown.bin – একটি আপডেটার যা একটি হার্ড-কোডেড C2 সার্ভারের সাথে সংযোগ করে ক্ষতিকারক অ্যান্ড্রয়েড APK পুনরুদ্ধার করে।

• yitiji.bin – একটি প্যাকেট ফরোয়ার্ডার যা আক্রমণকারী-ইনজেক্টেড LAN ট্র্যাফিকের জন্য রাউটারে একটি ব্রিজড TAP ইন্টারফেস তৈরি করে।

• remote.bin – একটি পিয়ার-টু-পিয়ার VPN ক্লায়েন্ট যা দূরবর্তী C2 অবকাঠামোর সাথে যোগাযোগের চ্যানেল স্থাপন করে

• dkupdate.bin – একটি আপডেটার এবং ওয়াচডগ মডিউল যা সমস্ত উপাদানের স্থায়িত্ব এবং প্রাপ্যতা নিশ্চিত করে।

ইনলাইন ডিক্রিপশনের মাধ্যমে শংসাপত্র সংগ্রহ

DKnife-এ শংসাপত্র চুরির জন্য নিবেদিত কার্যকারিতা অন্তর্ভুক্ত রয়েছে, বিশেষ করে একটি প্রধান চীনা ইমেল প্রদানকারীকে লক্ষ্য করে। sslmm.bin মডিউল ক্লায়েন্টদের কাছে আক্রমণকারী-নিয়ন্ত্রিত TLS সার্টিফিকেট উপস্থাপন করে, POP3 এবং IMAP সংযোগগুলি বন্ধ করে এবং ডিক্রিপ্ট করে, এবং ব্যবহারকারীর নাম এবং পাসওয়ার্ড বের করার জন্য ফলস্বরূপ প্লেইনটেক্সট ট্র্যাফিক পরিদর্শন করে। সংগ্রহ করা শংসাপত্রগুলি সেই অনুযায়ী লেবেল করা হয়, postapi.bin-এ প্রেরণ করা হয় এবং সংগ্রহ এবং বিশ্লেষণের জন্য দূরবর্তী C2 সার্ভারে রিলে করা হয়।

আক্রমণ সক্ষমকারী হিসেবে গভীর প্যাকেট পরিদর্শন

এই কাঠামোর কেন্দ্রবিন্দুতে রয়েছে dknife.bin, যা ব্যাপক গভীর প্যাকেট পরিদর্শন এবং রিয়েল-টাইম ট্র্যাফিক বিশ্লেষণ সক্ষম করে। এই ক্ষমতা অপারেটরদের প্যাসিভ মনিটরিং এবং সক্রিয় ইন-লাইন আক্রমণের মধ্যে নির্বিঘ্নে স্থানান্তর করতে দেয়, যার মধ্যে বৈধ সফ্টওয়্যার ডাউনলোডগুলিকে ক্ষতিকারক পেলোড দিয়ে প্রতিস্থাপন করা অন্তর্ভুক্ত।

মূল কর্মক্ষমতা

• ডার্কনিম্বাস ম্যালওয়্যারের অ্যান্ড্রয়েড এবং উইন্ডোজ ভেরিয়েন্টগুলিতে আপডেট করা C2 কনফিগারেশন বিতরণ
• JD.com-সম্পর্কিত ডোমেনের সাথে সম্পর্কিত ট্র্যাফিক পুনঃনির্দেশিত করার জন্য IPv4 এবং IPv6 উভয়ের মাধ্যমে DNS-ভিত্তিক হাইজ্যাকিং
• চীনা সংবাদ, স্ট্রিমিং মিডিয়া, ইমেজ এডিটিং, ই-কমার্স, রাইড-হেলিং, গেমিং এবং প্রাপ্তবয়স্কদের ভিডিও প্ল্যাটফর্মের জন্য অ্যান্ড্রয়েড অ্যাপ্লিকেশন আপডেটের বাধা এবং প্রতিস্থাপন।
• DLL সাইড-লোডিংয়ের মাধ্যমে ShadowPad ব্যাকডোর সরবরাহ করার জন্য উইন্ডোজ এবং অন্যান্য বাইনারি ডাউনলোড হাইজ্যাক করা, পরবর্তীতে DarkNimbus লোড করা
• ৩৬০ এবং টেনসেন্টের পণ্য সহ অ্যান্টিভাইরাস এবং সিস্টেম-ম্যানেজমেন্ট সফ্টওয়্যার থেকে যোগাযোগের ব্যাঘাত
• ব্যবহারকারীর আচরণের রিয়েল-টাইম পর্যবেক্ষণ, মেসেজিং, ভয়েস এবং ভিডিও কল, কেনাকাটা, সংবাদ ব্যবহার, মানচিত্র অনুসন্ধান, স্ট্রিমিং, গেমিং, ডেটিং, রাইড-শেয়ারিং এবং ইমেল ব্যবহারের মতো কার্যকলাপগুলিতে শ্রেণীবদ্ধ করা হয়েছে।

নেটওয়ার্ক এজ সিকিউরিটির জন্য প্রভাব

রাউটার এবং এজ ডিভাইসগুলি উন্নত, লক্ষ্যবস্তু অনুপ্রবেশ অভিযানে উচ্চ-মূল্যের লক্ষ্যবস্তুগুলির প্রতিনিধিত্ব করে চলেছে। হুমকির কারণগুলি ক্রমবর্ধমানভাবে এই স্তরের অবকাঠামোর উপর মনোযোগ কেন্দ্রীভূত করার সাথে সাথে, তারা যে সরঞ্জাম এবং কৌশলগুলি ব্যবহার করে সেগুলির দৃশ্যমানতা অপরিহার্য হয়ে ওঠে। DKnife কাঠামোর প্রকাশ আধুনিক AitM হুমকির পরিপক্কতার উপর জোর দেয়, যা গভীর প্যাকেট পরিদর্শন, ট্র্যাফিক ম্যানিপুলেশন এবং তৈরি ম্যালওয়্যার ডেলিভারি একত্রিত করে বিভিন্ন ধরণের ডিভাইসের সাথে আপস করে।