DKnife AitM -kehys

Kyberturvallisuustutkijat ovat paljastaneet hienostuneen yhdyskäytävien valvontaan ja välikäteen pyrkivään (AitM) kehyksen, joka tunnetaan nimellä DKnife. Se on liitetty Kiinaan keskittyviin uhkatoimijoihin ja on ollut aktiivinen ainakin vuodesta 2019 lähtien. Kehys on suunniteltu toimimaan verkon reunalla, ja se mahdollistaa salaisen liikenteen tarkastuksen, manipuloinnin ja haittaohjelmien toimittamisen vaarantuneiden reitittimien ja reunalaitteiden kautta.

Kiinankielisten käyttäjien strateginen kohdentaminen

DKnife näyttää kohdistavan toimintansa ensisijaisesti kiinankielisille käyttäjille. Tätä arviota tukevat useat indikaattorit, mukaan lukien kiinalaisille sähköpostipalveluntarjoajille räätälöidyt tietojenkalastelusivut, laajalti käytettyihin kiinalaisiin mobiilisovelluksiin, kuten WeChatiin, keskittyvät tiedonkeruumoduulit ja lähdekoodiin kiinteästi koodatut viittaukset kiinalaisiin mediaverkkotunnuksiin. Tutkijat kuitenkin varoittavat, että tämä johtopäätös perustuu yhdeltä komento- ja hallintapalvelimelta (C2) noudettuihin määritystiedostoihin, mikä jättää avoimeksi mahdollisuuden rinnakkaisille infrastruktuureille, jotka on räätälöity muille alueille.

Yhteydet laajempaan Kiinan kanssa liittoutuneeseen uhkatoimintaan

Viitekehys paljastui tutkittaessa laajempaa kiinalaista uhkaryppää, jota seurattiin nimellä Earth Minotaur. Uhkaryhmää on yhdistetty MOONSHINE-hyökkäyspakettiin ja DarkNimbus-takaporttiin (tunnetaan myös nimellä DarkNights). Huomionarvoista on, että DarkNimbus-hyökkäystä on käyttänyt myös toinen Kiinan kanssa liittoutunut jatkuva uhkaryhmä nimeltä TheWizards.

Infrastruktuurianalyysi paljasti päällekkäisyyksiä DKnifen ja WizardNetin välillä. WizardNet on TheWizardsin käyttämä Windows-implantti, joka toimitetaan Spellbinder-nimisen AitM-kehyksen kautta. Tämä dokumentointi julkistettiin huhtikuussa 2025. Nämä yhteydet ovat merkittäviä, kun otetaan huomioon TheWizardsin tiedetty kohdistama hyökkäys yksilöihin ja uhkapeleihin liittyviin yhteisöihin Kambodžassa, Hongkongissa, Manner-Kiinassa, Filippiineillä ja Yhdistyneissä arabiemiirikunnissa.

Linux-keskeinen, modulaarinen arkkitehtuuri

Toisin kuin WizardNet, DKnife on suunniteltu erityisesti Linux-pohjaisiin ympäristöihin, joten se sopii hyvin käyttöön reitittimissä ja reunakoneissa. Kehys toimitetaan ELF-latausohjelman kautta ja siinä on modulaarinen rakenne, jonka avulla operaattorit voivat valikoivasti ottaa käyttöön ominaisuuksia pakettien edelleenlähetyksestä täydelliseen liikenteen sieppaukseen ja manipulointiin.

DKnife-kehyskomponentit

• dknife.bin – Ydinmoduuli, joka vastaa syvällisestä pakettien tarkastuksesta, käyttäjätoiminnan seurannasta, DNS-kaappauksesta ja binäärilatausten kaappauksesta
• postapi.bin – Raportointivälitys, joka vastaanottaa DKnifelta kerättyä dataa ja välittää sen C2-etäpalvelimille.
• sslmm.bin – Muokattu HAProxy-käänteinen välityspalvelin, jota käytetään TLS-suojauksen päättämiseen, sähköpostin salauksen purkamiseen ja URL-osoitteiden uudelleenohjaukseen.

• mmdown.bin – Päivitysohjelma, joka muodostaa yhteyden kovakoodattuun C2-palvelimeen hakeakseen haitallisia Android APK:ita

• yitiji.bin – Pakettien välitysohjelma, joka luo reitittimeen silloitetun TAP-rajapinnan hyökkääjän injektoimalle lähiverkkoliikenteelle

• remote.bin – Vertaisverkon VPN-asiakasohjelma, joka muodostaa viestintäkanavia etä-C2-infrastruktuurin kanssa

• dkupdate.bin – Päivitys- ja valvontamoduuli, joka varmistaa kaikkien komponenttien pysyvyyden ja saatavuuden

Valtakirjojen kerääminen sisäisen salauksen purkamisen avulla

DKnife sisältää erillisen toiminnallisuuden tunnistetietojen varastamiseen, erityisesti kohdistaen sen merkittävään kiinalaiseen sähköpostipalveluntarjoajaan. sslmm.bin-moduuli tarjoaa hyökkääjän hallitsemia TLS-varmenteita asiakkaille, lopettaa ja purkaa POP3- ja IMAP-yhteyksien salauksen sekä tutkii tuloksena olevaa selkotekstistä liikennettä käyttäjätunnusten ja salasanojen selvittämiseksi. Kerätyt tunnistetiedot merkitään asianmukaisesti, välitetään postapi.bin-tiedostolle ja välitetään etä-C2-palvelimille keräämistä ja analysointia varten.

Syvä pakettitarkastus hyökkäyksen mahdollistajana

Kehyksen ytimessä on dknife.bin, joka mahdollistaa laajan syvällisen pakettien tarkastuksen ja reaaliaikaisen liikenneanalyysin. Tämän ominaisuuden ansiosta operaattorit voivat siirtyä saumattomasti passiivisen valvonnan ja aktiivisten in-line-hyökkäysten välillä, mukaan lukien laillisten ohjelmistolatausten korvaaminen haitallisilla hyötykuormilla.

Keskeiset operatiiviset ominaisuudet

• Päivitettyjen C2-kokoonpanojen jakelu DarkNimbus-haittaohjelman Android- ja Windows-versioihin
• DNS-pohjainen kaappaus sekä IPv4:n että IPv6:n kautta JD.com-verkkotunnuksiin liittyvän liikenteen uudelleenohjaamiseksi
• Kiinan uutis-, suoratoisto-, kuvankäsittely-, verkkokauppa-, kyytipalvelu-, peli- ja aikuisviihdealustojen Android-sovelluspäivitysten sieppaus ja korvaus
• Windowsin ja muiden binäärilatausten kaappaaminen ShadowPad-takaoven toimittamiseksi DLL-sivulatauksen kautta, minkä jälkeen DarkNimbus latautuu
• Virustorjunta- ja järjestelmänhallintaohjelmistojen, mukaan lukien 360:n ja Tencentin tuotteiden, tietoliikenteen häiriöt
• Käyttäjien käyttäytymisen reaaliaikainen seuranta, luokiteltuna aktiviteettien, kuten viestien, ääni- ja videopuheluiden, ostosten tekemisen, uutisten kulutuksen, karttahakujen, suoratoiston, pelaamisen, deittailun, kimppakyytien ja sähköpostin käytön, mukaan

Vaikutukset verkon reunasuojaukseen

Reitittimet ja reunalaitteet edustavat edelleen arvokkaita kohteita edistyneissä, kohdennetuissa tunkeutumiskampanjoissa. Uhkatoimijoiden keskittyessä yhä enemmän tähän infrastruktuurikerrokseen, näkyvyys heidän käyttämiinsä työkaluihin ja tekniikoihin on olennaista. DKnife-kehyksen paljastuminen korostaa nykyaikaisten AitM-uhkien kypsyyttä, jotka yhdistävät syvällisen pakettien tarkastuksen, liikenteen manipuloinnin ja räätälöityjen haittaohjelmien toimituksen vaarantaakseen laajan valikoiman laitetyyppejä laajassa mittakaavassa.