كشف باحثو الأمن السيبراني عن إطار هجومي متقدم يحمل اسم DKnife يعمل منذ 2019 ويستهدف أجهزة الراوتر والبنية الطرفية للشبكات بهدف تنفيذ عمليات تجسس واعتراض للاتصالات ونشر البرمجيات الخبيثة على نطاق واسع ويُنسب تشغيله إلى جهات تهديد مرتبطة بالصين ضمن نشاطات تجسس طويلة المدى تستهدف مستخدمين وبنى تحتية متعددة
يعتمد الإطار على سبع وحدات برمجية تعمل على أنظمة لينكس ويتم نشرها داخل أجهزة الراوتر والأجهزة الطرفية عبر ملف ELF تنفيذي يقوم بتنزيل باقي المكونات وربطها بخوادم القيادة والتحكم حيث يعمل المكون الرئيسي dknife.bin كمركز تحكم أساسي مسؤول عن تحليل الحزم الشبكية Deep Packet Inspection ومراقبة نشاط المستخدمين وإعادة توجيه التحميلات والاتصالات وتنفيذ عمليات DNS hijacking لاعتراض التصفح واستبدال المحتوى
يتضمن النظام وحدة sslmm.bin وهي نسخة معدلة من HAProxy تعمل كبروكسي عكسي لفك تشفير الاتصالات المشفرة TLS عبر تقديم شهادات مزيفة للمستخدمين ثم إنهاء التشفير وتحليل البيانات داخل القناة قبل إعادة توجيهها ما يسمح باستخراج بيانات تسجيل الدخول للبريد الإلكتروني عبر بروتوكولات POP3 وIMAP ووسم كلمات المرور ثم إرسالها إلى وحدة postapi.bin التي تقوم بنقل البيانات إلى خوادم القيادة والتحكم
كما يضم الإطار وحدة mmdown.bin المخصصة لتنزيل حزم APK خبيثة وتحديثات مزيفة للتطبيقات بينما تقوم وحدة yitiji.bin بإنشاء واجهة شبكة افتراضية TAP داخل الراوتر لتمرير حركة مرور محقونة من المهاجمين إلى الشبكة المحلية دون كشفها أما وحدة remote.bin فتنشئ قناة اتصال VPN بنمط P2P بين الأجهزة المصابة وخوادم التحكم لضمان استمرار الاتصال حتى في حال تغيير عناوين IP أو حجب الخوادم
الإطار قادر على اعتراض تحديثات تطبيقات أندرويد والبرامج في ويندوز عبر تحليل طلبات التحديث واستبدالها بحزم خبيثة يتم تحميلها تلقائيا كما يمكنه استبدال ملفات التحميل الثنائية ببرمجيات تحتوي على ShadowPad أو DarkNimbus باستخدام تقنية DLL side loading إضافة إلى التلاعب بعمليات التحديث الخاصة ببرامج الحماية وأنظمة الإدارة لتعطيلها أو إعادة توجيهها
يستخدم النظام تحليل سجل التحديثات البرمجية Git commit history لاكتشاف نقاط ضعف مشابهة لمشاكل سابقة داخل البرامج ثم استغلالها كما يعتمد على قواعد مهيأة مسبقا لاعتراض التحميلات من مواقع محددة وإعادة توجيه المستخدمين إلى خوادم مزيفة مع القدرة على تنفيذ هجمات DNS على IPv4 وIPv6 لإعادة توجيه نطاقات معينة إلى بنية المهاجمين
التحليل كشف أيضا ارتباطا بنيويا بين DKnife وأدوات أخرى مثل WizardNet وSpellbinder ضمن منظومة هجوم أوسع تستهدف قطاعات متعددة في آسيا والشرق الأوسط بما في ذلك شركات وأفراد وقطاعات القمار الإلكتروني والبنية التحتية الرقمية ما يشير إلى حملة مراقبة وهجمات طويلة المدى تستخدم الراوتر كنقطة سيطرة مركزية على حركة البيانات
يرى الباحثون أن أخطر ما في DKnife هو قدرته على العمل داخل أجهزة الشبكة نفسها وليس على الأجهزة النهائية فقط ما يمنح المهاجمين قدرة شاملة على مراقبة وتعديل كل حركة مرور الشبكة في الزمن الحقيقي وتنفيذ هجمات inline دون الحاجة لاختراق كل جهاز على حدة وهو اتجاه متصاعد في الهجمات السيبرانية الحديثة التي تستهدف طبقة البنية التحتية بدلا من المستخدم النهائي مباشرة .
