Profi támadás Linuxon keresztül
A DKnife hét önálló linuxos modulból áll: ezek között találni forgalomfigyelőt, kommunikációs csatornát a vezérlőszerverekkel, fordított proxyt, virtuális Ethernet-interfészt, APK-letöltőt Androidhoz és naplózót. Elsősorban kínai szolgáltatásokat, alkalmazásokat, mobilos platformokat és a WeChatet használókat veszi célba, ezt a program részeiben található egyszerűsített kínai nyelvű kommentek és szolgáltatáslisták is igazolják.
A támadás menete és képességei
A DKnife akkor aktiválódik, amikor már megszerezték az eszköz feletti irányítást. Egy yitiji.bin nevű komponenst futtatva virtuális hálózati eszközt hoz létre a routeren, így akár valós időben be tud avatkozni a hálózati csomagok útjába, a 10.3.3.3-as IP-címen keresztül. Az APK-letöltő például képes ártalmas alkalmazást juttatni bármely mobilra, de ugyanígy képes Windows binárisokat is manipulálni. Egy észlelt támadás során kínai aláírással rendelkező ShadowPad hátsóajtót telepítettek Windows gépekre, majd DarkNimbus trójait vetettek be. Androidon a kártékony szoftvert a DKnife közvetlenül juttatja el.
Tudáslistája rémisztő
A DKnife moduljai alkalmasak DNS-hamisításra, belépési adatok kinyerésére (e-mail protokollokat megfejtve), Android appfrissítések és Windows-telepítők manipulálására, adathalász oldalak elhelyezésére, vírusvédelmi megoldások megzavarására és a felhasználói aktivitás valós idejű figyelésére. Ez a WeChatben – és más népszerű appokban – a szöveg- és hanghívások, képek, cikkek, térképek, hírek, taxirendelések és vásárlások követését is jelenti.
Valós idejű kémkedés minden felhasználón
A DKnife által naplózott események először belső komponensei között áramlanak, majd HTTP POST üzenetekkel, rejtett módon küldi el azokat a támadók szerverére. Mivel a routeren üzemel és minden áthaladó forgalmat lát, a felhasználói tevékenységekről azonnal, valós időben jelenteni tud.
Még mindig aktív veszélyforrás
A DKnife vezérlőszerverei most, 2026 januárjában is elérhetők, tehát a veszély továbbra is valós. A Cisco kutatói mindent megosztottak, amit azonosítani tudtak erről a támadóeszközről – de a védekezés kulcsa most is az, hogy az internetre kapcsolt routereken naprakész legyen a védelem.
