كشف خبراء الأمن السيبراني مؤخراً عن إطار عمل تجسسي وهجومي متطور يُعرف باسم “DKnife”، والذي يشكل تهديداً كبيراً لأمن الشبكات. يُنسب هذا الإطار إلى جهات فاعلة مرتبطة بالصين (China-nexus)، ويستهدف بشكل خاص أجهزة التوجيه (routers) والأجهزة الطرفية التي تعمل بنظام لينكس.
من خلال اختراق هذه البوابات الحيوية للشبكة، يمكن للمهاجمين تأسيس وجود ثابت داخل البنية التحتية للهدف، مما يسمح لهم بمراقبة تدفق البيانات والتلاعب بحركة مرور الشبكة بدقة عالية. يعمل هذا البرنامج الضار كإطار عمل كامل الجاهزية لاعتراض الاتصالات (Adversary-in-the-Middle)، وهو مصمم لفحص حزم الشبكة في الوقت الفعلي.
DKnife: تهديد متطور يستهدف أجهزة لينكس
كانت أداة DKnife نشطة منذ عام 2019 على الأقل، لكنها ظلت بعيدة عن الأنظار إلى حد كبير حتى وقت قريب. يتألف هذا الإطار من عدة مكونات تعمل معاً لخطف طلبات المستخدمين الشرعية، مثل تحديثات البرامج، واستبدالها بمحتوى خبيث. وهذا يمنح المهاجمين القدرة على تثبيت أبواب خلفية على الأجهزة المتصلة بالشبكة المخترقة دون علم المستخدم.
اكتشف محللو Cisco Talos برنامج DKnife الضار أثناء التحقيق في توزيع برنامج DarkNimbus الخبيث. وكشفت تحليلاتهم أن DKnife ليس مجرد أداة مراقبة سلبية، بل هو منصة هجوم نشطة. يمكنه اعتراض حركة المرور الموجهة لخدمات معينة، خاصة تلك التي تحظى بشعبية بين المستخدمين الناطقين بالصينية، وحقن حمولات خبيثة.
يسلط هذا الاكتشاف الضوء على تكتيكات الجهات الفاعلة المهددة المتطورة، التي تتجه بشكل متزايد لنقل عملياتها إلى الأجهزة الطرفية لتجنب إجراءات الأمان التقليدية على نقاط النهاية. إن تأثير إصابة شبكة بأداة DKnife بعيد المدى، فبمجرد اختراق جهاز التوجيه، يصبح كل جهاز متصل به هدفاً محتملاً.
آليات عمل DKnife
يمكن للبرنامج الضار تعطيل حركة مرور منتجات مكافحة الفيروسات بشكل انتقائي، مما يمنعها من التحديث أو التواصل مع خوادمها. علاوة على ذلك، يمكنه جمع بيانات المستخدم الحساسة، بما في ذلك بيانات الاعتماد ومعرفات الأجهزة، مما يحول فعلياً بوابة الشبكة إلى أداة تجسس شاملة.
في جوهر قدرات DKnife الهجومية، تكمن قدرته على اختطاف تنزيلات الملفات التنفيذية بسلاسة. يستخدم الإطار محرك فحص عميق للحزم (DPI) معقد يقوم بمراقبة حركة مرور الشبكة باستمرار لأنواع معينة من الطلبات، مثل تحديثات تطبيقات أندرويد أو تنزيلات الملفات التنفيذية لنظام ويندوز. عندما يتم اكتشاف طلب مطابق، يتدخل البرنامج الضار قبل وصول الطلب إلى الخادم الشرعي.
تتضمن هذه العملية الكاملة عدة خطوات مميزة. تقوم البوابة المخترقة باعتراض طلب بيان التحديث الأولي والتحقق منه مقابل ملف تكوين محلي. إذا تم العثور على تطابق، يرسل DKnife رداً مزيفاً إلى جهاز الضحية. يعيد هذا الرد توجيه التنزيل إلى عنوان URL خبيث مستضاف على شبكة داخلية افتراضية تم إنشاؤها بواسطة البرنامج الضار نفسه.
تتم إدارة هذه الشبكة الداخلية بواسطة مكون يسمى yitiji.bin، والذي ينشئ واجهة جسر لتوجيه حركة مرور المهاجم. من خلال إبقاء التسليم الخبيث ضمن شبكة محلية افتراضية، يتجنب المهاجمون تعارض عناوين IP ويقللون من خطر اكتشافهم بواسطة أدوات مراقبة الشبكة الخارجية. هذا الآلية الخفية تضمن أن الضحية يعتقد أنه يقوم بتنزيل تحديث شرعي، بينما في الواقع، يقوم بتثبيت أبواب خلفية مثل ShadowPad أو DarkNimbus، مما يمنح المهاجمين فعلياً السيطرة الكاملة على جهاز نقطة النهاية.