Ваш роутер за вами шпионит. И он делает это (как минимум) последние пять лет

Специалисты Cisco Talos обнаружили скрытую платформу для атак, которая годами незаметно работала внутри сетевого оборудования и подменяла интернет-трафик пользователей. Речь идет о наборе вредоносных компонентов под названием «DKnife», который внедряется в маршрутизаторы и пограничные сетевые устройства, следит за данными и подсовывает жертвам зараженные обновления программ.

Авторы отчета выяснили, что DKnife представляет собой полноценный комплекс слежения и перехвата трафика. Он состоит из семи модулей для Linux и умеет анализировать сетевые пакеты, менять содержимое ответов серверов, перенаправлять загрузки файлов и распространять вредоносные программы. По служебным данным внутри файлов видно, что инструмент используется как минимум с 2019 года, а управляющие серверы продолжают работать и сейчас.

Платформа атакует самые разные устройства, от обычных компьютеров и смартфонов до устройств интернета вещей. Основной прием заключается в перехвате загрузок и обновлений программ. Вместо легального файла жертве незаметно отправляют зараженный. Таким способом распространялись известные вредоносные закладки ShadowPad и DarkNimbus. Подмена применялась в том числе к обновлениям приложений для Android.

Анализ показал, что основная направленность атак связана с китайскоязычными пользователями. Модули кражи учетных данных нацелены на китайские почтовые службы и популярные мобильные приложения. В коде и настройках найдено множество комментариев на упрощенном китайском языке, а также упоминания местных интернет-сервисов и СМИ. По совокупности признаков исследователи с высокой уверенностью связывают инструмент с хакерскими группами китайского происхождения.

Во время изучения инфраструктуры управления специалисты нашли пересечения с другой вредоносной кампанией, где использовалась закладка WizardNet. Ранее ее распространяли через иной комплекс перехвата трафика. Сходные методы работы, одинаковые пути перенаправления ссылок и настройки серверов указывают на общее происхождение или совместную разработку инструментов.

DKnife устанавливается на сетевые устройства под управлением Linux и адаптирован под прошивки маршрутизаторов. Он умеет подменять ответы системы доменных имен, перехватывать обновления приложений и программ, вмешиваться в работу защитных решений и обрывать соединения антивирусов с их серверами. Отдельные компоненты разворачивают внутри сети специальный виртуальный интерфейс, через который жертве выдают вредоносные файлы как будто из локального источника. Это помогает обходить проверки и снижает вероятность обнаружения.

Кроме подмены загрузок платформа ведет подробный сбор сведений об активности пользователей. Она отслеживает использование мессенджеров, запуск приложений, просмотры новостей, покупки, поездки на такси, работу с картами и другие действия. Полученные данные отправляются на удаленные управляющие серверы. Также предусмотрены механизмы фишинга и перехвата паролей от почтовых сервисов.

Отдельно отмечается, что маршрутизаторы и пограничные сетевые устройства все чаще становятся целью сложных целевых атак. Подобные инструменты дают злоумышленникам контроль над всем проходящим трафиком и позволяют заражать устройства без участия пользователя. Специалисты рекомендуют уделять особое внимание обновлению прошивок, контролю настроек сети и мониторингу подозрительной активности на сетевом уровне.