Ваш роутер за вами шпионит. И он делает это (как минимум) последние пять лет
NewsMakerСпециалисты обнаружили платформу DKnife, предназначенную для перехвата трафика на уровне сетевого оборудования.
Специалисты Cisco Talos обнаружили скрытую платформу для атак, которая годами незаметно работала внутри сетевого оборудования и подменяла интернет-трафик пользователей. Речь идет о наборе вредоносных компонентов под названием «DKnife», который внедряется в маршрутизаторы и пограничные сетевые устройства, следит за данными и подсовывает жертвам зараженные обновления программ.
Авторы отчета выяснили, что DKnife представляет собой полноценный комплекс слежения и перехвата трафика. Он состоит из семи модулей для Linux и умеет анализировать сетевые пакеты, менять содержимое ответов серверов, перенаправлять загрузки файлов и распространять вредоносные программы. По служебным данным внутри файлов видно, что инструмент используется как минимум с 2019 года, а управляющие серверы продолжают работать и сейчас.
Платформа атакует самые разные устройства, от обычных компьютеров и смартфонов до устройств интернета вещей. Основной прием заключается в перехвате загрузок и обновлений программ. Вместо легального файла жертве незаметно отправляют зараженный. Таким способом распространялись известные вредоносные закладки ShadowPad и DarkNimbus. Подмена применялась в том числе к обновлениям приложений для Android.
Анализ показал, что основная направленность атак связана с китайскоязычными пользователями. Модули кражи учетных данных нацелены на китайские почтовые службы и популярные мобильные приложения. В коде и настройках найдено множество комментариев на упрощенном китайском языке, а также упоминания местных интернет-сервисов и СМИ. По совокупности признаков исследователи с высокой уверенностью связывают инструмент с хакерскими группами китайского происхождения.
Специалисты Cisco Talos обнаружили скрытую платформу для атак, которая годами незаметно работала внутри сетевого оборудования и подменяла интернет-трафик пользователей. Речь идет о наборе вредоносных компонентов под названием «DKnife», который внедряется в маршрутизаторы и пограничные сетевые устройства, следит за данными и подсовывает жертвам зараженные обновления программ.
Авторы отчета выяснили, что DKnife представляет собой полноценный комплекс слежения и перехвата трафика. Он состоит из семи модулей для Linux и умеет анализировать сетевые пакеты, менять содержимое ответов серверов, перенаправлять загрузки файлов и распространять вредоносные программы. По служебным данным внутри файлов видно, что инструмент используется как минимум с 2019 года, а управляющие серверы продолжают работать и сейчас.
Платформа атакует самые разные устройства, от обычных компьютеров и смартфонов до устройств интернета вещей. Основной прием заключается в перехвате загрузок и обновлений программ. Вместо легального файла жертве незаметно отправляют зараженный. Таким способом распространялись известные вредоносные закладки ShadowPad и DarkNimbus. Подмена применялась в том числе к обновлениям приложений для Android.
Анализ показал, что основная направленность атак связана с китайскоязычными пользователями. Модули кражи учетных данных нацелены на китайские почтовые службы и популярные мобильные приложения. В коде и настройках найдено множество комментариев на упрощенном китайском языке, а также упоминания местных интернет-сервисов и СМИ. По совокупности признаков исследователи с высокой уверенностью связывают инструмент с хакерскими группами китайского происхождения.