私たちのオンライン生活の中枢であるインターネットルーターやエッジデバイスが、長期にわたるスパイ活動の主要な標的となっています。Cisco Talosの研究者は最近、少なくとも2019年以降これらのゲートウェイ機器を侵害してきた「DKnife」と呼ばれるツールキットの詳細を共有しました。内部ネットワークを広いWebへ接続するハードウェアに自らを埋め込むことで、このマルウェアは接続されたあらゆるスマートフォンやコンピューターを通過するデータを監視し、記録し、さらには改ざんすることさえ可能になります。
Cisco Talosのセキュリティ研究者によると、このキャンペーンは驚くほどしつこく継続しています。「コマンド&コントロールは2026年1月時点でもまだ稼働している」と彼らは述べており、脅威アクターが侵害済みデバイスのネットワークを今なお積極的に管理していることを示しています。
中間に潜むデジタル・ハイジャッカー
多くの人はアプリのアップデートは安全だと思い込んでいます。DKnifeは、Adversary-in-the-Middle(AitM)攻撃によって、その信頼を利用者に対して逆手に取ります。参考までに、この手法ではエッジデバイス上のマルウェアが正規の更新リクエストを傍受し、瞬時にウイルスへ差し替えることが可能になります。
さらに調査を進めたところ、このツールキットは7つの専用インプラントを連携させて動作していることが判明しました。
dknife.bin– データが通過する際の内容を読み取る中核エンジン。postapi.bin– 盗んだデータやイベントを攻撃者へ中継するレポーター。mmdown.bin– 悪意あるAndroidファイルを更新(刷新)するためのアップデーター。sslmm.bin– 安全な接続を復号してメールのパスワードを盗むリバースプロキシ。yitiji.bin– 中国語で「オールインワン」を意味する語に由来し、警報を作動させずに悪性トラフィックを迂回させるため、ルーター上に隠しネットワークを作成します。remote.bin– 攻撃者が遠隔からアクセスするためのプライベートVPNを設定するコンポーネント。dkupdate.bin– すべての部品を稼働・更新し続ける監視(ウォッチドッグ)モジュール。
要するに、DKnifeはルーターおよびエッジデバイスのレベルで動作しますが、それらのゲートウェイ配下にあるAndroidとWindowsの両エンドポイントを明確に標的としています。
静かな監視と妨害
注目すべきは、DKnifeが単なる配布システムではなく、非常に効果的な盗聴者でもある点です。研究者は、WeChatやSignalといったアプリ上の活動(ビデオ通話やメッセージングを含む)を追跡できることを突き止めました。潜伏を維持するため、360 Total SecurityやTencent PC Managerのようなセキュリティプログラムからのトラフィックを識別し、それらの接続を「ドロップ」して、防御の更新やユーザーへの警告を妨げることさえあります。
背後にいるのは誰か?
主な標的は中国語話者のユーザーですが、危険は拡大しています。研究者はブログ投稿で「証拠は、よく統合され進化し続けるツールチェーンを示唆している」と述べ、フィリピン、カンボジア、UAEで使用されたWizardNetバックドアやSpellbinderフレームワークとの関連にも言及しました。
このツールキットはまた、ShadowPadおよびDarkNimbusのバックドアも配布しており、四川奇遇網絡科技(Sichuan Qiyu Network Technology)のような企業の証明書が使われることもあります。コードには簡体字中国語のコメントが多数含まれているため、専門家は運用者が中国系の脅威アクターである可能性が高いと評価しています。
これはルーターレベルで起きるため、侵害されたゲートウェイに接続するなら、PCからスマート冷蔵庫まであらゆるデバイスが危険にさらされます。安全を保つには、ルーターのファームウェアを最新の状態にし、設定でリモート管理を無効化して、攻撃者が侵入に最もよく使う入口を閉じてください。
翻訳元: https://hackread.com/china-dknife-spyware-hijack-internet-routers-2019/
