Muddling Meerkat APT
En ikke afsløret cybertrussel ved navn Muddling Meerkat er dukket op, der har deltaget i sofistikerede Domain Name System (DNS) aktiviteter siden oktober 2019. Det vil sandsynligvis undgå sikkerhedsforanstaltninger og indsamle efterretninger fra globale netværk.
Forskere mener, at truslen er knyttet til Folkerepublikken Kina (PRC) og mistænker, at skuespilleren har kontrol over Great Firewall (GFW), som bruges til at censurere udenlandske websteder og manipulere internettrafik.
Hackergruppens navn afspejler den komplekse og forvirrende karakter af deres operationer, herunder misbrug af åbne DNS-resolvere (servere, der accepterer forespørgsler fra enhver IP-adresse) til at sende anmodninger fra kinesiske IP-adresser.
Indholdsfortegnelse
Cyberkriminelle viser usædvanlige egenskaber sammenlignet med andre hackergrupper
Muddling Meerkat demonstrerer en sofistikeret forståelse af DNS, som er usædvanlig blandt trusselsaktører i dag - og påpeger tydeligt, at DNS er et kraftfuldt våben, der udnyttes af modstandere. Mere specifikt indebærer det at udløse DNS-forespørgsler til mailudveksling (MX) og andre posttyper til domæner, der ikke ejes af aktøren, men som ligger under velkendte topdomæner som .com og .org.
Forskere, der har registreret de anmodninger, der blev sendt til dets rekursive resolvere af kundeenheder, sagde, at de opdagede over 20 sådanne domæner, med nogle eksempler:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, fx[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
The Muddling Meerkat fremkalder en særlig form for falsk DNS MX-record fra Great Firewall, som aldrig er set før. For at dette kan ske, skal Muddling Meerkat have et forhold til GFW-operatørerne. Måldomænerne er de domæner, der bruges i forespørgslerne, så de er ikke nødvendigvis målet for et angreb. Det er det domæne, der bruges til at udføre sondeangrebet. Disse domæner ejes ikke af Muddling Meerkat.
Hvordan fungerer den store firewall i Kina?
The Great Firewall (GFW) bruger DNS-spoofing og manipulationsteknikker til at manipulere DNS-svar. Når en brugers anmodning matcher et forbudt søgeord eller domæne, injicerer GFW falske DNS-svar, der indeholder tilfældige rigtige IP-adresser.
I simplere termer, hvis en bruger forsøger at få adgang til et blokeret søgeord eller domæne, griber GFW ind for at forhindre adgang ved enten at blokere eller omdirigere forespørgslen. Denne interferens opnås gennem metoder som DNS-cacheforgiftning eller IP-adresseblokering.
Denne proces involverer GFW, der registrerer forespørgsler til blokerede websteder og svarer med falske DNS-svar, der indeholder ugyldige IP-adresser eller IP'er, der fører til forskellige domæner. Denne handling forstyrrer effektivt cachen på rekursive DNS-servere inden for dens jurisdiktion.
Den forvirrende Meerkat er sandsynligvis en kinesisk nationalstats trusselskuespiller
Det iøjnefaldende kendetegn ved Muddling Meerkat er dets brug af falske MX-registreringssvar, der stammer fra kinesiske IP-adresser, en afvigelse fra den typiske Great Firewall (GFW) adfærd.
Disse svar kommer fra kinesiske IP-adresser, der typisk ikke hoster DNS-tjenester og indeholder unøjagtige oplysninger i overensstemmelse med GFW-praksis. Men i modsætning til GFW's kendte metoder inkluderer Muddling Meerkats svar korrekt formaterede MX-ressourceposter i stedet for IPv4-adresser.
Det præcise formål bag denne igangværende aktivitet, der strækker sig over flere år, er stadig uklart, selvom det antyder potentiel involvering i internetkortlægning eller relateret forskning.
The Muddling Meerkat, der tilskrives en kinesisk statsaktør, udfører bevidste og sofistikerede DNS-operationer mod globale netværk næsten hver dag, med det fulde omfang af deres aktiviteter, der spænder over forskellige lokationer.
At forstå og opdage malware er mere ligetil sammenlignet med at forstå DNS-aktiviteter. Mens forskere erkender, at der sker noget, undgår fuldstændig forståelse dem. CISA, FBI og andre agenturer fortsætter med at advare om uopdagede kinesiske operationer.
