Muddling Meerkat APT
Ilmnes avalikustamata küberoht nimega Muddling Meerkat, mis on alates 2019. aasta oktoobrist tegelenud keeruka domeeninimesüsteemi (DNS) tegevusega. Tõenäoliselt väldib see turvameetmeid ja kogub luureandmeid globaalsetest võrkudest.
Teadlased usuvad, et oht on seotud Hiina Rahvavabariigiga ja kahtlustavad, et näitlejal on kontroll Suure tulemüüri (GFW) üle, mida kasutatakse välismaiste veebisaitide tsenseerimiseks ja Interneti-liikluse manipuleerimiseks.
Häkkerirühma nimi peegeldab nende toimingute keerukust ja segadust, sealhulgas DNS-i avatud lahendajate (serverid, mis võtavad vastu päringuid mis tahes IP-aadressilt) väärkasutamist Hiina IP-aadressidelt päringute saatmiseks.
Sisukord
Küberkurjategijatel on teiste häkkerirühmadega võrreldes ebatavalised omadused
Muddling Meerkat demonstreerib keerukat arusaamist DNS-ist, mis on tänapäeval ohus osalejate seas haruldane – osutades selgelt, et DNS on võimas relv, mida vastased kasutavad. Täpsemalt tähendab see DNS-i päringute käivitamist meilivahetuse (MX) ja muude kirjetüüpide jaoks domeenides, mis ei kuulu osalejale, kuid mis asuvad tuntud tippdomeenide all, nagu .com ja .org.
Teadlased, kes on salvestanud päringud, mis kliendi seadmete poolt selle rekursiivsetele lahendajatele saadeti, ütlesid, et see tuvastas üle 20 sellise domeeni, sealhulgas mõned näited:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, nt[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dets[.]com
Muddling Meerkat toob suurest tulemüürist välja erilise võltsitud DNS MX-kirje, mida pole kunagi varem nähtud. Et see juhtuks, peab Muddling Meerkatil olema suhe GFW operaatoritega. Sihtdomeenid on päringutes kasutatavad domeenid, seega ei pruugi need olla rünnaku sihtmärgiks. See on domeen, mida kasutatakse sondirünnaku läbiviimiseks. Need domeenid ei kuulu Muddling Meerkatile.
Kuidas Hiina suur tulemüür töötab?
Suur tulemüür (GFW) kasutab DNS-i vastuste manipuleerimiseks DNS-i võltsimise ja manipuleerimise tehnikaid. Kui kasutaja päring vastab keelatud märksõnale või domeenile, sisestab GFW võltsitud DNS-i vastused, mis sisaldavad juhuslikke tegelikke IP-aadresse.
Lihtsamalt öeldes, kui kasutaja proovib juurdepääsu blokeeritud märksõnale või domeenile, sekkub GFW juurdepääsu takistamiseks päringu blokeerimise või ümbersuunamisega. See häire saavutatakse selliste meetoditega nagu DNS-i vahemälu mürgitamine või IP-aadressi blokeerimine.
Selle protsessi käigus tuvastab GFW päringuid blokeeritud veebisaitidele ja vastab võltsitud DNS-i vastustega, mis sisaldavad kehtetuid IP-aadresse või IP-sid, mis viivad erinevatele domeenidele. See toiming häirib tõhusalt oma jurisdiktsioonis olevate rekursiivsete DNS-serverite vahemälu.
Muddling Surikaat on tõenäoliselt Hiina rahvusriigi ohunäitleja
Muddling Meerkati silmapaistvaks tunnuseks on Hiina IP-aadressidelt pärinevate valede MX-kirjete vastuste kasutamine, mis on kõrvalekalle tavalisest Suure tulemüüri (GFW) käitumisest.
Need vastused pärinevad Hiina IP-aadressidelt, mis tavaliselt ei hostita DNS-teenuseid ja sisaldavad ebatäpset teavet, mis on kooskõlas GFW tavadega. Erinevalt GFW teadaolevatest meetoditest sisaldavad Muddling Meerkat'i vastused IPv4-aadresside asemel õigesti vormindatud MX-ressursikirjeid.
Selle mitu aastat kestva tegevuse täpne eesmärk jääb ebaselgeks, kuigi see viitab potentsiaalsele osalemisele Interneti-kaardistamises või sellega seotud uurimistöös.
Hiina riigitegelasele omistatud Muddling Meerkat viib peaaegu iga päev läbi globaalsete võrkude vastu tahtlikke ja keerukaid DNS-operatsioone, kusjuures kogu nende tegevus hõlmab erinevaid asukohti.
Pahavara mõistmine ja tuvastamine on DNS-i tegevuste mõistmisega võrreldes lihtsam. Kuigi teadlased mõistavad, et midagi toimub, jääb täielik mõistmine neile kõrvale. CISA, FBI ja teised agentuurid hoiatavad jätkuvalt Hiina avastamata operatsioonide eest.
