Muddling Meerkat APT

یک تهدید سایبری نامشخص به نام Muddling Meerkat ظاهر شده است که از اکتبر 2019 درگیر فعالیت های پیچیده سیستم نام دامنه (DNS) است. احتمالاً از اقدامات امنیتی اجتناب می کند و اطلاعات را از شبکه های جهانی جمع آوری می کند.

محققان بر این باورند که این تهدید به جمهوری خلق چین (PRC) مرتبط است و مظنون هستند که بازیگر بر دیوار آتش بزرگ (GFW) که برای سانسور وب‌سایت‌های خارجی و دستکاری ترافیک اینترنتی استفاده می‌شود، کنترل داشته باشد.

نام گروه هکر نشان دهنده ماهیت پیچیده و گیج کننده عملیات آنها است، از جمله استفاده نادرست از حل کننده های باز DNS (سرورهایی که درخواست ها را از هر آدرس IP می پذیرند) برای ارسال درخواست از آدرس های IP چینی.

مجرمان سایبری در مقایسه با سایر گروه های هکر، ویژگی های غیرمعمولی را نشان می دهند

Muddling Meerkat درک پیچیده ای از DNS را نشان می دهد که امروزه در بین عوامل تهدید غیرمعمول است - به وضوح اشاره می کند که DNS یک سلاح قدرتمند است که توسط دشمنان مورد استفاده قرار می گیرد. به طور خاص، مستلزم راه‌اندازی درخواست‌های DNS برای تبادل نامه (MX) و انواع رکوردهای دیگر به دامنه‌هایی است که متعلق به بازیگر نیستند، اما تحت دامنه‌های سطح بالای شناخته شده مانند .com و .org قرار دارند.

محققانی که درخواست‌هایی را که توسط دستگاه‌های مشتری به حل‌کننده‌های بازگشتی آن ارسال شده بود، ثبت کرده‌اند، گفتند که بیش از ۲۰ دامنه از این قبیل را شناسایی کرده‌اند، به‌طور مثال:

4u[.]com، kb[.]com، oao[.]com، od[.]com، box[.]com، zc[.]com، f4[.]com، b6[.]com، p3z[ .]com، ob[.]com، به عنوان مثال[.]com، kok[.]com، gogo[.]com، aoa[.]com، gogo[.]com، id[.]com، mv[. com، nef[.]com، ntl[.]com، tv[.]com، 7ee[.]com، gb[.]com، q29[.]org، ni[.]com، tt[.]com، pr[.]com، dec[.]com

Muddling Meerkat نوع خاصی از رکورد جعلی DNS MX را از دیوار آتش بزرگ ایجاد می کند که قبلاً هرگز دیده نشده بود. برای اینکه این اتفاق بیفتد، Muddling Meerkat باید با اپراتورهای GFW رابطه داشته باشد. دامنه های هدف، دامنه هایی هستند که در پرس و جوها استفاده می شوند، بنابراین لزوماً هدف حمله نیستند. این دامنه مورد استفاده برای انجام حمله کاوشگر است. این دامنه ها متعلق به Muddling Meerkat نیستند.

فایروال بزرگ چین چگونه کار می کند؟

دیوار آتش بزرگ (GFW) از تکنیک های جعل DNS و دستکاری برای دستکاری پاسخ های DNS استفاده می کند. هنگامی که درخواست کاربر با کلمه کلیدی یا دامنه ممنوعه مطابقت دارد، GFW پاسخ های جعلی DNS حاوی آدرس های IP واقعی تصادفی را تزریق می کند.

به عبارت ساده تر، اگر کاربر سعی کند به یک کلمه کلیدی یا دامنه مسدود شده دسترسی پیدا کند، GFW برای جلوگیری از دسترسی با مسدود کردن یا تغییر مسیر پرس و جو دخالت می کند. این تداخل از طریق روش هایی مانند مسمومیت کش DNS یا مسدود کردن آدرس IP حاصل می شود.

این فرآیند شامل شناسایی پرس‌و‌جوهای مربوط به وب‌سایت‌های مسدود شده توسط GFW و پاسخ‌دهی با پاسخ‌های جعلی DNS حاوی آدرس‌های IP نامعتبر یا IPهای منتهی به دامنه‌های مختلف است. این عمل به طور موثر حافظه پنهان سرورهای DNS بازگشتی را در محدوده اختیارات خود مختل می کند.

Muddling Meerkat احتمالاً یک بازیگر تهدید ملی-دولت چین است

ویژگی برجسته Muddling Meerkat استفاده آن از پاسخ‌های رکورد MX نادرست است که از آدرس‌های IP چینی سرچشمه می‌گیرد، که از رفتار معمولی دیوار آتش بزرگ (GFW) فاصله دارد.

این پاسخ‌ها از آدرس‌های IP چینی می‌آیند که معمولاً سرویس‌های DNS را میزبانی نمی‌کنند و حاوی اطلاعات نادرست مطابق با شیوه‌های GFW هستند. با این حال، برخلاف روش‌های شناخته‌شده GFW، پاسخ‌های Muddling Meerkat به جای آدرس‌های IPv4 شامل رکوردهای منبع MX با فرمت مناسب می‌شود.

هدف دقیق پشت این فعالیت مداوم که چندین سال را در بر می گیرد، همچنان نامشخص است، اگرچه نشان دهنده مشارکت بالقوه در نقشه برداری اینترنتی یا تحقیقات مرتبط است.

Muddling Meerkat که به یک بازیگر دولتی چینی نسبت داده می شود، تقریباً هر روز عملیات DNS عمدی و پیچیده ای را علیه شبکه های جهانی انجام می دهد، با گستره کامل فعالیت های آنها در مکان های مختلف.

درک و شناسایی بدافزار در مقایسه با درک فعالیت های DNS ساده تر است. در حالی که محققان تشخیص می دهند چیزی در حال رخ دادن است، درک کامل از آنها دوری می کند. CISA، FBI و سایر آژانس‌ها همچنان در مورد عملیات شناسایی نشده چین هشدار می‌دهند.