Muddling Meerkat APT
یک تهدید سایبری نامشخص به نام Muddling Meerkat ظاهر شده است که از اکتبر 2019 درگیر فعالیت های پیچیده سیستم نام دامنه (DNS) است. احتمالاً از اقدامات امنیتی اجتناب می کند و اطلاعات را از شبکه های جهانی جمع آوری می کند.
محققان بر این باورند که این تهدید به جمهوری خلق چین (PRC) مرتبط است و مظنون هستند که بازیگر بر دیوار آتش بزرگ (GFW) که برای سانسور وبسایتهای خارجی و دستکاری ترافیک اینترنتی استفاده میشود، کنترل داشته باشد.
نام گروه هکر نشان دهنده ماهیت پیچیده و گیج کننده عملیات آنها است، از جمله استفاده نادرست از حل کننده های باز DNS (سرورهایی که درخواست ها را از هر آدرس IP می پذیرند) برای ارسال درخواست از آدرس های IP چینی.
فهرست مطالب
مجرمان سایبری در مقایسه با سایر گروه های هکر، ویژگی های غیرمعمولی را نشان می دهند
Muddling Meerkat درک پیچیده ای از DNS را نشان می دهد که امروزه در بین عوامل تهدید غیرمعمول است - به وضوح اشاره می کند که DNS یک سلاح قدرتمند است که توسط دشمنان مورد استفاده قرار می گیرد. به طور خاص، مستلزم راهاندازی درخواستهای DNS برای تبادل نامه (MX) و انواع رکوردهای دیگر به دامنههایی است که متعلق به بازیگر نیستند، اما تحت دامنههای سطح بالای شناخته شده مانند .com و .org قرار دارند.
محققانی که درخواستهایی را که توسط دستگاههای مشتری به حلکنندههای بازگشتی آن ارسال شده بود، ثبت کردهاند، گفتند که بیش از ۲۰ دامنه از این قبیل را شناسایی کردهاند، بهطور مثال:
4u[.]com، kb[.]com، oao[.]com، od[.]com، box[.]com، zc[.]com، f4[.]com، b6[.]com، p3z[ .]com، ob[.]com، به عنوان مثال[.]com، kok[.]com، gogo[.]com، aoa[.]com، gogo[.]com، id[.]com، mv[. com، nef[.]com، ntl[.]com، tv[.]com، 7ee[.]com، gb[.]com، q29[.]org، ni[.]com، tt[.]com، pr[.]com، dec[.]com
Muddling Meerkat نوع خاصی از رکورد جعلی DNS MX را از دیوار آتش بزرگ ایجاد می کند که قبلاً هرگز دیده نشده بود. برای اینکه این اتفاق بیفتد، Muddling Meerkat باید با اپراتورهای GFW رابطه داشته باشد. دامنه های هدف، دامنه هایی هستند که در پرس و جوها استفاده می شوند، بنابراین لزوماً هدف حمله نیستند. این دامنه مورد استفاده برای انجام حمله کاوشگر است. این دامنه ها متعلق به Muddling Meerkat نیستند.
فایروال بزرگ چین چگونه کار می کند؟
دیوار آتش بزرگ (GFW) از تکنیک های جعل DNS و دستکاری برای دستکاری پاسخ های DNS استفاده می کند. هنگامی که درخواست کاربر با کلمه کلیدی یا دامنه ممنوعه مطابقت دارد، GFW پاسخ های جعلی DNS حاوی آدرس های IP واقعی تصادفی را تزریق می کند.
به عبارت ساده تر، اگر کاربر سعی کند به یک کلمه کلیدی یا دامنه مسدود شده دسترسی پیدا کند، GFW برای جلوگیری از دسترسی با مسدود کردن یا تغییر مسیر پرس و جو دخالت می کند. این تداخل از طریق روش هایی مانند مسمومیت کش DNS یا مسدود کردن آدرس IP حاصل می شود.
این فرآیند شامل شناسایی پرسوجوهای مربوط به وبسایتهای مسدود شده توسط GFW و پاسخدهی با پاسخهای جعلی DNS حاوی آدرسهای IP نامعتبر یا IPهای منتهی به دامنههای مختلف است. این عمل به طور موثر حافظه پنهان سرورهای DNS بازگشتی را در محدوده اختیارات خود مختل می کند.
Muddling Meerkat احتمالاً یک بازیگر تهدید ملی-دولت چین است
ویژگی برجسته Muddling Meerkat استفاده آن از پاسخهای رکورد MX نادرست است که از آدرسهای IP چینی سرچشمه میگیرد، که از رفتار معمولی دیوار آتش بزرگ (GFW) فاصله دارد.
این پاسخها از آدرسهای IP چینی میآیند که معمولاً سرویسهای DNS را میزبانی نمیکنند و حاوی اطلاعات نادرست مطابق با شیوههای GFW هستند. با این حال، برخلاف روشهای شناختهشده GFW، پاسخهای Muddling Meerkat به جای آدرسهای IPv4 شامل رکوردهای منبع MX با فرمت مناسب میشود.
هدف دقیق پشت این فعالیت مداوم که چندین سال را در بر می گیرد، همچنان نامشخص است، اگرچه نشان دهنده مشارکت بالقوه در نقشه برداری اینترنتی یا تحقیقات مرتبط است.
Muddling Meerkat که به یک بازیگر دولتی چینی نسبت داده می شود، تقریباً هر روز عملیات DNS عمدی و پیچیده ای را علیه شبکه های جهانی انجام می دهد، با گستره کامل فعالیت های آنها در مکان های مختلف.
درک و شناسایی بدافزار در مقایسه با درک فعالیت های DNS ساده تر است. در حالی که محققان تشخیص می دهند چیزی در حال رخ دادن است، درک کامل از آنها دوری می کند. CISA، FBI و سایر آژانسها همچنان در مورد عملیات شناسایی نشده چین هشدار میدهند.