Mutdling Meerkat APT
Muddling Meerkat -niminen kyberuhka on ilmaantunut, ja se on harjoittanut kehittyneitä DNS-toimintoja lokakuusta 2019 lähtien. Se todennäköisesti välttää turvatoimia ja kerää tiedustelutietoja maailmanlaajuisista verkoista.
Tutkijat uskovat, että uhka liittyy Kiinan kansantasavaltaan (Kiina), ja epäilevät, että näyttelijä hallitsee suurta palomuuria (GFW), jota käytetään ulkomaisten verkkosivustojen sensurointiin ja Internet-liikenteen manipulointiin.
Hakkeriryhmän nimi kuvastaa niiden toimintojen monimutkaisuutta ja hämmentävää luonnetta, mukaan lukien DNS-avoimien ratkaisejien (palvelimet, jotka hyväksyvät kyselyt mistä tahansa IP-osoitteesta) väärinkäytön pyyntöjen lähettämiseen kiinalaisista IP-osoitteista.
Sisällysluettelo
Kyberrikollisilla on epätavallisia ominaisuuksia muihin hakkeriryhmiin verrattuna
Muddling Meerkat osoittaa pitkälle kehitettyä DNS-ymmärrystä, joka on harvinaista uhkatekijöiden keskuudessa nykyään – osoittaa selvästi, että DNS on voimakas ase, jota vastustajat käyttävät. Tarkemmin sanottuna se edellyttää DNS-kyselyjen käynnistämistä sähköpostin vaihtoa (MX) ja muita tietuetyyppejä varten toimialueille, jotka eivät ole toimijan omistamia, mutta jotka sijaitsevat tunnettujen huipputason verkkotunnusten, kuten .com ja .org, alla.
Tutkijat, jotka ovat tallentaneet pyynnöt, jotka asiakaslaitteet lähettivät sen rekursiivisille ratkaisejille, sanoivat, että se havaitsi yli 20 tällaista verkkotunnusta, joista esimerkkejä ovat:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, esim.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat saa aikaan erikoisen väärennetyn DNS MX -tietueen Great Firewallista, jota ei ole koskaan ennen nähty. Jotta tämä tapahtuisi, Muddling Meerkatilla on oltava suhde GFW-operaattoreihin. Kohdealueet ovat kyselyissä käytettyjä verkkotunnuksia, joten ne eivät välttämättä ole hyökkäyksen kohteena. Sitä käytetään luotainhyökkäyksen suorittamiseen. Nämä verkkotunnukset eivät ole Muddling Meerkatin omistuksessa.
Kuinka Kiinan suuri palomuuri toimii?
Great Firewall (GFW) käyttää DNS-huijaus- ja peukalointitekniikoita DNS-vastausten manipulointiin. Kun käyttäjän pyyntö vastaa kiellettyä avainsanaa tai verkkotunnusta, GFW ruiskuttaa väärennettyjä DNS-vastauksia, jotka sisältävät satunnaisia todellisia IP-osoitteita.
Yksinkertaisemmin sanottuna, jos käyttäjä yrittää käyttää estettyä avainsanaa tai verkkotunnusta, GFW puuttuu asiaan estääkseen pääsyn joko estämällä tai uudelleenohjaamalla kyselyn. Tämä häiriö saadaan aikaan menetelmillä, kuten DNS-välimuistin myrkytyksellä tai IP-osoitteen estolla.
Tässä prosessissa GFW havaitsee kyselyt estetyille verkkosivustoille ja vastaa väärennetyillä DNS-vastauksilla, jotka sisältävät virheellisiä IP-osoitteita tai IP-osoitteita, jotka johtavat eri verkkotunnuksiin. Tämä toiminto häiritsee tehokkaasti sen lainkäyttöalueella olevien rekursiivisten DNS-palvelimien välimuistia.
Muddling Meerkat on todennäköisesti Kiinan kansallisvaltion uhkatekijä
Muddling Meerkatin erottuva ominaisuus on kiinalaisista IP-osoitteista peräisin olevien väärien MX-tietueiden vastausten käyttö, mikä poikkeaa tyypillisestä Great Firewall (GFW) -käyttäytymisestä.
Nämä vastaukset tulevat kiinalaisista IP-osoitteista, jotka eivät yleensä isännöi DNS-palveluita ja sisältävät GFW-käytäntöjen mukaisia epätarkkoja tietoja. Toisin kuin GFW:n tunnetuissa menetelmissä, Muddling Meerkatin vastaukset sisältävät oikein muotoiltuja MX-resurssitietueita IPv4-osoitteiden sijaan.
Tämän usean vuoden ajan jatkuvan toiminnan tarkka tarkoitus on edelleen epäselvä, vaikka se viittaa mahdolliseen osallistumiseen Internet-kartoitukseen tai siihen liittyvään tutkimukseen.
Kiinan valtion toimijaksi katsottu Muddling Meerkat suorittaa tietoisia ja kehittyneitä DNS-operaatioita maailmanlaajuisia verkkoja vastaan lähes päivittäin, ja heidän toimintansa ulottuu eri kohteisiin.
Haittaohjelmien ymmärtäminen ja havaitseminen on yksinkertaisempaa kuin DNS-toimintojen ymmärtäminen. Vaikka tutkijat tunnistavat jotain tapahtuvan, täydellinen ymmärrys välttelee heiltä. CISA, FBI ja muut virastot varoittavat edelleen havaitsemattomista Kiinan operaatioista.
