Zavaros Meerkat APT
Felbukkant a Muddling Meerkat nevű, nem titkolt kiberfenyegetés, amely 2019 októbere óta kifinomult Domain Name System (DNS) tevékenységet folytat. Valószínűleg elkerüli a biztonsági intézkedéseket, és hírszerzési információkat gyűjt a globális hálózatokból.
A kutatók úgy vélik, hogy a fenyegetés a Kínai Népköztársasághoz (KNK) kapcsolódik, és azt gyanítják, hogy a színész irányítja a Nagy Tűzfalat (GFW), amelyet külföldi webhelyek cenzúrázására és az internetes forgalom manipulálására használnak.
A hackercsoport neve működésük összetett és zavaros természetét tükrözi, beleértve a DNS nyílt feloldókkal való visszaélést (bármilyen IP-címről lekérdezést fogadó szerverek) kínai IP-címekről érkező kérések küldésére.
Tartalomjegyzék
A kiberbűnözők szokatlan tulajdonságokat mutatnak, ha összehasonlítjuk más hackercsoportokkal
A Muddling Meerkat demonstrálja a DNS kifinomult megértését, ami ma szokatlan a fenyegetés szereplői között – egyértelműen rámutatva arra, hogy a DNS egy erős fegyver, amelyet az ellenfelek használnak. Pontosabban, ez azt jelenti, hogy DNS-lekérdezéseket indítanak levélcseréhez (MX) és más rekordtípusokhoz olyan tartományokhoz, amelyek nem a szereplő tulajdonában vannak, de amelyek jól ismert legfelső szintű tartományok alatt találhatók, mint például a .com és a .org.
Azok a kutatók, akik rögzítették azokat a kéréseket, amelyeket az ügyfelek eszközei küldtek a rekurzív feloldóinak, azt mondták, hogy több mint 20 ilyen tartományt észleltek, néhány példa a következő:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, pl.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
A Muddling Meerkat egy különleges fajta hamis DNS MX rekordot hív elő a Great Firewallból, amilyenre korábban még nem volt példa. Ahhoz, hogy ez megtörténjen, a Muddling Meerkatnak kapcsolatban kell lennie a GFW operátorokkal. A céltartományok a lekérdezésekben használt tartományok, tehát nem feltétlenül támadás célpontjai. Ez az a tartomány, amelyet a vizsgáló támadás végrehajtására használnak. Ezek a domainek nem a Muddling Meerkat tulajdonában vannak.
Hogyan működik a nagy kínai tűzfal?
A Great Firewall (GFW) DNS-hamisítási és manipulációs technikákat használ a DNS-válaszok manipulálására. Ha egy felhasználó kérése egy tiltott kulcsszóval vagy domainnel egyezik, a GFW hamis DNS-válaszokat szúr be, amelyek véletlenszerű valós IP-címeket tartalmaznak.
Egyszerűbben fogalmazva, ha a felhasználó megpróbál hozzáférni egy blokkolt kulcsszóhoz vagy tartományhoz, a GFW beavatkozik, hogy megakadályozza a hozzáférést a lekérdezés blokkolásával vagy átirányításával. Ez az interferencia olyan módszerekkel érhető el, mint a DNS-gyorsítótár-mérgezés vagy az IP-cím blokkolása.
Ebben a folyamatban a GFW észleli a blokkolt webhelyekre irányuló lekérdezéseket, és hamis DNS-válaszokkal válaszol, amelyek érvénytelen IP-címeket vagy különböző tartományokhoz vezető IP-címeket tartalmaznak. Ez a művelet hatékonyan megzavarja a rekurzív DNS-kiszolgálók gyorsítótárát a joghatóságán belül.
A zavaros szurikáta valószínűleg a kínai nemzetállami fenyegetés szereplője
A Muddling Meerkat kiemelkedő jellemzője a kínai IP-címekből származó hamis MX rekord válaszok használata, ami eltér a tipikus Great Firewall (GFW) viselkedésétől.
Ezek a válaszok olyan kínai IP-címekről érkeznek, amelyek általában nem tartalmaznak DNS-szolgáltatásokat, és pontatlan információkat tartalmaznak, amelyek megfelelnek a GFW gyakorlatának. A GFW ismert módszereivel ellentétben azonban a Muddling Meerkat válaszai megfelelően formázott MX erőforrásrekordokat tartalmaznak IPv4-címek helyett.
Ennek a több éven át tartó folyamatos tevékenységnek a pontos célja továbbra is tisztázatlan, bár az internetes térképezésben vagy a kapcsolódó kutatásokban való részvételre utal.
A Muddling Meerkat, amelyet egy kínai állami szereplőnek tulajdonítanak, szinte minden nap szándékos és kifinomult DNS-műveleteket hajt végre globális hálózatok ellen, tevékenységük teljes kiterjedése különböző helyszínekre terjed ki.
A rosszindulatú programok megértése és észlelése egyszerűbb, mint a DNS-tevékenységek megértése. Míg a kutatók felismerik, hogy valami történik, a teljes megértés elkerüli őket. A CISA, az FBI és más ügynökségek továbbra is óvakodnak a felderítetlen kínai műveletektől.
