Suricato confuso APT
È emersa una minaccia informatica sconosciuta denominata Muddling Meerkat, impegnata in sofisticate attività DNS (Domain Name System) dall'ottobre 2019. È probabile che eviti misure di sicurezza e raccolga informazioni dalle reti globali.
I ricercatori ritengono che la minaccia sia collegata alla Repubblica popolare cinese (RPC) e sospettano che l'autore abbia il controllo sul Great Firewall (GFW), utilizzato per censurare siti Web stranieri e manipolare il traffico Internet.
Il nome del gruppo di hacker riflette la natura complessa e confusa delle loro operazioni, compreso l'uso improprio dei risolutori aperti DNS (server che accettano query da qualsiasi indirizzo IP) per inviare richieste da indirizzi IP cinesi.
Sommario
I criminali informatici mostrano caratteristiche insolite rispetto ad altri gruppi di hacker
Muddling Meerkat dimostra una comprensione sofisticata del DNS che oggi non è comune tra gli autori delle minacce, sottolineando chiaramente che il DNS è un'arma potente sfruttata dagli avversari. Più specificamente, comporta l'attivazione di query DNS per lo scambio di posta (MX) e altri tipi di record su domini non di proprietà dell'attore ma che risiedono sotto domini di primo livello ben noti come .com e .org.
I ricercatori che hanno registrato le richieste inviate ai suoi risolutori ricorsivi dai dispositivi dei clienti hanno affermato di aver rilevato oltre 20 domini di questo tipo, alcuni esempi sono:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, eg[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dic[.]com
Il Muddling Meerkat suscita un tipo speciale di record MX DNS falsi dal Great Firewall, mai visto prima. Perché ciò accada, Muddling Meerkat deve avere una relazione con gli operatori di GFW. I domini target sono i domini utilizzati nelle query, quindi non sono necessariamente il bersaglio di un attacco. È il dominio utilizzato per effettuare l'attacco sonda. Questi domini non sono di proprietà del Suricato Confuso.
Come funziona il Grande Firewall cinese?
Il Great Firewall (GFW) utilizza tecniche di spoofing e manomissione del DNS per manipolare le risposte DNS. Quando la richiesta di un utente corrisponde a una parola chiave o un dominio vietato, GFW inietta risposte DNS false contenenti indirizzi IP reali casuali.
In termini più semplici, se un utente tenta di accedere a una parola chiave o a un dominio bloccato, il GFW interviene per impedire l’accesso bloccando o reindirizzando la query. Questa interferenza si ottiene attraverso metodi come l'avvelenamento della cache DNS o il blocco degli indirizzi IP.
Questo processo prevede che GFW rilevi le query ai siti Web bloccati e risponda con false risposte DNS contenenti indirizzi IP non validi o IP che portano a domini diversi. Questa azione interrompe efficacemente la cache dei server DNS ricorsivi all'interno della sua giurisdizione.
Il suricato confuso è probabilmente un attore di minaccia nazionale-stato cinese
La caratteristica principale di Muddling Meerkat è l'uso di false risposte di record MX provenienti da indirizzi IP cinesi, un allontanamento dal tipico comportamento del Great Firewall (GFW).
Queste risposte provengono da indirizzi IP cinesi che in genere non ospitano servizi DNS e contengono informazioni imprecise coerenti con le pratiche GFW. Tuttavia, a differenza dei metodi conosciuti del GFW, le risposte di Muddling Meerkat includono record di risorse MX correttamente formattati invece di indirizzi IPv4.
Lo scopo preciso dietro questa attività in corso che dura da diversi anni rimane poco chiaro, anche se suggerisce un potenziale coinvolgimento nella mappatura di Internet o nella ricerca correlata.
Il Muddling Meerkat, attribuito a un attore statale cinese, conduce quasi ogni giorno operazioni DNS deliberate e sofisticate contro le reti globali, con l'intera portata delle sue attività in varie località.
Comprendere e rilevare il malware è più semplice rispetto al rilevamento delle attività DNS. Mentre i ricercatori riconoscono che qualcosa sta accadendo, la comprensione completa sfugge loro. La CISA, l’FBI e altre agenzie continuano a mettere in guardia sulle operazioni cinesi non rilevate.
