Muddling Meerkat APT
En ikke avslørt cybertrussel kalt Muddling Meerkat har dukket opp, og har engasjert seg i sofistikerte Domain Name System (DNS)-aktiviteter siden oktober 2019. Det vil sannsynligvis unngå sikkerhetstiltak og samle etterretning fra globale nettverk.
Forskere mener trusselen er knyttet til Folkerepublikken Kina (PRC) og mistenker at skuespilleren har kontroll over Great Firewall (GFW), som brukes til å sensurere utenlandske nettsteder og manipulere internettrafikk.
Hackergruppens navn gjenspeiler den komplekse og forvirrende karakteren av deres operasjoner, inkludert misbruk av DNS-åpne resolvere (servere som aksepterer forespørsler fra en hvilken som helst IP-adresse) for å sende forespørsler fra kinesiske IP-adresser.
Innholdsfortegnelse
Nettkriminelle viser uvanlige egenskaper sammenlignet med andre hackergrupper
Muddling Meerkat demonstrerer en sofistikert forståelse av DNS som er uvanlig blant trusselaktører i dag – og påpeker tydelig at DNS er et kraftig våpen utnyttet av motstandere. Mer spesifikt innebærer det å utløse DNS-spørringer for e-postutveksling (MX) og andre posttyper til domener som ikke eies av aktøren, men som ligger under kjente toppdomener som .com og .org.
Forskere som har registrert forespørslene som ble sendt til deres rekursive resolvere av kundeenheter, sa at de oppdaget over 20 slike domener, med noen eksempler:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, f.eks.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, des[.]com
The Muddling Meerkat fremkaller en spesiell type falsk DNS MX-post fra Great Firewall, som aldri har blitt sett før. For at dette skal skje, må Muddling Meerkat ha et forhold til GFW-operatørene. Måldomenene er domenene som brukes i spørringene, så de er ikke nødvendigvis målet for et angrep. Det er domenet som brukes til å utføre sondeangrepet. Disse domenene eies ikke av Muddling Meerkat.
Hvordan fungerer den store brannmuren i Kina?
The Great Firewall (GFW) bruker DNS-spoofing og tuklingsteknikker for å manipulere DNS-svar. Når en brukers forespørsel samsvarer med et forbudt søkeord eller domene, injiserer GFW falske DNS-svar som inneholder tilfeldige ekte IP-adresser.
I enklere termer, hvis en bruker prøver å få tilgang til et blokkert nøkkelord eller domene, griper GFW inn for å forhindre tilgang ved enten å blokkere eller omdirigere spørringen. Denne interferensen oppnås gjennom metoder som DNS-bufferforgiftning eller IP-adresseblokkering.
Denne prosessen innebærer at GFW oppdager forespørsler til blokkerte nettsteder og svarer med falske DNS-svar som inneholder ugyldige IP-adresser eller IP-er som fører til forskjellige domener. Denne handlingen forstyrrer effektivt hurtigbufferen til rekursive DNS-servere innenfor dens jurisdiksjon.
The Muddling Meerkat er sannsynligvis en kinesisk nasjonalstats trusselskuespiller
Det enestående kjennetegnet til Muddling Meerkat er bruken av falske MX-postsvar som stammer fra kinesiske IP-adresser, en avvik fra den typiske Great Firewall-oppførselen (GFW).
Disse svarene kommer fra kinesiske IP-adresser som vanligvis ikke er vert for DNS-tjenester og inneholder unøyaktig informasjon i samsvar med GFW-praksis. Imidlertid, i motsetning til GFWs kjente metoder, inkluderer Muddling Meerkats svar riktig formaterte MX-ressursposter i stedet for IPv4-adresser.
Den nøyaktige hensikten bak denne pågående aktiviteten som strekker seg over flere år er fortsatt uklar, selv om den antyder potensiell involvering i internettkartlegging eller relatert forskning.
The Muddling Meerkat, tilskrevet en kinesisk statsaktør, utfører bevisste og sofistikerte DNS-operasjoner mot globale nettverk nesten hver dag, med hele omfanget av deres aktiviteter som spenner over forskjellige lokasjoner.
Det er enklere å forstå og oppdage skadelig programvare sammenlignet med å forstå DNS-aktiviteter. Mens forskere innser at noe skjer, unngår fullstendig forståelse dem. CISA, FBI og andre byråer fortsetter å advare om uoppdagede kinesiske operasjoner.
