Meerkat încurcat APT
A apărut o amenințare cibernetică nedezvăluită, numită Muddling Meerkat, care se angajează în activități sofisticate ale Sistemului de nume de domeniu (DNS) din octombrie 2019. Este probabil să evite măsurile de securitate și să colecteze informații din rețelele globale.
Cercetătorii cred că amenințarea este legată de Republica Populară Chineză (RPC) și bănuiesc că actorul deține controlul asupra Marelui Firewall (GFW), care este folosit pentru a cenzura site-uri web străine și a manipula traficul de internet.
Numele grupului de hackeri reflectă natura complexă și confuză a operațiunilor lor, inclusiv utilizarea greșită a soluțiilor deschise DNS (servere care acceptă interogări de la orice adresă IP) pentru a trimite cereri de la adrese IP din China.
Cuprins
Infractorii cibernetici prezintă caracteristici neobișnuite în comparație cu alte grupuri de hackeri
Muddling Meerkat demonstrează o înțelegere sofisticată a DNS-ului, care este neobișnuită printre actorii amenințărilor de astăzi – subliniind clar că DNS este o armă puternică folosită de adversari. Mai precis, implică declanșarea de interogări DNS pentru schimbul de e-mail (MX) și alte tipuri de înregistrări către domenii care nu sunt deținute de actor, dar care se află sub domenii binecunoscute de nivel superior, cum ar fi .com și .org.
Cercetătorii care au înregistrat cererile care au fost trimise soluțiilor recursive de către dispozitivele clienților au spus că a detectat peste 20 de astfel de domenii, cu câteva exemple:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, de exemplu[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat provoacă un tip special de înregistrare DNS MX falsă de la Great Firewall, care nu a mai fost văzut până acum. Pentru ca acest lucru să se întâmple, Muddling Meerkat trebuie să aibă o relație cu operatorii GFW. Domeniile țintă sunt domeniile utilizate în interogări, deci nu sunt neapărat ținta unui atac. Este domeniul folosit pentru a efectua atacul sondei. Aceste domenii nu sunt deținute de Muddling Meerkat.
Cum funcționează Marele Firewall al Chinei?
Great Firewall (GFW) folosește tehnici de falsificare și falsificare DNS pentru a manipula răspunsurile DNS. Când cererea unui utilizator se potrivește cu un cuvânt cheie sau un domeniu interzis, GFW injectează răspunsuri DNS false care conțin adrese IP reale aleatorii.
În termeni mai simpli, dacă un utilizator încearcă să acceseze un cuvânt cheie sau un domeniu blocat, GFW intervine pentru a preveni accesul, fie blocând, fie redirecționând interogarea. Această interferență se realizează prin metode precum otrăvirea cache-ului DNS sau blocarea adresei IP.
Acest proces implică GFW să detecteze interogări către site-uri web blocate și să răspundă cu răspunsuri DNS false care conțin adrese IP nevalide sau IP-uri care conduc la diferite domenii. Această acțiune întrerupe efectiv memoria cache a serverelor DNS recursive din jurisdicția sa.
Suricatul încurcat este probabil un actor chinez care amenință statul național
Caracteristica remarcabilă a Muddling Meerkat este utilizarea răspunsurilor false înregistrări MX care provin de la adrese IP chinezești, o abatere de la comportamentul tipic Great Firewall (GFW).
Aceste răspunsuri provin de la adrese IP chinezești care nu găzduiesc de obicei servicii DNS și conțin informații inexacte, în concordanță cu practicile GFW. Cu toate acestea, spre deosebire de metodele cunoscute ale GFW, răspunsurile lui Muddling Meerkat includ înregistrări de resurse MX formatate corespunzător în loc de adrese IPv4.
Scopul precis din spatele acestei activități în desfășurare, care se întinde pe mai mulți ani, rămâne neclar, deși sugerează o potențială implicare în cartografierea internetului sau în cercetările conexe.
Muddling Meerkat, atribuit unui actor de stat chinez, desfășoară operațiuni DNS deliberate și sofisticate împotriva rețelelor globale aproape în fiecare zi, cu întreaga amploare a activităților lor acoperind diferite locații.
Înțelegerea și detectarea malware-ului este mai simplă în comparație cu înțelegerea activităților DNS. În timp ce cercetătorii recunosc că ceva se întâmplă, înțelegerea completă îi scapă. CISA, FBI și alte agenții continuă să avertizeze cu privire la operațiunile chineze nedetectate.
