Муддлинг Мееркат АПТ
Појавила се неоткривена сајбер претња под називом Муддлинг Мееркат, која се бави софистицираним активностима система имена домена (ДНС) од октобра 2019. Вероватно ће избегавати мере безбедности и прикупљати обавештајне податке са глобалних мрежа.
Истраживачи верују да је претња повезана са Народном Републиком Кином (НРК) и сумњају да глумац има контролу над Великим заштитним зидом (ГФВ), који се користи за цензуру страних веб страница и манипулацију интернет саобраћајем.
Назив хакерске групе одражава сложену и збуњујућу природу њихових операција, укључујући злоупотребу отворених ДНС разрешивача (сервера који прихватају упите са било које ИП адресе) за слање захтева са кинеских ИП адреса.
Преглед садржаја
Сајбер криминалци показују необичне карактеристике у поређењу са другим хакерским групама
Муддлинг Мееркат показује софистицирано разумијевање ДНС-а које је неуобичајено међу актерима пријетњи данас – јасно истичући да је ДНС моћно оружје које користе противници. Тачније, то подразумева покретање ДНС упита за размену поште (МКС) и друге типове записа на домене који нису у власништву актера, али који се налазе под добро познатим доменима највишег нивоа као што су .цом и .орг.
Истраживачи који су снимили захтеве које су клијентски уређаји слали његовим рекурзивним разрешивачима рекли су да су открили преко 20 таквих домена, а неки од примера су:
4у[.]цом, кб[.]цом, оао[.]цом, од[.]цом, боки[.]цом, зц[.]цом, ф4[.]цом, б6[.]цом, п3з[ .]цом, об[.]цом, нпр.[.]цом, кок[.]цом, гого[.]цом, аоа[.]цом, гого[.]цом, ид[.]цом, мв[.] цом, неф[.]цом, нтл[.]цом, тв[.]цом, 7ее[.]цом, гб[.]цом, к29[.]орг, ни[.]цом, тт[.]цом, пр[.]цом, дец[.]цом
Муддлинг Мееркат изазива посебну врсту лажног ДНС МКС записа са Великог заштитног зида, који никада раније није виђен. Да би се ово десило, Муддлинг Мееркат мора имати однос са ГФВ оператерима. Циљни домени су домени који се користе у упитима, тако да нису нужно мета напада. То је домен који се користи за извођење сонде. Ови домени нису у власништву Муддлинг Меерката.
Како функционише Велики кинески заштитни зид?
Велики заштитни зид (ГФВ) користи технике ДНС лажирања и манипулисања ДНС одговорима. Када се корисников захтев подудара са забрањеном кључном речи или доменом, ГФВ убризгава лажне ДНС одговоре који садрже насумичне стварне ИП адресе.
Једноставније речено, ако корисник покуша да приступи блокираној кључној речи или домену, ГФВ интервенише да спречи приступ блокирањем или преусмеравањем упита. Ова сметња се постиже методама као што су тровање ДНС кеша или блокирање ИП адресе.
Овај процес укључује ГФВ откривање упита блокираним веб локацијама и одговарање лажним ДНС одговорима који садрже неважеће ИП адресе или ИП адресе које воде до различитих домена. Ова радња ефективно омета кеш меморију рекурзивних ДНС сервера у оквиру своје надлежности.
Мудлинг Мееркат је вероватно кинески актер претње националне државе
Изузетна карактеристика Муддлинг Меерката је његова употреба лажних одговора МКС записа који потичу са кинеских ИП адреса, што је одступање од типичног понашања Великог заштитног зида (ГФВ).
Ови одговори долазе са кинеских ИП адреса које обично не хостују ДНС услуге и садрже нетачне информације у складу са ГФВ праксама. Међутим, за разлику од познатих метода ГФВ-а, одговори Муддлинг Меерката укључују правилно форматиране МКС записе ресурса уместо ИПв4 адреса.
Прецизна сврха ове текуће активности која траје више година остаје нејасна, иако сугерише потенцијално учешће у интернет мапирању или сродним истраживањима.
Муддлинг Мееркат, који се приписује кинеском државном актеру, спроводи намерне и софистициране ДНС операције против глобалних мрежа скоро сваки дан, са пуним обимом њихових активности на различитим локацијама.
Разумевање и откривање злонамерног софтвера је једноставније у поређењу са схватањем ДНС активности. Док истраживачи препознају да се нешто дешава, потпуно разумевање им измиче. ЦИСА, ФБИ и друге агенције и даље упозоравају на неоткривене кинеске операције.
