முட்லிங் மீர்கட் APT

அக்டோபர் 2019 முதல் அதிநவீன டொமைன் நேம் சிஸ்டம் (டிஎன்எஸ்) நடவடிக்கைகளில் ஈடுபட்டு, மட்லிங் மீர்கட் என்ற பெயரிடப்படாத இணைய அச்சுறுத்தல் வெளிவந்துள்ளது.

இந்த அச்சுறுத்தல் சீன மக்கள் குடியரசுடன் (PRC) இணைக்கப்பட்டுள்ளதாக ஆராய்ச்சியாளர்கள் நம்புகின்றனர் மற்றும் வெளிநாட்டு வலைத்தளங்களை தணிக்கை செய்வதற்கும் இணைய போக்குவரத்தை கையாளுவதற்கும் பயன்படுத்தப்படும் கிரேட் ஃபயர்வால் (GFW) மீது நடிகருக்கு கட்டுப்பாடு இருப்பதாக சந்தேகிக்கின்றனர்.

ஹேக்கர் குழுவின் பெயர், சீன ஐபி முகவரிகளிலிருந்து கோரிக்கைகளை அனுப்ப டிஎன்எஸ் ஓப்பன் ரிசல்வர்ஸ் (எந்த ஐபி முகவரியிலிருந்தும் வினவல்களை ஏற்கும் சர்வர்கள்) தவறாகப் பயன்படுத்துவது உட்பட, அவர்களின் செயல்பாடுகளின் சிக்கலான மற்றும் குழப்பமான தன்மையை பிரதிபலிக்கிறது.

மற்ற ஹேக்கர் குழுக்களுடன் ஒப்பிடும் போது சைபர் கிரைமினல்கள் அசாதாரண குணாதிசயங்களைக் காட்டுகின்றனர்

முட்லிங் மீர்கட் டிஎன்எஸ் பற்றிய அதிநவீன புரிதலை நிரூபிக்கிறது, இது இன்று அச்சுறுத்தும் நடிகர்களிடையே அசாதாரணமானது - டிஎன்எஸ் என்பது எதிரிகளால் பயன்படுத்தப்படும் ஒரு சக்திவாய்ந்த ஆயுதம் என்பதை தெளிவாக சுட்டிக்காட்டுகிறது. மேலும் குறிப்பாக, இது நடிகருக்குச் சொந்தமில்லாத ஆனால் .com மற்றும் .org போன்ற நன்கு அறியப்பட்ட உயர்மட்ட டொமைன்களின் கீழ் வசிக்கும் டொமைன்களுக்கு அஞ்சல் பரிமாற்றம் (MX) மற்றும் பிற பதிவு வகைகளுக்கான DNS வினவல்களைத் தூண்டுகிறது.

வாடிக்கையாளர் சாதனங்கள் மூலம் அதன் சுழல்நிலை தீர்வுகளுக்கு அனுப்பப்பட்ட கோரிக்கைகளை பதிவு செய்த ஆராய்ச்சியாளர்கள், இது போன்ற 20 க்கும் மேற்பட்ட டொமைன்களைக் கண்டறிந்ததாகக் கூறியுள்ளனர், சில எடுத்துக்காட்டுகள்:

4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, eg[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com

Muddling Meerkat கிரேட் ஃபயர்வாலில் இருந்து ஒரு சிறப்பு வகையான போலி DNS MX பதிவை வெளிப்படுத்துகிறது, இது இதுவரை பார்த்திராதது. இது நடக்க, Muddling Meerkat GFW ஆபரேட்டர்களுடன் உறவு வைத்திருக்க வேண்டும். இலக்கு களங்கள் வினவல்களில் பயன்படுத்தப்படும் டொமைன்கள், எனவே அவை தாக்குதலின் இலக்காக இருக்க வேண்டிய அவசியமில்லை. இது ஆய்வுத் தாக்குதலை நடத்தப் பயன்படும் களமாகும். இந்த டொமைன்கள் மட்லிங் மீர்கட்டுக்கு சொந்தமானவை அல்ல.

சீனாவின் கிரேட் ஃபயர்வால் எவ்வாறு இயங்குகிறது?

கிரேட் ஃபயர்வால் (ஜிஎஃப்டபிள்யூ) டிஎன்எஸ் பதில்களைக் கையாள டிஎன்எஸ் ஸ்பூஃபிங் மற்றும் டேம்பரிங் நுட்பங்களைப் பயன்படுத்துகிறது. ஒரு பயனரின் கோரிக்கை தடைசெய்யப்பட்ட முக்கிய சொல் அல்லது டொமைனுடன் பொருந்தினால், GFW ஆனது சீரற்ற உண்மையான IP முகவரிகளைக் கொண்ட போலி DNS பதில்களை செலுத்துகிறது.

எளிமையான சொற்களில், ஒரு பயனர் தடுக்கப்பட்ட முக்கிய சொல் அல்லது டொமைனை அணுக முயற்சித்தால், வினவலைத் தடுப்பதன் மூலம் அல்லது திசைதிருப்புவதன் மூலம் அணுகலைத் தடுக்க GFW தலையிடுகிறது. இந்த குறுக்கீடு டிஎன்எஸ் கேச் பாய்சனிங் அல்லது ஐபி அட்ரஸ் பிளாக்கிங் போன்ற முறைகள் மூலம் அடையப்படுகிறது.

தடுக்கப்பட்ட இணையதளங்களுக்கான வினவல்களை GFW கண்டறிந்து, தவறான IP முகவரிகள் அல்லது வெவ்வேறு டொமைன்களுக்கு வழிவகுக்கும் IPகளைக் கொண்ட போலி DNS பதில்களுடன் பதிலளிப்பதை இந்தச் செயல்முறை உள்ளடக்குகிறது. இந்த செயல் அதன் அதிகார வரம்பிற்குள் உள்ள சுழல்நிலை DNS சேவையகங்களின் தற்காலிக சேமிப்பை திறம்பட சீர்குலைக்கிறது.

முட்லிங் மீர்கட் ஒரு சீன தேச-அரசு அச்சுறுத்தல் நடிகராக இருக்கலாம்

Muddling Meerkat இன் தனித்தன்மை வாய்ந்த அம்சம், வழக்கமான கிரேட் ஃபயர்வால் (GFW) நடத்தையிலிருந்து விலகி, சீன ஐபி முகவரிகளில் இருந்து வரும் தவறான MX பதிவு பதில்களைப் பயன்படுத்துவதாகும்.

இந்த பதில்கள் பொதுவாக DNS சேவைகளை ஹோஸ்ட் செய்யாத சீன IP முகவரிகளிலிருந்து வந்தவை மற்றும் GFW நடைமுறைகளுடன் ஒத்துப்போகும் தவறான தகவலைக் கொண்டிருக்கின்றன. இருப்பினும், GFW இன் அறியப்பட்ட முறைகளைப் போலன்றி, மட்லிங் மீர்கட்டின் பதில்களில் IPv4 முகவரிகளுக்குப் பதிலாக ஒழுங்காக வடிவமைக்கப்பட்ட MX ஆதாரப் பதிவுகள் அடங்கும்.

இணைய மேப்பிங் அல்லது தொடர்புடைய ஆராய்ச்சியில் சாத்தியமான ஈடுபாட்டைக் கூறினாலும், பல ஆண்டுகளாக இந்தச் செயல்பாட்டின் பின்னணியில் உள்ள துல்லியமான நோக்கம் தெளிவாக இல்லை.

சீன அரசு நடிகருக்குக் காரணமான மட்லிங் மீர்கட், உலகளாவிய நெட்வொர்க்குகளுக்கு எதிராக வேண்டுமென்றே மற்றும் அதிநவீன டிஎன்எஸ் செயல்பாடுகளை ஒவ்வொரு நாளும் நடத்துகிறது, அவர்களின் செயல்பாடுகளின் முழு அளவு பல்வேறு இடங்களில் பரவுகிறது.

தீம்பொருளைப் புரிந்துகொள்வதும் கண்டறிவதும் DNS செயல்பாடுகளைப் பற்றிக் கொள்வதை விட மிகவும் எளிமையானது. ஏதோ நடக்கிறது என்பதை ஆராய்ச்சியாளர்கள் உணர்ந்தாலும், முழுமையான புரிதல் அவர்களைத் தவிர்க்கிறது. CISA, FBI மற்றும் பிற ஏஜென்சிகள் கண்டறியப்படாத சீன செயல்பாடுகள் குறித்து தொடர்ந்து எச்சரிக்கையுடன் உள்ளன.