Karışık Meerkat APT
Ekim 2019'dan bu yana karmaşık Etki Alanı Adı Sistemi (DNS) faaliyetleri yürüten, Muddling Meerkat adlı açıklanmayan bir siber tehdit ortaya çıktı. Güvenlik önlemlerinden kaçınması ve küresel ağlardan istihbarat toplaması muhtemeldir.
Araştırmacılar, tehdidin Çin Halk Cumhuriyeti (PRC) ile bağlantılı olduğuna inanıyor ve aktörün, yabancı web sitelerini sansürlemek ve internet trafiğini manipüle etmek için kullanılan Büyük Güvenlik Duvarı (GFW) üzerinde kontrol sahibi olduğundan şüpheleniyor.
Bilgisayar korsanı grubunun adı, Çin IP adreslerinden istek göndermek için DNS açık çözümleyicilerinin (herhangi bir IP adresinden sorgu kabul eden sunucular) kötüye kullanılması da dahil olmak üzere, operasyonlarının karmaşık ve kafa karıştırıcı doğasını yansıtıyor.
İçindekiler
Siber Suçlular Diğer Hacker Gruplarıyla Karşılaştırıldığında Sıradışı Özellikler Gösteriyor
Muddling Meerkat, günümüzde tehdit aktörleri arasında nadir görülen karmaşık bir DNS anlayışını ortaya koyuyor ve DNS'nin, düşmanlar tarafından kullanılan güçlü bir silah olduğuna açıkça işaret ediyor. Daha spesifik olarak, posta değişimi (MX) ve diğer kayıt türleri için aktörün sahip olmadığı ancak .com ve .org gibi iyi bilinen üst düzey etki alanları altında bulunan etki alanlarına yönelik DNS sorgularının tetiklenmesini gerektirir.
Müşteri cihazları tarafından özyinelemeli çözümleyicilere gönderilen istekleri kaydeden araştırmacılar, bu tür 20'den fazla etki alanı tespit ettiğini söyledi; bazı örnekler şöyle:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, örneğin[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, aralık[.]com
Muddling Meerkat, Büyük Güvenlik Duvarı'ndan daha önce hiç görülmemiş özel bir tür sahte DNS MX kaydı ortaya çıkarıyor. Bunun gerçekleşmesi için Muddling Meerkat'ın GFW operatörleriyle bir ilişkisi olması gerekir. Hedef alanlar, sorgularda kullanılan alanlardır, dolayısıyla bunların mutlaka bir saldırının hedefi olması gerekmez. Prob saldırısını gerçekleştirmek için kullanılan alandır. Bu alan adları Muddling Meerkat'a ait değildir.
Çin'in Büyük Güvenlik Duvarı Nasıl Çalışıyor?
Büyük Güvenlik Duvarı (GFW), DNS yanıtlarını değiştirmek için DNS sahtekarlığı ve tahrifat tekniklerini kullanır. Bir kullanıcının isteği yasaklı bir anahtar kelime veya alan adıyla eşleştiğinde GFW, rastgele gerçek IP adresleri içeren sahte DNS yanıtları enjekte eder.
Daha basit bir ifadeyle, bir kullanıcı engellenen bir anahtar kelimeye veya alana erişmeye çalışırsa GFW, sorguyu engelleyerek veya yeniden yönlendirerek erişimi engellemek için müdahale eder. Bu müdahale, DNS önbellek zehirlenmesi veya IP adresi engelleme gibi yöntemlerle gerçekleştirilir.
Bu süreç, GFW'nin engellenen web sitelerine yönelik sorguları tespit etmesini ve geçersiz IP adresleri veya farklı alanlara yönlendiren IP'ler içeren sahte DNS yanıtlarıyla yanıt vermesini içerir. Bu eylem, kendi yetki alanı içindeki özyinelemeli DNS sunucularının önbelleğini etkili bir şekilde bozar.
Karışık Meerkat Muhtemelen Bir Çin Ulus-Devlet Tehdit Aktörüdür
Muddling Meerkat'ın göze çarpan özelliği, tipik Büyük Güvenlik Duvarı (GFW) davranışından farklı olarak, Çin IP adreslerinden kaynaklanan yanlış MX kaydı yanıtlarını kullanmasıdır.
Bu yanıtlar, genellikle DNS hizmetlerini barındırmayan ve GFW uygulamalarıyla tutarlı, hatalı bilgiler içeren Çin IP adreslerinden geliyor. Ancak GFW'nin bilinen yöntemlerinden farklı olarak Muddling Meerkat'ın yanıtları, IPv4 adresleri yerine uygun şekilde biçimlendirilmiş MX kaynak kayıtlarını içerir.
Birkaç yıla yayılan bu devam eden faaliyetin ardındaki kesin amaç belirsizliğini koruyor, ancak bu, internet haritalaması veya ilgili araştırmalara potansiyel bir katılım olduğunu gösteriyor.
Çinli bir devlet aktörüne atfedilen Muddling Meerkat, neredeyse her gün küresel ağlara karşı kasıtlı ve karmaşık DNS operasyonları yürütüyor ve faaliyetlerinin tamamı çeşitli lokasyonlara yayılıyor.
Kötü amaçlı yazılımları anlamak ve tespit etmek, DNS etkinliklerini kavramaktan daha kolaydır. Araştırmacılar bir şeylerin gerçekleştiğini fark etseler de tam bir anlayış elde edemiyorlar. CISA, FBI ve diğer kurumlar, tespit edilemeyen Çin operasyonları konusunda uyarıda bulunmaya devam ediyor.
