Muddling Meerkat APT

Muddling Meerkat নামে একটি অপ্রকাশিত সাইবার হুমকি আবির্ভূত হয়েছে, অক্টোবর 2019 থেকে অত্যাধুনিক ডোমেইন নেম সিস্টেম (DNS) কার্যকলাপে জড়িত। এটি নিরাপত্তা ব্যবস্থা এড়াতে এবং গ্লোবাল নেটওয়ার্ক থেকে বুদ্ধিমত্তা সংগ্রহ করতে পারে।

গবেষকরা বিশ্বাস করেন যে হুমকিটি পিপলস রিপাবলিক অফ চায়না (পিআরসি) এর সাথে যুক্ত এবং সন্দেহ করেন অভিনেতার গ্রেট ফায়ারওয়ালের (জিএফডব্লিউ) উপর নিয়ন্ত্রণ রয়েছে, যা বিদেশী ওয়েবসাইটগুলিকে সেন্সর করতে এবং ইন্টারনেট ট্র্যাফিক পরিচালনা করতে ব্যবহৃত হয়।

হ্যাকার গ্রুপের নাম তাদের ক্রিয়াকলাপের জটিল এবং বিভ্রান্তিকর প্রকৃতিকে প্রতিফলিত করে, যার মধ্যে চীনা আইপি ঠিকানা থেকে অনুরোধ পাঠানোর জন্য ডিএনএস ওপেন রিসোলভার (সার্ভার যেগুলি যেকোনো আইপি ঠিকানা থেকে প্রশ্ন গ্রহণ করে) এর অপব্যবহার অন্তর্ভুক্ত।

অন্যান্য হ্যাকার গ্রুপের তুলনায় সাইবার অপরাধীরা অস্বাভাবিক বৈশিষ্ট্য প্রদর্শন করে

Muddling Meerkat DNS এর একটি পরিশীলিত বোঝাপড়া প্রদর্শন করে যা আজ হুমকি অভিনেতাদের মধ্যে অস্বাভাবিক - স্পষ্টভাবে নির্দেশ করে যে DNS একটি শক্তিশালী অস্ত্র যা প্রতিপক্ষের দ্বারা ব্যবহার করা হয়। আরও নির্দিষ্টভাবে, এটি অভিনেতার মালিকানাধীন নয় কিন্তু .com এবং .org-এর মতো সুপরিচিত শীর্ষ-স্তরের ডোমেনের অধীনে থাকা ডোমেনগুলিতে মেল এক্সচেঞ্জ (MX) এবং অন্যান্য রেকর্ড প্রকারের জন্য DNS প্রশ্নগুলিকে ট্রিগার করে৷

গবেষকরা যে অনুরোধগুলি রেকর্ড করেছেন যেগুলি গ্রাহক ডিভাইসগুলির দ্বারা তার পুনরাবৃত্তিমূলক সমাধানকারীদের কাছে পাঠানো হয়েছিল তারা বলেছেন যে এটি 20টিরও বেশি ডোমেন সনাক্ত করেছে, যার কিছু উদাহরণ রয়েছে:

4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, যেমন[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com

The Muddling Meerkat গ্রেট ফায়ারওয়াল থেকে একটি বিশেষ ধরনের জাল DNS MX রেকর্ড বের করে, যা আগে কখনও দেখা যায়নি। এটি ঘটার জন্য, Muddling Meerkat-এর GFW অপারেটরদের সাথে সম্পর্ক থাকতে হবে। টার্গেট ডোমেনগুলি কোয়েরিতে ব্যবহৃত ডোমেনগুলি, তাই তারা অগত্যা আক্রমণের লক্ষ্য নয়৷ এটি এমন একটি ডোমেন যা প্রোব আক্রমণ চালাতে ব্যবহৃত হয়। এই ডোমেইনগুলি Muddling Meerkat-এর মালিকানাধীন নয়৷

চীনের গ্রেট ফায়ারওয়াল কীভাবে কাজ করে?

দ্য গ্রেট ফায়ারওয়াল (GFW) DNS প্রতিক্রিয়াগুলি পরিচালনা করতে DNS স্পুফিং এবং টেম্পারিং কৌশল ব্যবহার করে। যখন একজন ব্যবহারকারীর অনুরোধ একটি নিষিদ্ধ কীওয়ার্ড বা ডোমেনের সাথে মেলে, তখন GFW এলোমেলো বাস্তব আইপি ঠিকানাগুলি সম্বলিত নকল DNS প্রতিক্রিয়াগুলি ইনজেকশন করে।

সহজ কথায়, যদি একজন ব্যবহারকারী একটি ব্লক করা কীওয়ার্ড বা ডোমেন অ্যাক্সেস করার চেষ্টা করে, তাহলে জিএফডব্লিউ হস্তক্ষেপ করে ক্যোয়ারীটিকে ব্লক বা রিডাইরেক্ট করে অ্যাক্সেস রোধ করতে। এই হস্তক্ষেপ ডিএনএস ক্যাশে বিষক্রিয়া বা আইপি ঠিকানা ব্লক করার মতো পদ্ধতির মাধ্যমে অর্জন করা হয়।

এই প্রক্রিয়ায় GFW-কে ব্লক করা ওয়েবসাইটের প্রশ্ন শনাক্ত করা এবং অবৈধ আইপি অ্যাড্রেস বা আইপি সম্বলিত ভুয়া DNS উত্তর দিয়ে বিভিন্ন ডোমেনের দিকে নিয়ে যাওয়া জড়িত। এই ক্রিয়াটি কার্যকরভাবে তার এখতিয়ারের মধ্যে পুনরাবৃত্ত DNS সার্ভারের ক্যাশে ব্যাহত করে।

দ্য মিডলিং মিরকাট সম্ভবত একজন চীনা জাতি-রাষ্ট্র হুমকি অভিনেতা

Muddling Meerkat এর স্ট্যান্ডআউট বৈশিষ্ট্য হল চীনা আইপি ঠিকানাগুলি থেকে উদ্ভূত মিথ্যা MX রেকর্ড প্রতিক্রিয়াগুলির ব্যবহার, এটি সাধারণ গ্রেট ফায়ারওয়াল (GFW) আচরণ থেকে প্রস্থান।

এই প্রতিক্রিয়াগুলি চীনা আইপি ঠিকানাগুলি থেকে আসে যেগুলি সাধারণত DNS পরিষেবাগুলি হোস্ট করে না এবং এতে GFW অনুশীলনের সাথে সামঞ্জস্যপূর্ণ ভুল তথ্য থাকে৷ যাইহোক, GFW-এর পরিচিত পদ্ধতির বিপরীতে, Muddling Meerkat-এর প্রতিক্রিয়াগুলিতে IPv4 ঠিকানার পরিবর্তে সঠিকভাবে ফর্ম্যাট করা MX রিসোর্স রেকর্ড অন্তর্ভুক্ত রয়েছে।

একাধিক বছর ধরে চলা এই চলমান ক্রিয়াকলাপের পিছনে সুনির্দিষ্ট উদ্দেশ্য অস্পষ্ট রয়ে গেছে, যদিও এটি ইন্টারনেট ম্যাপিং বা সম্পর্কিত গবেষণায় সম্ভাব্য জড়িত থাকার পরামর্শ দেয়।

চিনের রাষ্ট্রীয় অভিনেতার জন্য দায়ী দ্য মডলিং মিরকাট, বিশ্বব্যাপী নেটওয়ার্কগুলির বিরুদ্ধে প্রায় প্রতিদিনই ইচ্ছাকৃত এবং পরিশীলিত ডিএনএস অপারেশন পরিচালনা করে, তাদের ক্রিয়াকলাপের সম্পূর্ণ পরিমাণ বিভিন্ন স্থানে বিস্তৃত।

DNS ক্রিয়াকলাপগুলি বোঝার তুলনায় ম্যালওয়্যার বোঝা এবং সনাক্ত করা আরও সহজ। গবেষকরা যখন কিছু ঘটছে তা স্বীকার করে, সম্পূর্ণ বোঝা তাদের এড়িয়ে যায়। সিআইএসএ, এফবিআই, এবং অন্যান্য সংস্থাগুলি অনাবিষ্কৃত চীনা অপারেশন সম্পর্কে সতর্কতা অব্যাহত রেখেছে।