Muddling Meerkat APT
Ir parādījies neizpaužams kiberdrauds ar nosaukumu Muddling Meerkat, kas kopš 2019. gada oktobra iesaistās sarežģītās domēna vārdu sistēmas (DNS) darbībās. Tas, visticamāk, izvairīsies no drošības pasākumiem un iegūs izlūkdatus no globālajiem tīkliem.
Pētnieki uzskata, ka draudi ir saistīti ar Ķīnas Tautas Republiku (ĶTR), un viņiem ir aizdomas, ka aktieris kontrolē Lielo ugunsmūri (GFW), kas tiek izmantots, lai cenzētu ārvalstu tīmekļa vietnes un manipulētu ar interneta trafiku.
Hakeru grupas nosaukums atspoguļo to darbību sarežģīto un mulsinošo raksturu, tostarp DNS atvērto risinātāju (serveru, kas pieņem vaicājumus no jebkuras IP adreses) ļaunprātīgu izmantošanu, lai nosūtītu pieprasījumus no Ķīnas IP adresēm.
Satura rādītājs
Kibernoziedznieki parāda neparastas īpašības, salīdzinot ar citām hakeru grupām
Muddling Meerkat demonstrē izsmalcinātu DNS izpratni, kas mūsdienās nav izplatīta draudu dalībnieku vidū, skaidri norādot, ka DNS ir spēcīgs ierocis, ko izmanto pretinieki. Konkrētāk, tas ietver DNS vaicājumu aktivizēšanu pasta apmaiņai (MX) un citiem ierakstu veidiem domēnos, kas nepieder dalībniekam, bet atrodas zem labi zināmiem augstākā līmeņa domēniem, piemēram, .com un .org.
Pētnieki, kas ir reģistrējuši pieprasījumus, ko klientu ierīces nosūtīja saviem rekursīvajiem atrisinātājiem, teica, ka tie atklāja vairāk nekā 20 šādus domēnus, un daži piemēri ir:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, piemēram, [.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat izvelk īpašu viltotu DNS MX ierakstu no Lielā ugunsmūra, kāds vēl nekad nav redzēts. Lai tas notiktu, Muddling Meerkat ir jābūt attiecībām ar GFW operatoriem. Mērķa domēni ir vaicājumos izmantotie domēni, tāpēc tie ne vienmēr ir uzbrukuma mērķi. Tas ir domēns, ko izmanto zondes uzbrukuma veikšanai. Šie domēni nepieder Muddling Meerkat.
Kā darbojas lielais Ķīnas ugunsmūris?
Lielais ugunsmūris (GFW) izmanto DNS viltošanas un manipulācijas metodes, lai manipulētu ar DNS atbildēm. Ja lietotāja pieprasījums atbilst aizliegtam atslēgvārdam vai domēnam, GFW ievada viltotas DNS atbildes, kas satur nejaušas reālas IP adreses.
Vienkāršāk sakot, ja lietotājs mēģina piekļūt bloķētam atslēgvārdam vai domēnam, GFW iejaucas, lai novērstu piekļuvi, bloķējot vai novirzot vaicājumu. Šie traucējumi tiek panākti, izmantojot tādas metodes kā DNS kešatmiņas saindēšana vai IP adreses bloķēšana.
Šajā procesā GFW nosaka vaicājumus bloķētām vietnēm un atbild ar viltotām DNS atbildēm, kas satur nederīgas IP adreses vai IP, kas ved uz dažādiem domēniem. Šī darbība efektīvi izjauc tās jurisdikcijā esošo rekursīvo DNS serveru kešatmiņu.
Muddling Meerkat, iespējams, ir Ķīnas nacionālās valsts apdraudējuma aktieris
Muddling Meerkat izcilā iezīme ir viltus MX ierakstu atbilžu izmantošana no Ķīnas IP adresēm, kas atšķiras no tipiskās Lielā ugunsmūra (GFW) darbības.
Šīs atbildes nāk no ķīniešu IP adresēm, kurās parasti netiek mitināti DNS pakalpojumi un kas satur neprecīzu informāciju, kas atbilst GFW praksei. Tomēr atšķirībā no GFW zināmajām metodēm, Muddling Meerkat atbildes ietver pareizi formatētus MX resursu ierakstus, nevis IPv4 adreses.
Precīzs šīs pastāvīgās darbības, kas aptver vairākus gadus, mērķis joprojām nav skaidrs, lai gan tas liecina par iespējamu iesaistīšanos interneta kartēšanā vai saistītos pētījumos.
Muddling Meerkat, kas tiek piedēvēts kādam Ķīnas valsts dalībniekam, gandrīz katru dienu veic apzinātas un sarežģītas DNS darbības pret globālajiem tīkliem, un visas viņu darbības aptver dažādas vietas.
Ļaunprātīgas programmatūras izpratne un noteikšana ir vienkāršāka nekā DNS darbību uztveršana. Kamēr pētnieki apzinās, ka kaut kas notiek, pilnīga izpratne viņiem izvairās. CISA, FIB un citas aģentūras turpina brīdināt par neatklātām Ķīnas operācijām.
