Muddling Meerkat APT
Pojavila se je nerazkrita kibernetska grožnja z imenom Muddling Meerkat, ki se od oktobra 2019 ukvarja s prefinjenimi dejavnostmi sistema domenskih imen (DNS). Verjetno se bo izogibala varnostnim ukrepom in zbirala obveščevalne podatke iz globalnih omrežij.
Raziskovalci menijo, da je grožnja povezana z Ljudsko republiko Kitajsko (LRK) in domnevajo, da ima igralec nadzor nad Velikim požarnim zidom (GFW), ki se uporablja za cenzuriranje tujih spletnih mest in manipuliranje internetnega prometa.
Ime hekerske skupine odraža zapleteno in nejasno naravo njihovih operacij, vključno z zlorabo odprtih razreševalcev DNS (strežnikov, ki sprejemajo poizvedbe s katerega koli naslova IP) za pošiljanje zahtev s kitajskih naslovov IP.
Kazalo
Kibernetski kriminalci kažejo nenavadne lastnosti v primerjavi z drugimi hekerskimi skupinami
Muddling Meerkat prikazuje prefinjeno razumevanje DNS, ki je med akterji groženj danes neobičajno – jasno poudarja, da je DNS močno orožje, ki ga uporabljajo nasprotniki. Natančneje, vključuje sprožitev poizvedb DNS za izmenjavo pošte (MX) in druge vrste zapisov za domene, ki niso v lasti igralca, vendar se nahajajo pod dobro znanimi domenami najvišje ravni, kot sta .com in .org.
Raziskovalci, ki so posneli zahteve, ki so jih naprave strank poslale njegovim rekurzivnim razreševalcem, so povedali, da so odkrili več kot 20 takih domen, nekaj primerov pa je:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, npr.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat iz velikega požarnega zidu izvabi posebno vrsto ponarejenega zapisa DNS MX, ki ga še nikoli nismo videli. Da bi se to zgodilo, mora Muddling Meerkat vzpostaviti odnos z operaterji GFW. Ciljne domene so domene, uporabljene v poizvedbah, zato niso nujno tarča napada. To je domena, ki se uporablja za izvedbo napada sonde. Te domene niso v lasti Muddling Meerkat.
Kako deluje Veliki požarni zid Kitajske?
Veliki požarni zid (GFW) uporablja tehnike ponarejanja in spreminjanja DNS za manipulacijo odzivov DNS. Ko se uporabnikova zahteva ujema s prepovedano ključno besedo ali domeno, GFW vbrizga lažne odgovore DNS, ki vsebujejo naključne prave naslove IP.
Preprosteje povedano, če uporabnik poskuša dostopati do blokirane ključne besede ali domene, GFW posreduje in prepreči dostop tako, da bodisi blokira ali preusmeri poizvedbo. Ta motnja se doseže z metodami, kot sta zastrupitev predpomnilnika DNS ali blokiranje naslova IP.
Ta postopek vključuje GFW, ki zazna poizvedbe do blokiranih spletnih mest in se odzove z lažnimi odgovori DNS, ki vsebujejo neveljavne naslove IP ali naslove IP, ki vodijo do različnih domen. To dejanje dejansko prekine predpomnilnik rekurzivnih DNS strežnikov v njegovi pristojnosti.
Muddling Meerkat je verjetno kitajski akter grožnje nacionalni državi
Izstopajoča značilnost Muddling Meerkat je uporaba lažnih odzivov zapisov MX, ki izvirajo iz kitajskih naslovov IP, kar je odstopanje od tipičnega vedenja Velikega požarnega zidu (GFW).
Ti odgovori prihajajo s kitajskih naslovov IP, ki običajno ne gostijo storitev DNS in vsebujejo netočne informacije v skladu s praksami GFW. Vendar pa za razliko od znanih metod GFW odgovori Muddling Meerkat vključujejo pravilno oblikovane zapise virov MX namesto naslovov IPv4.
Natančen namen te tekoče dejavnosti, ki traja več let, ostaja nejasen, čeprav kaže na morebitno vpletenost v internetno kartiranje ali sorodne raziskave.
Muddling Meerkat, ki ga pripisujejo kitajskemu državnemu akterju, skoraj vsak dan izvaja premišljene in prefinjene operacije DNS proti globalnim omrežjem, pri čemer celoten obseg njihovih dejavnosti zajema različne lokacije.
Razumevanje in odkrivanje zlonamerne programske opreme je preprostejše v primerjavi z dojemanjem dejavnosti DNS. Medtem ko raziskovalci priznavajo, da se nekaj dogaja, se jim popolno razumevanje izmika. CISA, FBI in druge agencije še naprej opozarjajo na neodkrite kitajske operacije.
