Muddleling Meerkat APT
ภัยคุกคามทางไซเบอร์ที่ไม่เปิดเผยชื่อ Muddleling Meerkat ได้อุบัติขึ้น โดยมีส่วนร่วมในกิจกรรมระบบชื่อโดเมน (DNS) ที่ซับซ้อนตั้งแต่เดือนตุลาคม 2562 มีแนวโน้มที่จะหลีกเลี่ยงมาตรการรักษาความปลอดภัยและรวบรวมข้อมูลจากเครือข่ายทั่วโลก
นักวิจัยเชื่อว่าภัยคุกคามดังกล่าวเชื่อมโยงกับสาธารณรัฐประชาชนจีน (PRC) และสงสัยว่านักแสดงสามารถควบคุม Great Firewall (GFW) ซึ่งใช้ในการเซ็นเซอร์เว็บไซต์ต่างประเทศและจัดการการรับส่งข้อมูลทางอินเทอร์เน็ต
ชื่อของกลุ่มแฮ็กเกอร์สะท้อนให้เห็นถึงลักษณะการดำเนินงานที่ซับซ้อนและน่าสับสน รวมถึงการใช้ DNS open Resolvers (เซิร์ฟเวอร์ที่ยอมรับการสืบค้นจากที่อยู่ IP ใด ๆ ) ในทางที่ผิดเพื่อส่งคำขอจากที่อยู่ IP ของจีน
สารบัญ
อาชญากรไซเบอร์แสดงลักษณะที่ผิดปกติเมื่อเปรียบเทียบกับกลุ่มแฮ็กเกอร์อื่นๆ
Muddleling Meerkat แสดงให้เห็นถึงความเข้าใจอันซับซ้อนเกี่ยวกับ DNS ซึ่งไม่ธรรมดาในหมู่ผู้ก่อภัยคุกคามในปัจจุบัน โดยชี้ให้เห็นชัดเจนว่า DNS เป็นอาวุธอันทรงพลังที่ฝ่ายตรงข้ามใช้ประโยชน์จาก โดยเฉพาะอย่างยิ่ง มันเกี่ยวข้องกับการเรียกใช้การสืบค้น DNS สำหรับการแลกเปลี่ยนเมล (MX) และประเภทบันทึกอื่น ๆ ไปยังโดเมนที่นักแสดงไม่ได้เป็นเจ้าของ แต่อยู่ภายใต้โดเมนระดับบนสุดที่รู้จักกันดี เช่น .com และ .org
นักวิจัยที่ได้บันทึกคำขอที่ส่งไปยังรีโซลเวอร์แบบเรียกซ้ำโดยอุปกรณ์ของลูกค้ากล่าวว่าตรวจพบโดเมนดังกล่าวมากกว่า 20 โดเมน โดยมีตัวอย่างดังนี้:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com เช่น[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, ทีวี[.]com, 7ee[.]com, gb[.]com, q29[.]org, พรรณี[.]com, tt[.]com, ประชาสัมพันธ์[.]com, ธันวาคม[.]com
Muddleling Meerkat ล้วงเอาบันทึก DNS MX ปลอมชนิดพิเศษจาก Great Firewall ซึ่งไม่เคยเห็นมาก่อน เพื่อให้สิ่งนี้เกิดขึ้น Muddleling Meerkat จะต้องมีความสัมพันธ์กับผู้ดำเนินการ GFW โดเมนเป้าหมายคือโดเมนที่ใช้ในการสืบค้น ดังนั้นจึงไม่จำเป็นต้องเป็นเป้าหมายของการโจมตี เป็นโดเมนที่ใช้เพื่อดำเนินการโจมตีโพรบ โดเมนเหล่านี้ไม่ได้เป็นเจ้าของโดย Muddleling Meerkat
Great Firewall of China ทำงานอย่างไร?
Great Firewall (GFW) ใช้เทคนิคการปลอมแปลง DNS และการแก้ไขเพื่อจัดการการตอบสนองของ DNS เมื่อคำขอของผู้ใช้ตรงกับคำสำคัญหรือโดเมนที่ถูกแบน GFW จะส่งการตอบสนอง DNS ปลอมที่มีที่อยู่ IP จริงแบบสุ่ม
พูดง่ายๆ ก็คือ หากผู้ใช้พยายามเข้าถึงคำสำคัญหรือโดเมนที่ถูกบล็อก GFW จะเข้ามาแทรกแซงเพื่อป้องกันการเข้าถึงโดยการบล็อกหรือเปลี่ยนเส้นทางคำค้นหา การรบกวนนี้เกิดขึ้นได้ด้วยวิธีการต่างๆ เช่น การวางพิษแคช DNS หรือการบล็อกที่อยู่ IP
กระบวนการนี้เกี่ยวข้องกับ GFW ที่ตรวจหาคำค้นหาไปยังเว็บไซต์ที่ถูกบล็อก และตอบกลับด้วยการตอบกลับ DNS ปลอมที่มีที่อยู่ IP หรือ IP ที่ไม่ถูกต้องซึ่งนำไปสู่โดเมนที่แตกต่างกัน การดำเนินการนี้จะขัดขวางแคชของเซิร์ฟเวอร์ DNS แบบเรียกซ้ำภายในเขตอำนาจศาลของตนอย่างมีประสิทธิภาพ
Muddleling Meerkat น่าจะเป็นนักแสดงภัยคุกคามระดับชาติของจีน
ลักษณะเด่นของ Muddleling Meerkat คือการใช้การตอบสนองบันทึก MX ปลอมที่มาจากที่อยู่ IP ของจีน ซึ่งแตกต่างจากพฤติกรรม Great Firewall (GFW) ทั่วไป
การตอบกลับเหล่านี้มาจากที่อยู่ IP ของจีนซึ่งโดยทั่วไปแล้วไม่ได้โฮสต์บริการ DNS และมีข้อมูลที่ไม่ถูกต้องซึ่งสอดคล้องกับแนวทางปฏิบัติของ GFW อย่างไรก็ตาม การตอบสนองของ Muddleling Meerkat นั้นแตกต่างจากวิธีที่ GFW รู้จักตรงที่จะมีบันทึกทรัพยากร MX ที่จัดรูปแบบอย่างเหมาะสมแทนที่อยู่ IPv4
วัตถุประสงค์ที่ชัดเจนเบื้องหลังกิจกรรมต่อเนื่องหลายปีนี้ยังไม่ชัดเจน แม้ว่าจะชี้ให้เห็นถึงความเกี่ยวข้องที่อาจเกิดขึ้นกับการทำแผนที่อินเทอร์เน็ตหรือการวิจัยที่เกี่ยวข้องก็ตาม
Muddleling Meerkat ซึ่งถือได้ว่าเป็นนักแสดงของรัฐชาวจีน ดำเนินการดำเนินการ DNS อย่างจงใจและซับซ้อนกับเครือข่ายทั่วโลกเกือบทุกวัน โดยทำกิจกรรมทั้งหมดครอบคลุมสถานที่ต่างๆ
การทำความเข้าใจและตรวจจับมัลแวร์นั้นตรงไปตรงมามากกว่าเมื่อเปรียบเทียบกับการจับกิจกรรม DNS แม้ว่านักวิจัยจะรู้ว่ามีบางอย่างเกิดขึ้น แต่ความเข้าใจที่สมบูรณ์ก็หายไป CISA, FBI และหน่วยงานอื่นๆ ยังคงระมัดระวังเกี่ยวกับการปฏิบัติการของจีนที่ตรวจไม่พบ
