Muddling Meerkat APT
З’явилася невідома кіберзагроза під назвою Muddling Meerkat, яка бере участь у складній системі доменних імен (DNS) із жовтня 2019 року. Ймовірно, вона уникає заходів безпеки та збирає дані з глобальних мереж.
Дослідники вважають, що загроза пов’язана з Китайською Народною Республікою (КНР) і підозрюють, що актор контролює Великий брандмауер (GFW), який використовується для цензури іноземних веб-сайтів і маніпулювання інтернет-трафіком.
Назва групи хакерів відображає складний і заплутаний характер їхніх операцій, включаючи неправильне використання DNS відкритих резолверів (серверів, які приймають запити з будь-якої IP-адреси) для надсилання запитів з китайських IP-адрес.
Зміст
Кіберзлочинці демонструють незвичайні характеристики порівняно з іншими групами хакерів
Muddling Meerkat демонструє витончене розуміння DNS, яке сьогодні є рідкістю серед загрозливих акторів, чітко вказуючи, що DNS є потужною зброєю, якою користуються противники. Зокрема, це передбачає ініціювання DNS-запитів для обміну поштою (MX) та інших типів записів до доменів, які не належать суб’єкту, але знаходяться в відомих доменах верхнього рівня, таких як .com і .org.
Дослідники, які записали запити, надіслані клієнтськими пристроями до його рекурсивних розпізнавачів, заявили, що виявили понад 20 таких доменів, деякі з яких:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, наприклад[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat створює особливий вид підробленого запису DNS MX із Великого брандмауера, якого раніше не було. Щоб це сталося, Muddling Meerkat має мати стосунки з операторами GFW. Цільові домени – це домени, які використовуються в запитах, тому вони не обов’язково є ціллю атаки. Це домен, який використовується для здійснення пробної атаки. Ці домени не належать Muddling Meerkat.
Як працює Великий китайський брандмауер?
Великий брандмауер (GFW) використовує методи підробки та підробки DNS для маніпулювання відповідями DNS. Коли запит користувача збігається із забороненим ключовим словом або доменом, GFW вводить фальшиві відповіді DNS, що містять випадкові справжні IP-адреси.
Простіше кажучи, якщо користувач намагається отримати доступ до заблокованого ключового слова або домену, GFW втручається, щоб запобігти доступу, блокуючи або перенаправляючи запит. Це втручання досягається за допомогою таких методів, як отруєння кешу DNS або блокування IP-адреси.
Цей процес передбачає, що GFW виявляє запити до заблокованих веб-сайтів і відповідає фальшивими відповідями DNS, що містять недійсні IP-адреси або IP-адреси, що ведуть до різних доменів. Ця дія фактично порушує роботу кешу рекурсивних DNS-серверів у межах його юрисдикції.
Безладний сурикат, ймовірно, є загрозою для китайської національної держави
Особливістю Muddling Meerkat є використання хибних відповідей записів MX, що надходять із китайських IP-адрес, що є відмінністю від типової поведінки Great Firewall (GFW).
Ці відповіді надходять із китайських IP-адрес, які зазвичай не розміщують служби DNS і містять неточну інформацію відповідно до практики GFW. Однак, на відміну від відомих методів GFW, відповіді Muddling Meerkat містять належним чином відформатовані записи ресурсів MX замість адрес IPv4.
Точна мета цієї постійної діяльності, що триває кілька років, залишається незрозумілою, хоча вона передбачає потенційну участь у картографуванні Інтернету чи пов’язаних дослідженнях.
Muddling Meerkat, якого приписують китайському державному актору, проводить навмисні та складні операції DNS проти глобальних мереж майже щодня, при цьому повний обсяг їх діяльності охоплює різні місця.
Зрозуміти та виявити зловмисне програмне забезпечення легше, ніж зрозуміти дії DNS. Хоча дослідники визнають, що щось відбувається, повного розуміння їм не вдається. CISA, ФБР та інші агентства продовжують застерігати щодо невиявлених китайських операцій.
