Muddling Meerkat APT
Появи се неразкрита киберзаплаха, наречена Muddling Meerkat, която се занимава със сложни дейности на системата за имена на домейни (DNS) от октомври 2019 г. Вероятно е да избягва мерките за сигурност и да събира информация от глобалните мрежи.
Изследователите вярват, че заплахата е свързана с Китайската народна република (КНР) и подозират, че актьорът има контрол над Великата защитна стена (GFW), която се използва за цензуриране на чужди уебсайтове и манипулиране на интернет трафика.
Името на хакерската група отразява сложния и объркващ характер на техните операции, включително злоупотребата с DNS отворени резолвери (сървъри, които приемат заявки от всеки IP адрес) за изпращане на заявки от китайски IP адреси.
Съдържание
Киберпрестъпниците показват необичайни характеристики в сравнение с други хакерски групи
Muddling Meerkat демонстрира усъвършенствано разбиране на DNS, което е необичайно сред действащите заплахи днес – ясно посочвайки, че DNS е мощно оръжие, използвано от противници. По-конкретно, това включва задействане на DNS заявки за обмен на поща (MX) и други типове записи към домейни, които не са собственост на актьора, но които се намират под добре известни домейни от първо ниво като .com и .org.
Изследователи, които са записали заявките, изпратени до неговите рекурсивни резолвери от клиентски устройства, казаха, че са открили над 20 такива домейна, като някои примери са:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, напр.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat предизвиква специален вид фалшив DNS MX запис от Великата защитна стена, който не е виждан досега. За да се случи това, Muddling Meerkat трябва да има връзка с операторите на GFW. Целевите домейни са домейните, използвани в заявките, така че те не са непременно цел на атака. Това е домейнът, използван за извършване на сондажната атака. Тези домейни не са собственост на Muddling Meerkat.
Как работи Великата китайска защитна стена?
Великата защитна стена (GFW) използва техники за подправяне и подправяне на DNS, за да манипулира DNS отговорите. Когато заявката на потребител съвпада със забранена ключова дума или домейн, GFW инжектира фалшиви DNS отговори, съдържащи произволни реални IP адреси.
С по-прости думи, ако потребител се опита да получи достъп до блокирана ключова дума или домейн, GFW се намесва, за да предотврати достъпа, като блокира или пренасочи заявката. Тази намеса се постига чрез методи като отравяне на DNS кеш или блокиране на IP адреси.
Този процес включва GFW откриване на заявки към блокирани уебсайтове и отговаряне с фалшиви DNS отговори, съдържащи невалидни IP адреси или IP адреси, водещи до различни домейни. Това действие ефективно нарушава кеша на рекурсивните DNS сървъри в рамките на неговата юрисдикция.
Обърканият сурикат вероятно е заплаха за китайска национална държава
Отличителната характеристика на Muddling Meerkat е използването на фалшиви отговори на MX записи, произхождащи от китайски IP адреси, което е отклонение от типичното поведение на Great Firewall (GFW).
Тези отговори идват от китайски IP адреси, които обикновено не хостват DNS услуги и съдържат неточна информация в съответствие с практиките на GFW. Въпреки това, за разлика от известните методи на GFW, отговорите на Muddling Meerkat включват правилно форматирани MX записи на ресурси вместо IPv4 адреси.
Точната цел зад тази продължаваща дейност, обхващаща няколко години, остава неясна, въпреки че предполага потенциално участие в интернет картографиране или свързани изследвания.
Muddling Meerkat, приписван на китайски държавен актьор, провежда умишлени и сложни DNS операции срещу глобални мрежи почти всеки ден, като пълният обхват на техните дейности обхваща различни места.
Разбирането и откриването на зловреден софтуер е по-лесно в сравнение с разбирането на DNS дейности. Докато изследователите признават, че нещо се случва, пълното разбиране им се изплъзва. CISA, ФБР и други агенции продължават да предупреждават за неоткрити китайски операции.
