Muddling Surikata APT
Objevila se neodhalená kybernetická hrozba jménem Muddling Surikata, která se zapojuje do sofistikovaných aktivit systému doménových jmen (DNS) od října 2019. Je pravděpodobné, že se bude vyhýbat bezpečnostním opatřením a bude shromažďovat informace z globálních sítí.
Vědci se domnívají, že hrozba souvisí s Čínskou lidovou republikou (ČLR) a mají podezření, že herec má kontrolu nad Velkým firewallem (GFW), který se používá k cenzuře zahraničních webových stránek a manipulaci s internetovým provozem.
Název skupiny hackerů odráží složitou a matoucí povahu jejich operací, včetně zneužití otevřených překladačů DNS (serverů, které přijímají dotazy z libovolné IP adresy) k odesílání požadavků z čínských IP adres.
Obsah
Kyberzločinci vykazují neobvyklé vlastnosti ve srovnání s jinými skupinami hackerů
Muddling Meerkat demonstruje sofistikované chápání DNS, které je dnes u aktérů hrozeb neobvyklé – jasně poukazuje na to, že DNS je mocná zbraň využívaná protivníky. Konkrétně to znamená spouštění DNS dotazů pro výměnu pošty (MX) a další typy záznamů do domén, které nejsou vlastněny aktérem, ale které se nacházejí pod známými doménami nejvyšší úrovně, jako jsou .com a .org.
Výzkumníci, kteří zaznamenali požadavky odeslané do jejich rekurzivních resolverů zákaznickými zařízeními, uvedli, že detekovali více než 20 takových domén, přičemž některé příklady jsou:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, např.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Surikata vyvolává speciální druh falešného DNS MX záznamu z Great Firewallu, který nikdy předtím nebyl viděn. Aby k tomu došlo, musí mít Muddling Meerkat vztah s operátory GFW. Cílové domény jsou domény používané v dotazech, takže nemusí být nutně cílem útoku. Je to doména použitá k provedení útoku sondy. Tyto domény nejsou ve vlastnictví Muddling Surikata.
Jak funguje Velký čínský firewall?
The Great Firewall (GFW) používá DNS spoofing a techniky manipulace s odpověďmi DNS. Když se požadavek uživatele shoduje se zakázaným klíčovým slovem nebo doménou, GFW vloží falešné DNS odpovědi obsahující náhodné skutečné IP adresy.
Jednodušeji řečeno, pokud se uživatel pokusí získat přístup k blokovanému klíčovému slovu nebo doméně, GFW zasáhne, aby zabránil přístupu buď zablokováním nebo přesměrováním dotazu. Tohoto rušení je dosaženo pomocí metod, jako je otrava mezipaměti DNS nebo blokování IP adres.
Tento proces zahrnuje, že GFW zjišťuje dotazy na blokované webové stránky a odpovídá falešnými odpověďmi DNS obsahujícími neplatné IP adresy nebo IP vedoucí k různým doménám. Tato akce účinně naruší mezipaměť rekurzivních serverů DNS v rámci její jurisdikce.
Muddling Surikata je pravděpodobně čínským národním aktérem hrozeb
Charakteristickým rysem Muddling Meerkat je použití falešných odpovědí MX záznamů pocházejících z čínských IP adres, což je odchylka od typického chování Great Firewall (GFW).
Tyto odpovědi pocházejí z čínských IP adres, které obvykle nehostují služby DNS a obsahují nepřesné informace v souladu s postupy GFW. Na rozdíl od známých metod GFW však odpovědi Muddling Meerkat zahrnují správně naformátované záznamy MX prostředků namísto adres IPv4.
Přesný účel této probíhající činnosti trvající několik let zůstává nejasný, ačkoli to naznačuje potenciální zapojení do internetového mapování nebo souvisejícího výzkumu.
Muddling Surikata, připisovaná čínskému státnímu aktérovi, provádí téměř každý den promyšlené a sofistikované operace DNS proti globálním sítím, přičemž celý rozsah jejich aktivit zahrnuje různá místa.
Pochopení a detekce malwaru je ve srovnání s uchopením aktivit DNS jednodušší. Zatímco výzkumníci poznají, že se něco děje, úplné porozumění jim uniká. CISA, FBI a další agentury nadále varují před nezjištěnými čínskými operacemi.
