Muddling Meerkat APT

צץ איום סייבר לא ידוע בשם Muddling Meerkat, העוסק בפעילות מתוחכמת של מערכת שמות דומיין (DNS) מאז אוקטובר 2019. סביר להניח שהוא ימנע מאמצעי אבטחה ואיסוף מודיעין מרשתות גלובליות.

חוקרים מאמינים שהאיום קשור לרפובליקה העממית של סין (PRC) וחושדים שלשחקן יש שליטה על חומת האש הגדולה (GFW), המשמשת לצנזור אתרים זרים ולתפעל תעבורת אינטרנט.

שמה של קבוצת ההאקרים משקף את האופי המורכב והמבלבל של הפעולות שלהם, כולל שימוש לרעה ב-DNS Open Resolvers (שרתים המקבלים שאילתות מכל כתובת IP) כדי לשלוח בקשות מכתובות IP סיניות.

פושעי סייבר מציגים מאפיינים יוצאי דופן בהשוואה לקבוצות האקרים אחרות

Muddling Meerkat מדגימה הבנה מתוחכמת של DNS שאינה שכיחה בקרב גורמי איומים כיום - ומציינת בבירור ש-DNS הוא נשק רב עוצמה הממונף על ידי יריבים. ליתר דיוק, זה כרוך בהפעלת שאילתות DNS עבור חילופי דואר (MX) וסוגי רשומות אחרים לדומיינים שאינם בבעלות השחקן, אך נמצאים תחת דומיינים ברמה עליונה ידועים כגון .com ו-.org.

חוקרים שתעדו את הבקשות שנשלחו לפותרים רקורסיביים שלה על ידי מכשירי לקוחות אמרו שהוא זיהה למעלה מ-20 דומיינים כאלה, עם כמה דוגמאות:

4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, למשל[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com

ה-Muddling Meerkat מעלה סוג מיוחד של רשומת DNS MX מזויפת מחומת האש הגדולה, שלא נראתה מעולם. כדי שזה יקרה, Muddling Meerkat חייב לנהל מערכת יחסים עם מפעילי GFW. תחומי היעד הם התחומים שבהם נעשה שימוש בשאילתות, כך שהם לא בהכרח יעד למתקפה. זהו התחום המשמש לביצוע מתקפת הבדיקה. התחומים האלה אינם בבעלות ה-Muddling Meerkat.

כיצד פועלת חומת האש הגדולה של סין?

חומת האש הגדולה (GFW) משתמשת בטכניקות זיוף ושיבוש DNS כדי לתמרן תגובות DNS. כאשר בקשת משתמש תואמת למילת מפתח או דומיין אסורים, ה-GFW מחדיר תגובות DNS מזויפות המכילות כתובות IP אמיתיות אקראיות.

במילים פשוטות יותר, אם משתמש מנסה לגשת למילת מפתח או דומיין חסומים, ה-GFW מתערב כדי למנוע גישה על ידי חסימה או הפנייה מחדש של השאילתה. הפרעה זו מושגת באמצעות שיטות כמו הרעלת מטמון DNS או חסימת כתובות IP.

תהליך זה כולל את GFW מזהה שאילתות לאתרים חסומים ומגיב בתשובות DNS מזויפות המכילות כתובות IP לא חוקיות או כתובות IP לא חוקיות המובילות לדומיינים שונים. פעולה זו משבשת למעשה את המטמון של שרתי DNS רקורסיביים בתחום השיפוט שלו.

הסורקט המתבלבל הוא כנראה שחקן איום של מדינת לאום סינית

המאפיין הבולט של Muddling Meerkat הוא השימוש שלו בתגובות כוזבות של רשומות MX שמקורן בכתובות IP סיניות, חריגה מההתנהגות הטיפוסית של חומת האש הגדולה (GFW).

תגובות אלו מגיעות מכתובות IP סיניות שאינן מארחות בדרך כלל שירותי DNS ומכילות מידע לא מדויק בהתאם לנוהלי GFW. עם זאת, בניגוד לשיטות הידועות של GFW, התגובות של Muddling Meerkat כוללות רשומות משאבי MX מעוצבות כהלכה במקום כתובות IPv4.

המטרה המדויקת שמאחורי הפעילות המתמשכת הזו הנמשכת שנים מרובות נותרה לא ברורה, אם כי היא מעידה על מעורבות פוטנציאלית במיפוי אינטרנט או במחקר קשור.

ה-Muddling Meerkat, המיוחסת לשחקן ממלכתי סיני, מבצעת פעולות DNS מכוונות ומתוחכמות נגד רשתות גלובליות כמעט מדי יום, כאשר ההיקף המלא של פעילותן משתרע על מקומות שונים.

הבנה ואיתור תוכנות זדוניות היא פשוטה יותר בהשוואה לתפיסת פעילויות DNS. בעוד שחוקרים מזהים שמשהו קורה, הבנה מלאה חומקת מהם. CISA, ה-FBI וסוכנויות אחרות ממשיכות להזהיר מפני פעולות סיניות שלא אותרו.