Muddling Meerkat APT
Pojavila se neobjavljena cyber prijetnja pod nazivom Muddling Meerkat, koja se bavi sofisticiranim aktivnostima Domain Name System (DNS) od listopada 2019. Vjerojatno će izbjeći sigurnosne mjere i prikupiti obavještajne podatke s globalnih mreža.
Istraživači vjeruju da je prijetnja povezana s Narodnom Republikom Kinom (NR Kina) i sumnjaju da akter ima kontrolu nad Velikim vatrozidom (GFW), koji se koristi za cenzuriranje stranih web stranica i manipuliranje internetskim prometom.
Naziv hakerske skupine odražava složenu i zbunjujuću prirodu njihovih operacija, uključujući zlouporabu DNS otvorenih razlučivača (poslužitelja koji prihvaćaju upite s bilo koje IP adrese) za slanje zahtjeva s kineskih IP adresa.
Sadržaj
Cyberkriminalci pokazuju neobične karakteristike u usporedbi s drugim hakerskim skupinama
Muddling Meerkat pokazuje sofisticirano razumijevanje DNS-a koje je neuobičajeno među akterima prijetnji danas – jasno ističući da je DNS moćno oružje kojim se koriste protivnici. Konkretnije, to uključuje pokretanje DNS upita za razmjenu pošte (MX) i druge vrste zapisa na domenama koje nisu u vlasništvu aktera, ali koje se nalaze pod dobro poznatim domenama najviše razine kao što su .com i .org.
Istraživači koji su zabilježili zahtjeve koje su uređaji korisnika poslali njegovim rekurzivnim razrješavateljima rekli su da su otkrili preko 20 takvih domena, a neki od primjera su:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, npr.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat izaziva posebnu vrstu lažnog DNS MX zapisa iz Velikog vatrozida, koji nikada prije nije viđen. Da bi se to dogodilo, Muddling Meerkat mora imati odnos s operaterima GFW-a. Ciljne domene su domene koje se koriste u upitima, tako da nisu nužno meta napada. To je domena koja se koristi za izvođenje probnog napada. Ove domene nisu u vlasništvu Muddling Meerkata.
Kako funkcionira Veliki kineski vatrozid?
Veliki vatrozid (GFW) koristi DNS spoofing i tehnike petljanja za manipulaciju DNS odgovorima. Kada se korisnički zahtjev podudara sa zabranjenom ključnom riječi ili domenom, GFW ubacuje lažne DNS odgovore koji sadrže nasumične stvarne IP adrese.
Jednostavnije rečeno, ako korisnik pokuša pristupiti blokiranoj ključnoj riječi ili domeni, GFW intervenira kako bi spriječio pristup blokiranjem ili preusmjeravanjem upita. Ova se smetnja postiže metodama poput trovanja DNS predmemorije ili blokiranja IP adrese.
Ovaj proces uključuje GFW otkrivanje upita blokiranim web stranicama i odgovaranje lažnim DNS odgovorima koji sadrže nevažeće IP adrese ili IP adrese koje vode do različitih domena. Ova radnja učinkovito ometa predmemoriju rekurzivnih DNS poslužitelja unutar svoje nadležnosti.
Zbrkani meerkat je vjerojatno kineski akter prijetnje nacionalnoj državi
Istaknuta karakteristika Muddling Meerkata je njegova upotreba lažnih odgovora MX zapisa koji potječu s kineskih IP adresa, odstupanje od tipičnog ponašanja Velikog vatrozida (GFW).
Ovi odgovori dolaze s kineskih IP adresa koje obično ne ugošćuju DNS usluge i sadrže netočne informacije u skladu s praksom GFW-a. Međutim, za razliku od poznatih metoda GFW-a, odgovori Muddling Meerkata uključuju ispravno formatirane zapise MX resursa umjesto IPv4 adresa.
Točna svrha iza ove tekuće aktivnosti koja traje više godina ostaje nejasna, iako sugerira potencijalnu uključenost u internetsko kartiranje ili srodna istraživanja.
Muddling Meerkat, koji se pripisuje kineskom državnom akteru, provodi namjerne i sofisticirane DNS operacije protiv globalnih mreža gotovo svaki dan, a puni opseg njihovih aktivnosti obuhvaća različite lokacije.
Razumijevanje i otkrivanje zlonamjernog softvera jednostavnije je u usporedbi s razumijevanjem DNS aktivnosti. Dok istraživači prepoznaju da se nešto događa, potpuno razumijevanje im izmiče. CISA, FBI i druge agencije nastavljaju upozoravati na neotkrivene kineske operacije.
