Modderende Meerkat APT
Er is een geheime cyberdreiging opgedoken, de Muddling Meerkat genaamd, die zich sinds oktober 2019 bezighoudt met geavanceerde Domain Name System (DNS)-activiteiten. Het is waarschijnlijk dat deze beveiligingsmaatregelen zal vermijden en informatie zal verzamelen van mondiale netwerken.
Onderzoekers denken dat de dreiging verband houdt met de Volksrepubliek China (VRC) en vermoeden dat de actor controle heeft over de Great Firewall (GFW), die wordt gebruikt om buitenlandse websites te censureren en internetverkeer te manipuleren.
De naam van de hackergroep weerspiegelt de complexe en verwarrende aard van hun activiteiten, inclusief het misbruik van DNS open-resolvers (servers die vragen van elk IP-adres accepteren) om verzoeken van Chinese IP-adressen te verzenden.
Inhoudsopgave
Cybercriminelen vertonen ongebruikelijke kenmerken in vergelijking met andere hackergroepen
Muddling Meerkat demonstreert een geavanceerd begrip van DNS dat tegenwoordig ongebruikelijk is onder bedreigingsactoren – en wijst er duidelijk op dat DNS een krachtig wapen is dat door tegenstanders wordt gebruikt. Meer specifiek houdt het in dat DNS-query's voor mailuitwisseling (MX) en andere recordtypen worden geactiveerd naar domeinen die geen eigendom zijn van de actor, maar die zich onder bekende topniveaudomeinen bevinden, zoals .com en .org.
Onderzoekers die de verzoeken hebben geregistreerd die door apparaten van klanten naar de recursieve solvers zijn verzonden, zeiden dat het meer dan twintig van dergelijke domeinen heeft gedetecteerd, met enkele voorbeelden:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, bijv.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
De Muddling Meerkat lokt een speciaal soort nep-DNS MX-record uit de Great Firewall, dat nog nooit eerder is gezien. Om dit te laten gebeuren, moet Muddling Meerkat een relatie hebben met de GFW-operators. De doeldomeinen zijn de domeinen die in de zoekopdrachten worden gebruikt en zijn dus niet noodzakelijkerwijs het doelwit van een aanval. Het is het domein dat wordt gebruikt om de sondeaanval uit te voeren. Deze domeinen zijn geen eigendom van de Muddling Meerkat.
Hoe werkt de Grote Firewall van China?
De Great Firewall (GFW) maakt gebruik van DNS-spoofing- en manipulatietechnieken om DNS-reacties te manipuleren. Wanneer het verzoek van een gebruiker overeenkomt met een verboden trefwoord of domein, injecteert de GFW valse DNS-antwoorden met willekeurige echte IP-adressen.
In eenvoudiger bewoordingen: als een gebruiker toegang probeert te krijgen tot een geblokkeerd trefwoord of domein, komt de GFW tussenbeide om toegang te voorkomen door de zoekopdracht te blokkeren of om te leiden. Deze interferentie wordt bereikt door methoden zoals DNS-cachevergiftiging of het blokkeren van IP-adressen.
Bij dit proces detecteert de GFW vragen naar geblokkeerde websites en reageert met valse DNS-antwoorden die ongeldige IP-adressen of IP's bevatten die naar verschillende domeinen leiden. Deze actie verstoort effectief de cache van recursieve DNS-servers binnen zijn rechtsgebied.
De Muddling Meerkat is waarschijnlijk een Chinese natiestaatbedreigingsacteur
Het opvallende kenmerk van Muddling Meerkat is het gebruik van valse MX-recordreacties afkomstig van Chinese IP-adressen, wat afwijkt van het typische gedrag van de Great Firewall (GFW).
Deze reacties zijn afkomstig van Chinese IP-adressen die doorgaans geen DNS-services hosten en onnauwkeurige informatie bevatten die consistent is met de GFW-praktijken. In tegenstelling tot de bekende methoden van de GFW bevatten de antwoorden van Muddling Meerkat echter correct opgemaakte MX-bronrecords in plaats van IPv4-adressen.
Het precieze doel achter deze voortdurende activiteit die meerdere jaren beslaat, blijft onduidelijk, hoewel het mogelijke betrokkenheid bij internetkartering of gerelateerd onderzoek suggereert.
De Muddling Meerkat, toegeschreven aan een Chinese staatsacteur, voert bijna elke dag doelbewuste en geavanceerde DNS-operaties uit tegen mondiale netwerken, waarbij de volledige omvang van hun activiteiten zich over verschillende locaties uitstrekt.
Het begrijpen en detecteren van malware is eenvoudiger dan het begrijpen van DNS-activiteiten. Hoewel onderzoekers erkennen dat er iets gebeurt, ontgaat hen een volledig begrip. CISA, de FBI en andere instanties blijven waarschuwen voor niet-opgemerkte Chinese operaties.
