Błotnista Surykatka APT
Pojawiło się nieujawnione zagrożenie cybernetyczne o nazwie Muddling Meerkat, które od października 2019 r. angażuje się w zaawansowane działania w systemie nazw domen (DNS). Prawdopodobnie unika środków bezpieczeństwa i gromadzi informacje wywiadowcze z sieci globalnych.
Badacze uważają, że zagrożenie jest powiązane z Chińską Republiką Ludową (ChRL) i podejrzewają, że aktor ma kontrolę nad Wielką Zaporą sieciową (GFW), która służy do cenzurowania zagranicznych stron internetowych i manipulowania ruchem internetowym.
Nazwa grupy hakerów odzwierciedla złożony i zagmatwany charakter jej działań, w tym niewłaściwe wykorzystanie otwartych programów rozpoznawania nazw DNS (serwerów akceptujących zapytania z dowolnego adresu IP) do wysyłania żądań z chińskich adresów IP.
Spis treści
Cyberprzestępcy wykazują niezwykłe cechy w porównaniu z innymi grupami hakerów
Muddling Meerkat wykazuje wyrafinowaną wiedzę na temat DNS, co jest obecnie rzadkością wśród cyberprzestępców – wyraźnie wskazując, że DNS to potężna broń wykorzystywana przez przeciwników. Mówiąc dokładniej, wiąże się to z wyzwalaniem zapytań DNS dotyczących wymiany poczty (MX) i innych typów rekordów do domen niebędących własnością aktora, ale znajdujących się w dobrze znanych domenach najwyższego poziomu, takich jak .com i .org.
Badacze, którzy zarejestrowali żądania wysyłane do rekursywnych programów rozpoznawania nazw przez urządzenia klientów, stwierdzili, że wykryli ponad 20 takich domen, a oto kilka przykładów:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, np.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat pobiera specjalny rodzaj fałszywego rekordu MX DNS z Wielkiej Zapory sieciowej, jakiego nigdy wcześniej nie widziano. Aby tak się stało, Muddling Meerkat musi mieć kontakt z operatorami GFW. Domeny docelowe to domeny używane w zapytaniach, zatem niekoniecznie są one celem ataku. Jest to domena używana do przeprowadzenia ataku sondującego. Te domeny nie są własnością Muddling Meerkat.
Jak działa Wielka Chińska Zapora sieciowa?
Wielka zapora sieciowa (GFW) wykorzystuje techniki fałszowania i manipulacji DNS w celu manipulowania odpowiedziami DNS. Gdy żądanie użytkownika pasuje do zakazanego słowa kluczowego lub domeny, GFW wstrzykuje fałszywe odpowiedzi DNS zawierające losowe prawdziwe adresy IP.
Mówiąc prościej, jeśli użytkownik próbuje uzyskać dostęp do zablokowanego słowa kluczowego lub domeny, GFW interweniuje, aby uniemożliwić dostęp, blokując lub przekierowując zapytanie. Zakłócenia te osiąga się za pomocą metod takich jak zatruwanie pamięci podręcznej DNS lub blokowanie adresów IP.
Proces ten polega na wykrywaniu przez GFW zapytań do zablokowanych stron internetowych i odpowiadaniu fałszywymi odpowiedziami DNS zawierającymi nieprawidłowe adresy IP lub adresy IP prowadzące do różnych domen. To działanie skutecznie zakłóca pamięć podręczną rekursywnych serwerów DNS znajdujących się w jego jurysdykcji.
Błotnista surykatka jest prawdopodobnie czynnikiem zagrażającym chińskiemu państwu narodowemu
Cechą wyróżniającą Muddling Meerkat jest wykorzystywanie przez niego fałszywych odpowiedzi na rekordy MX pochodzących z chińskich adresów IP, co stanowi odejście od typowego zachowania Wielkiej Zapory sieciowej (GFW).
Odpowiedzi te pochodzą z chińskich adresów IP, które zazwyczaj nie obsługują usług DNS i zawierają niedokładne informacje zgodne z praktykami GFW. Jednak w przeciwieństwie do znanych metod GFW, odpowiedzi Muddling Meerkat zawierają odpowiednio sformatowane rekordy zasobów MX zamiast adresów IPv4.
Dokładny cel tej trwającej wiele lat działalności pozostaje niejasny, chociaż sugeruje potencjalne zaangażowanie w tworzenie map internetowych lub powiązane badania.
Muddling Meerkat, przypisywany chińskiemu aktorowi państwowemu, niemal codziennie przeprowadza celowe i wyrafinowane operacje DNS w sieciach globalnych, a pełny zakres jego działań obejmuje różne lokalizacje.
Zrozumienie i wykrycie złośliwego oprogramowania jest prostsze w porównaniu do przechwytywania działań DNS. Choć badacze dostrzegają, że coś się dzieje, umykają im pełne zrozumienie. CISA, FBI i inne agencje w dalszym ciągu ostrzegają przed niewykrytymi chińskimi operacjami.
