التخبط ميركات APT

ظهر تهديد سيبراني غير معلن يُدعى Muddling Meerkat، وينخرط في أنشطة نظام أسماء النطاقات (DNS) المتطورة منذ أكتوبر 2019. ومن المرجح أن يتجنب التدابير الأمنية ويجمع المعلومات الاستخبارية من الشبكات العالمية.

يعتقد الباحثون أن التهديد مرتبط بجمهورية الصين الشعبية (PRC) ويشتبهون في أن الممثل لديه سيطرة على جدار الحماية العظيم (GFW)، والذي يستخدم لفرض رقابة على المواقع الأجنبية والتلاعب بحركة المرور على الإنترنت.

يعكس اسم مجموعة القراصنة الطبيعة المعقدة والمربكة لعملياتها، بما في ذلك إساءة استخدام وحدات حل DNS المفتوحة (الخوادم التي تقبل الاستعلامات من أي عنوان IP) لإرسال الطلبات من عناوين IP الصينية.

يُظهر مجرمو الإنترنت خصائص غير عادية عند مقارنتهم بمجموعات القرصنة الأخرى

يُظهر Muddling Meerkat فهمًا متطورًا لنظام DNS وهو أمر غير شائع بين الجهات الفاعلة في مجال التهديد اليوم - مما يشير بوضوح إلى أن DNS هو سلاح قوي يستخدمه الخصوم. وبشكل أكثر تحديدًا، فإنه يستلزم تشغيل استعلامات DNS لتبادل البريد (MX) وأنواع السجلات الأخرى إلى النطاقات التي لا يملكها الممثل ولكنها تقع ضمن نطاقات المستوى الأعلى المعروفة مثل .com و.org.

قال الباحثون الذين سجلوا الطلبات التي تم إرسالها إلى وحدات الحل المتكررة بواسطة أجهزة العملاء إنهم اكتشفوا أكثر من 20 نطاقًا من هذا القبيل، مع بعض الأمثلة:

4u[.]com، kb[.]com، oao[.]com، od[.]com، boxi[.]com، zc[.]com، f4[.]com، b6[.]com، p3z[ .]com، ob[.]com، على سبيل المثال[.]com، kok[.]com، gogo[.]com، aoa[.]com، gogo[.]com، id[.]com، mv[.] كوم، nef[.]com، ntl[.]com، تلفزيون[.]com، 7ee[.]com، gb[.]com، q29[.]org، ni[.]com، tt[.]com، العلاقات العامة[.]كوم، ديسمبر[.]كوم

يستخرج Muddling Meerkat نوعًا خاصًا من سجل DNS MX المزيف من جدار الحماية العظيم، والذي لم يسبق له مثيل من قبل. لكي يحدث هذا، يجب أن يكون لدى Muddling Meerkat علاقة مع مشغلي GFW. النطاقات المستهدفة هي النطاقات المستخدمة في الاستعلامات، لذا فهي ليست بالضرورة هدفًا للهجوم. وهو المجال المستخدم لتنفيذ هجوم التحقيق. هذه النطاقات ليست مملوكة لشركة Muddling Meerkat.

كيف يعمل جدار الحماية العظيم في الصين؟

يستخدم جدار الحماية العظيم (GFW) تقنيات انتحال DNS والتلاعب به لمعالجة استجابات DNS. عندما يتطابق طلب المستخدم مع كلمة رئيسية أو مجال محظور، يقوم GFW بإدخال استجابات DNS مزيفة تحتوي على عناوين IP عشوائية حقيقية.

بعبارات أبسط، إذا حاول المستخدم الوصول إلى كلمة رئيسية أو مجال محظور، فإن GFW يتدخل لمنع الوصول إما عن طريق حظر الاستعلام أو إعادة توجيهه. يتم تحقيق هذا التداخل من خلال طرق مثل تسميم ذاكرة التخزين المؤقت لنظام أسماء النطاقات (DNS) أو حظر عنوان IP.

تتضمن هذه العملية اكتشاف GFW للاستعلامات الخاصة بالمواقع المحجوبة والرد بردود DNS المزيفة التي تحتوي على عناوين IP غير صالحة أو عناوين IP تؤدي إلى نطاقات مختلفة. يؤدي هذا الإجراء إلى تعطيل ذاكرة التخزين المؤقت لخوادم DNS المتكررة بشكل فعال ضمن نطاق اختصاصها.

من المحتمل أن يكون الميركات المشوش أحد عناصر تهديد الدولة القومية الصينية

السمة المميزة لـ Muddling Meerkat هي استخدامه لاستجابات سجل MX الزائفة الناشئة من عناوين IP الصينية، وهو خروج عن السلوك النموذجي لجدار الحماية العظيم (GFW).

تأتي هذه الاستجابات من عناوين IP الصينية التي لا تستضيف عادةً خدمات DNS وتحتوي على معلومات غير دقيقة تتوافق مع ممارسات GFW. ومع ذلك، على عكس أساليب GFW المعروفة، تتضمن استجابات Muddling Meerkat سجلات موارد MX منسقة بشكل صحيح بدلاً من عناوين IPv4.

لا يزال الهدف الدقيق وراء هذا النشاط المستمر الذي يمتد لعدة سنوات غير واضح، على الرغم من أنه يشير إلى احتمال المشاركة في رسم خرائط الإنترنت أو الأبحاث ذات الصلة.

تقوم Muddling Meerkat، المنسوبة إلى جهة حكومية صينية، بإجراء عمليات DNS متعمدة ومتطورة ضد الشبكات العالمية كل يوم تقريبًا، مع النطاق الكامل لأنشطتها التي تغطي مواقع مختلفة.

يعد فهم البرامج الضارة واكتشافها أكثر وضوحًا مقارنة بفهم أنشطة DNS. وبينما يدرك الباحثون أن شيئًا ما يحدث، فإن الفهم الكامل بعيد المنال عنهم. تواصل CISA ومكتب التحقيقات الفيدرالي والوكالات الأخرى التحذير بشأن العمليات الصينية التي لم يتم اكتشافها.