Suricata confusa APT
Ha sorgit una amenaça cibernètica no revelada anomenada Muddling Meerkat, que es dedica a activitats sofisticades del sistema de noms de domini (DNS) des de l'octubre de 2019. És probable que eviti les mesures de seguretat i reculli informació de les xarxes globals.
Els investigadors creuen que l'amenaça està relacionada amb la República Popular de la Xina (RPC) i sospiten que l'actor té control sobre el Gran Tallafoc (GFW), que s'utilitza per censurar llocs web estrangers i manipular el trànsit d'Internet.
El nom del grup de pirates informàtics reflecteix la naturalesa complexa i confusa de les seves operacions, inclòs l'ús indegut dels resolutors oberts de DNS (servidors que accepten consultes des de qualsevol adreça IP) per enviar sol·licituds des d'adreces IP xineses.
Taula de continguts
Els ciberdelinqüents mostren característiques inusuals en comparació amb altres grups de pirates informàtics
Muddling Meerkat demostra una comprensió sofisticada del DNS que és poc freqüent entre els actors d'amenaça d'avui, assenyalant clarament que el DNS és una arma poderosa aprofitada pels adversaris. Més concretament, implica activar consultes DNS per a l'intercanvi de correu (MX) i altres tipus de registres a dominis que no són propietat de l'actor però que resideixen sota dominis de primer nivell coneguts com .com i .org.
Els investigadors que han enregistrat les sol·licituds enviades als seus solucionadors recursius pels dispositius dels clients van dir que va detectar més de 20 dominis d'aquest tipus, amb alguns exemples:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, p. ex.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
El Muddling Meerkat provoca un tipus especial de registre DNS MX fals del Great Firewall, que mai s'havia vist abans. Perquè això passi, Muddling Meerkat ha de tenir una relació amb els operadors de GFW. Els dominis objectiu són els dominis utilitzats en les consultes, de manera que no són necessàriament l'objectiu d'un atac. És el domini utilitzat per dur a terme l'atac de la sonda. Aquests dominis no són propietat del Muddling Meerkat.
Com funciona el gran tallafoc de la Xina?
El Great Firewall (GFW) utilitza tècniques de falsificació i manipulació de DNS per manipular les respostes de DNS. Quan la sol·licitud d'un usuari coincideix amb una paraula clau o un domini prohibit, el GFW injecta respostes DNS falses que contenen adreces IP reals aleatòries.
En termes més senzills, si un usuari intenta accedir a una paraula clau o un domini bloquejats, el GFW intervé per impedir l'accés bloquejant o redirigint la consulta. Aquesta interferència s'aconsegueix mitjançant mètodes com l'enverinament de la memòria cau DNS o el bloqueig d'adreces IP.
Aquest procés implica que la GFW detecti consultes a llocs web bloquejats i respongui amb respostes DNS falses que contenen adreces IP no vàlides o IP que condueixen a diferents dominis. Aquesta acció interromp efectivament la memòria cau dels servidors DNS recursius dins de la seva jurisdicció.
El Muddling Meerkat és probablement un actor d'amenaça de l'estat-nació xinès
La característica destacada de Muddling Meerkat és l'ús de respostes falses de registres MX provinents d'adreces IP xineses, una diferència del comportament típic de Great Firewall (GFW).
Aquestes respostes provenen d'adreces IP xineses que normalment no allotgen serveis DNS i contenen informació inexacta d'acord amb les pràctiques de GFW. Tanmateix, a diferència dels mètodes coneguts de la GFW, les respostes de Muddling Meerkat inclouen registres de recursos MX formatats correctament en lloc d'adreces IPv4.
El propòsit precís darrere d'aquesta activitat contínua que s'estén durant diversos anys encara no està clar, tot i que suggereix una possible implicació en mapes d'Internet o investigacions relacionades.
The Muddling Meerkat, atribuït a un actor estatal xinès, realitza operacions de DNS deliberades i sofisticades contra xarxes globals gairebé cada dia, amb tota l'abast de les seves activitats abastant diverses ubicacions.
Entendre i detectar programari maliciós és més senzill en comparació amb les activitats de DNS. Tot i que els investigadors reconeixen que alguna cosa està passant, la comprensió completa els escapa. CISA, l'FBI i altres agències continuen advertint sobre les operacions xineses no detectades.
