Muddling Meerkat APT
Μια άγνωστη απειλή στον κυβερνοχώρο που ονομάζεται Muddling Meerkat έχει εμφανιστεί, η οποία εμπλέκεται σε εξελιγμένες δραστηριότητες Συστήματος Ονομάτων Τομέα (DNS) από τον Οκτώβριο του 2019. Είναι πιθανό να αποφύγει μέτρα ασφαλείας και να συλλέξει πληροφορίες από παγκόσμια δίκτυα.
Οι ερευνητές πιστεύουν ότι η απειλή συνδέεται με τη Λαϊκή Δημοκρατία της Κίνας (ΛΔΚ) και υποπτεύονται ότι ο ηθοποιός έχει τον έλεγχο του Great Firewall (GFW), το οποίο χρησιμοποιείται για τη λογοκρισία ξένων ιστοσελίδων και τη χειραγώγηση της κυκλοφορίας στο Διαδίκτυο.
Το όνομα της ομάδας χάκερ αντικατοπτρίζει την περίπλοκη και μπερδεμένη φύση των λειτουργιών τους, συμπεριλαμβανομένης της κακής χρήσης των ανοιχτών επιλυτών DNS (διακομιστές που δέχονται ερωτήματα από οποιαδήποτε διεύθυνση IP) για την αποστολή αιτημάτων από κινεζικές διευθύνσεις IP.
Πίνακας περιεχομένων
Οι εγκληματίες του κυβερνοχώρου εμφανίζουν ασυνήθιστα χαρακτηριστικά σε σύγκριση με άλλες ομάδες χάκερ
Το Muddling Meerkat επιδεικνύει μια περίπλοκη κατανόηση του DNS που είναι ασυνήθιστο μεταξύ των παραγόντων απειλών σήμερα – επισημαίνοντας ξεκάθαρα ότι το DNS είναι ένα ισχυρό όπλο που χρησιμοποιείται από τους αντιπάλους. Πιο συγκεκριμένα, συνεπάγεται την ενεργοποίηση ερωτημάτων DNS για ανταλλαγή αλληλογραφίας (MX) και άλλων τύπων εγγραφών σε τομείς που δεν ανήκουν στον ηθοποιό αλλά βρίσκονται σε γνωστούς τομείς ανώτατου επιπέδου όπως .com και .org.
Ερευνητές που έχουν καταγράψει τα αιτήματα που στάλθηκαν στους αναδρομικούς αναλυτές του από συσκευές πελατών είπαν ότι εντόπισαν πάνω από 20 τέτοιους τομείς, με ορισμένα παραδείγματα:
4u[.]com, kb[.]com, oao[.]com, od[.]com, box[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, π.χ.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Το Muddling Meerkat προκαλεί ένα ειδικό είδος ψεύτικης εγγραφής DNS MX από το Great Firewall, το οποίο δεν έχει ξαναδεί ποτέ. Για να συμβεί αυτό, η Muddling Meerkat πρέπει να έχει σχέση με τους χειριστές GFW. Οι τομείς προορισμού είναι οι τομείς που χρησιμοποιούνται στα ερωτήματα, επομένως δεν είναι απαραίτητα ο στόχος μιας επίθεσης. Είναι ο τομέας που χρησιμοποιείται για την πραγματοποίηση της επίθεσης ανίχνευσης. Αυτοί οι τομείς δεν ανήκουν στην Muddling Meerkat.
Πώς λειτουργεί το Μεγάλο Τείχος προστασίας της Κίνας;
Το Great Firewall (GFW) χρησιμοποιεί τεχνικές πλαστογράφησης και παραβίασης DNS για να χειριστεί τις αποκρίσεις DNS. Όταν το αίτημα ενός χρήστη ταιριάζει με μια απαγορευμένη λέξη-κλειδί ή τομέα, το GFW εισάγει ψεύτικες απαντήσεις DNS που περιέχουν τυχαίες πραγματικές διευθύνσεις IP.
Με απλούστερους όρους, εάν ένας χρήστης προσπαθήσει να αποκτήσει πρόσβαση σε μια αποκλεισμένη λέξη-κλειδί ή τομέα, το GFW παρεμβαίνει για να αποτρέψει την πρόσβαση είτε αποκλείοντας είτε ανακατευθύνοντας το ερώτημα. Αυτή η παρεμβολή επιτυγχάνεται μέσω μεθόδων όπως η δηλητηρίαση της κρυφής μνήμης DNS ή ο αποκλεισμός διευθύνσεων IP.
Αυτή η διαδικασία περιλαμβάνει τον εντοπισμό ερωτημάτων από το GFW σε αποκλεισμένους ιστότοπους και την απόκριση με ψεύτικες απαντήσεις DNS που περιέχουν μη έγκυρες διευθύνσεις IP ή IP που οδηγούν σε διαφορετικούς τομείς. Αυτή η ενέργεια διακόπτει αποτελεσματικά τη μνήμη cache των αναδρομικών διακομιστών DNS εντός της δικαιοδοσίας του.
Το Muddling Meerkat είναι πιθανώς ένας κινέζικος έθνος-κράτος ηθοποιός απειλών
Το χαρακτηριστικό χαρακτηριστικό του Muddling Meerkat είναι η χρήση ψευδών απαντήσεων εγγραφής MX που προέρχονται από κινεζικές διευθύνσεις IP, μια απόκλιση από την τυπική συμπεριφορά Great Firewall (GFW).
Αυτές οι απαντήσεις προέρχονται από κινεζικές διευθύνσεις IP που δεν φιλοξενούν συνήθως υπηρεσίες DNS και περιέχουν ανακριβείς πληροφορίες που συνάδουν με τις πρακτικές GFW. Ωστόσο, σε αντίθεση με τις γνωστές μεθόδους του GFW, οι απαντήσεις του Muddling Meerkat περιλαμβάνουν σωστά διαμορφωμένες εγγραφές πόρων MX αντί για διευθύνσεις IPv4.
Ο ακριβής σκοπός πίσω από αυτή τη συνεχιζόμενη δραστηριότητα που εκτείνεται σε πολλά χρόνια παραμένει ασαφής, αν και υποδηλώνει πιθανή συμμετοχή στη χαρτογράφηση του Διαδικτύου ή σε σχετική έρευνα.
Το Muddling Meerkat, που αποδίδεται σε έναν κινέζικο κρατικό παράγοντα, διεξάγει σκόπιμες και εξελιγμένες επιχειρήσεις DNS εναντίον παγκόσμιων δικτύων σχεδόν καθημερινά, με την πλήρη έκταση των δραστηριοτήτων τους να εκτείνονται σε διάφορες τοποθεσίες.
Η κατανόηση και η ανίχνευση κακόβουλου λογισμικού είναι πιο απλή σε σύγκριση με την κατανόηση δραστηριοτήτων DNS. Ενώ οι ερευνητές αναγνωρίζουν ότι κάτι συμβαίνει, η πλήρης κατανόηση τους διαφεύγει. Η CISA, το FBI και άλλες υπηρεσίες συνεχίζουν να προειδοποιούν για μη εντοπισμένες κινεζικές επιχειρήσεις.
