Muddling Meerkat APT
Atsirado neatskleista kibernetinė grėsmė, pavadinta „Muddling Meerkat“, kuri nuo 2019 m. spalio mėn. užsiima sudėtinga domenų vardų sistemos (DNS) veikla. Tikėtina, kad ji išvengs saugumo priemonių ir rinks žvalgybos informaciją iš pasaulinių tinklų.
Tyrėjai mano, kad grėsmė yra susijusi su Kinijos Liaudies Respublika (KLR), ir įtaria, kad aktorius kontroliuoja Didžiąją ugniasienę (GFW), kuri naudojama užsienio svetainėms cenzūruoti ir manipuliuoti interneto srautu.
Įsilaužėlių grupės pavadinimas atspindi sudėtingą ir painų jų operacijų pobūdį, įskaitant piktnaudžiavimą atviraisiais DNS sprendiniais (serveriais, kurie priima užklausas iš bet kurio IP adreso), siunčiant užklausas iš Kinijos IP adresų.
Turinys
Kibernetiniai nusikaltėliai pasižymi neįprastomis savybėmis, palyginti su kitomis įsilaužėlių grupėmis
„Muddling Meerkat“ demonstruoja sudėtingą DNS supratimą, kuris šiandien nėra įprastas grėsmės veikėjams – aiškiai nurodo, kad DNS yra galingas ginklas, kurį naudoja priešininkai. Konkrečiau, tai reiškia, kad suaktyvinamos DNS užklausos dėl mainų paštu (MX) ir kitų įrašų tipų domenams, kurie nepriklauso veikėjui, bet yra gerai žinomuose aukščiausio lygio domenuose, tokiuose kaip .com ir .org.
Tyrėjai, užregistravę užklausas, kurias klientų įrenginiai siųsdavo rekursyviems sprendiniams, teigė, kad aptiko daugiau nei 20 tokių domenų, o keli pavyzdžiai:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, pvz.,[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, gruodis[.]com
„Muddling Meerkat“ iš Didžiosios ugniasienės išgauna ypatingą netikrą DNS MX įrašą, kurio dar niekada nebuvo. Kad tai įvyktų, Muddling Meerkat turi palaikyti ryšį su GFW operatoriais. Tiksliniai domenai yra užklausose naudojami domenai, todėl jie nebūtinai yra atakos objektas. Tai domenas, naudojamas zondo atakai vykdyti. Šie domenai nepriklauso „Muddling Meerkat“.
Kaip veikia Didžioji Kinijos ugniasienė?
Didžioji ugniasienė (GFW) naudoja DNS klastojimo ir klastojimo metodus, kad manipuliuotų DNS atsakymais. Kai vartotojo užklausa atitinka uždraustą raktinį žodį arba domeną, GFW įveda netikrus DNS atsakymus, kuriuose yra atsitiktinių tikrų IP adresų.
Paprasčiau tariant, jei vartotojas bando pasiekti užblokuotą raktinį žodį arba domeną, GFW įsikiša, kad užblokuotų arba nukreiptų užklausą, kad užkirstų kelią prieigai. Šie trukdžiai pasiekiami naudojant tokius metodus kaip DNS talpyklos apsinuodijimas arba IP adresų blokavimas.
Šis procesas apima, kad GFW aptinka užklausas į užblokuotas svetaines ir atsako su netikrais DNS atsakymais, kuriuose yra neteisingų IP adresų arba IP, vedančių į skirtingus domenus. Šis veiksmas veiksmingai sutrikdo rekursinių DNS serverių talpyklą jos jurisdikcijoje.
„Muddling Meerkat“ tikriausiai yra Kinijos nacionalinei valstybei grėsmės veikėjas
Išskirtinė „Muddling Meerkat“ savybė yra klaidingų MX įrašų atsakymų, gaunamų iš Kinijos IP adresų, naudojimas.
Šie atsakymai gaunami iš Kinijos IP adresų, kuriuose paprastai nėra DNS paslaugų ir kuriuose yra netikslios informacijos, atitinkančios GFW praktiką. Tačiau skirtingai nuo žinomų GFW metodų, „Muddling Meerkat“ atsakymai apima tinkamai suformatuotus MX išteklių įrašus, o ne IPv4 adresus.
Tikslus šios daugelį metų trunkančios veiklos tikslas lieka neaiškus, nors tai rodo galimą dalyvavimą interneto žemėlapių sudaryme ar susijusiuose tyrimuose.
Muddling Meerkat, priskirtas Kinijos valstybės veikėjui, beveik kiekvieną dieną vykdo apgalvotas ir sudėtingas DNS operacijas su pasauliniais tinklais, o visa jų veikla apima įvairias vietoves.
Kenkėjiškų programų supratimas ir aptikimas yra paprasčiau, palyginti su DNS veiklos suvokimu. Nors tyrinėtojai atpažįsta, kad kažkas vyksta, visiškas supratimas jų išvengia. CISA, FTB ir kitos agentūros ir toliau įspėja dėl nepastebėtų Kinijos operacijų.
