Meerkat APT
Ancaman siber yang tidak didedahkan bernama Muddling Meerkat telah muncul, terlibat dalam aktiviti Sistem Nama Domain (DNS) yang canggih sejak Oktober 2019. Ia berkemungkinan untuk mengelakkan langkah keselamatan dan mengumpulkan risikan daripada rangkaian global.
Penyelidik percaya ancaman itu dikaitkan dengan Republik Rakyat China (PRC) dan mengesyaki pelakon itu mempunyai kawalan ke atas Great Firewall (GFW), yang digunakan untuk menapis laman web asing dan memanipulasi trafik internet.
Nama kumpulan penggodam mencerminkan sifat operasi mereka yang kompleks dan mengelirukan, termasuk penyalahgunaan penyelesai terbuka DNS (pelayan yang menerima pertanyaan daripada mana-mana alamat IP) untuk menghantar permintaan daripada alamat IP Cina.
Isi kandungan
Penjenayah Siber Memaparkan Ciri Luar Biasa Apabila Berbanding dengan Kumpulan Penggodam Lain
Muddling Meerkat menunjukkan pemahaman yang sofistikated tentang DNS yang jarang berlaku dalam kalangan pelaku ancaman hari ini – dengan jelas menunjukkan bahawa DNS ialah senjata berkuasa yang dimanfaatkan oleh musuh. Lebih khusus lagi, ia memerlukan mencetuskan pertanyaan DNS untuk pertukaran mel (MX) dan jenis rekod lain kepada domain yang tidak dimiliki oleh pelakon tetapi yang berada di bawah domain peringkat atas yang terkenal seperti .com dan .org.
Penyelidik yang telah merekodkan permintaan yang dihantar kepada penyelesai rekursifnya oleh peranti pelanggan berkata ia mengesan lebih 20 domain sedemikian, dengan beberapa contoh ialah:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, cth[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
The Muddling Meerkat memperoleh jenis rekod DNS MX palsu khas daripada Great Firewall, yang tidak pernah dilihat sebelum ini. Untuk ini berlaku, Muddling Meerkat mesti mempunyai hubungan dengan pengendali GFW. Domain sasaran ialah domain yang digunakan dalam pertanyaan, jadi ia tidak semestinya menjadi sasaran serangan. Ia adalah domain yang digunakan untuk menjalankan serangan siasatan. Domain ini tidak dimiliki oleh Muddling Meerkat.
Bagaimanakah Tembok Api Besar China Beroperasi?
Great Firewall (GFW) menggunakan teknik spoofing dan pengubahan DNS untuk memanipulasi respons DNS. Apabila permintaan pengguna sepadan dengan kata kunci atau domain yang dilarang, GFW menyuntik respons DNS palsu yang mengandungi alamat IP sebenar rawak.
Dalam istilah yang lebih mudah, jika pengguna cuba mengakses kata kunci atau domain yang disekat, GFW campur tangan untuk menghalang akses dengan sama ada menyekat atau mengubah hala pertanyaan. Gangguan ini dicapai melalui kaedah seperti keracunan cache DNS atau penyekatan alamat IP.
Proses ini melibatkan GFW mengesan pertanyaan ke tapak web yang disekat dan membalas dengan balasan DNS palsu yang mengandungi alamat IP tidak sah atau IP yang membawa kepada domain yang berbeza. Tindakan ini secara berkesan mengganggu cache pelayan DNS rekursif dalam bidang kuasanya.
The Muddling Meerkat Berkemungkinan Pelakon Ancaman Negara Bangsa China
Ciri menonjol Muddling Meerkat ialah penggunaannya terhadap respons rekod MX palsu yang berasal daripada alamat IP Cina, yang bertolak daripada gelagat Great Firewall (GFW) biasa.
Respons ini datang daripada alamat IP Cina yang biasanya tidak mengehoskan perkhidmatan DNS dan mengandungi maklumat yang tidak tepat selaras dengan amalan GFW. Walau bagaimanapun, tidak seperti kaedah GFW yang diketahui, respons Muddling Meerkat termasuk rekod sumber MX yang diformat dengan betul dan bukannya alamat IPv4.
Tujuan tepat di sebalik aktiviti berterusan yang menjangkau beberapa tahun ini masih tidak jelas, walaupun ia mencadangkan penglibatan berpotensi dalam pemetaan internet atau penyelidikan berkaitan.
The Muddling Meerkat, yang dikaitkan dengan pelakon negara China, menjalankan operasi DNS yang disengajakan dan canggih terhadap rangkaian global hampir setiap hari, dengan keseluruhan aktiviti mereka merangkumi pelbagai lokasi.
Memahami dan mengesan perisian hasad adalah lebih mudah berbanding dengan memahami aktiviti DNS. Walaupun penyelidik menyedari sesuatu sedang berlaku, pemahaman lengkap mengelak mereka. CISA, FBI dan agensi lain terus berhati-hati tentang operasi China yang tidak dapat dikesan.
