Meerkat lộn xộn APT
Một mối đe dọa mạng chưa được tiết lộ có tên Muddling Meerkat đã xuất hiện, tham gia vào các hoạt động Hệ thống tên miền (DNS) tinh vi kể từ tháng 10 năm 2019. Nó có khả năng tránh được các biện pháp bảo mật và thu thập thông tin tình báo từ các mạng toàn cầu.
Các nhà nghiên cứu tin rằng mối đe dọa này có liên quan đến Cộng hòa Nhân dân Trung Hoa (PRC) và nghi ngờ tác nhân này có quyền kiểm soát Tường lửa vĩ đại (GFW), được sử dụng để kiểm duyệt các trang web nước ngoài và thao túng lưu lượng truy cập internet.
Tên của nhóm hacker phản ánh tính chất phức tạp và khó hiểu trong hoạt động của chúng, bao gồm cả việc lạm dụng trình phân giải mở DNS (máy chủ chấp nhận truy vấn từ bất kỳ địa chỉ IP nào) để gửi yêu cầu từ các địa chỉ IP của Trung Quốc.
Mục lục
Tội phạm mạng thể hiện những đặc điểm bất thường khi so sánh với các nhóm hacker khác
Muddling Meerkat thể hiện sự hiểu biết sâu sắc về DNS, điều mà các tác nhân đe dọa ngày nay không phổ biến – chỉ ra rõ ràng rằng DNS là một vũ khí mạnh mẽ được kẻ thù lợi dụng. Cụ thể hơn, nó đòi hỏi phải kích hoạt các truy vấn DNS để trao đổi thư (MX) và các loại bản ghi khác tới các miền không thuộc quyền sở hữu của tác nhân nhưng nằm trong các miền cấp cao nhất nổi tiếng như .com và .org.
Các nhà nghiên cứu đã ghi lại các yêu cầu được thiết bị của khách hàng gửi đến bộ phân giải đệ quy cho biết họ đã phát hiện hơn 20 miền như vậy, với một số ví dụ là:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, ví dụ:[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat gợi ra một loại bản ghi DNS MX giả đặc biệt từ Great Wall, loại bản ghi chưa từng thấy trước đây. Để điều này xảy ra, Muddling Meerkat phải có mối quan hệ với những người điều hành GFW. Các miền mục tiêu là các miền được sử dụng trong các truy vấn, vì vậy chúng không nhất thiết là mục tiêu của một cuộc tấn công. Đây là miền được sử dụng để thực hiện cuộc tấn công thăm dò. Những tên miền này không thuộc sở hữu của Muddling Meerkat.
Tường lửa vĩ đại của Trung Quốc hoạt động như thế nào?
Tường lửa vĩ đại (GFW) sử dụng các kỹ thuật giả mạo và giả mạo DNS để thao túng các phản hồi DNS. Khi yêu cầu của người dùng khớp với từ khóa hoặc miền bị cấm, GFW sẽ đưa ra các phản hồi DNS giả chứa địa chỉ IP thực ngẫu nhiên.
Nói một cách đơn giản hơn, nếu người dùng cố gắng truy cập từ khóa hoặc tên miền bị chặn, GFW sẽ can thiệp để ngăn chặn quyền truy cập bằng cách chặn hoặc chuyển hướng truy vấn. Sự can thiệp này đạt được thông qua các phương pháp như đầu độc bộ đệm DNS hoặc chặn địa chỉ IP.
Quá trình này bao gồm việc GFW phát hiện các truy vấn tới các trang web bị chặn và phản hồi bằng các phản hồi DNS giả mạo chứa địa chỉ IP không hợp lệ hoặc IP dẫn đến các miền khác nhau. Hành động này sẽ phá vỡ bộ nhớ đệm của các máy chủ DNS đệ quy trong phạm vi quyền hạn của nó một cách hiệu quả.
Meerkat lầy lội có khả năng là kẻ đe dọa quốc gia-nhà nước Trung Quốc
Đặc điểm nổi bật của Muddling Meerkat là việc sử dụng các phản hồi bản ghi MX sai có nguồn gốc từ các địa chỉ IP của Trung Quốc, khác với hành vi Great Wall (GFW) điển hình.
Những phản hồi này đến từ các địa chỉ IP của Trung Quốc thường không lưu trữ dịch vụ DNS và chứa thông tin không chính xác phù hợp với thông lệ của GFW. Tuy nhiên, không giống như các phương pháp đã biết của GFW, phản hồi của Muddling Meerkat bao gồm các bản ghi tài nguyên MX được định dạng chính xác thay vì địa chỉ IPv4.
Mục đích chính xác đằng sau hoạt động kéo dài nhiều năm này vẫn chưa rõ ràng, mặc dù nó cho thấy khả năng tham gia vào việc lập bản đồ internet hoặc nghiên cứu liên quan.
Muddling Meerkat, được cho là do một tác nhân nhà nước Trung Quốc thực hiện, tiến hành các hoạt động DNS có chủ ý và tinh vi chống lại các mạng toàn cầu gần như mỗi ngày, với toàn bộ hoạt động của chúng trải rộng khắp các địa điểm khác nhau.
Việc hiểu và phát hiện phần mềm độc hại đơn giản hơn so với việc nắm bắt các hoạt động DNS. Trong khi các nhà nghiên cứu nhận ra điều gì đó đang xảy ra thì họ lại không thể hiểu được đầy đủ. CISA, FBI và các cơ quan khác tiếp tục cảnh báo về các hoạt động chưa bị phát hiện của Trung Quốc.
