Путаница Meerkat APT
Появилась нераскрытая киберугроза под названием Muddling Meerkat, которая с октября 2019 года занимается сложной деятельностью в области системы доменных имен (DNS). Вероятно, она обходит меры безопасности и собирает информацию из глобальных сетей.
Исследователи полагают, что угроза связана с Китайской Народной Республикой (КНР), и подозревают, что злоумышленник контролирует Великий межсетевой экран (GFW), который используется для цензуры иностранных веб-сайтов и манипулирования интернет-трафиком.
Название хакерской группы отражает сложный и запутанный характер их деятельности, в том числе злоупотребление открытыми преобразователями DNS (серверами, которые принимают запросы с любого IP-адреса) для отправки запросов с китайских IP-адресов.
Оглавление
Киберпреступники демонстрируют необычные характеристики по сравнению с другими хакерскими группировками
Запутанный Meerkat демонстрирует сложное понимание DNS, которое сегодня редко встречается среди злоумышленников, и ясно указывает на то, что DNS является мощным оружием, используемым злоумышленниками. Более конкретно, это влечет за собой запуск DNS-запросов для обмена почтой (MX) и других типов записей к доменам, не принадлежащим субъекту, но расположенным в известных доменах верхнего уровня, таких как .com и .org.
Исследователи, которые записали запросы, отправленные на рекурсивные преобразователи с клиентских устройств, заявили, что обнаружили более 20 таких доменов, вот некоторые примеры:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, например[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, дек[.]com
Muddling Meerkat извлекает из Великого файрвола особый вид поддельной DNS-записи MX, который никогда раньше не наблюдался. Чтобы это произошло, Muddling Meerkat должен иметь отношения с операторами GFW. Целевыми доменами являются домены, используемые в запросах, поэтому они не обязательно являются целью атаки. Это домен, используемый для проведения зондирующей атаки. Эти домены не принадлежат Muddling Meerkat.
Как работает Великий китайский файрвол?
Великий межсетевой экран (GFW) использует методы подмены и подделки DNS для манипулирования ответами DNS. Когда запрос пользователя соответствует запрещенному ключевому слову или домену, GFW вводит поддельные ответы DNS, содержащие случайные реальные IP-адреса.
Проще говоря, если пользователь пытается получить доступ к заблокированному ключевому слову или домену, GFW вмешивается, чтобы предотвратить доступ, блокируя или перенаправляя запрос. Это вмешательство достигается с помощью таких методов, как отравление кэша DNS или блокировка IP-адресов.
Этот процесс предполагает, что GFW обнаруживает запросы к заблокированным веб-сайтам и отвечает фальшивыми ответами DNS, содержащими неверные IP-адреса или IP-адреса, ведущие к другим доменам. Это действие эффективно разрушает кеш рекурсивных DNS-серверов в пределах его юрисдикции.
Запутавшийся сурикат, скорее всего, является угрозой китайскому национальному государству
Отличительной особенностью Muddling Meerkat является использование ложных ответов MX-записей, исходящих с китайских IP-адресов, что отличается от типичного поведения Великого межсетевого экрана (GFW).
Эти ответы приходят с китайских IP-адресов, которые обычно не содержат служб DNS и содержат неточную информацию, соответствующую практике GFW. Однако, в отличие от известных методов GFW, ответы Muddling Meerkat включают правильно отформатированные записи ресурсов MX вместо адресов IPv4.
Точная цель этой постоянной деятельности, продолжающейся несколько лет, остается неясной, хотя она предполагает потенциальное участие в интернет-картографии или связанных с ней исследованиях.
«Неразбериха-сурикат», приписываемая китайскому государственному деятелю, почти каждый день проводит целенаправленные и сложные операции DNS против глобальных сетей, причем весь спектр их деятельности охватывает различные места.
Понимание и обнаружение вредоносных программ является более простым процессом по сравнению с отслеживанием действий DNS. Хотя исследователи осознают, что что-то происходит, полное понимание ускользает от них. CISA, ФБР и другие агентства продолжают предупреждать о необнаруженных китайских операциях.
