A zavaros Meerkat APT DNS-trükköket fedezett fel

A Muddling Meerkat nevű új kiberfenyegetést 2019 októbere óta észlelték, és a domain névrendszert (DNS) érintő kifinomult tevékenységeket folytat. Úgy tűnik, hogy ez a biztonsági intézkedések megkerülésére és a hálózat globális felderítésére tett kísérlet.

Az Infoblox, egy felhőbiztonsági cég azt sugallja, hogy a fenyegetettség szereplője valószínűleg a Kínai Népköztársasághoz (KNK) köthető, és irányíthatja a Nagy Tűzfalat (GFW), amely a Kínába és onnan kifelé irányuló internetes forgalmat kezeli.

A "Muddling Meerkat" elnevezés tevékenységeik rejtélyes természetére utal, különösen a DNS nyílt feloldókkal – olyan DNS-kiszolgálókkal, amelyek bármilyen IP-címről fogadnak lekérdezéseket – való visszaélésükre, mivel kínai IP-címekről küldenek lekérdezéseket.

A The Hacker News hírügynökséggel megosztott jelentés szerint az Infoblox megjegyezte, hogy a Muddling Meerkat a DNS mély megértését mutatja, ami szokatlan a fenyegetés szereplői körében, kiemelve a DNS-t, mint az ellenfelek hatékony eszközét.

Hogyan zavarja a szurikata DNS-t

A fenyegetés magában foglalja a DNS-lekérdezések kezdeményezését, beleértve a mail Exchange (MX) rekordokat is, olyan tartományokhoz, amelyek nem a szereplő tulajdonában vannak, de olyan általános legfelső szintű tartományokban találhatók, mint a .com és a .org.

Az Infoblox úgy fedezte fel ezt a fenyegetést, hogy megfigyelte az ügyféleszközöktől érkező rendellenes DNS MX rekordkéréseket. Több mint 20 ilyen domaint észleltek, amelyek közül egy sem a Muddling Meerkat tulajdonában volt.

Dr. Renée Burton az Infobloxtól kijelentette, hogy a Muddling Meerkatnak kapcsolatban kell állnia a GFW-vel, hogy hamis DNS MX rekordokat generáljon, ezt a viselkedést korábban nem figyelték meg.

A GFW, amely DNS-hamisítást és manipulációt alkalmaz, hamis DNS-válaszokat injektál a blokkolt lekérdezésekre. A zavaró Meerkat egyedülálló tulajdonsága a kínai IP-címekről érkező hamis MX rekord válaszok, amelyek eltérnek a tipikus GFW viselkedéstől.

A Muddling Meerkat tevékenységeinek indítéka továbbra is tisztázatlan, bár az internetes térképezést vagy kutatást foglalhat magában.

Burton hangsúlyozta, hogy a Muddling Meerkat kifinomult kínai nemzetállami szereplőt képvisel, aki szándékos DNS-műveleteket hajt végre a globális hálózatok ellen, ami aggályokat vet fel a működésük tisztázatlan teljes kiterjedése miatt.

Összességében a Muddling Meerkat tevékenységei a szokásos rosszindulatú programoktól eltérő kihívásokat jelentenek, ami folyamatos éberséget és a kiberbiztonsági ügynökségek vizsgálatát indokolja.