Scoperto l'APT Confuso Meerkat che utilizza trucchi DNS

Dall'ottobre 2019 è stata rilevata una nuova minaccia informatica denominata Muddling Meerkat impegnata in attività sofisticate che coinvolgono il sistema dei nomi di dominio (DNS). Sembra essere un tentativo di eludere le misure di sicurezza e condurre una ricognizione della rete a livello globale.

Infoblox, una società di sicurezza cloud, suggerisce che l'autore della minaccia è probabilmente associato alla Repubblica popolare cinese (RPC) e potrebbe avere il controllo sul Great Firewall (GFW), che gestisce il traffico Internet dentro e fuori la Cina.

Il nome "Muddling Meerkat" si riferisce alla natura sconcertante delle loro attività, in particolare al loro uso improprio dei risolutori aperti DNS (server DNS che accettano query da qualsiasi indirizzo IP) inviando query da indirizzi IP cinesi.

Secondo un rapporto condiviso con il quotidiano The Hacker News, Infoblox ha osservato che Muddling Meerkat dimostra una profonda conoscenza del DNS, cosa insolita tra gli autori delle minacce, evidenziando il DNS come un potente strumento per gli avversari.

Come confuso Meerkat manomette il DNS

La minaccia prevede l'avvio di query DNS, inclusi i record di scambio di posta (MX), verso domini non di proprietà dell'autore ma che risiedono sotto domini di primo livello comuni come .com e .org.

Infoblox ha scoperto questa minaccia osservando richieste anomale di record MX DNS dai dispositivi dei clienti. Hanno rilevato oltre 20 domini di questo tipo, nessuno di proprietà di Muddling Meerkat.

La dottoressa Renée Burton di Infoblox ha affermato che Muddling Meerkat deve avere una relazione con GFW per generare record MX DNS falsi, un comportamento non osservato in precedenza.

Il GFW, che utilizza lo spoofing e la manomissione del DNS, inietta false risposte DNS per le query bloccate. La caratteristica unica di Confuso Meerkat sono le false risposte dei record MX da indirizzi IP cinesi, diverse dal tipico comportamento di GFW.

Il motivo dietro le attività di Muddling Meerkat rimane poco chiaro, sebbene possa coinvolgere la mappatura o la ricerca su Internet.

Burton ha sottolineato che Muddling Meerkat rappresenta un sofisticato attore di stato-nazione cinese che conduce operazioni DNS deliberate contro le reti globali, sollevando preoccupazioni a causa della portata poco chiara delle loro operazioni.

Nel complesso, le attività di Muddling Meerkat pongono sfide diverse dalle tipiche operazioni di malware, garantendo una vigilanza e un'indagine continua da parte delle agenzie di sicurezza informatica.