Sumaišytas Meerkat APT atrado DNS traukimo gudrybes

Nuo 2019 m. spalio mėn. buvo aptikta nauja kibernetinė grėsmė, pavadinta Muddling Meerkat, kuri užsiima sudėtinga veikla, susijusia su domenų vardų sistema (DNS). Panašu, kad tai yra bandymas išvengti saugumo priemonių ir atlikti tinklo žvalgybą visame pasaulyje.

„Infoblox“, debesų saugos įmonė, teigia, kad grėsmės veikėjas greičiausiai yra susijęs su Kinijos Liaudies Respublika (KLR) ir gali valdyti Didžiąją ugniasienę (GFW), kuri valdo interneto srautą Kinijoje ir iš jos.

Pavadinimas „Muddling Meerkat“ reiškia mįslingą jų veiklos pobūdį, ypač piktnaudžiavimą atviraisiais DNS sprendikliais – DNS serveriais, kurie priima užklausas iš bet kurio IP adreso, siųsdami užklausas iš Kinijos IP adresų.

Remiantis pranešimu, kuris buvo pasidalintas su naujienų leidiniu „The Hacker News“, „Infoblox“ pažymėjo, kad „Muddling Meerkat“ demonstruoja gilų DNS supratimą, o tai neįprasta tarp grėsmių subjektų, pabrėžiant DNS kaip stiprią priemonę priešininkams.

Kaip sumaištis surikatas trikdo DNS

Grėsmė apima DNS užklausų inicijavimą, įskaitant MX įrašus, domenuose, kurie nepriklauso veikėjui, bet yra bendruose aukščiausio lygio domenuose, tokiuose kaip .com ir .org.

„Infoblox“ šią grėsmę atrado stebėdamas anomaalias DNS MX įrašų užklausas iš klientų įrenginių. Jie aptiko daugiau nei 20 tokių domenų, kurių nė vienas nepriklauso Muddling Meerkat.

Dr. Renée Burton iš Infoblox pareiškė, kad „Muddling Meerkat“ turi turėti ryšį su GFW, kad galėtų generuoti netikrus DNS MX įrašus, o tai anksčiau nebuvo pastebėta.

GFW, kuris naudoja DNS klastojimą ir klastojimą, įveda netikrus DNS atsakymus į užblokuotas užklausas. Unikali „Muddling Meerkat“ savybė yra klaidingi MX įrašo atsakymai iš Kinijos IP adresų, kurie skiriasi nuo įprasto GFW elgesio.

„Muddling Meerkat“ veiklos motyvas lieka neaiškus, nors tai gali būti susijusi su interneto žemėlapiais ar tyrimais.

Burtonas pabrėžė, kad Muddling Meerkat yra sudėtingas Kinijos nacionalinės valstybės veikėjas, vykdantis apgalvotas DNS operacijas prieš pasaulinius tinklus, o tai kelia susirūpinimą dėl neaiškios visos jų veiklos apimties.

Apskritai „Muddling Meerkat“ veikla kelia iššūkių, kurie skiriasi nuo įprastų kenkėjiškų programų operacijų, todėl kibernetinio saugumo agentūros turi būti nuolat budrios ir tirti.