Odkryto, że Mętny Meerkat APT wykorzystuje sztuczki DNS

Od października 2019 r. wykryto nowe zagrożenie cybernetyczne o nazwie Muddling Meerkat angażujące się w wyrafinowane działania z wykorzystaniem systemu nazw domen (DNS). Wygląda na to, że jest to próba obejścia środków bezpieczeństwa i przeprowadzenia rekonesansu sieci na całym świecie.

Infoblox, firma zajmująca się bezpieczeństwem w chmurze, sugeruje, że ugrupowanie zagrażające jest prawdopodobnie powiązane z Chińską Republiką Ludową (ChRL) i może mieć kontrolę nad Wielką Zaporą sieciową (GFW), która zarządza ruchem internetowym do Chin i z Chin.

Nazwa „Muddling Meerkat” odnosi się do zagadkowego charakteru ich działalności, w szczególności do niewłaściwego wykorzystywania przez nich otwartych programów rozpoznawania nazw DNS – serwerów DNS, które akceptują zapytania z dowolnego adresu IP – poprzez wysyłanie zapytań z chińskich adresów IP.

Według raportu udostępnionego serwisowi informacyjnemu The Hacker News firma Infoblox zauważyła, że Muddling Meerkat wykazuje głębokie zrozumienie DNS, co jest niezwykłe wśród aktorów zagrażających, podkreślając DNS jako potężne narzędzie dla przeciwników.

Jak mętna surykatka manipuluje DNS

Zagrożenie polega na inicjowaniu zapytań DNS, w tym dotyczących rekordów wymiany poczty (MX), do domen niebędących własnością aktora, ale znajdujących się we wspólnych domenach najwyższego poziomu, takich jak .com i .org.

Infoblox odkrył to zagrożenie, obserwując nietypowe żądania rekordów DNS MX z urządzeń klientów. Wykryli ponad 20 takich domen, z których żadna nie była własnością Muddling Meerkat.

Dr Renée Burton z Infoblox stwierdziła, że Muddling Meerkat musi mieć powiązanie z GFW, aby generować fałszywe rekordy MX DNS, czego wcześniej nie obserwowano.

GFW, która wykorzystuje fałszowanie i manipulowanie DNS, wstrzykuje fałszywe odpowiedzi DNS na zablokowane zapytania. Unikalną cechą Muddling Meerkat są fałszywe odpowiedzi na rekordy MX z chińskich adresów IP, różniące się od typowego zachowania GFW.

Motywy działań Muddling Meerkat pozostają niejasne, chociaż mogą dotyczyć mapowania Internetu lub badań.

Burton podkreślił, że Muddling Meerkat reprezentuje wyrafinowanego chińskiego aktora reprezentującego państwo narodowe, przeprowadzającego celowe operacje DNS w sieciach globalnych, co budzi obawy ze względu na niejasny pełny zakres ich działań.

Ogólnie rzecz biorąc, działalność Muddling Meerkat stwarza wyzwania inne niż typowe działania związane ze złośliwym oprogramowaniem, co wymaga ciągłej czujności i dochodzeń prowadzonych przez agencje ds. cyberbezpieczeństwa.