Muddling Meerkat APT

ការគំរាមកំហែងតាមអ៊ីនធឺណេតដែលមិនបញ្ចេញឈ្មោះមួយដែលមានឈ្មោះថា Muddling Meerkat បានលេចឡើង ដោយចូលរួមក្នុងសកម្មភាពប្រព័ន្ធឈ្មោះដែន (DNS) ដ៏ទំនើប ចាប់តាំងពីខែតុលា ឆ្នាំ 2019 មក។ វាទំនងជាជៀសវាងវិធានការសុវត្ថិភាព និងប្រមូលព័ត៌មានសម្ងាត់ពីបណ្តាញសកល។

អ្នកស្រាវជ្រាវជឿថាការគំរាមកំហែងនេះមានទំនាក់ទំនងជាមួយសាធារណៈរដ្ឋប្រជាមានិតចិន (PRC) ហើយសង្ស័យថាតារាសម្តែងរូបនេះមានការគ្រប់គ្រងលើ Great Firewall (GFW) ដែលត្រូវបានប្រើដើម្បីត្រួតពិនិត្យគេហទំព័របរទេស និងរៀបចំចរាចរអ៊ីនធឺណិត។

ឈ្មោះរបស់ក្រុម Hacker ឆ្លុះបញ្ចាំងពីលក្ខណៈស្មុគស្មាញ និងច្របូកច្របល់នៃប្រតិបត្តិការរបស់ពួកគេ រួមទាំងការប្រើប្រាស់ខុសនៃ DNS open solutionrs (ម៉ាស៊ីនមេដែលទទួលយកសំណួរពីអាសយដ្ឋាន IP ណាមួយ) ដើម្បីផ្ញើសំណើពីអាសយដ្ឋាន IP របស់ចិន។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបង្ហាញលក្ខណៈមិនធម្មតា បើប្រៀបធៀបទៅនឹងក្រុម Hacker ផ្សេងទៀត។

Muddling Meerkat បង្ហាញពីការយល់ដឹងដ៏ស្មុគ្រស្មាញនៃ DNS ដែលមិនធម្មតាក្នុងចំណោមអ្នកគំរាមកំហែងនាពេលបច្ចុប្បន្ននេះ ដោយចង្អុលបង្ហាញយ៉ាងច្បាស់ថា DNS គឺជាអាវុធដ៏មានឥទ្ធិពលដែលប្រើប្រាស់ដោយសត្រូវ។ ជាពិសេសជាងនេះទៅទៀត វារួមបញ្ចូលការកេះសំណួរ DNS សម្រាប់ការផ្លាស់ប្តូរសំបុត្រ (MX) និងប្រភេទកំណត់ត្រាផ្សេងទៀតទៅកាន់ដែនដែលមិនមែនជាកម្មសិទ្ធិរបស់តារាសម្តែង ប៉ុន្តែដែលរស់នៅក្រោមដែនកម្រិតកំពូលល្បីដូចជា .com និង .org ។

អ្នកស្រាវជ្រាវដែលបានកត់ត្រាសំណើដែលត្រូវបានផ្ញើទៅអ្នកដោះស្រាយដែលកើតឡើងដដែលៗដោយឧបករណ៍អតិថិជនបាននិយាយថាវាបានរកឃើញដែនបែបនេះជាង 20 ដោយឧទាហរណ៍មួយចំនួនគឺ៖

4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, eg[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com

Muddling Meerkat ទាញយកប្រភេទពិសេសនៃកំណត់ត្រា DNS MX ក្លែងក្លាយពី Great Firewall ដែលមិនធ្លាប់ឃើញពីមុនមក។ ដើម្បីឱ្យរឿងនេះកើតឡើង Muddling Meerkat ត្រូវតែមានទំនាក់ទំនងជាមួយប្រតិបត្តិករ GFW ។ ដែនគោលដៅគឺជាដែនដែលប្រើក្នុងសំណួរ ដូច្នេះពួកវាមិនចាំបាច់ជាគោលដៅនៃការវាយប្រហារនោះទេ។ វា​គឺ​ជា​ដែន​ដែល​ប្រើ​ដើម្បី​ធ្វើ​ការ​វាយ​ប្រហារ​ស៊ើបអង្កេត។ ដែនទាំងនេះមិនមែនជាកម្មសិទ្ធិរបស់ Muddling Meerkat ទេ។

តើ Great Firewall របស់ចិនដំណើរការដោយរបៀបណា?

ជញ្ជាំងភ្លើងដ៏អស្ចារ្យ (GFW) ប្រើការក្លែងបន្លំ DNS និងបច្ចេកទេសក្លែងបន្លំដើម្បីរៀបចំការឆ្លើយតប DNS ។ នៅពេលដែលសំណើរបស់អ្នកប្រើត្រូវគ្នានឹងពាក្យគន្លឹះ ឬដែនដែលត្រូវបានហាមឃាត់ GFW ចាក់បញ្ចូលការឆ្លើយតប DNS ក្លែងក្លាយដែលមានអាសយដ្ឋាន IP ពិតប្រាកដចៃដន្យ។

នៅក្នុងពាក្យសាមញ្ញជាងនេះ ប្រសិនបើអ្នកប្រើព្យាយាមចូលប្រើពាក្យគន្លឹះ ឬដែនដែលត្រូវបានរារាំងនោះ GFW ធ្វើអន្តរាគមន៍ដើម្បីការពារការចូលប្រើដោយការទប់ស្កាត់ ឬបញ្ជូនបន្តសំណួរ។ ការជ្រៀតជ្រែកនេះត្រូវបានសម្រេចតាមរយៈវិធីសាស្រ្តដូចជាការបំពុលឃ្លាំងសម្ងាត់ DNS ឬការទប់ស្កាត់អាសយដ្ឋាន IP ។

ដំណើរការនេះពាក់ព័ន្ធនឹង GFW ដែលស្វែងរកសំណួរទៅកាន់គេហទំព័រដែលត្រូវបានរារាំង និងឆ្លើយតបជាមួយនឹងការឆ្លើយតប DNS ក្លែងក្លាយដែលមានអាសយដ្ឋាន IP ឬ IP មិនត្រឹមត្រូវដែលនាំទៅដល់ដែនផ្សេងៗគ្នា។ សកម្មភាពនេះធ្វើឱ្យរំខានដល់ឃ្លាំងសម្ងាត់នៃម៉ាស៊ីនមេ DNS ដែលកើតឡើងដដែលៗក្នុងដែនសមត្ថកិច្ចរបស់វា។

The Muddling Meerkat ទំនង​ជា​តារា​សម្ដែង​ការ​គំរាម​កំហែង​របស់​រដ្ឋ​ចិន

លក្ខណៈលេចធ្លោរបស់ Muddling Meerkat គឺការប្រើប្រាស់ការឆ្លើយតបកំណត់ត្រា MX មិនពិតដែលមានប្រភពចេញពីអាសយដ្ឋាន IP របស់ចិន ដែលជាការចាកចេញពីឥរិយាបថ Great Firewall (GFW) ធម្មតា។

ការឆ្លើយតបទាំងនេះបានមកពីអាសយដ្ឋាន IP របស់ចិនដែលជាធម្មតាមិនផ្តល់សេវា DNS និងមានព័ត៌មានមិនត្រឹមត្រូវស្របតាមការអនុវត្ត GFW ។ ទោះយ៉ាងណាក៏ដោយ មិនដូចវិធីសាស្ត្រដែលគេស្គាល់របស់ GFW ទេ ការឆ្លើយតបរបស់ Muddling Meerkat រួមបញ្ចូលកំណត់ត្រាធនធាន MX ដែលបានធ្វើទ្រង់ទ្រាយត្រឹមត្រូវជំនួសឱ្យអាសយដ្ឋាន IPv4 ។

គោលបំណងច្បាស់លាស់នៅពីក្រោយសកម្មភាពបន្តនេះដែលមានរយៈពេលជាច្រើនឆ្នាំនៅតែមិនច្បាស់លាស់ ទោះបីជាវាបង្ហាញពីការចូលរួមសក្តានុពលក្នុងការធ្វើផែនទីអ៊ីនធឺណិត ឬការស្រាវជ្រាវដែលពាក់ព័ន្ធក៏ដោយ។

Muddling Meerkat ដែលត្រូវបានសន្មតថាជាតួអង្គរដ្ឋរបស់ចិន ធ្វើប្រតិបត្តិការ DNS ដោយចេតនា និងទំនើបប្រឆាំងនឹងបណ្តាញទូទាំងពិភពលោកស្ទើរតែរាល់ថ្ងៃ ជាមួយនឹងវិសាលភាពពេញលេញនៃសកម្មភាពរបស់ពួកគេដែលលាតសន្ធឹងលើទីតាំងផ្សេងៗ។

ការយល់ដឹង និងការរកឃើញមេរោគគឺមានភាពសាមញ្ញជាងបើប្រៀបធៀបទៅនឹងការចាប់យកសកម្មភាព DNS ។ ខណៈពេលដែលអ្នកស្រាវជ្រាវទទួលស្គាល់អ្វីមួយកំពុងកើតឡើង ការយល់ដឹងពេញលេញនឹងគេចផុតពីពួកគេ។ CISA, FBI និងទីភ្នាក់ងារផ្សេងទៀតបន្តការប្រុងប្រយ័ត្នអំពីប្រតិបត្តិការរបស់ចិនដែលមិនបានរកឃើញ។