Muddling Meerkat APT

अक्टोबर 2019 देखि परिष्कृत डोमेन नेम प्रणाली (DNS) गतिविधिहरूमा संलग्न रहेको Muddling Meerkat नामको अज्ञात साइबर खतरा देखा परेको छ। यसले सुरक्षा उपायहरूबाट बच्न र विश्वव्यापी नेटवर्कहरूबाट गुप्तचर सङ्कलन गर्ने सम्भावना छ।

अनुसन्धानकर्ताहरूले यो धम्की जनवादी गणतन्त्र चाइना (PRC) सँग जोडिएको विश्वास गर्छन् र विदेशी वेबसाइटहरू सेन्सर गर्न र इन्टरनेट ट्राफिकमा हेरफेर गर्न प्रयोग गरिने ग्रेट फायरवाल (GFW) मा अभिनेताको नियन्त्रण रहेको आशंका छ।

ह्याकर समूहको नामले चिनियाँ आईपी ठेगानाहरूबाट अनुरोधहरू पठाउन DNS खुला समाधानकर्ताहरू (कुनै पनि IP ठेगानाबाट प्रश्नहरू स्वीकार गर्ने सर्भरहरू) को दुरुपयोग सहित तिनीहरूको सञ्चालनको जटिल र भ्रामक प्रकृतिलाई प्रतिबिम्बित गर्दछ।

अन्य ह्याकर समूहहरूको तुलनामा साइबर अपराधीहरूले असामान्य विशेषताहरू देखाउँछन्

Muddling Meerkat ले DNS को एक परिष्कृत समझ देखाउँछ जुन आज खतरा अभिनेताहरू बीच असामान्य छ - स्पष्ट रूपमा औंल्याउँदै कि DNS एक शक्तिशाली हतियार हो जुन विरोधीहरूद्वारा प्रयोग गरिन्छ। थप विशेष रूपमा, यसले मेल एक्सचेन्ज (MX) र अभिनेताको स्वामित्वमा नभएका तर .com र .org जस्ता प्रख्यात शीर्ष-स्तर डोमेनहरू अन्तर्गत रहने डोमेनहरूमा DNS क्वेरीहरू ट्रिगर गर्ने समावेश गर्दछ।

ग्राहक उपकरणहरूद्वारा यसको पुनरावर्ती समाधानकर्ताहरूलाई पठाइएका अनुरोधहरू रेकर्ड गर्ने अन्वेषकहरूले भने कि यसले 20 भन्दा बढी त्यस्ता डोमेनहरू पत्ता लगाएको छ, जसमा केही उदाहरणहरू छन्:

4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, उदाहरण[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com

The Muddling Meerkat ले ग्रेट फायरवालबाट विशेष प्रकारको नक्कली DNS MX रेकर्ड निकाल्छ, जुन पहिले कहिल्यै देखिएको थिएन। यो हुनको लागि, Muddling Meerkat GFW अपरेटरहरूसँग सम्बन्ध हुनुपर्छ। लक्षित डोमेनहरू क्वेरीहरूमा प्रयोग गरिएका डोमेनहरू हुन्, त्यसैले तिनीहरू आक्रमणको लक्ष्य होइनन्। यो अनुसन्धान आक्रमण गर्न प्रयोग गरिने डोमेन हो। यी डोमेनहरू Muddling Meerkat को स्वामित्वमा छैनन्।

चीनको ग्रेट फायरवालले कसरी काम गर्छ?

ग्रेट फायरवाल (GFW) ले DNS प्रतिक्रियाहरू हेरफेर गर्न DNS स्पूफिङ र छेडछाड गर्ने प्रविधिहरू प्रयोग गर्दछ। जब प्रयोगकर्ताको अनुरोध प्रतिबन्धित किवर्ड वा डोमेनसँग मेल खान्छ, GFW ले अनियमित वास्तविक IP ठेगानाहरू समावेश गरी नक्कली DNS प्रतिक्रियाहरू इन्जेक्ट गर्छ।

सरल शब्दहरूमा, यदि प्रयोगकर्ताले अवरुद्ध किवर्ड वा डोमेन पहुँच गर्ने प्रयास गर्छ भने, GFW ले पहुँच रोक्न हस्तक्षेप गर्दछ कि त ब्लक गरेर वा क्वेरी रिडिरेक्ट गरेर। यो हस्तक्षेप DNS क्यास विषाक्तता वा IP ठेगाना अवरुद्ध जस्ता विधिहरू मार्फत हासिल गरिन्छ।

यस प्रक्रियामा GFW ले ब्लक गरिएका वेबसाइटहरूमा प्रश्नहरू पत्ता लगाउने र अवैध IP ठेगानाहरू वा IP हरू समावेश गरी विभिन्न डोमेनहरूमा लैजाने नक्कली DNS जवाफहरू समावेश गर्दछ। यस कार्यले यसको अधिकार क्षेत्र भित्र पुनरावृत्ति DNS सर्भरहरूको क्यासलाई प्रभावकारी रूपमा बाधा पुर्‍याउँछ।

Muddling Meerkat सम्भवतः एक चिनियाँ राष्ट्र-राज्य खतरा अभिनेता हो

Muddling Meerkat को स्ट्यान्डआउट विशेषता चिनियाँ आईपी ठेगानाहरूबाट उत्पन्न हुने झूटा MX रेकर्ड प्रतिक्रियाहरूको प्रयोग हो, विशिष्ट ग्रेट फायरवाल (GFW) व्यवहारबाट प्रस्थान।

यी प्रतिक्रियाहरू चिनियाँ IP ठेगानाहरूबाट आउँछन् जसले सामान्यतया DNS सेवाहरू होस्ट गर्दैनन् र GFW अभ्यासहरूसँग मिल्दो गलत जानकारी समावेश गर्दछ। यद्यपि, GFW को ज्ञात विधिहरूको विपरीत, Muddling Meerkat को प्रतिक्रियाहरूले IPv4 ठेगानाहरूको सट्टा ठीकसँग ढाँचाबद्ध MX स्रोत रेकर्डहरू समावेश गर्दछ।

धेरै वर्षसम्म फैलिएको यो चलिरहेको गतिविधि पछाडिको सटीक उद्देश्य अस्पष्ट रहन्छ, यद्यपि यसले इन्टरनेट म्यापिङ वा सम्बन्धित अनुसन्धानमा सम्भावित संलग्नताको सुझाव दिन्छ।

चिनियाँ राज्य अभिनेतालाई श्रेय दिएका मुडलिंग मीरकाटले विभिन्न स्थानहरूमा फैलिएको उनीहरूको गतिविधिको पूर्ण सीमाको साथ लगभग हरेक दिन विश्वव्यापी नेटवर्कहरू विरुद्ध जानाजानी र परिष्कृत DNS अपरेशनहरू सञ्चालन गर्दछ।

DNS गतिविधिहरू ग्रहण गर्नुको तुलनामा मालवेयर बुझ्ने र पत्ता लगाउने काम धेरै सरल छ। जब अनुसन्धानकर्ताहरूले केहि भैरहेको छ भनी बुझ्छन्, पूर्ण बुझाइले तिनीहरूलाई टाढा राख्छ। CISA, FBI, र अन्य एजेन्सीहरूले पत्ता नलागेको चिनियाँ अपरेशनहरू बारे सावधानी जारी राख्छन्।