Muddling Meerkat APT
Një kërcënim kibernetik i pazbuluar i quajtur Muddling Meerkat është shfaqur, duke u angazhuar në aktivitete të sofistikuara të Sistemit të Emrave të Domenit (DNS) që nga tetori 2019. Ka të ngjarë të shmangë masat e sigurisë dhe të mbledhë inteligjencë nga rrjetet globale.
Studiuesit besojnë se kërcënimi është i lidhur me Republikën Popullore të Kinës (PRC) dhe dyshojnë se aktori ka kontroll mbi Great Firewall (GFW), i cili përdoret për të censuruar faqet e huaja të internetit dhe për të manipuluar trafikun e internetit.
Emri i grupit të hakerëve pasqyron natyrën komplekse dhe konfuze të operacioneve të tyre, duke përfshirë keqpërdorimin e zgjidhësve të hapur DNS (serverët që pranojnë pyetje nga çdo adresë IP) për të dërguar kërkesa nga adresat IP kineze.
Tabela e Përmbajtjes
Kriminelët kibernetikë shfaqin karakteristika të pazakonta kur krahasohen me grupe të tjera hakerash
Muddling Meerkat demonstron një kuptim të sofistikuar të DNS që është e pazakontë midis aktorëve të kërcënimit sot – duke vënë në dukje qartë se DNS është një armë e fuqishme e përdorur nga kundërshtarët. Më konkretisht, ai përfshin nxitjen e pyetjeve DNS për shkëmbimin e postës (MX) dhe llojeve të tjera të regjistrimeve në domene që nuk janë në pronësi të aktorit, por që banojnë në domene të njohura të nivelit të lartë si .com dhe .org.
Studiuesit që kanë regjistruar kërkesat që iu dërguan zgjidhësve të tij rekurzivë nga pajisjet e klientëve thanë se zbuluan mbi 20 fusha të tilla, me disa shembuj:
4u[.]com, kb[.]com, oao[.]com, od[.]com, box[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, p.sh.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dhjetor[.]com
Muddling Meerkat nxjerr një lloj të veçantë regjistrimi të rremë DNS MX nga Great Firewall, i cili nuk është parë kurrë më parë. Që kjo të ndodhë, Muddling Meerkat duhet të ketë një marrëdhënie me operatorët GFW. Domenet e synuara janë domenet e përdorura në pyetje, kështu që ato nuk janë domosdoshmërisht objektivi i një sulmi. Është domeni i përdorur për të kryer sulmin e hetimit. Këto domene nuk janë në pronësi të Muddling Meerkat.
Si funksionon Firewall i Madh i Kinës?
Firewall i Madh (GFW) përdor teknika të mashtrimit dhe manipulimit të DNS për të manipuluar përgjigjet DNS. Kur kërkesa e një përdoruesi përputhet me një fjalë kyçe ose domen të ndaluar, GFW injekton përgjigje të rreme DNS që përmbajnë adresa IP të rastësishme reale.
Në terma më të thjeshtë, nëse një përdorues përpiqet të aksesojë një fjalë kyçe ose domen të bllokuar, GFW ndërhyn për të parandaluar aksesin duke bllokuar ose ridrejtuar pyetjen. Kjo ndërhyrje arrihet përmes metodave si helmimi i memories së DNS ose bllokimi i adresës IP.
Ky proces përfshin zbulimin e pyetjeve nga GFW për faqet e internetit të bllokuara dhe përgjigjen me përgjigje të rreme DNS që përmbajnë adresa IP të pavlefshme ose IP që çojnë në domene të ndryshme. Ky veprim në mënyrë efektive ndërpret cache-in e serverëve rekurzivë DNS brenda juridiksionit të tij.
Meerkat Muddling është me gjasë një Kërcënues Kërcënues i Shtetit Kombëtar Kinez
Karakteristika e spikatur e Muddling Meerkat është përdorimi i përgjigjeve të rreme të regjistrimit MX me origjinë nga adresat IP kineze, një largim nga sjellja tipike e Great Firewall (GFW).
Këto përgjigje vijnë nga adresat IP kineze që zakonisht nuk presin shërbime DNS dhe përmbajnë informacione të pasakta në përputhje me praktikat GFW. Megjithatë, ndryshe nga metodat e njohura të GFW, përgjigjet e Muddling Meerkat përfshijnë rekorde të burimeve MX të formatuara siç duhet në vend të adresave IPv4.
Qëllimi i saktë pas këtij aktiviteti të vazhdueshëm që përfshin shumë vite mbetet i paqartë, megjithëse sugjeron përfshirje të mundshme në hartimin e internetit ose kërkime të ngjashme.
Muddling Meerkat, që i atribuohet një aktori shtetëror kinez, kryen operacione të qëllimshme dhe të sofistikuara DNS kundër rrjeteve globale pothuajse çdo ditë, me shtrirjen e plotë të aktiviteteve të tyre që përfshin vendndodhje të ndryshme.
Kuptimi dhe zbulimi i malware është më i thjeshtë në krahasim me kapjen e aktiviteteve DNS. Ndërsa studiuesit pranojnë se diçka po ndodh, kuptimi i plotë i shmanget atyre. CISA, FBI dhe agjenci të tjera vazhdojnë të kujdesen për operacionet e pazbuluara kineze.
