Nagkagulo Meerkat APT
Lumitaw ang isang hindi nabunyag na banta sa cyber na pinangalanang Muddling Meerkat, na nakikibahagi sa mga sopistikadong aktibidad ng Domain Name System (DNS) mula noong Oktubre 2019. Malamang na maiwasan nito ang mga hakbang sa seguridad at mangalap ng intelligence mula sa mga pandaigdigang network.
Naniniwala ang mga mananaliksik na ang banta ay nauugnay sa People's Republic of China (PRC) at pinaghihinalaan na ang aktor ay may kontrol sa Great Firewall (GFW), na ginagamit upang i-censor ang mga dayuhang website at manipulahin ang trapiko sa internet.
Ang pangalan ng pangkat ng hacker ay sumasalamin sa masalimuot at nakakalito na katangian ng kanilang mga operasyon, kabilang ang maling paggamit ng mga DNS open resolver (mga server na tumatanggap ng mga query mula sa anumang IP address) upang magpadala ng mga kahilingan mula sa mga Chinese IP address.
Talaan ng mga Nilalaman
Nagpapakita ang Mga Cybercriminal ng Mga Hindi Pangkaraniwang Katangian Kung Kumpara sa Iba Pang Mga Grupo ng Hacker
Ang Muddling Meerkat ay nagpapakita ng isang sopistikadong pag-unawa sa DNS na hindi karaniwan sa mga aktor ng pagbabanta ngayon - malinaw na itinuturo na ang DNS ay isang makapangyarihang sandata na ginagamit ng mga kalaban. Higit na partikular, nangangailangan ito ng pag-trigger ng mga query sa DNS para sa mail exchange (MX) at iba pang mga uri ng record sa mga domain na hindi pagmamay-ari ng aktor ngunit naninirahan sa ilalim ng mga kilalang top-level na domain gaya ng .com at .org.
Ang mga mananaliksik na nagtala ng mga kahilingang ipinadala sa mga recursive na solver nito ng mga device ng customer ay nagsabing naka-detect ito ng higit sa 20 ganoong mga domain, na may ilang halimbawa:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, hal[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Ang Muddling Meerkat ay nakakuha ng isang espesyal na uri ng pekeng DNS MX record mula sa Great Firewall, na hindi pa nakikita noon. Para mangyari ito, kailangang may kaugnayan ang Muddling Meerkat sa mga operator ng GFW. Ang mga target na domain ay ang mga domain na ginagamit sa mga query, kaya hindi sila ang target ng isang pag-atake. Ito ang domain na ginagamit upang isagawa ang pag-atake ng pagsisiyasat. Ang mga domain na ito ay hindi pagmamay-ari ng Muddling Meerkat.
Paano Gumagana ang Great Firewall ng China?
Gumagamit ang Great Firewall (GFW) ng DNS spoofing at mga diskarte sa pakikialam upang manipulahin ang mga tugon ng DNS. Kapag ang kahilingan ng isang user ay tumugma sa isang ipinagbabawal na keyword o domain, ang GFW ay nag-iiniksyon ng mga pekeng DNS na tugon na naglalaman ng mga random na totoong IP address.
Sa mas simpleng termino, kung sinubukan ng isang user na i-access ang isang naka-block na keyword o domain, ang GFW ay nakikialam upang pigilan ang pag-access sa pamamagitan ng alinman sa pagharang o pag-redirect sa query. Ang interference na ito ay nakakamit sa pamamagitan ng mga pamamaraan tulad ng DNS cache poisoning o IP address blocking.
Kasama sa prosesong ito ang pag-detect ng GFW ng mga query sa mga naka-block na website at pagtugon gamit ang mga pekeng DNS na tugon na naglalaman ng mga di-wastong IP address o IP na humahantong sa iba't ibang domain. Ang pagkilos na ito ay epektibong nakakagambala sa cache ng mga recursive DNS server sa loob ng hurisdiksyon nito.
Ang Muddling Meerkat ay Malamang na Isang Chinese Nation-State Threat Actor
Ang namumukod-tanging katangian ng Muddling Meerkat ay ang paggamit nito ng mga maling tugon sa tala ng MX na nagmula sa mga Chinese IP address, isang pag-alis mula sa karaniwang gawi ng Great Firewall (GFW).
Ang mga tugon na ito ay nagmumula sa mga Chinese IP address na karaniwang hindi nagho-host ng mga serbisyo ng DNS at naglalaman ng hindi tumpak na impormasyon na naaayon sa mga kasanayan sa GFW. Gayunpaman, hindi tulad ng mga kilalang pamamaraan ng GFW, kasama sa mga tugon ni Muddling Meerkat ang wastong na-format na MX resource record sa halip na mga IPv4 address.
Ang tiyak na layunin sa likod ng patuloy na aktibidad na ito na sumasaklaw ng maraming taon ay nananatiling hindi maliwanag, bagama't nagmumungkahi ito ng potensyal na paglahok sa internet mapping o nauugnay na pananaliksik.
Ang Muddling Meerkat, na iniuugnay sa isang aktor ng estado ng China, ay nagsasagawa ng sinadya at sopistikadong mga pagpapatakbo ng DNS laban sa mga pandaigdigang network halos araw-araw, na may buong saklaw ng kanilang mga aktibidad na sumasaklaw sa iba't ibang lokasyon.
Ang pag-unawa at pag-detect ng malware ay mas diretso kumpara sa pag-unawa sa mga aktibidad ng DNS. Habang kinikilala ng mga mananaliksik ang isang bagay na nangyayari, ang kumpletong pag-unawa ay lumalampas sa kanila. Ang CISA, ang FBI, at iba pang ahensya ay patuloy na nag-iingat tungkol sa mga hindi natukoy na operasyon ng China.
