Muddling Surikata APT
Objavila sa neodhalená kybernetická hrozba s názvom Muddling Surikata, ktorá sa zapája do sofistikovaných aktivít systému doménových mien (DNS) od októbra 2019. Je pravdepodobné, že sa bude vyhýbať bezpečnostným opatreniam a zbierať informácie z globálnych sietí.
Výskumníci sa domnievajú, že hrozba súvisí s Čínskou ľudovou republikou (ČĽR) a majú podozrenie, že herec má kontrolu nad Veľkým firewallom (GFW), ktorý sa používa na cenzúru zahraničných webových stránok a manipuláciu internetového prenosu.
Názov hackerskej skupiny odráža komplexný a mätúci charakter ich operácií, vrátane zneužitia otvorených prekladačov DNS (serverov, ktoré prijímajú dopyty z akejkoľvek IP adresy) na odosielanie požiadaviek z čínskych IP adries.
Obsah
Kyberzločinci majú v porovnaní s inými hackerskými skupinami nezvyčajné vlastnosti
Muddling Surikata demonštruje sofistikované chápanie DNS, ktoré je dnes medzi aktérmi hrozieb neobvyklé – jasne poukazuje na to, že DNS je mocná zbraň využívaná protivníkmi. Konkrétnejšie to znamená spustenie dopytov DNS na výmenu pošty (MX) a iné typy záznamov na domény, ktoré nie sú vo vlastníctve aktéra, ale ktoré sa nachádzajú pod známymi doménami najvyššej úrovne, ako sú .com a .org.
Výskumníci, ktorí zaznamenali požiadavky, ktoré zákaznícke zariadenia odoslali ich rekurzívnym prekladačom, uviedli, že zistili viac ako 20 takýchto domén, pričom niektoré príklady sú:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, napr.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Surikata vyvoláva špeciálny druh falošného DNS MX záznamu z Great Firewall, ktorý tu ešte nebol. Aby sa to stalo, Muddling Surikata musí mať vzťah s operátormi GFW. Cieľové domény sú domény používané v dotazoch, takže nemusia byť nevyhnutne cieľom útoku. Je to doména, ktorá sa používa na vykonanie útoku sondy. Tieto domény nevlastní Muddling Surikata.
Ako funguje Veľký čínsky firewall?
The Great Firewall (GFW) používa techniky spoofingu a manipulácie DNS na manipuláciu s odpoveďami DNS. Keď sa požiadavka používateľa zhoduje so zakázaným kľúčovým slovom alebo doménou, GFW vloží falošné DNS odpovede obsahujúce náhodné skutočné IP adresy.
Zjednodušene povedané, ak sa používateľ pokúsi o prístup k zablokovanému kľúčovému slovu alebo doméne, GFW zasiahne, aby zabránil prístupu buď zablokovaním alebo presmerovaním dotazu. Toto rušenie sa dosahuje metódami, ako je otrava vyrovnávacej pamäte DNS alebo blokovanie adresy IP.
Tento proces zahŕňa, že GFW zisťuje dopyty na blokované webové stránky a odpovedá falošnými odpoveďami DNS obsahujúcimi neplatné adresy IP alebo adresy IP vedúce k rôznym doménam. Táto akcia účinne naruší vyrovnávaciu pamäť rekurzívnych serverov DNS v rámci svojej jurisdikcie.
Muddling Surikata je pravdepodobne aktérom hrozieb čínskeho národného štátu
Výnimočnou charakteristikou Muddling Meerkat je použitie falošných odpovedí záznamov MX pochádzajúcich z čínskych IP adries, čo je odchýlka od typického správania Great Firewall (GFW).
Tieto odpovede pochádzajú z čínskych adries IP, ktoré zvyčajne nehostia služby DNS a obsahujú nepresné informácie v súlade s postupmi GFW. Na rozdiel od známych metód GFW však odpovede Muddling Meerkat obsahujú správne naformátované záznamy o zdrojoch MX namiesto adries IPv4.
Presný účel tejto prebiehajúcej činnosti trvajúcej niekoľko rokov zostáva nejasný, hoci naznačuje potenciálne zapojenie do internetového mapovania alebo súvisiaceho výskumu.
Muddling Surikata, pripisovaná čínskemu štátnemu aktérovi, vykonáva takmer každý deň premyslené a sofistikované operácie DNS proti globálnym sieťam, pričom celý rozsah ich aktivít zahŕňa rôzne miesta.
Pochopenie a detekcia malvéru je v porovnaní s uchopením aktivít DNS jednoduchšie. Zatiaľ čo výskumníci rozpoznajú, že sa niečo deje, úplné pochopenie im uniká. CISA, FBI a ďalšie agentúry naďalej varujú pred neodhalenými čínskymi operáciami.
