Muddling Meerkat APT
Surgiu uma ameaça cibernética desconhecida chamada Muddling Meerkat, envolvida em atividades sofisticadas de Sistema de Nomes de Domínio (DNS) desde outubro de 2019. É provável que evite medidas de segurança e recolha informações de redes globais.
Os pesquisadores acreditam que a ameaça está ligada à República Popular da China (RPC) e suspeitam que o ator tenha controle sobre o Grande Firewall (GFW), que é usado para censurar sites estrangeiros e manipular o tráfego da Internet.
O nome do grupo de hackers reflete a natureza complexa e confusa de suas operações, incluindo o uso indevido de resolvedores abertos de DNS (servidores que aceitam consultas de qualquer endereço IP) para enviar solicitações de endereços IP chineses.
Índice
Os Cibercriminosos Apresentam Características Incomuns Quando Comparados a Outros Grupos de Hackers
O Muddling Meerkat demonstra uma compreensão sofisticada do DNS que é incomum entre os atores de ameaças hoje em dia – apontando claramente que o DNS é uma arma poderosa aproveitada pelos adversários. Mais especificamente, implica acionar consultas DNS para troca de correio (MX) e outros tipos de registro para domínios que não pertencem ao ator, mas que residem em domínios de nível superior bem conhecidos, como .com e .org.
Pesquisadores que registraram as solicitações enviadas aos seus resolvedores recursivos pelos dispositivos dos clientes disseram ter detectado mais de 20 desses domínios, sendo alguns exemplos:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, por exemplo[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dezembro[.]com
O Muddling Meerkat extrai um tipo especial de registro DNS MX falso do Grande Firewall, que nunca foi visto antes. Para que isso aconteça, o Muddling Meerkat deve ter um relacionamento com os operadores do GFW. Os domínios alvo são os domínios utilizados nas consultas, portanto não são necessariamente alvo de um ataque. É o domínio usado para realizar o ataque de sondagem. Esses domínios não são propriedade do Muddling Meerkat.
Como Funciona o Grande Firewall da China?
O Grande Firewall (GFW) usa técnicas de falsificação e adulteração de DNS para manipular as respostas de DNS. Quando a solicitação de um usuário corresponde a uma palavra-chave ou domínio banido, o GFW injeta respostas DNS falsas contendo endereços IP reais aleatórios.
Em termos mais simples, se um usuário tentar acessar uma palavra-chave ou domínio bloqueado, o GFW intervém para impedir o acesso bloqueando ou redirecionando a consulta. Essa interferência é obtida por meio de métodos como envenenamento de cache DNS ou bloqueio de endereço IP.
Este processo envolve o GFW detectando consultas a sites bloqueados e respondendo com respostas DNS falsas contendo endereços IP inválidos ou IPs que levam a domínios diferentes. Esta ação interrompe efetivamente o cache dos servidores DNS recursivos dentro de sua jurisdição.
O Muddling Meerkat é Provavelmente um Autor de Ameaças do Estado-Nação Chinês
A característica marcante do Muddling Meerkat é o uso de respostas falsas de registros MX originadas de endereços IP chineses, um desvio do comportamento típico do Great Firewall (GFW).
Essas respostas vêm de endereços de IP chineses que normalmente não hospedam serviços DNS e contêm informações imprecisas, consistentes com as práticas do GFW. No entanto, ao contrário dos métodos conhecidos do GFW, as respostas do Muddling Meerkat incluem registros de recursos MX formatados adequadamente em vez de endereços IPv4.
O objectivo preciso por detrás desta actividade contínua que se estende por vários anos permanece obscuro, embora sugira um potencial envolvimento no mapeamento da Internet ou em pesquisas relacionadas.
O Muddling Meerkat, atribuído a um ator estatal chinês, realiza operações DNS deliberadas e sofisticadas contra redes globais quase todos os dias, com toda a extensão das suas atividades abrangendo vários locais.
Compreender e detectar malware é mais simples do que compreender as atividades do DNS. Embora os pesquisadores reconheçam que algo está acontecendo, a compreensão completa lhes escapa. A CISA, o FBI e outras agências continuam a alertar sobre operações chinesas não detectadas.
