Muddling Meerkat APT
Ett hemligt cyberhot som heter Muddling Meerkat har dykt upp och engagerat sig i sofistikerade Domain Name System-aktiviteter (DNS) sedan oktober 2019. Det kommer sannolikt att undvika säkerhetsåtgärder och samla in intelligens från globala nätverk.
Forskare tror att hotet är kopplat till Folkrepubliken Kina (PRC) och misstänker att skådespelaren har kontroll över den stora brandväggen (GFW), som används för att censurera utländska webbplatser och manipulera internettrafik.
Hackergruppens namn återspeglar den komplexa och förvirrande karaktären av deras verksamhet, inklusive missbruk av DNS-öppna resolvers (servrar som accepterar frågor från vilken IP-adress som helst) för att skicka förfrågningar från kinesiska IP-adresser.
Innehållsförteckning
Cyberbrottslingar visar ovanliga egenskaper i jämförelse med andra hackergrupper
Muddling Meerkat visar en sofistikerad förståelse av DNS som är ovanlig bland hotaktörer idag – och påpekar tydligt att DNS är ett kraftfullt vapen som utnyttjas av motståndare. Mer specifikt innebär det att utlösa DNS-frågor för e-postutbyte (MX) och andra posttyper till domäner som inte ägs av aktören men som finns under välkända toppdomäner som .com och .org.
Forskare som har registrerat förfrågningarna som skickades till dess rekursiva resolvers av kundenheter sa att de upptäckte över 20 sådana domäner, med några exempel:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, t.ex.[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
The Muddling Meerkat framkallar en speciell sorts falsk DNS MX-post från Great Firewall, som aldrig har setts förut. För att detta ska hända måste Muddling Meerkat ha en relation med GFW-operatörerna. Måldomänerna är de domäner som används i frågorna, så de är inte nödvändigtvis målet för en attack. Det är den domän som används för att utföra sondattacken. Dessa domäner ägs inte av Muddling Meerkat.
Hur fungerar den stora brandväggen i Kina?
Den stora brandväggen (GFW) använder DNS-spoofing och manipuleringstekniker för att manipulera DNS-svar. När en användares begäran matchar ett förbjudet sökord eller domän, injicerar GFW falska DNS-svar som innehåller slumpmässiga riktiga IP-adresser.
I enklare termer, om en användare försöker komma åt ett blockerat nyckelord eller domän, ingriper GFW för att förhindra åtkomst genom att antingen blockera eller omdirigera frågan. Denna störning uppnås genom metoder som DNS-cacheförgiftning eller IP-adressblockering.
Denna process innebär att GFW upptäcker frågor till blockerade webbplatser och svarar med falska DNS-svar som innehåller ogiltiga IP-adresser eller IP-adresser som leder till olika domäner. Denna åtgärd stör effektivt cachen för rekursiva DNS-servrar inom dess jurisdiktion.
Den röriga Meerkat är sannolikt en kinesisk nationalstatsskådespelare
Det utmärkande kännetecknet för Muddling Meerkat är dess användning av falska MX-postsvar som kommer från kinesiska IP-adresser, en avvikelse från det typiska beteendet för Great Firewall (GFW).
Dessa svar kommer från kinesiska IP-adresser som vanligtvis inte är värd för DNS-tjänster och som innehåller felaktig information som överensstämmer med GFW-praxis. Men till skillnad från GFW:s kända metoder inkluderar Muddling Meerkats svar korrekt formaterade MX-resursposter istället för IPv4-adresser.
Det exakta syftet bakom denna pågående aktivitet som sträcker sig över flera år är fortfarande oklart, även om det tyder på potentiell inblandning i internetkartläggning eller relaterad forskning.
The Muddling Meerkat, som tillskrivs en kinesisk statlig aktör, bedriver medvetna och sofistikerade DNS-operationer mot globala nätverk nästan varje dag, med hela omfattningen av deras aktiviteter som sträcker sig över olika platser.
Att förstå och upptäcka skadlig programvara är enklare jämfört med att förstå DNS-aktiviteter. Medan forskare inser att något händer, undviker fullständig förståelse dem. CISA, FBI och andra myndigheter fortsätter att varna för oupptäckta kinesiska operationer.
