С октября 2019 года было замечено, что ранее недокументированная киберугроза, получившая название Muddling Meerkat, предпринимает сложные действия в системе доменных имен (DNS) в вероятной попытке обойти меры безопасности и провести разведку сетей по всему миру.
Компания по облачной безопасности Infoblox описала субъекта угрозы как, вероятно, связанного с Китайской Народной Республикой (КНР), имеющего возможность контролировать Great Firewall (GFW), который подвергает цензуре доступ к иностранным веб-сайтам и манипулирует интернет-трафиком в страну и из нее.
Прозвище является ссылкой на "сбивающий с толку" характер их операций и злоупотребление актером DNS open resolvers – которые являются DNS-серверами, принимающими рекурсивные запросы со всех IP–адресов - для отправки запросов из китайского IP-пространства.
"Muddling Meerkat демонстрирует сложное понимание DNS, которое сегодня является редкостью среди участников угроз, ясно указывая на то, что DNS является мощным оружием, используемым противниками", – говорится в отчете компании, опубликованном в Hacker News.
Более конкретно, это влечет за собой запуск DNS-запросов для почтового обмена (MX) и других типов записей к доменам, не принадлежащим субъекту, но которые находятся под хорошо известными доменами верхнего уровня, такими как .com и .org.
Компания Infoblox, обнаружившая источник угрозы из-за аномальных запросов на запись DNS MX, которые были отправлены ее рекурсивным распознавателям устройствами клиентов, заявила, что обнаружила более 20 таких доменов -
4u [.]com, kb [.]com, oao [.]com, od [.]com, boxi [.]com, zc [.]com, s8 [.]com, f4 [.]com, b6 [.]com, p3z [.]com, ob [.]com, eg [.]com, kok [.]com, gogo [.]com, aoa [.]com, gogo [.] ]com, zbo6[.]com, id[.]com, mv[.]com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, tunk[.]org, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
"Muddling Meerkat выявляет особый вид поддельной записи DNS MX от Great Firewall, который никогда раньше не видели", - сказала доктор Рене Бертон, вице-президент Infoblox по анализу угроз. "Чтобы это произошло, Muddling Meerkat должен иметь отношения с операторами GFW".
"Целевые домены - это домены, используемые в запросах, поэтому он не обязательно является целью атаки. Это домен, используемый для проведения пробной атаки. Эти домены не принадлежат Muddling Meerkat. "
Известно, что GFW полагается на так называемый DNS-спуфинг и фальсификацию для внедрения поддельных ответов DNS, содержащих случайные реальные IP-адреса, когда запрос соответствует запрещенному ключевому слову или заблокированному домену.
Другими словами, когда пользователь пытается выполнить поиск по заблокированному ключевому слову или фразе, GFW блокирует или перенаправляет запрос веб-сайта таким образом, что пользователь не сможет получить доступ к запрашиваемой информации. Это может быть достигнуто с помощью отравления кэша DNS или блокировки IP-адресов.
Это также означает, что если GFW обнаруживает запрос к заблокированному веб-сайту, сложный инструмент вводит поддельный DNS-ответ с недействительным IP-адресом или IP-адресом другого домена, эффективно повреждая кэш рекурсивных DNS-серверов, расположенных в пределах его границ.
"Самой замечательной особенностью Muddling Meerkat является наличие ложных ответов на записи MX с китайских IP-адресов", - сказал Бертон. "Это поведение [...] отличается от стандартного поведения GFW".
"Эти разрешения получены с китайских IP-адресов, на которых не размещены службы DNS, и содержат ложные ответы, соответствующие GFW. Однако, в отличие от известного поведения GFW, ответы Muddling Meerkat MX содержат не IPv4-адреса, а правильно отформатированные записи ресурсов MX. "
Точная мотивация многолетней деятельности неясна, хотя это повышает вероятность того, что она может быть предпринята в рамках усилий по картографированию Интернета или какого-либо исследования.
"Muddling Meerkat - это китайский субъект национального государства, выполняющий преднамеренные и высококвалифицированные DNS-операции против глобальных сетей почти ежедневно – и полный масштаб их работы нельзя увидеть ни в одном месте", - сказал Бертон.
"Вредоносное ПО в этом смысле проще DNS - как только вы обнаружите вредоносное ПО, разобраться в нем будет проще простого. Здесь мы знаем, что что-то происходит, но не понимаем этого полностью. CISA, ФБР и другие агентства продолжают предупреждать о китайских операциях по предварительному размещению, которые остаются незамеченными. Нам следует беспокоиться обо всем, что мы не можем полностью увидеть или понять".
Компания по облачной безопасности Infoblox описала субъекта угрозы как, вероятно, связанного с Китайской Народной Республикой (КНР), имеющего возможность контролировать Great Firewall (GFW), который подвергает цензуре доступ к иностранным веб-сайтам и манипулирует интернет-трафиком в страну и из нее.
Прозвище является ссылкой на "сбивающий с толку" характер их операций и злоупотребление актером DNS open resolvers – которые являются DNS-серверами, принимающими рекурсивные запросы со всех IP–адресов - для отправки запросов из китайского IP-пространства.
"Muddling Meerkat демонстрирует сложное понимание DNS, которое сегодня является редкостью среди участников угроз, ясно указывая на то, что DNS является мощным оружием, используемым противниками", – говорится в отчете компании, опубликованном в Hacker News.
Более конкретно, это влечет за собой запуск DNS-запросов для почтового обмена (MX) и других типов записей к доменам, не принадлежащим субъекту, но которые находятся под хорошо известными доменами верхнего уровня, такими как .com и .org.
Компания Infoblox, обнаружившая источник угрозы из-за аномальных запросов на запись DNS MX, которые были отправлены ее рекурсивным распознавателям устройствами клиентов, заявила, что обнаружила более 20 таких доменов -
4u [.]com, kb [.]com, oao [.]com, od [.]com, boxi [.]com, zc [.]com, s8 [.]com, f4 [.]com, b6 [.]com, p3z [.]com, ob [.]com, eg [.]com, kok [.]com, gogo [.]com, aoa [.]com, gogo [.] ]com, zbo6[.]com, id[.]com, mv[.]com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, tunk[.]org, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
"Muddling Meerkat выявляет особый вид поддельной записи DNS MX от Great Firewall, который никогда раньше не видели", - сказала доктор Рене Бертон, вице-президент Infoblox по анализу угроз. "Чтобы это произошло, Muddling Meerkat должен иметь отношения с операторами GFW".
"Целевые домены - это домены, используемые в запросах, поэтому он не обязательно является целью атаки. Это домен, используемый для проведения пробной атаки. Эти домены не принадлежат Muddling Meerkat. "
Известно, что GFW полагается на так называемый DNS-спуфинг и фальсификацию для внедрения поддельных ответов DNS, содержащих случайные реальные IP-адреса, когда запрос соответствует запрещенному ключевому слову или заблокированному домену.
Другими словами, когда пользователь пытается выполнить поиск по заблокированному ключевому слову или фразе, GFW блокирует или перенаправляет запрос веб-сайта таким образом, что пользователь не сможет получить доступ к запрашиваемой информации. Это может быть достигнуто с помощью отравления кэша DNS или блокировки IP-адресов.
Это также означает, что если GFW обнаруживает запрос к заблокированному веб-сайту, сложный инструмент вводит поддельный DNS-ответ с недействительным IP-адресом или IP-адресом другого домена, эффективно повреждая кэш рекурсивных DNS-серверов, расположенных в пределах его границ.
"Самой замечательной особенностью Muddling Meerkat является наличие ложных ответов на записи MX с китайских IP-адресов", - сказал Бертон. "Это поведение [...] отличается от стандартного поведения GFW".
"Эти разрешения получены с китайских IP-адресов, на которых не размещены службы DNS, и содержат ложные ответы, соответствующие GFW. Однако, в отличие от известного поведения GFW, ответы Muddling Meerkat MX содержат не IPv4-адреса, а правильно отформатированные записи ресурсов MX. "
Точная мотивация многолетней деятельности неясна, хотя это повышает вероятность того, что она может быть предпринята в рамках усилий по картографированию Интернета или какого-либо исследования.
"Muddling Meerkat - это китайский субъект национального государства, выполняющий преднамеренные и высококвалифицированные DNS-операции против глобальных сетей почти ежедневно – и полный масштаб их работы нельзя увидеть ни в одном месте", - сказал Бертон.
"Вредоносное ПО в этом смысле проще DNS - как только вы обнаружите вредоносное ПО, разобраться в нем будет проще простого. Здесь мы знаем, что что-то происходит, но не понимаем этого полностью. CISA, ФБР и другие агентства продолжают предупреждать о китайских операциях по предварительному размещению, которые остаются незамеченными. Нам следует беспокоиться обо всем, что мы не можем полностью увидеть или понять".
