Το Muddling Meerkat APT ανακάλυψε κόλπα έλξης DNS

Μια νέα απειλή στον κυβερνοχώρο με το όνομα Muddling Meerkat εντοπίστηκε να εμπλέκεται σε εξελιγμένες δραστηριότητες που αφορούν το σύστημα ονομάτων τομέα (DNS) από τον Οκτώβριο του 2019. Αυτό φαίνεται να είναι μια προσπάθεια αποφυγής μέτρων ασφαλείας και διενέργειας αναγνώρισης δικτύου παγκοσμίως.

Η Infoblox, μια εταιρεία ασφάλειας cloud, υποδηλώνει ότι ο παράγοντας απειλής πιθανότατα σχετίζεται με τη Λαϊκή Δημοκρατία της Κίνας (ΛΔΚ) και μπορεί να έχει τον έλεγχο του Great Firewall (GFW), το οποίο διαχειρίζεται την κυκλοφορία του Διαδικτύου εντός και εκτός Κίνας.

Το όνομα "Muddling Meerkat" αναφέρεται στη αινιγματική φύση των δραστηριοτήτων τους, ιδιαίτερα στην κακή χρήση των ανοιχτών αναλυτών DNS—διακομιστές DNS που δέχονται ερωτήματα από οποιαδήποτε διεύθυνση IP—με την αποστολή ερωτημάτων από κινεζικές διευθύνσεις IP.

Σύμφωνα με μια αναφορά που κοινοποιήθηκε στο ειδησεογραφικό πρακτορείο The Hacker News, το Infoblox σημείωσε ότι το Muddling Meerkat καταδεικνύει μια βαθιά κατανόηση του DNS, κάτι που είναι ασυνήθιστο μεταξύ των παραγόντων απειλών, επισημαίνοντας το DNS ως ένα ισχυρό εργαλείο για τους αντιπάλους.

Πώς το Muddling Meerkat παραποιεί το DNS

Η απειλή περιλαμβάνει την έναρξη ερωτημάτων DNS, συμπεριλαμβανομένων των εγγραφών ανταλλαγής αλληλογραφίας (MX), σε τομείς που δεν ανήκουν στον ηθοποιό αλλά βρίσκονται σε κοινούς τομείς ανώτατου επιπέδου όπως .com και .org.

Το Infoblox ανακάλυψε αυτήν την απειλή παρατηρώντας ανώμαλα αιτήματα εγγραφής DNS MX από συσκευές πελατών. Εντόπισαν πάνω από 20 τέτοιους τομείς, κανένας από τους οποίους δεν ανήκει στην Muddling Meerkat.

Η Δρ. Renée Burton από το Infoblox δήλωσε ότι το Muddling Meerkat πρέπει να έχει σχέση με το GFW για να δημιουργήσει πλαστές εγγραφές DNS MX, μια συμπεριφορά που δεν είχε παρατηρηθεί στο παρελθόν.

Το GFW, το οποίο χρησιμοποιεί πλαστογράφηση και παραποίηση DNS, εισάγει ψεύτικες απαντήσεις DNS για αποκλεισμένα ερωτήματα. Το μοναδικό χαρακτηριστικό του Muddling Meerkat είναι οι ψευδείς αποκρίσεις εγγραφής MX από κινεζικές διευθύνσεις IP, που διαφέρουν από την τυπική συμπεριφορά GFW.

Το κίνητρο πίσω από τις δραστηριότητες του Muddling Meerkat παραμένει ασαφές, αν και μπορεί να περιλαμβάνει χαρτογράφηση ή έρευνα στο Διαδίκτυο.

Ο Μπάρτον τόνισε ότι το Muddling Meerkat αντιπροσωπεύει έναν εξελιγμένο κινεζικό παράγοντα εθνικού κράτους που διεξάγει σκόπιμες επιχειρήσεις DNS εναντίον παγκόσμιων δικτύων, εγείροντας ανησυχίες λόγω της ασαφούς πλήρους έκτασης των δραστηριοτήτων τους.

Συνολικά, οι δραστηριότητες του Muddling Meerkat θέτουν προκλήσεις διαφορετικές από τις τυπικές λειτουργίες κακόβουλου λογισμικού, γεγονός που δικαιολογεί συνεχή επαγρύπνηση και έρευνα από τις υπηρεσίες κυβερνοασφάλειας.