Muddling Meerkat: хакеры из Поднебесной берут DNS под свой контроль

Muddling Meerkat: хакеры из Поднебесной берут DNS под свой контроль

Как Великий китайский файрволл стал оружием в руках киберпреступников?

image

Хакерская группировка, получившая от исследователей безопасности название Muddling Meerkat, использует сложные методы работы с системой доменных имён (DNS) для проведения разведывательной деятельности в сетях по всему миру с октября 2019 года.

По данным компании Infoblox, специализирующейся на обеспечении облачной безопасности, данная группа, вероятно, аффилирована с Китаем и имеет возможность контролировать так называемый Великий китайский файервол (Great Firewall, GFW), который цензурирует доступ к иностранным сайтам и манипулирует интернет-трафиком страны.

Операции Muddling Meerkat описываются как «озадачивающие», что отражает их способность использовать открытые DNS-резольверы для отправки запросов из китайского IP-пространства. Такие действия демонстрируют продвинутое понимание DNS, что, по мнению экспертов, делает данную технологию мощным оружием в руках хакеров.

Тактика Muddling Meerkat включает инициацию DNS-запросов для почтовых обменов (MX) и других типов записей к доменам, которые не принадлежат самим злоумышленникам, но находятся в известных доменах верхнего уровня, таких как «.com» и «.org». Infoblox идентифицировала более 20 таких доменов, многие из которых являются старыми и зарегистрированы до 2000 года, что позволяет хакерам оставаться незамеченными и уклоняться от блокировок.

Кроме того, специалистами наблюдались попытки использовать серверы в китайском IP-пространстве для создания запросов DNS к случайным поддоменам IP-адресов по всему миру, что соответствует известным методам GFW, который использует подделку и манипуляцию DNS для вставки фальшивых DNS-ответов, содержащих случайные реальные IP-адреса, если запрос совпадает с запрещённым ключевым словом или заблокированным доменом.

Наиболее выдающейся чертой группы Muddling Meerkat является генерация ложных MX-записей с китайских IP-адресов, что отличается от стандартного поведения GFW. Эти ответы исходят с IP-адресов, которые не предоставляют DNS-услуги, а также содержат ложные данные.

Рене Бертон, вице-президент по угрозам в Infoblox, подчёркивает, что этот метод работы с DNS-запросами отличается от стандартных методов GFW. Точные мотивы деятельности Muddling Meerkat пока остаются неясными, однако существует предположение, что они могут быть связаны с исследованием Интернета или каким-то видом картографических операций.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!