Новости Группировка Muddling Meerkat использует «Великий китайский файрвол» для своих атак

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.781
Репутация
11.595
Реакции
61.695
RUB
50
Специалисты Infoblox злоумышленников, которым дали название Muddling Meerkat.


Исследователи полагают, что это китайские «правительственные» хакеры, которые с 2019 года сканируют DNS-сети по всему миру, отправляя огромное количество запросов через открытые DNS-резолверы.
Изучив огромные объемы DNS-данных, исследователи заметили активность, которая, по их словам, может легко остаться незамеченной или показаться безобидной.


Активность группы начала расти осенью 2023 года

Дело в том, что примечательным аспектом активности Muddling Meerkat является манипуляция записями MX (Mail Exchange), ради которой хакеры внедряют поддельные ответы в «Великий китайский файрвол». Ранее исследователи не наблюдали такого использования китайской системы для интернет-цензуры.

Muddling Meerkat манипулируют DNS-запросами и ответами, воздействуя на механизм, с помощью которого резолверы возвращают IP-адреса. Это может спровоцировать ложные ответы от «Великого китайского файрвола», что ведет к изменению роутинга и потенциальному перенаправлению электронной почты.

Обычно роль «Великого китайского файрвола» заключается в фильтрации и блокировке контента путем перехвата DNS-запросов и предоставлении недействительных ответов, перенаправляющих пользователей с определенных сайтов. Деятельность Muddling Meerkat заставляет систему выдавать фиктивные ответы, которые в итоге используются для изучения отказоустойчивости и поведения других сетей.

«”Великий китайский файрвол” можно описать как “оператора на стороне”, то есть он не изменяет DNS-ответы напрямую, а внедряет собственные ответы, входя в состояние гонки с любым ответом от исходного получателя. Когда запрашивающая сторона сначала получает ответ от “Великого китайского файрвола”, он способен отравить ее DNS-кэш. В дополнение к этому файрвол использует систему, называемую “ ” (Great Cannon). Это система типа оператор-по-середине (operator-in-the-middle), позволяющая изменять пакеты на пути к месту назначения», — пишут эксперты.

Чтобы еще больше запутать свои действия, Muddling Meerkat делает DNS-запросы к случайным поддоменам целевых доменов, которые часто не существуют. Хотя все это напоминает атаку типа Slow Drip DDoS, Infoblox отмечает, что в случае Muddling Meerkat запросы имеют небольшой масштаб и нацелены скорее на тестирование.

Кроме того, злоумышленники используют открытые резолверы для маскировки своей активности и взаимодействуют как с авторитетными, так и с рекурсивными резолверами.



«MX-ответы Muddling Meerkat можно наблюдать только в данных, собранных вне рамок обычной цепочки разрешения DNS, потому что источником ответов является не DNS-резолвер, а случайный китайский IP-адрес», — отмечают в Infoblox.

По данным компании, в основном Muddling Meerkat выбирает домены с короткими именами, зарегистрированные до 2000 года, что снижает вероятность попадания в черные списки.

Что касается целей Muddling Meerkat, предполагается, что группировка может составлять карту сетей и оценивать их DNS-защиту, чтобы спланировать будущие атаки. Или же целью хакеров может являться создание DNS-шума, который помогает скрыть более опасную деятельность и сбивает с толку администраторов, пытающихся определить источник аномальных DNS-запросов.


 
Сверху Снизу