Daha önce belgelenmemiş bir siber tehdit olarak adlandırılan Karışık Meerkat Ekim 2019’dan bu yana güvenlik önlemlerinden kaçınmak ve dünya çapındaki ağları keşfetmek amacıyla karmaşık alan adı sistemi (DNS) faaliyetleri yürüttüğü gözlemlendi.
Bulut güvenlik firması Infoblox, tehdit aktörünün büyük olasılıkla Çin Halk Cumhuriyeti (PRC) ile bağlantılı olduğunu ve Büyük Güvenlik Duvarı’nı kontrol etme becerisine sahip olduğunu açıkladı (GFW), yabancı web sitelerine erişimi sansürleyen ve ülkeye gidiş ve dönüş internet trafiğini manipüle eden.
Bu isim, operasyonlarının “şaşırtıcı” doğasına ve aktörün, sorguları Çin IP alanından göndermek için tüm IP adreslerinden yinelenen sorguları kabul eden DNS sunucuları olan DNS açık çözümleyicilerini kötüye kullanmasına gönderme yapıyor.
Şirket, “Karışık Meerkat, günümüzde tehdit aktörleri arasında nadir görülen karmaşık bir DNS anlayışını ortaya koyuyor; DNS’nin, düşmanlar tarafından kullanılan güçlü bir silah olduğuna açıkça işaret ediyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
Daha spesifik olarak, posta alışverişi için DNS sorgularının tetiklenmesini gerektirir (MX) ve diğer kayıt türlerini, aktörün sahibi olmadığı ancak .com ve .org gibi iyi bilinen üst düzey alan adları altında bulunan alan adlarına yönlendirir.
Tehdit aktörünü, müşteri cihazları tarafından özyinelemeli çözümleyicilerine gönderilen anormal DNS MX kaydı isteklerinden keşfeden Infoblox, bu türden 20’den fazla alan adı tespit ettiğini söyledi:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, s8[.]com, f4[.]com, b6[.]com, p3z[.]com, ob[.]com, örneğin[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, zbo6[.]com, kimlik[.]com, mv[.]com, nef[.]com, ntl[.]com, televizyon[.]com, 7ee[.]com, GB[.]com, tunk[.]org, q29[.]org, hayır[.]com, tt[.]com, pr[.]com, aralık[.]iletişim
Infoblox’un tehdit istihbaratından sorumlu başkan yardımcısı Dr. Renée Burton The Hacker News’e şunları söyledi: “Meerkat’ı karıştırmak, Büyük Güvenlik Duvarı’ndan daha önce hiç görülmemiş özel bir tür sahte DNS MX kaydı ortaya çıkarıyor.” “Bunun gerçekleşmesi için Muddling Meerkat’ın GFW operatörleriyle bir ilişkisi olması gerekiyor.”
“Hedef etki alanları, sorgularda kullanılan etki alanıdır, dolayısıyla bir saldırının hedefi olması şart değildir. Araştırma saldırısını gerçekleştirmek için kullanılan etki alanıdır. Bu etki alanları Muddling Meerkat’a ait değildir.”
GFW’nin olduğu biliniyor güvenir içeren sahte DNS yanıtları enjekte etmek için DNS sahtekarlığı ve tahrifat olarak adlandırılan şey hakkında rastgele gerçek IP adresleri bir istek yasaklı bir anahtar kelimeyle veya engellenen bir alan adıyla eşleştiğinde.
Başka bir deyişle, bir kullanıcı ne zaman denemeler ile aramak bir için engellenen anahtar kelime veya deyimiyle GFW, web sitesi sorgusunu kullanıcının istenen bilgilere erişmesini engelleyecek şekilde engeller veya yönlendirir. Bu şu şekilde başarılabilir: DNS önbellek zehirlenmesi veya IP adresi engelleme.
Bu aynı zamanda, GFW’nin engellenen bir web sitesine yönelik bir sorgu tespit etmesi durumunda, gelişmiş aracın, geçersiz bir IP adresi veya farklı bir etki alanına bir IP adresi içeren sahte bir DNS yanıtı enjekte ederek sınırları içinde bulunan özyinelemeli DNS sunucularının önbelleğini etkili bir şekilde bozduğu anlamına gelir. .
Burton, “Muddling Meerkat’ın en dikkat çekici özelliği, Çin IP adreslerinden gelen yanlış MX kaydı yanıtlarının varlığıdır” dedi. “Bu davranış […] GFW’nin standart davranışından farklıdır.”
“Bu çözümler, DNS hizmetlerini barındırmayan ve GFW ile tutarlı olarak yanlış yanıtlar içeren Çin IP adreslerinden alınmıştır. Ancak, GFW’nin bilinen davranışından farklı olarak Muddling Meerkat MX yanıtları, IPv4 adreslerini değil, bunun yerine düzgün biçimlendirilmiş MX kaynak kayıtlarını içerir. “
Çok yıllı faaliyetin ardındaki kesin motivasyon belirsiz olsa da, bunun bir internet haritalama çalışması veya bir tür araştırma kapsamında üstlenilebileceği ihtimalini artırdı.
Burton, “Muddling Meerkat, küresel ağlara karşı neredeyse her gün kasıtlı ve yüksek beceriye sahip DNS operasyonları gerçekleştiren Çinli bir ulus devlet aktörüdür ve operasyonlarının tüm kapsamı tek bir yerde görülemez” dedi.
“Kötü amaçlı yazılım bu anlamda DNS’den daha kolaydır; kötü amaçlı yazılımın yerini tespit ettiğinizde onu anlamak kolaydır. Burada bir şeyler olduğunu biliyoruz ancak bunu tam olarak anlamıyoruz. CISA, FBI ve diğer kurumlar uyarıda bulunmaya devam ediyor Çin’in tespit edilemeyen edat operasyonları nedeniyle tam olarak göremediğimiz veya anlayamadığımız herhangi bir şey için endişelenmeliyiz.”
